Seahorse je program, který je standardní součástí Ubuntu, takže ho tam najdete hned po instalaci. Je relativně populární, takže v dalších distribucích bude také nainstalovaný hned z kraje nebo bude obsažen v repositářích. Tento program byste měli volit, pokud pracujete s klíči na desktopu. Tzn. pokud jsou tyto klíče určeny pro programy, jako je Evolution, Psi, Gajim, Thunderbird nebo i Nautilus.
Dále lze přes Seahorse pracovat s klíčenkami v GNOME a s SSH klíči. Je to tedy program integrovaný s GNOME a také je zaměřen hlavně na jeho uživatele.
Nás bude dneska nejvíce zajímat následující:
- Vytvoření páru klíčů
- Revokační certifikát
- Synchronizace s klíčovým serverem
- Získávání klíčů z klíčového serveru
- Podepisování cizích veřejných klíčů
- Export klíčů
Seznámení se Seahorse
Hned po spuštění se objeví okno, kde najdeme hesla, která si uložily aplikace do klíčenky. V mém případě je to např. přihlášení na Jabber účet v Gajimu, přístupy na FTP servery, heslo k mobilnímu připojení Vodafone atd. Pokud je nějaké heslo v GNOME klíčence, tak tady s ním můžete pracovat. Lze ho změnit, smazat a hlavně měnit oprávnění pro jednotlivé aplikace.
Vytváření páru klíčů
Nás ovšem zajímá něco zcela jiného, co najdeme v druhé záložce pod názvem „Moje osobní klíče“. Tam jsou uloženy všechny klíče, které jsme kdy vytvořili a které zůstaly v našem účtu. Najdete tam i klíče, se kterými jsme pracovali v minulém díle. Někteří tam najdou i svoje SSH klíče.
Začneme tím, že klikneme na nabídku „Soubor“ a dáme „Nový“. Funguje také zkratka Ctrl+N. Vyskočí na nás dialogové okno, kde máme na výběr vytvoření hesla do GNOME klíčenky, vytvoření nové klíčenky, vytvoření SSH klíče a nakonec i PGP klíče. Nás zajímá hlavně PGP klíč, tak klikneme na něj a dáme „Pokračovat“.
Teď přišlo na řadu zadání našeho jména, e-mailu a případně nějaké poznámky. Když odkryjeme „Pokročilé možnosti“, můžeme si vybrat i délku klíče, typ šifrování a hlavně platnost klíče. Po nastavení a odkliknutí se nás Seahorse zeptá na heslo. Po zadání se začne generovat klíč. Během toho byste měli používat počítač co nejvíce, aby mělo GPG dostatek náhodných dat, ze kterých vygeneruje klíč.
Úprava klíče
Když se nám klíč povede vytvořit, najdeme ho v záložce „Moje osobní klíče“ a můžeme s ním dále pracovat. To znamená, že k němu můžeme přidat další identity, zrušit nebo prodloužit jeho platnost, přidat fotografii, exportovat a přidávat a odebírat podklíče.
Nabídku úpravy klíče včetně informací o něm vyvoláme dvojitým klikem na klíč, který chceme upravit.
Podobnou nabídku najdeme i u klíčů, které jsou zobrazeny v záložce „Další klíče“. Dialogové okno je poněkud jiné. Je spíše informativní s možností nastavit důvěru v klíč. Je také možné nastavit, aby klíče podepsané tímto klíčem byly označeny věrohodné.
Revokační certifikát
Nás zatím bude zajímat hlavně náš klíč. Může se stát, že potřebujeme utnout jeho platnost. To uděláme nejjednodušeji tak, že si otevřeme náš klíč a proklikáme se až na podklíče (poslední záložka). V seznamu pak klikneme na každý klíč a dáme „Odvolat“. Pak už stačí jen vybrat důvod, kliknout a klíč je odvolán. Bohužel v aktuální verzi, kterou najdeme v Ubuntu, Seahorse při odvolání podklíče spadne. Bug je nahlášený, tak uvidíme, jak se k tomu vývojáři postaví. Nakonec nezapomeneme synchronizovat klíče s klíčovým serverem, aby se změny projevily.
Synchronizace s klíčovým serverem
V minulém díle jsme si řekli, že synchronizace klíče s klíčovými servery je velmi důležitá vlastnost OpenPGP. Umožňuje nám získat veřejné klíče ostatních a rychle a bezproblémově poskytnout náš klíč. Seahorse umí synchronizovat klíče více než dobře.
První, co je potřeba udělat, je nastavení klíčových serverů. Velmi pravděpodobně tam již nějaký nastavený máte, ale raději se přesvědčíme. Klikneme na nabídku „Upravit“ a dáme „Nastavení“. Vidíme seznam klíčových serverů, do kterého můžeme přidat další nebo ubrat existující. Ze zadaných serverů si můžeme vybrat jeden, na který budeme nahrávat naše veřejné klíče (včetně klíčů ostatních). Vyhledávání veřejného klíče se ale bude provádět na všech zadaných serverech. Jednotlivé servery si klíče později předají sami.
V druhé záložce dialogu s nastavením najdeme možnost sdílení klíčů v aktuální podsíti. V praxi to znamená, že kolegové mají přístup ke všem vašim nasbíraným veřejným klíčům. Tím se opět zjednoduší způsob předávání veřejných klíčů. * Synchronizace s klíčovým serverem
Synchronizace samotná se prování přes volbu v menu „Vzdálené“. Stačí kliknout na „Synchronizovat a zveřejnit klíče“ a pak kliknout na „Synchronizovat“. V tomto dialogu budete mít možnost upravit nastavení klíčových serverů.
Hledání veřejného klíče se dělá ve stejném menu, ale s volbou „Hledat vzdálené klíče“. V dialogu, který se záhy otevře, můžete napsat třeba jméno nebo e-mailovou adresu člověka, kterého hledáte a případně vybrat i klíčové servery, na kterých se má hledat. Je možné, že některé klíčové servery mají problémy, a tak je lepší je vynechat. Po vyhledání správné fráze stačí vybrat jeden klíč a kliknout na „Importovat“.
Podepisování cizích veřejných klíčů
Synchronizace klíčů je důležitá např. pokud klíč revokujete, ale také pokud někomu klíč podepíšete a chcete, aby podpis viděli i ostatní, a to co nejdříve. Další důležitou částí Seahorse je podepisování klíčů. Oproti řádkovému programu gpg se tady s podpisem klíče nastavuje i míra vaší důvěry.
Začneme tím, že si nějaký veřejný klíč vybereme a otevřeme si jeho okno s vlastnostmi. Zajímají nás volby v druhé záložce. Je tam seznam osob, které klíč podepsaly. Zjistíme si, jestli některou z nich neznáme nebo si vyfiltrujeme osoby, kterým důvěřujeme. Pokud tam je někdo, koho dobře znáte a víte, že by nepodepsal kterýkoli klíč na potkání, tak by to měla být dobrá podmínka pro podepsání tohoto klíče.
Zavřeme okno s vlastnostmi a klikneme druhým tlačítkem na stejný veřejný klíč. Poslední volba kontextové nabídky je „Podepsat“. Po kliknutí vyběhne dialogové okno, kde vybereme míru důvěry v tento klíč. Můžeme si zvolit i možnost odvolání podpisu, případně skrytí podpisu před ostatními. Jednotlivé volby míry důvěry ve vybraný klíč je hezky popsán v samotném dialogu a v prvním díle tohoto seriálu. Nakonec klikneme na „Podepsat“, a tím dáme najevo všem uživatelům OpenPGP, že tomuto klíči důvěřujeme.
Export klíčů
Nakonec si povíme o exportování klíčů. I když máme dnes k dispozici klíčové servery, které ze sdílení klíčů dělají hračku, může se stát, že musíme klíč poslat nějak jinak např. e-mailem, po Jabberu nebo předat klíč na USB flash paměti. Může to mít více důvodů včetně důvěryhodnosti klíče.
V Seahorse jsou dvě možnosti jak exportovat klíč, přitom si je nesmíme splést. Mohli bychom tím náš klíč odepsat. První možnost je určena pro klasické exportování veřejného klíče. To uděláme tak, že klikneme na nějaký klíč druhým tlačítkem a dáme „Exportovat“. Ukáže se nám dialog pro ukládání souborů, zvolíme cíl, případně i název a po odkliknutí budeme mít na disku soubor s ASCII tvarem klíče. Exportovat můžete i klíče ostatních.
Druhá volba je vhodná prakticky jen pro zálohování soukromého klíče. Exportujeme totiž náš soukromý klíč. Uděláme to tak, že si otevřeme vlastnosti našeho soukromého klíče, klikneme na záložku „Detaily“ a v ní na tlačítko „Exportovat“. Nakonec opět zvolíme umístění a název souboru s klíčem a potvrdíme. Na takto uložený klíč si dejte pozor, nastavte mu práva na minimum a uložte ho na bezpečné místo.
Závěr
Tímto dílem jsme vyčerpali téma klíčů a příští týden se můžeme vrhnout na to, k čemu bylo OpenPGP navrženo. Nastavíme si e-mailové klienty, tak aby spolupracovali s GPG. Soustředit se budeme na Linux, konkrétně na Evolution a Thunderbird.
ČLÁNKY DO MAILU