Hlavní navigace

GnuPG: na klíče s myší

Adam Štrauch 27. 11. 2009

Už jsme si řekli něco o klíčích a víme jak s nimi pracovat v příkazové řádce. Teď je čas se zaměřit na program Seahorse, pomocí kterého lze s klíči pracovat pohodlně a rychle prakticky jen s myší. Dnešní díl bude tedy zaměřen hlavně na klikací uživatele, kteří by také rádi šifrovali a podepisovali.

Seahorse je program, který je standardní součástí Ubuntu, takže ho tam najdete hned po instalaci. Je relativně populární, takže v dalších distribucích bude také nainstalovaný hned z kraje nebo bude obsažen v repositářích. Tento program byste měli volit, pokud pracujete s klíči na desktopu. Tzn. pokud jsou tyto klíče určeny pro programy, jako je Evolution, Psi, Gajim, Thunderbird nebo i Nautilus.

Dále lze přes Seahorse pracovat s klíčenkami v GNOME a s SSH klíči. Je to tedy program integrovaný s GNOME a také je zaměřen hlavně na jeho uživatele.

Nás bude dneska nejvíce zajímat následující:

  • Vytvoření páru klíčů
  • Revokační certifikát
  • Synchronizace s klíčovým serverem
  • Získávání klíčů z klíčového serveru
  • Podepisování cizích veřejných klíčů
  • Export klíčů

Seznámení se Seahorse

seahorse-mainwindow

Hned po spuštění se objeví okno, kde najdeme hesla, která si uložily aplikace do klíčenky. V mém případě je to např. přihlášení na Jabber účet v Gajimu, přístupy na FTP servery, heslo k mobilnímu připojení Vodafone atd. Pokud je nějaké heslo v GNOME klíčence, tak tady s ním můžete pracovat. Lze ho změnit, smazat a hlavně měnit oprávnění pro jednotlivé aplikace.

 Vytváření páru klíčů

Nás ovšem zajímá něco zcela jiného, co najdeme v druhé záložce pod názvem „Moje osobní klíče“. Tam jsou uloženy všechny klíče, které jsme kdy vytvořili a které zůstaly v našem účtu. Najdete tam i klíče, se kterými jsme pracovali v minulém díle. Někteří tam najdou i svoje SSH klíče.

seahorse-selecttype

Začneme tím, že klikneme na nabídku „Soubor“ a dáme „Nový“. Funguje také zkratka Ctrl+N. Vyskočí na nás dialogové okno, kde máme na výběr vytvoření hesla do GNOME klíčenky, vytvoření nové klíčenky, vytvoření SSH klíče a nakonec i PGP klíče. Nás zajímá hlavně PGP klíč, tak klikneme na něj a dáme „Pokračovat“.

seahorse-novyklid

Teď přišlo na řadu zadání našeho jména, e-mailu a případně nějaké poznámky. Když odkryjeme „Pokročilé možnosti“, můžeme si vybrat i délku klíče, typ šifrování a hlavně platnost klíče. Po nastavení a odkliknutí se nás Seahorse zeptá na heslo. Po zadání se začne generovat klíč. Během toho byste měli používat počítač co nejvíce, aby mělo GPG dostatek náhodných dat, ze kterých vygeneruje klíč.

 Úprava klíče

Když se nám klíč povede vytvořit, najdeme ho v záložce „Moje osobní klíče“ a můžeme s ním dále pracovat. To znamená, že k němu můžeme přidat další identity, zrušit nebo prodloužit jeho platnost, přidat fotografii, exportovat a přidávat a odebírat podklíče.

seahorse-vlastnik

Nabídku úpravy klíče včetně informací o něm vyvoláme dvojitým klikem na klíč, který chceme upravit.

Podobnou nabídku najdeme i u klíčů, které jsou zobrazeny v záložce „Další klíče“. Dialogové okno je poněkud jiné. Je spíše informativní s možností nastavit důvěru v klíč. Je také možné nastavit, aby klíče podepsané tímto klíčem byly označeny věrohodné.

Revokační certifikát

Nás zatím bude zajímat hlavně náš klíč. Může se stát, že potřebujeme utnout jeho platnost. To uděláme nejjednodušeji tak, že si otevřeme náš klíč a proklikáme se až na podklíče (poslední záložka). V seznamu pak klikneme na každý klíč a dáme „Odvolat“. Pak už stačí jen vybrat důvod, kliknout a klíč je odvolán. Bohužel v aktuální verzi, kterou najdeme v Ubuntu, Seahorse při odvolání podklíče spadne. Bug je nahlášený, tak uvidíme, jak se k tomu vývojáři postaví. Nakonec nezapomeneme synchronizovat klíče s klíčovým serverem, aby se změny projevily.

seahorse-revokace

Synchronizace s klíčovým serverem

V minulém díle jsme si řekli, že synchronizace klíče s klíčovými servery je velmi důležitá vlastnost OpenPGP. Umožňuje nám získat veřejné klíče ostatních a rychle a bezproblémově poskytnout náš klíč. Seahorse umí synchronizovat klíče více než dobře.

seahorse-sync

První, co je potřeba udělat, je nastavení klíčových serverů. Velmi pravděpodobně tam již nějaký nastavený máte, ale raději se přesvědčíme. Klikneme na nabídku „Upravit“ a dáme „Nastavení“. Vidíme seznam klíčových serverů, do kterého můžeme přidat další nebo ubrat existující. Ze zadaných serverů si můžeme vybrat jeden, na který budeme nahrávat naše veřejné klíče (včetně klíčů ostatních). Vyhledávání veřejného klíče se ale bude provádět na všech zadaných serverech. Jednotlivé servery si klíče později předají sami.

V druhé záložce dialogu s nastavením najdeme možnost sdílení klíčů v aktuální podsíti. V praxi to znamená, že kolegové mají přístup ke všem vašim nasbíraným veřejným klíčům. Tím se opět zjednoduší způsob předávání veřejných klíčů. * Synchronizace s klíčovým serverem

Synchronizace samotná se prování přes volbu v menu „Vzdálené“. Stačí kliknout na „Synchronizovat a zveřejnit klíče“ a pak kliknout na „Synchronizovat“. V tomto dialogu budete mít možnost upravit nastavení klíčových serverů.

seahorse-search

Hledání veřejného klíče se dělá ve stejném menu, ale s volbou „Hledat vzdálené klíče“. V dialogu, který se záhy otevře, můžete napsat třeba jméno nebo e-mailovou adresu člověka, kterého hledáte a případně vybrat i klíčové servery, na kterých se má hledat. Je možné, že některé klíčové servery mají problémy, a tak je lepší je vynechat. Po vyhledání správné fráze stačí vybrat jeden klíč a kliknout na „Importovat“.

Podepisování cizích veřejných klíčů

Synchronizace klíčů je důležitá např. pokud klíč revokujete, ale také pokud někomu klíč podepíšete a chcete, aby podpis viděli i ostatní, a to co nejdříve. Další důležitou částí Seahorse je podepisování klíčů. Oproti řádkovému programu gpg se tady s podpisem klíče nastavuje i míra vaší důvěry.

seahorse-duvera

Začneme tím, že si nějaký veřejný klíč vybereme a otevřeme si jeho okno s vlastnostmi. Zajímají nás volby v druhé záložce. Je tam seznam osob, které klíč podepsaly. Zjistíme si, jestli některou z nich neznáme nebo si vyfiltrujeme osoby, kterým důvěřujeme. Pokud tam je někdo, koho dobře znáte a víte, že by nepodepsal kterýkoli klíč na potkání, tak by to měla být dobrá podmínka pro podepsání tohoto klíče.

seahorse-sign

Zavřeme okno s vlastnostmi a klikneme druhým tlačítkem na stejný veřejný klíč. Poslední volba kontextové nabídky je „Podepsat“. Po kliknutí vyběhne dialogové okno, kde vybereme míru důvěry v tento klíč. Můžeme si zvolit i možnost odvolání podpisu, případně skrytí podpisu před ostatními. Jednotlivé volby míry důvěry ve vybraný klíč je hezky popsán v samotném dialogu a v prvním díle tohoto seriálu. Nakonec klikneme na „Podepsat“, a tím dáme najevo všem uživatelům OpenPGP, že tomuto klíči důvěřujeme.

Export klíčů

Nakonec si povíme o exportování klíčů. I když máme dnes k dispozici klíčové servery, které ze sdílení klíčů dělají hračku, může se stát, že musíme klíč poslat nějak jinak např. e-mailem, po Jabberu nebo předat klíč na USB flash paměti. Může to mít více důvodů včetně důvěryhodnosti klí­če.

V Seahorse jsou dvě možnosti jak exportovat klíč, přitom si je nesmíme splést. Mohli bychom tím náš klíč odepsat. První možnost je určena pro klasické exportování veřejného klíče. To uděláme tak, že klikneme na nějaký klíč druhým tlačítkem a dáme „Exportovat“. Ukáže se nám dialog pro ukládání souborů, zvolíme cíl, případně i název a po odkliknutí budeme mít na disku soubor s ASCII tvarem klíče. Exportovat můžete i klíče ostatních.

Druhá volba je vhodná prakticky jen pro zálohování soukromého klíče. Exportujeme totiž náš soukromý klíč. Uděláme to tak, že si otevřeme vlastnosti našeho soukromého klíče, klikneme na záložku „Detaily“ a v ní na tlačítko „Exportovat“. Nakonec opět zvolíme umístění a název souboru s klíčem a potvrdíme. Na takto uložený klíč si dejte pozor, nastavte mu práva na minimum a uložte ho na bezpečné místo.

Závěr

Tímto dílem jsme vyčerpali téma klíčů a příští týden se můžeme vrhnout na to, k čemu bylo OpenPGP navrženo. Nastavíme si e-mailové klienty, tak aby spolupracovali s GPG. Soustředit se budeme na Linux, konkrétně na Evolution a Thunderbird.

Našli jste v článku chybu?

27. 11. 2009 13:00

Také se k tomu dostaneme :) Nebo jsem to někde slíbil a zapomněl?

3. 12. 2009 20:22

Uvítal bych zmínku i o šifrování v Outlooku, přeci jen jsou lidé, kteří ho používají a bylo by dobré komunikovat i s nimi. Zvlášť s ohledem na zrušení Thawte personal certifikátů.

A u Thunderbirda by mě zajímalo, zda může koexistovat GPG a Thawte certifikát vedle sebe (než Thawte vyprchá a aby se dalo dostat ke starám zašifrovaným zprávám)

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí