PGP и зашифрованная переписка

Тема в разделе "АНОНИМНОСТЬ В ИНТЕРНЕТЕ", создана пользователем illusion, 9 фев 2011.

  1. illusion

    illusion Member

    Сообщения:
    306
    Симпатии:
    0

    В этой статье пойдет речь о том, как настроить почтового клиента Mozilla Thunderbird _http://www.mozilla-russia.org/products/thunderbird/ и XMPP (Jabber) клиента Psi _http://psi-im.org/ для получения и отправки зашифрованных при помощи PGP _http://ru.wikipedia.org/wiki/PGP сообщений.

    Данная инструкция предназначена прежде всего для моих друзей и коллег, а также для тех, кто хотел бы организовать с кем-либо защищенную (зашифрованную) переписку, но не знает с чего начать.

    1. Скачайте с официального сайта _http://www.gnupg.org/download/ программу GnuPG версии 1.x.x. Ссылка на скачивание сборки под Windows находится рядом с фразой compiled for Microsoft Windows. Установите её (вам понадобятся для этого права локального администратора) в полной комплектации (она занимает около 5 мегабайт), при установке обязательно выберите русский язык.
    [​IMG]

    2. Прописываем путь до файла gpg.exe в системную переменную PATH. Во-первых, с ним так будет удобнее работать из командной строки (если вдруг понадобится); во-вторых, его без проблем смогут найти различные программы, например тот же Psi. Для этого открываем папку с установленным GnuPG, находим там вышеуказанный файл gpg.exe, заходим в его свойства, копируем содержимое строки Размещение.
    [​IMG]

    3. После этого открываем Панель управления → Система → Дополнительно → Переменные среды → Системные переменные → Path → Изменить.
    [​IMG]

    4. В конце строки Значение переменной ставим точку с запятой (;), после которой вставляем ранее скопированный путь до gpg.exe.
    [​IMG]

    Если все сделано верно, то команда gpg --version должна выдать что-нибудь вроде вот этого:
    [​IMG]

    5. Скачиваем и устанавливаем актуальную версию почтового клиента Mozilla Thunderbird _http://www.mozilla-russia.org/products/thunderbird/ если таковая еще не установлена.

    6. Скачиваем и устанавливаем плагин (plugin, addon, расширение, адд-он) для Thunderbird-а под названием Enigmail _http://enigmail.mozdev.org/download/. После этого в главном меню клиента появится пункт OpenPGP.

    7. Если Вы установили Thunderbird с нуля, то создайте хотя бы одну учетную запись для почты, в противном случае Enigmail не отработает корректно.

    8. Открываем диалоговое окно OpenPGP → Настройки. В открывшемся диалоговом окне устанавливаем флажок Отобразить экспертные настройки, нажимаем OK.
    [​IMG]

    [​IMG]

    9. Открываем диалоговое окно OpenPGP → Управление ключами.
    [​IMG]

    Если у Вас уже имеются PGP-ключи, то выбирайте Файл → Импортировать ключи из файла и переходите сразу к пункту номер 13; в противном случае выбирайте Генерировать → Новую ключевую пару.

    10. Маленькое лирическое отступление о технологиях несимметричного шифрования, к которым относится и PGP в том числе. У каждого, кто пользуется шифрованием, должна иметься пара ключей: открытый и закрытый. Эти ключи представляют собой два специальных файла на Вашем жестком диске, находящиеся в папке Вашего системного профиля. При этом открытый ключ известен всем (всему миру), закрытый ключ держится в тайне. Если Вы отправляете зашифрованное сообщение, то вы его шифруете чужим открытым ключом. А точнее, открытым ключом того человека, кому Вы отправляете письмо. Если же Вам пришло письмо, то Вы его расшифровываете своим собственным закрытым ключом. Вот почему закрытый ключ необходимо держать в строжайшей тайне: в противном случае никакой пользы от шифрования не будет - кто угодно сможет читать адресованные Вам сообщения.
    Для того, чтобы было проще сохранить в тайне закрытый ключ, его также можно... зашифровать. С паролем. В этом случае, даже если потенциальный злоумышленник украдет у Вас файл, содержащий закрытый ключ, он все равно не сможет им воспользоваться, коль скоро ему неизвестен пароль от него. Тем не менее, выкладывать в открытый досуп свой закрытый ключ все равно не следует.

    11. Итак, генерируем новую ключевую пару. Открываем соответствующее диалоговое окно (смотри пункт 9).
    [​IMG]

    Если у Вас в Thunderbird уже заведена учетная запись для какого-либо почтового ящика, то можно сразу же привязать новую пару ключей к этому аккаунту (1). Если нет, ничего страшного, это можно будет сделать и позже. Закрытый ключ рекомендуется зашифровать с паролем (2), что я и рекомендую сделать (смотри пункт 8). В поле (3) можно указать какой-нибудь комментарий. Это поможет Вам не запутаться в своих ключевых парах, если таковых будет несколько (например, одна для личной переписки, другая - для деловой). В поле (4) выбираете срок действия ключевой пары. По окончании этого срока она автоматически станет недействительной и Вам придется сгенерировать новую. На вкладке Дополнительно можно сменить алгоритм шифрования и длину ключей, но лучше этого не делать. По умолчанию там уже выставлены оптимальные параметры (длина ключа 2048 бит, алгоритм DSA + El Gamal). После нажатия кнопки Создать ключ, собственно и произойдет генерация ключевой пары. От предложения создать сертификат отзыва можно и отказаться, особенно если Вы не собираетесь разбрасываться своими закрытыми ключами налево и направо.

    [​IMG]

    По окончании процедуры генерации Вы вернетесь обратно в диалоговое окно управления ключами.

    12. Если Вы собираетесь использовать данную ключевую пару для нескольних адресов электронной почты и/или для общения в Jabber-е, то необходимо внести все эти адреса в идентификаторы ключа. Для этого кликаем правой кнопкой по нашему ключу (1), выбираем Управление идентификаторами пользователя (2), нажимаем Добавить (3), добавляем все свои адреса электронной почты (4). Например, для своего аккаунта на Яндексе вида [email protected], я добавил также почтовые алиасы (псевдонимы) вида [email protected], [email protected], [email protected],[email protected], которые относятся к одному и тому же моему почтовому ящику. Вы можете добавить любые адреса электронной почты, с которых будете вести переписку с использованием данной ключевой пары.

    [​IMG]

    Но тут есть один щекотливый момент. Если Вы будете использовать ту же самую ключевую пару и для Jabber-переписки, то Ваш Jabber ID необходимо будет Установить как первичный (6). В противном случае Jabber-клиенты могут ругаться на несоответствие между ID ключа и Jabber ID.

    13. Можно начинать пользоваться зашифрованной почтой. Чтобы отослать зашифрованное сообщение, необходимо перед его отправкой выбрать пункт меню Зашифровать сообщение (1).
    [​IMG]

    При этом у Вас должен иметься открытый ключ адресата, то есть того человека, кому Вы отправляете письмо. Если у Вас такого ключа нет, то его необходимо попросить у Вашего собеседника, после чего импортировать его с помощью уже знакомого Вам диалога Управление ключами. Вы можете также подписать сообщение (2) с тем, чтобы каждый мог убедиться в том, что оно исходит именно от Вас (штоб никакой фокус, слюшай, да?). Если это Ваше первое письмо, которое Вы направляете своему собеседнику; либо просто Вы желаете передать ему свой открытый ключ с тем, чтобы он мог Вам ответить сообщением в зашифрованном виде, то выберите Присоединить мой открытый ключ (3), и он будет автоматически вложен в письмо.

    14. Если Enigmail не сможет автоматически определить которым из имеющихся открытых ключей необходимо зашифровать сообщение, то перед отправкой сообщения Вам будет задан вопрос какими именно открытыми ключами его шифровать. В этом случае необходимо вручную выбрать нужные ключи, принадлежащие требуемым адресатам.

    [​IMG]

    15. Если Вас не интересует возможности зашифрованной перепиской в Jabber-е, то можете на этом прекратить чтение заметки. В противном случае продолжайте далее.

    16. Что касается Jabber-переписки, то тут есть некоторые сложности. Дело в том, что не все клиенты одинаково добросовестно следуют рекомендациям RFC. Например, такой клиент как QIP Infium осуществляет шифровку-дешифровку одним ему известным способом. Как результат, шифрованная переписка между владельцем QIP-а и владельцем какого-либо другого клиента, к сожалению, невозможна. Ввиду этого я рекомендую пользоваться Jabber-клиентом Psi, который строго соответствует RFC.

    17. В предыдущей статье рассказывалось о том, как установить и настроить Psi. Осталось только наладить возможность шифрования. После проделанных процедур, описанных выше, это совсем несложно.
    Заходим в свойства Вашего аккаунта: Общее → Аккаунты → *выбрать аккаунт* → Изменить (1), (3).
    [​IMG]

    18. Вкладка Подробности, кнопка Выбрать ключ, выбираете Ваш ключ, нажимаете ОК.
    [​IMG]

    19. Все, мож
  2. abckizaru

    abckizaru Member

    Сообщения:
    525
    Симпатии:
    0
    Полезная тема, зря пропустили, сам поставил.

Поделиться этой страницей