PGP и зашифрованная переписка

illusion

Moderator
Messages
485
Reputation
117
Reaction score
223
Points
43
В мире различают два типа криптографии: криптография, которая помешает вашей младшей сестре читать ваши файлы, и криптография, которая помешает читать ваши файлы правительствам могучих держав.

В этой статье пойдет речь о том, как настроить почтового клиента Mozilla Thunderbird _http://www.mozilla-russia.org/products/thunderbird/ и XMPP (Jabber) клиента Psi _http://psi-im.org/ для получения и отправки зашифрованных при помощи PGP _http://ru.wikipedia.org/wiki/PGP сообщений.

Данная инструкция предназначена прежде всего для моих друзей и коллег, а также для тех, кто хотел бы организовать с кем-либо защищенную (зашифрованную) переписку, но не знает с чего начать.

1. Скачайте с официального сайта _http://www.gnupg.org/download/ программу GnuPG версии 1.x.x. Ссылка на скачивание сборки под Windows находится рядом с фразой "compiled for Microsoft Windows". Установите её (вам понадобятся для этого права локального администратора) в полной комплектации (она занимает около 5 мегабайт), при установке обязательно выберите русский язык.
0_beb1_144a2715_L


2. Прописываем путь до файла "gpg.exe" в системную переменную PATH. Во-первых, с ним так будет удобнее работать из командной строки (если вдруг понадобится); во-вторых, его без проблем смогут найти различные программы, например тот же Psi. Для этого открываем папку с установленным GnuPG, находим там вышеуказанный файл "gpg.exe", заходим в его свойства, копируем содержимое строки "Размещение".
0_beb3_4abbcc50_L


3. После этого открываем "Панель управления" → "Система" → "Дополнительно" → "Переменные среды" → "Системные переменные" → "Path" → "Изменить".
0_beb4_39d4e8ad_L


4. В конце строки "Значение переменной" ставим точку с запятой (";"), после которой вставляем ранее скопированный путь до "gpg.exe".
0_beb6_a35e7b27_L


Если все сделано верно, то команда "gpg --version" должна выдать что-нибудь вроде вот этого:
0_beb7_99a2ab7d_L


5. Скачиваем и устанавливаем актуальную версию почтового клиента Mozilla Thunderbird _http://www.mozilla-russia.org/products/thunderbird/ если таковая еще не установлена.

6. Скачиваем и устанавливаем плагин ("plugin", "addon", "расширение", "адд-он") для Thunderbird-а под названием "Enigmail" _http://enigmail.mozdev.org/download/. После этого в главном меню клиента появится пункт "OpenPGP".

7. Если Вы установили Thunderbird "с нуля", то создайте хотя бы одну учетную запись для почты, в противном случае Enigmail не отработает корректно.

8. Открываем диалоговое окно "OpenPGP" → "Настройки". В открывшемся диалоговом окне устанавливаем флажок "Отобразить экспертные настройки", нажимаем "OK".
0_beb8_68288fd2_L


0_beb9_a51fc798_L


9. Открываем диалоговое окно "OpenPGP" → "Управление ключами".
0_beba_d3314edc_L


Если у Вас уже имеются PGP-ключи, то выбирайте "Файл" → "Импортировать ключи из файла" и переходите сразу к пункту номер 13; в противном случае выбирайте "Генерировать" → "Новую ключевую пару".

10. Маленькое лирическое отступление о технологиях несимметричного шифрования, к которым относится и PGP в том числе. У каждого, кто пользуется шифрованием, должна иметься пара ключей: открытый и закрытый. Эти ключи представляют собой два специальных файла на Вашем жестком диске, находящиеся в папке Вашего системного профиля. При этом открытый ключ известен всем (всему миру), закрытый ключ держится в тайне. Если Вы отправляете зашифрованное сообщение, то вы его шифруете чужим открытым ключом. А точнее, открытым ключом того человека, кому Вы отправляете письмо. Если же Вам пришло письмо, то Вы его расшифровываете своим собственным закрытым ключом. Вот почему закрытый ключ необходимо держать в строжайшей тайне: в противном случае никакой пользы от шифрования не будет - кто угодно сможет читать адресованные Вам сообщения.
Для того, чтобы было проще сохранить в тайне закрытый ключ, его также можно... зашифровать. С паролем. В этом случае, даже если потенциальный злоумышленник украдет у Вас файл, содержащий закрытый ключ, он все равно не сможет им воспользоваться, коль скоро ему неизвестен пароль от него. Тем не менее, выкладывать в открытый досуп свой закрытый ключ все равно не следует.

11. Итак, генерируем новую ключевую пару. Открываем соответствующее диалоговое окно (смотри пункт 9).
0_bebc_4a8ca1b9_L


Если у Вас в Thunderbird уже заведена учетная запись для какого-либо почтового ящика, то можно сразу же "привязать" новую пару ключей к этому аккаунту (1). Если нет, ничего страшного, это можно будет сделать и позже. Закрытый ключ рекомендуется зашифровать с паролем (2), что я и рекомендую сделать (смотри пункт 8). В поле (3) можно указать какой-нибудь комментарий. Это поможет Вам не запутаться в своих ключевых парах, если таковых будет несколько (например, одна для личной переписки, другая - для деловой). В поле (4) выбираете срок действия ключевой пары. По окончании этого срока она автоматически станет недействительной и Вам придется сгенерировать новую. На вкладке "Дополнительно" можно сменить алгоритм шифрования и длину ключей, но лучше этого не делать. По умолчанию там уже выставлены оптимальные параметры (длина ключа 2048 бит, алгоритм "DSA + El Gamal"). После нажатия кнопки "Создать ключ", собственно и произойдет генерация ключевой пары. От предложения создать "сертификат отзыва" можно и отказаться, особенно если Вы не собираетесь разбрасываться своими закрытыми ключами налево и направо.

0_bebf_5cafa84b_L


По окончании процедуры генерации Вы вернетесь обратно в диалоговое окно управления ключами.

12. Если Вы собираетесь использовать данную ключевую пару для нескольних адресов электронной почты и/или для общения в Jabber-е, то необходимо внести все эти адреса в идентификаторы ключа. Для этого кликаем правой кнопкой по нашему ключу (1), выбираем "Управление идентификаторами пользователя" (2), нажимаем "Добавить" (3), добавляем все свои адреса электронной почты (4). Например, для своего аккаунта на Яндексе вида "[email protected]", я добавил также почтовые алиасы (псевдонимы) вида "[email protected]", "[email protected]", "[email protected]","[email protected]", которые относятся к одному и тому же моему почтовому ящику. Вы можете добавить любые адреса электронной почты, с которых будете вести переписку с использованием данной ключевой пары.

0_bebe_b5a93d3_L


Но тут есть один щекотливый момент. Если Вы будете использовать ту же самую ключевую пару и для Jabber-переписки, то Ваш Jabber ID необходимо будет "Установить как первичный" (6). В противном случае Jabber-клиенты могут "ругаться" на несоответствие между ID ключа и Jabber ID.

13. Можно начинать пользоваться зашифрованной почтой. Чтобы отослать зашифрованное сообщение, необходимо перед его отправкой выбрать пункт меню "Зашифровать сообщение" (1).
0_bec0_5941520a_L


При этом у Вас должен иметься открытый ключ адресата, то есть того человека, кому Вы отправляете письмо. Если у Вас такого ключа нет, то его необходимо попросить у Вашего собеседника, после чего импортировать его с помощью уже знакомого Вам диалога "Управление ключами". Вы можете также подписать сообщение (2) с тем, чтобы каждый мог убедиться в том, что оно исходит именно от Вас (штоб никакой фокус, слюшай, да?). Если это Ваше первое письмо, которое Вы направляете своему собеседнику; либо просто Вы желаете передать ему свой открытый ключ с тем, чтобы он мог Вам ответить сообщением в зашифрованном виде, то выберите "Присоединить мой открытый ключ" (3), и он будет автоматически вложен в письмо.

14. Если Enigmail не сможет автоматически определить которым из имеющихся открытых ключей необходимо зашифровать сообщение, то перед отправкой сообщения Вам будет задан вопрос какими именно открытыми ключами его шифровать. В этом случае необходимо "вручную" выбрать нужные ключи, принадлежащие требуемым адресатам.

0_bec1_edf5efcb_L


15. Если Вас не интересует возможности зашифрованной перепиской в Jabber-е, то можете на этом прекратить чтение заметки. В противном случае продолжайте далее.

16. Что касается Jabber-переписки, то тут есть некоторые сложности. Дело в том, что не все клиенты одинаково добросовестно следуют рекомендациям RFC. Например, такой клиент как QIP Infium осуществляет шифровку-дешифровку одним ему известным способом. Как результат, шифрованная переписка между владельцем QIP-а и владельцем какого-либо другого клиента, к сожалению, невозможна. Ввиду этого я рекомендую пользоваться Jabber-клиентом "Psi", который строго соответствует RFC.

17. В предыдущей статье рассказывалось о том, как установить и настроить Psi. Осталось только наладить возможность шифрования. После проделанных процедур, описанных выше, это совсем несложно.
Заходим в свойства Вашего аккаунта: "Общее" → "Аккаунты" → *выбрать аккаунт* → "Изменить" (1), (3).
0_bdcb_7aaa411e_L


18. Вкладка "Подробности", кнопка "Выбрать ключ", выбираете Ваш ключ, нажимаете "ОК".
0_bec2_8f1eb456_L


19. Все, можете пользоваться шифрованием. Для включения шифрованного режима, нажмите на кнопку с изображенем замка в окне диалога (чата) с пользователем. При этом, разумеется, у вас должен быть установлен (импортирован) открытый ключ Вашего собеседника (смотри пункт 13).
0_bec5_9d0dcc40_L


Как видите, ничего принципиально сложного в настройке поддержки шифрованной переписки нет.

автор: Станислав _http://klinkov.ya.ru
первоисточник: _http://klinkov.ya.ru/replies.xml?item_no=61
сплагиатил: illusion
 
Last edited:

abckizaru

Professional
Messages
498
Reputation
87
Reaction score
160
Points
43
Полезная тема, зря пропустили, сам поставил.
 
Top