GnuPG: na klíče s myší

Adam Štrauch 27. 11. 2009

Už jsme si řekli něco o klíčích a víme jak s nimi pracovat v příkazové řádce. Teď je čas se zaměřit na program Seahorse, pomocí kterého lze s klíči pracovat pohodlně a rychle prakticky jen s myší. Dnešní díl bude tedy zaměřen hlavně na klikací uživatele, kteří by také rádi šifrovali a podepisovali.

Seahorse je program, který je standardní součástí Ubuntu, takže ho tam najdete hned po instalaci. Je relativně populární, takže v dalších distribucích bude také nainstalovaný hned z kraje nebo bude obsažen v repositářích. Tento program byste měli volit, pokud pracujete s klíči na desktopu. Tzn. pokud jsou tyto klíče určeny pro programy, jako je Evolution, Psi, Gajim, Thunderbird nebo i Nautilus.

Dále lze přes Seahorse pracovat s klíčenkami v GNOME a s SSH klíči. Je to tedy program integrovaný s GNOME a také je zaměřen hlavně na jeho uživatele.

Nás bude dneska nejvíce zajímat následující:

  • Vytvoření páru klíčů
  • Revokační certifikát
  • Synchronizace s klíčovým serverem
  • Získávání klíčů z klíčového serveru
  • Podepisování cizích veřejných klíčů
  • Export klíčů

Seznámení se Seahorse

seahorse-mainwindow

Hned po spuštění se objeví okno, kde najdeme hesla, která si uložily aplikace do klíčenky. V mém případě je to např. přihlášení na Jabber účet v Gajimu, přístupy na FTP servery, heslo k mobilnímu připojení Vodafone atd. Pokud je nějaké heslo v GNOME klíčence, tak tady s ním můžete pracovat. Lze ho změnit, smazat a hlavně měnit oprávnění pro jednotlivé aplikace.

 Vytváření páru klíčů

Nás ovšem zajímá něco zcela jiného, co najdeme v druhé záložce pod názvem „Moje osobní klíče“. Tam jsou uloženy všechny klíče, které jsme kdy vytvořili a které zůstaly v našem účtu. Najdete tam i klíče, se kterými jsme pracovali v minulém díle. Někteří tam najdou i svoje SSH klíče.

seahorse-selecttype

Začneme tím, že klikneme na nabídku „Soubor“ a dáme „Nový“. Funguje také zkratka Ctrl+N. Vyskočí na nás dialogové okno, kde máme na výběr vytvoření hesla do GNOME klíčenky, vytvoření nové klíčenky, vytvoření SSH klíče a nakonec i PGP klíče. Nás zajímá hlavně PGP klíč, tak klikneme na něj a dáme „Pokračovat“.

seahorse-novyklid

Teď přišlo na řadu zadání našeho jména, e-mailu a případně nějaké poznámky. Když odkryjeme „Pokročilé možnosti“, můžeme si vybrat i délku klíče, typ šifrování a hlavně platnost klíče. Po nastavení a odkliknutí se nás Seahorse zeptá na heslo. Po zadání se začne generovat klíč. Během toho byste měli používat počítač co nejvíce, aby mělo GPG dostatek náhodných dat, ze kterých vygeneruje klíč.

 Úprava klíče

Když se nám klíč povede vytvořit, najdeme ho v záložce „Moje osobní klíče“ a můžeme s ním dále pracovat. To znamená, že k němu můžeme přidat další identity, zrušit nebo prodloužit jeho platnost, přidat fotografii, exportovat a přidávat a odebírat podklíče.

seahorse-vlastnik

Nabídku úpravy klíče včetně informací o něm vyvoláme dvojitým klikem na klíč, který chceme upravit.

Podobnou nabídku najdeme i u klíčů, které jsou zobrazeny v záložce „Další klíče“. Dialogové okno je poněkud jiné. Je spíše informativní s možností nastavit důvěru v klíč. Je také možné nastavit, aby klíče podepsané tímto klíčem byly označeny věrohodné.

Revokační certifikát

Nás zatím bude zajímat hlavně náš klíč. Může se stát, že potřebujeme utnout jeho platnost. To uděláme nejjednodušeji tak, že si otevřeme náš klíč a proklikáme se až na podklíče (poslední záložka). V seznamu pak klikneme na každý klíč a dáme „Odvolat“. Pak už stačí jen vybrat důvod, kliknout a klíč je odvolán. Bohužel v aktuální verzi, kterou najdeme v Ubuntu, Seahorse při odvolání podklíče spadne. Bug je nahlášený, tak uvidíme, jak se k tomu vývojáři postaví. Nakonec nezapomeneme synchronizovat klíče s klíčovým serverem, aby se změny projevily.

seahorse-revokace

Synchronizace s klíčovým serverem

V minulém díle jsme si řekli, že synchronizace klíče s klíčovými servery je velmi důležitá vlastnost OpenPGP. Umožňuje nám získat veřejné klíče ostatních a rychle a bezproblémově poskytnout náš klíč. Seahorse umí synchronizovat klíče více než dobře.

seahorse-sync

První, co je potřeba udělat, je nastavení klíčových serverů. Velmi pravděpodobně tam již nějaký nastavený máte, ale raději se přesvědčíme. Klikneme na nabídku „Upravit“ a dáme „Nastavení“. Vidíme seznam klíčových serverů, do kterého můžeme přidat další nebo ubrat existující. Ze zadaných serverů si můžeme vybrat jeden, na který budeme nahrávat naše veřejné klíče (včetně klíčů ostatních). Vyhledávání veřejného klíče se ale bude provádět na všech zadaných serverech. Jednotlivé servery si klíče později předají sami.

V druhé záložce dialogu s nastavením najdeme možnost sdílení klíčů v aktuální podsíti. V praxi to znamená, že kolegové mají přístup ke všem vašim nasbíraným veřejným klíčům. Tím se opět zjednoduší způsob předávání veřejných klíčů. * Synchronizace s klíčovým serverem

Synchronizace samotná se prování přes volbu v menu „Vzdálené“. Stačí kliknout na „Synchronizovat a zveřejnit klíče“ a pak kliknout na „Synchronizovat“. V tomto dialogu budete mít možnost upravit nastavení klíčových serverů.

seahorse-search

Hledání veřejného klíče se dělá ve stejném menu, ale s volbou „Hledat vzdálené klíče“. V dialogu, který se záhy otevře, můžete napsat třeba jméno nebo e-mailovou adresu člověka, kterého hledáte a případně vybrat i klíčové servery, na kterých se má hledat. Je možné, že některé klíčové servery mají problémy, a tak je lepší je vynechat. Po vyhledání správné fráze stačí vybrat jeden klíč a kliknout na „Importovat“.

Podepisování cizích veřejných klíčů

Synchronizace klíčů je důležitá např. pokud klíč revokujete, ale také pokud někomu klíč podepíšete a chcete, aby podpis viděli i ostatní, a to co nejdříve. Další důležitou částí Seahorse je podepisování klíčů. Oproti řádkovému programu gpg se tady s podpisem klíče nastavuje i míra vaší důvěry.

seahorse-duvera

Začneme tím, že si nějaký veřejný klíč vybereme a otevřeme si jeho okno s vlastnostmi. Zajímají nás volby v druhé záložce. Je tam seznam osob, které klíč podepsaly. Zjistíme si, jestli některou z nich neznáme nebo si vyfiltrujeme osoby, kterým důvěřujeme. Pokud tam je někdo, koho dobře znáte a víte, že by nepodepsal kterýkoli klíč na potkání, tak by to měla být dobrá podmínka pro podepsání tohoto klíče.

seahorse-sign

Zavřeme okno s vlastnostmi a klikneme druhým tlačítkem na stejný veřejný klíč. Poslední volba kontextové nabídky je „Podepsat“. Po kliknutí vyběhne dialogové okno, kde vybereme míru důvěry v tento klíč. Můžeme si zvolit i možnost odvolání podpisu, případně skrytí podpisu před ostatními. Jednotlivé volby míry důvěry ve vybraný klíč je hezky popsán v samotném dialogu a v prvním díle tohoto seriálu. Nakonec klikneme na „Podepsat“, a tím dáme najevo všem uživatelům OpenPGP, že tomuto klíči důvěřujeme.

Export klíčů

Nakonec si povíme o exportování klíčů. I když máme dnes k dispozici klíčové servery, které ze sdílení klíčů dělají hračku, může se stát, že musíme klíč poslat nějak jinak např. e-mailem, po Jabberu nebo předat klíč na USB flash paměti. Může to mít více důvodů včetně důvěryhodnosti klí­če.

V Seahorse jsou dvě možnosti jak exportovat klíč, přitom si je nesmíme splést. Mohli bychom tím náš klíč odepsat. První možnost je určena pro klasické exportování veřejného klíče. To uděláme tak, že klikneme na nějaký klíč druhým tlačítkem a dáme „Exportovat“. Ukáže se nám dialog pro ukládání souborů, zvolíme cíl, případně i název a po odkliknutí budeme mít na disku soubor s ASCII tvarem klíče. Exportovat můžete i klíče ostatních.

widgety

Druhá volba je vhodná prakticky jen pro zálohování soukromého klíče. Exportujeme totiž náš soukromý klíč. Uděláme to tak, že si otevřeme vlastnosti našeho soukromého klíče, klikneme na záložku „Detaily“ a v ní na tlačítko „Exportovat“. Nakonec opět zvolíme umístění a název souboru s klíčem a potvrdíme. Na takto uložený klíč si dejte pozor, nastavte mu práva na minimum a uložte ho na bezpečné místo.

Závěr

Tímto dílem jsme vyčerpali téma klíčů a příští týden se můžeme vrhnout na to, k čemu bylo OpenPGP navrženo. Nastavíme si e-mailové klienty, tak aby spolupracovali s GPG. Soustředit se budeme na Linux, konkrétně na Evolution a Thunderbird.

Našli jste v článku chybu?
Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: RRTV: frekvence pro Country Radio

RRTV: frekvence pro Country Radio

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Sat novinky: NASA Ultra HD (4K)

Sat novinky: NASA Ultra HD (4K)

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují