|
|
Пишет sashnik (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} sashnik)@ 2014-01-09 15:43:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
штирлиц мюллеру (шифрование почты под виндосом)
Написал для одного товарища краткую инструкцию по установке и использованию программы шифрования емелов (заодно узнал как это делается под виндосом, чуть не сблевнул с отвычки).
Решил вывесить тут, мало ли кому пригодится.
Вступительное слово (зачем вообще нужно шифрование)
Шифрование, вопреки распространённому мнению, не является универсальной защитой от разнообразных не в меру любопытных трёхбуквенных служб и агентств. Во-первых, по-прежнему прекрасно видно откуда, куда, от кого, к кому, и с каким заголовком идёт сообщение ("конверт" письма идёт открытым текстом). Во-вторых, если кто-нибудь из нас соответствующим службам понадобится, они, суки, непосредственно в уютный домашний компьютор влезут, и там всё прочитают.
Однако, шифрование (при условии использования ключей большой длины) позволяет с достаточной долей уверенности защититься от прочтения содержимого сообщений всякими любопытными козлищами -- напр. админы почтовых серверов, админы у всех промежуточных провайдеров по ходу информации через тырнет, а також автоматизированные системы слежения, встроенные в магистральные рутеры трёхбуквенными служащими разных стран. Шифрование -- очень простая в использовании мера, которая очень сильно усложняет всем этим гаврикам жизнь.
Шифрование также позволяет избежать ненужного к себе внимания, по срабатыванию автоматизированных систем слежки на ключевые слова. Тут, конечно, можно поспорить, дескать сам факт отправки шифрованных сообщений уже привлекает к себе внимание. Поэтому нужно, чтобы все шифровали абсолютно всё -- тогда не в меру любопытные заебутся пыль глотать.
Как установить всё нужное под виндосом
0. http://www.gpg4win.org
1. Скачать полную (не light) версию 29МБ.
2. Установить с компонентами по умолчанию.
3. Запустить Kleopatra
4. Сгенерить новый ключ для шифрования: File | New certificate | Personal OpenPGP key pair
5. Забить имя (пофиг какое) и емел адрес (должен быть реальный, через который будут идти шифрованные сообщения)
6. В "Advanced Settings..." выбрать Key material = RSA 4096 bits (максимум в нынешней версии), Certificate usage = Signing + Encryption
7. Дальше там ОК или Next, пока не спросит пароль для доступа к личному ключу. Вбить что-нибудь сложное. Внимание! Забытый пароль означает потерю доступа к личному ключу шифрования. Восстановить его, как правило, невозможно.
8. Потом всплывёт окошко, в котором написано что-то типа "понажимай на случайные клавиши или запусти программу, которая дохера пишет-читает с диска" -- это для сбора случайных событий, для рандомизации ключа (потому, что авторы GPG совершенно справедливо не доверяют микрософтовскому системному генератору "случайных" чисел). Случайные события набираются достаточно быстро (достаточно пару секунд херачить по случайным клавишам), и ключи готовы.
Вкратце о том, как это всё работает в теории
(Если нужны кровавые подробности, можно спросить у гуголя про "асимметричное шифрование".)
Шифровальные ключи идут парами. Всё, что зашифровано одним ключом, может быть расшифровано только другим, и наоборот.
Один ключ оставляешь себе (это к нему доступ защищён паролем) -- личный ключ.
Другой раздаёшь всему миру куда попало где ни попадя -- публичный ключ.
Всякий, у кого есть твой публичный ключ, может зашифровать для тебя сообщение. Но только ты можешь его расшифровать, используя личный ключ.
Так же (только в другую сторону) работает электронная подпись. Для создания подписи, из исходного сообщения делается уникальная короткая выжимка, которая называется "hash". "Гашение" представляет из себя математическую операцию, с минимальной вероятностью получить одинаковый результат из двух разных текстов. Изменишь одну букву -- хаш уже другой. Ещё одна особенность "гашения" -- из хаша нереально получить исходный текст. Это, своего рода, уникальный "отпечаток пальца" исходного текста.
После этого, хаш шифруется *личной* половиной ключа (и, соответственно, может быть расшифрован публичной половиной). Зашифрованный хаш присоединяется к исходному сообщению -- это и есть подпись. Любой, у которого есть твой публичный ключ, может (1) просчитать хаш полученного сообщения, (2) расшифровать хаш из подписи, и их сравнить. Если совпадают, значит сообщение было действительно отправлено тобой, и по ходу его никто не изменил.
Все эти операции по максимуму автоматизированы, и очень просты в использовании (чтобы пользоваться шифрованием, например, совершенно необязательно знать что такое хаш).
Как это работает на практике
Для того, чтобы обмениваться шифровками с неким корреспондентом, нужно с ним обменяться публичными ключами.
* Отправить публичный ключ:
1. Запустить "Kleopatra"
2. Выбрать свой ключ в списке
3. File | Export Certificates
4. Отправить полученный файл адресату
* Получить публичный ключ:
1. Сохранить полученный по емелу публичный ключ корреспондента в файл с расширением ".asc"
2. В Клеопатре -- File | Import Certificates
* Зашифровать файл
1. Правый мышеклац в файл-менежере | "Encrypt and sign"
2. Опции "Sign" (электронная подпись) и "Encrypt" (шифрование) можно комбинировать как угодно. Если выбрана опция с подписью, потребуется доступ к личному ключу, система тут же спросит пароль.
3. Выбрать публичный ключ адресата из списка. В результате получается зашифрованная копия с расширением ".gpg" -- её и отправлять емелом.
* Расшифровать файл
Правый мышеклац в файл-менежере "Decrypt and verify". Для операции, понятное дело, потребуется доступ к личному ключу, вбить пароль.
Это всё, в принципе, очень просто, но чтобы ещё больше упростить жизнь, gpg4win поддерживает интеграцию прямо в емел-клиента (прямо в окошке появляются кнопы типа "зашифровать" и "расшифровать"). Необходимая компонента для Outlook устанавливается прямо вместе с пакетом gpg4win. Для Thunderbird нужно установить расширение "Enigmail". Для других емел-клиентов тоже, как правило, есть всё, что надо. Ну, думаю разберёшься.
Товарищ, хочешь жить спокойно и счастливо -- шифруйся!
Широкое распространение инструкции, а також замечания и коррективы, приветствуются.
Написал для одного товарища краткую инструкцию по установке и использованию программы шифрования емелов (заодно узнал как это делается под виндосом, чуть не сблевнул с отвычки).
Решил вывесить тут, мало ли кому пригодится.
Вступительное слово (зачем вообще нужно шифрование)
Шифрование, вопреки распространённому мнению, не является универсальной защитой от разнообразных не в меру любопытных трёхбуквенных служб и агентств. Во-первых, по-прежнему прекрасно видно откуда, куда, от кого, к кому, и с каким заголовком идёт сообщение ("конверт" письма идёт открытым текстом). Во-вторых, если кто-нибудь из нас соответствующим службам понадобится, они, суки, непосредственно в уютный домашний компьютор влезут, и там всё прочитают.
Однако, шифрование (при условии использования ключей большой длины) позволяет с достаточной долей уверенности защититься от прочтения содержимого сообщений всякими любопытными козлищами -- напр. админы почтовых серверов, админы у всех промежуточных провайдеров по ходу информации через тырнет, а також автоматизированные системы слежения, встроенные в магистральные рутеры трёхбуквенными служащими разных стран. Шифрование -- очень простая в использовании мера, которая очень сильно усложняет всем этим гаврикам жизнь.
Шифрование также позволяет избежать ненужного к себе внимания, по срабатыванию автоматизированных систем слежки на ключевые слова. Тут, конечно, можно поспорить, дескать сам факт отправки шифрованных сообщений уже привлекает к себе внимание. Поэтому нужно, чтобы все шифровали абсолютно всё -- тогда не в меру любопытные заебутся пыль глотать.
Как установить всё нужное под виндосом
0. http://www.gpg4win.org
1. Скачать полную (не light) версию 29МБ.
2. Установить с компонентами по умолчанию.
3. Запустить Kleopatra
4. Сгенерить новый ключ для шифрования: File | New certificate | Personal OpenPGP key pair
5. Забить имя (пофиг какое) и емел адрес (должен быть реальный, через который будут идти шифрованные сообщения)
6. В "Advanced Settings..." выбрать Key material = RSA 4096 bits (максимум в нынешней версии), Certificate usage = Signing + Encryption
7. Дальше там ОК или Next, пока не спросит пароль для доступа к личному ключу. Вбить что-нибудь сложное. Внимание! Забытый пароль означает потерю доступа к личному ключу шифрования. Восстановить его, как правило, невозможно.
8. Потом всплывёт окошко, в котором написано что-то типа "понажимай на случайные клавиши или запусти программу, которая дохера пишет-читает с диска" -- это для сбора случайных событий, для рандомизации ключа (потому, что авторы GPG совершенно справедливо не доверяют микрософтовскому системному генератору "случайных" чисел). Случайные события набираются достаточно быстро (достаточно пару секунд херачить по случайным клавишам), и ключи готовы.
Вкратце о том, как это всё работает в теории
(Если нужны кровавые подробности, можно спросить у гуголя про "асимметричное шифрование".)
Шифровальные ключи идут парами. Всё, что зашифровано одним ключом, может быть расшифровано только другим, и наоборот.
Один ключ оставляешь себе (это к нему доступ защищён паролем) -- личный ключ.
Другой раздаёшь всему миру куда попало где ни попадя -- публичный ключ.
Всякий, у кого есть твой публичный ключ, может зашифровать для тебя сообщение. Но только ты можешь его расшифровать, используя личный ключ.
Так же (только в другую сторону) работает электронная подпись. Для создания подписи, из исходного сообщения делается уникальная короткая выжимка, которая называется "hash". "Гашение" представляет из себя математическую операцию, с минимальной вероятностью получить одинаковый результат из двух разных текстов. Изменишь одну букву -- хаш уже другой. Ещё одна особенность "гашения" -- из хаша нереально получить исходный текст. Это, своего рода, уникальный "отпечаток пальца" исходного текста.
После этого, хаш шифруется *личной* половиной ключа (и, соответственно, может быть расшифрован публичной половиной). Зашифрованный хаш присоединяется к исходному сообщению -- это и есть подпись. Любой, у которого есть твой публичный ключ, может (1) просчитать хаш полученного сообщения, (2) расшифровать хаш из подписи, и их сравнить. Если совпадают, значит сообщение было действительно отправлено тобой, и по ходу его никто не изменил.
Все эти операции по максимуму автоматизированы, и очень просты в использовании (чтобы пользоваться шифрованием, например, совершенно необязательно знать что такое хаш).
Как это работает на практике
Для того, чтобы обмениваться шифровками с неким корреспондентом, нужно с ним обменяться публичными ключами.
* Отправить публичный ключ:
1. Запустить "Kleopatra"
2. Выбрать свой ключ в списке
3. File | Export Certificates
4. Отправить полученный файл адресату
* Получить публичный ключ:
1. Сохранить полученный по емелу публичный ключ корреспондента в файл с расширением ".asc"
2. В Клеопатре -- File | Import Certificates
* Зашифровать файл
1. Правый мышеклац в файл-менежере | "Encrypt and sign"
2. Опции "Sign" (электронная подпись) и "Encrypt" (шифрование) можно комбинировать как угодно. Если выбрана опция с подписью, потребуется доступ к личному ключу, система тут же спросит пароль.
3. Выбрать публичный ключ адресата из списка. В результате получается зашифрованная копия с расширением ".gpg" -- её и отправлять емелом.
* Расшифровать файл
Правый мышеклац в файл-менежере "Decrypt and verify". Для операции, понятное дело, потребуется доступ к личному ключу, вбить пароль.
Это всё, в принципе, очень просто, но чтобы ещё больше упростить жизнь, gpg4win поддерживает интеграцию прямо в емел-клиента (прямо в окошке появляются кнопы типа "зашифровать" и "расшифровать"). Необходимая компонента для Outlook устанавливается прямо вместе с пакетом gpg4win. Для Thunderbird нужно установить расширение "Enigmail". Для других емел-клиентов тоже, как правило, есть всё, что надо. Ну, думаю разберёшься.
Товарищ, хочешь жить спокойно и счастливо -- шифруйся!
Широкое распространение инструкции, а також замечания и коррективы, приветствуются.
