Hlavní navigace

Vlákno názorů k článku GPG: šifrování otevřeně a bezpečně od Jirka - Mě by zajímalo, kde jsou ty vygenerované klíče...

  • Článek je starý, nové názory již nelze přidávat.
  • 13. 11. 2009 19:01

    Jirka (neregistrovaný) ---.elisa-laajakaista.fi

    Mě by zajímalo, kde jsou ty vygenerované klíče (soubory) uložené. Takhle jsem si cosi vygeneroval, kmail to evidentně vidí, ale netuším, kde to je, ani nevím, jak ověřit, zda to kmail používá správně. Třeba je mi velmi podezřelé, že mi nabízí „Podepisovací klíč“ a „šifrovací klíč“ tentýž. Přitom z podstaty věci by k podepisování měl používat můj soukromý klíč a k šifrování veřejný klíč protistrany (a jak článek správně píše, měl by přiložit i zprávu zašifrovanou mým veřejným klíčem, abych si ji mohl přečíst i já). Nabídnul mi ale v obou případech klíč se stejným ID a neobtěžuje se mi sdělit, zda jde o veřejný nebo soukromý klíč z páru vygenerovaných klíčů. Prostě klíč 6789ABCD a basta fidli.

    Takže někde mám vygenerovaný pár klíčů a nevím kde (tedy já to tuším, nejspíš to bude ~/.gnupg/pubrin­g.gpg a ~/.gnupg/secrin­g.gpg ale to mi nestačí). Kmail mi nabízí cosi pro podepisování a šifrování, ale nevím co, a nevím, jak si ověřit, že to používá správně. Trochu příliš nejistoty na to, že jde o bezpečnostní vychytávku. Chápu, že kmailu se bude věnovat někdy později, ale to, kam a jak klíče byly uloženy, mělo být napsáno už v tomto článku. Konstatování „…, který uvidí všechny aplikace, které…“ je téměř k ničemu.

    Za týden už bohužel nebudu nejspíš vědět, co jsem dneska udělal. Autor jistě chce napsat seriál o zajímavé věci (a ono to zajímavé je), ale kromě toho, že mě hezky navnadil, tak mě taky nepříjemně potrápil – mám teď v kompu něco, co bych rád někdy v budoucnu používal, ale nevím, co to je a kde to je. Snadno to tedy může být kompromitováno a já to používat moct nebudu. (Budu si muset vygenerovat nový pár klíčů.)

    Jo a ještě bych se přimlouval, aby v seriálu co nejrychleji vysvětlil používání klíčových serverů, neboť ty nejsou klíčové jen kvůli tomu, že na nich jsou uloženy veřejné klíče, ale také kvůli tomu, že bez nich (a vzájemného podepisování klíčů uživateli) by celá ta technologie byla celkem k ničemu.

    V diskusi někdo lamentuje nad tím, že podepisování není jednoduché. Divíte se, když i na odborném serveru je uveden příklad, který by obyčejného uživatele naprosto spolehlivě odradil? To není nutně vina autora tohoto článku, ale toho, že GPG není ještě patrně připraveno pro obecné použití. Principiálně je to výborná věc. Chce to ale zapracovat na uživatelské stránce věci. Bohužel. Je opravdu na čase, aby lidi aspoň podepisovali.

    To, že podepisování není vůbec zřejmé ani odborníkům, jasně ukazuje příklad problému s podepisováním zpráv v datových schránkách, resp. ověřováním správnosti podpisu po té, co vyprší jeho platnost. Série osvětových článků tedy bude více než vhodná. Bohužel z pohledu tvůrců systému datových schránek přichází s křížkem po funuse.

  • 15. 11. 2009 13:46

    nick (neregistrovaný) ---.c4.catr.cz

    s asynchr. kryptogr. a celou problematikou jsem se poprve prakticky setkal jiz v dobach W95, a po W98 se to dokonce dalo pouzivat. ovsem nebylo jaksi S KYM to pouzivat. 99% kontaktu odmita jakekoliv zaezpeceni, a svoji neochotu pripustit si rizika racionalizuji matematickou pravdepodobnosti ‚ale me se to nestane, co si na me kdo veme‘, pripadne ‚to by prece v televizi rozmazli‘…

    jediny s kym to muzu pouzivat jsou fakt nadsenci z komunity… 10 let to je, a stejne to nikdo nepouziva… achich…;/

    tesim se na pokracovani. mozna se moje deti dostanou k mailu ktery nebude seznam nebo jina mrdka pro ktere je i ta nejzakladnejsi bezpecnost neznamou velicinou.

    PS:pls noflame abt freemail service…vsichni vime co to je globalne zac…

  • 15. 11. 2009 16:05

    Marian Kechlibar (neregistrovaný) 80.250.0.---

    V naší firmě šifrujeme veškerou komunikaci pomocí GPG. Za nejschůdnější se ukázala kombinace maileru Thunderbird a pluginu Enigmail; dá se využít i tehdy, když protistrana má Windows či Mac, a její použití se dá vysvětlit i naprostému laikovi.

    Samozřejmě, zcela blbuvzdorné to není, a už jsem viděl i člověka, který poslal svůj soukromý klíč nešifrovaným mailem…

    Kombinace Thunderbird a Enigmail má jiné problémy, a to kompatibilitu verzí. Například takové openSUSE 11.2 všude cpe Thunderbird 3.0.0 beta, který je ještě dost nestabilní. Sehnat příslušnou kompatibilní binárku Enigmailu pro platformu x86_64 není pro koncového uživatele zrovna jednoduché, na stránkách Enigmail projektu ji nenajdete … musíte do openSUSE build service a přidat si repozitář Mozilla beta.

    Pak zjistíte, že TB 3 si moc nerozumí s vaší poštou a rádo padá, tak jej downgradujete na TB 2, ale tím přestal být Enigmail kompatibilní, odinstalovat se ze záhadného důvodu nedá, musíte smazat ručně nějaké adresáře v /usr/lib64, abyste se jej zbavili… no legrace, kterou jsem včera strávil asi hodinu a půl. Ale jakmile rozchodíte TB 2.0.0.23 a Enigmail 0.96.99, máte stabilní prostředí.