[Brmlab] [GPG] : HOWTO commandline a logika

Tomas Overdrive Spider Petru tpetru at gmail.com
Tue Oct 22 21:26:47 CEST 2013


Puvodne pro Raye na keryho nemam email, ale treba se to nekomu bude hodit:






Pravidlo:
v klici by mel byt email, s kterym jej budes pouzivat, pokud bys
pouzival Thunderbird+enigmail [nejakou obdobu - claws email atd] navod
na nastaveni a praci s... tady:
http://overdrive.a-nihil.net/crypto-email.html

Doporucuju Ti nainsallovat thunderbird a enigmail, asi nejlepsi
univerzalni GUI, ale rucne muzes takhle:

Vygenerovani klice [generuj co nejvetsi RSA]:
=============================================
gpg --gen-key
gpg --export -a ALICE at brmlab.cz > public.key
gpg --export-secret-key -a ALICE at brmlab.cz > private.key

revokacni klic - kdyz Tvuj verejny klic prestane byt z nejakeho duvodu
pouzitelny, timhle jej zrusis:
gpg --gen-revoke ALICE at brmlab.cz > my_revocation.key

---
public key samozrejme shareujes, soukromy dobre schovas [ZALOHUJ!!!],
revokacni certifikat schovat [ZALOHUJ!!!]
------

import neciho klice na svuj keyring:
gpg --import public.key
-------------
vylistovani klicu, ktery mas:
gpg --list-keys
-------------
klic na keyringu by mel byt podepsany, aby Ti jej nekdo nemoh zmenit,
tady muzes delat i jine veci s klicem [menit jeho parametry]:
gpg --edit-key ALICE at brmlab.cz

SHARE VEREJNEHO KLICE NA KEYSERVERY:
=====================================
poslani klice na keyserver
gpg --keyserver pool.sks-keyservers.net --send-key ALICE at brmlab.cz

vytahnuti neciho klice z keyserveru
gpg --keyserver pool.sks-keyservers.net --recv-key overdrive at brmlab.cz

revokace nefunkcniho klice:
gpg --import my_revocation.key
gpg --keyserver pool.sks-keyservers.net --send-keys ALICE at brmlab.cz


POUZITI:
========
zasifrovat a podepsat soubor pro overdrive [jeho klic musis mit na klicence]
gpg -se -r overdrive at brmlab.cz -d INPUT_FILE -o OUTPUT_FILE

rozsifrovani a overeni podpisu
gpg [-o OUTPUT_FILE] SIGNED_ENCRYPTED_FILE

vic najdes uz snadno, kdyz je potreba, tohle je uplnej zaklad v
commandline...

LOGIKA:
=======
Funguje to v zasade takhle:
napises email a chces jej poslat -> enigmail pouzije GnuPG -> to se
podiva do databaze klicu, jestli mas svuj soukromy a verejny klic
---> kdyz chces podepsat, vezme Tvuj soukromy klic a nejakym algoritmem
udela kontrolni soucet toho, co je napsano -> ten kdo pak chce overit,
ze je to spravne, musi si importovat Tvuj verejny klic a pomoci neho,
enigmail pozna, ze to co jsi podepsal, je opravdu spravne

---> kdyz chces zasifrovat -> musis mit verejny klic prijemce ->
enigmail jej vezme a pomoci nej zasifruje text -> prijemce vezme svuj
soukromy klic [druha cast toho verejneho, ktera se nezverejnuje] a
otevre email, zasifrovany tebou

snadne, ne?

klic
+===
|
+- verejny --- umistuje se viditelne a dostupne na net
|
+- soukromy --- schova si majitel
|
+- revokacni certifikat --- schova si majitel, slouzi ke zruseni
verejnych klicu na serverech

podepisovani
+===========
|
+- odesilatel - soukromym klicem vytvori hash souboru, ktery posila
|
+- prijemnce - verejnym klicem odesilatele overi, ze soubor byl vytvoren
patricnymsoukromym klicem

sifrovani
+========
|
+- odesilatel - zasifruje verejnym klicem prijemce
|
+- prijemce - pouzije soukromy klic a otevre jim zasifrovany soubor


Jeste jsou tam takove drobnosti:
- aby Ti nekdo nemoh zmenit klice, ktere jsi si importoval do klicenky,
tak klice se po importu podepisuji Tvojim soukromym klicem, potazmo svuj
soukromy klic si hned po vytvoreni podeises timhle klicem. GnuGP potazmo
Enigmail kontroluje 2 veci: klice na klicence jsou podepsane, klic
obsahuje emailovou adresu, na ktery jej pouzivas: tedy, posilam-li ja
email z tpetru at gmail.com, tak v mem klici musi byt klic pro tenhle
email, poslu-li email z t.petru at gmail.com, tak ten klic uz nebude
fungovat. To je logicke, aby nekdo neoh pouzit muj klic na jiny email, zejo.

Zda se to trosku slozite, ale neni, kdyz tohle nechces chapat, staci,
kdyz si prectes muj navod a hotovo.



-- 
“Borders I have never seen one. But I have heard they exist in the minds of some people.”        
  ―     Thor Heyerdahl 


www...................http://overdrive.a-nihil.net
CellPhone.............00420-721-007-507
twitter...............https://twitter.com/#!/idoru23
GoogleTalk/Jabber.....tpetru at gmail.com 
blog..................http://d8ofh8.blogspot.com
last.fm...............http://www.last.fm/user/overdrive23
GnuPG public key......http://overdrive.a-nihil.net/overdrive.txt
GnuPG key FingerPrint.072C C0AD 88EF F681 5E52 5329 8483 4860 6E19 949D


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 551 bytes
Desc: OpenPGP digital signature
URL: <http://brmlab.cz/pipermail/brmlab/attachments/20131022/b5106a59/attachment.pgp>


More information about the Brmlab mailing list