Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#1

08 июн 2017, 23:15

Пару слов о Tails
Tails - это live система, которая направлена ​​на сохранение вашей конфиденциальности и анонимности. Она поможет вам использовать интернет анонимно и обходить цензуру практически в любом месте, где бы вы ни находились, и на любом компьютере. При этом Tails не оставит никаких следов, если вы сами явно не попросите об этом. Это полная свободная операционная система, основанная на Debian GNU/Linux, предназначенная для использования с DVD, USB-накопителем или SD-картой независимо от исходной операционной системы компьютера. Tails поставляется с несколькими встроенными приложениями, предварительно настроенными с учетом безопасности: веб-браузер, клиент обмена мгновенными сообщениями, почтовый клиент, офисный пакет, редактор изображений и звука и т.д.
Более подробно вы можете узнать о Tails по данной ссылке.
tails-the-most-secure-os-that-you-will-ever-have-2.png
Установка из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG
Вам понадобится одна из ОС:
  • Debian 8 (Jessie) или старше
  • Ubuntu 15.10 (Wily Werewolf) или старше
  • Linux Mint 18 (Sarah) или старше
Если ваша версия Debian, Ubuntu, или Mint не поддерживается, вы можете следовать инструкциям для других дистрибутивов Linux. Но они сложнее, и потребуется 2 USB-накопителя, вместо 1-го.

Чтобы узнать свою версию Debian, Ubuntu, или Mint, выполните:
[i]lsb_release -a[/i]


1/7. Проверка ключа подписи Tails

Если вы уже сертифицировали ключ подписи (signing key) Tails своим собственным ключом, вы можете пропустить этот шаг и начать загрузку и проверку ISO-образа.

На этом шаге вы загрузите и подтвердите ключ подписи Tails, являющимся OpenPGP ключом, который используется в качестве криптографической подписи ISO-образа Tails.

Чтобы следовать этим инструкциям, вам необходимо иметь собственный ключ OpenPGP.
Чтобы узнать, как создать собственный OpenPGP ключ, см. Управление OpenPGP ключами (переведено).


Этот метод проверки использует OpenPGP Web of Trust и сертификацию, сделанную официальными разработчиками Debian в ключе подписи Tails. Подробнее о OpenPGP Web Trust.

1. Импортируйте ключ подписи Tails в свой ключ-брелок GnuPG:

Код: Выделить всё

wget https://tails.boum.org/tails-signing.key
gpg --import < tails-signing.key
2. Установите брелок Debian. Он содержит ключи OpenPGP всех разработчиков Debian:

Код: Выделить всё

sudo apt-get install debian-keyring
3. Импортируйте ключ OpenPGP Stefano Zacchiroli, бывшего руководителя проекта Debian, из брелока Debian в ваш брелок:

Код: Выделить всё

gpg --keyring=/usr/share/keyrings/debian-keyring.gpg --export zack@upsilon.cc | gpg --import
4. Проверьте сертификаты, сделанные в ключе подписи Tails:

Код: Выделить всё

gpg --keyid-format 0xlong --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84F
В выводе этой команды найдите следующую строку:

Код: Выделить всё

sig! 0x9C31503C6D866396 2015-02-03  Stefano Zacchiroli <zack@upsilon.cc>
Здесь sig !, с восклицательным знаком, означает, что Stefano Zacchiroli подтвердил и сертифицировал ключ подписи Tails своим ключом.
Также можно проверить сертификаты, сделанные другими людьми. Их имя и адрес электронной почты отображаются в списке сертификации, если у вас есть ключ в вашем брелоке.

Если проверка сертификата не удалась, вы, вероятно, загрузили вредоносную версию ключа подписи Tails или наши инструкции устарели. Пожалуйста, свяжитесь с нами.

Подписи 175 строк не проверены из-за отсутствия ключей (The line 175 signatures not checked due to missing keys) или подобные сообщения имеют отношение к сертификатам (также называемым подписями-signatures), сделанными другими открытыми ключами, которые не находятся в вашем брелке. Это не проблема.

5. Сертифицируйте ключ подписи Tails с помощью собственного ключа:
  • a. Чтобы сделать неэкспортируемую сертификацию, которая никогда не будет передана другим пользователям:

    Код: Выделить всё

    gpg --lsign-key A490D0F4D311A4153E2BB7CADBB802B258ACD84F
    b. Чтобы сделать экспортную сертификацию ключа подписи Tails и опубликовать его на серверах с открытым ключом:

    Код: Выделить всё

    gpg --sign-key A490D0F4D311A4153E2BB7CADBB802B258ACD84F
    gpg --send-keys A490D0F4D311A4153E2BB7CADBB802B258ACD84F
    Это позволит людям, которые проверили ваш ключ, проверить вашу сертификацию и, как следствие, повысить доверие к ключу подписи Tails.
2/7. Загрузка и проверка ISO-образа

На этом этапе вы загрузите последний ISO-образ Tails и проверите его, используя ключ подписи Tails.

1. Загрузите ISO-образ:

Код: Выделить всё

wget --continue http://dl.amnesia.boum.org/tails/stable/tails-amd64-3.1/tails-amd64-3.1.iso
2. Загрузите подпись образа ISO:

Код: Выделить всё

wget https://tails.boum.org/torrents/files/tails-amd64-3.1.iso.sig
3. Убедитесь, что ISO-образ подписан ключом подписи Tails:

Код: Выделить всё

gpg --keyid-format 0xlong --verify tails-amd64-3.1.iso.sig tails-amd64-3.1.iso
Вывод этой команды должен быть следующим:

Код: Выделить всё

gpg: Signature made Wed Aug  9 02:06:36 2017 CEST
gpg:                using RSA key 79192EE220449071F589AC00AF292B44A0EDAA41
gpg: Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>" [full]
gpg:                 aka "Tails developers <tails@boum.org>" [full]
Primary key fingerprint: A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
     Subkey fingerprint: 7919 2EE2 2044 9071 F589  AC00 AF29 2B44 A0ED AA41
Убедитесь в этом выводе, что:
  • Дата подписи такая же.
  • Подпись отмечена как «Хорошая подпись», так как вы сертифицировали ключ подписи Tails своим собственным ключом.
3/7. Установка установщика Tails

На этом этапе вы установите программу Tails Installer, предназначенную специально для установки Tails.

1. Если вы работаете в:
  • a. Debian, выполните следующую команду, чтобы добавить репозиторий backports в вашу систему:

    Код: Выделить всё

    BACKPORTS='deb http://http.debian.net/debian/ jessie-backports main'
    echo $BACKPORTS | sudo tee /etc/apt/sources.list.d/jessie-backports.list && echo "OK"
    b. Ubuntu или Linux Mint, выполните следующие команды для добавления репозитория universe и нашего PPA в вашу систему:

    Код: Выделить всё

    sudo add-apt-repository universe
    sudo add-apt-repository ppa:tails-team/tails-installer
2. Обновите списки пакетов:

Код: Выделить всё

sudo apt update
3. Установите пакет tails-installer

Код: Выделить всё

sudo apt install tails-installer
4/7. Установка Tails

На этом этапе вы установите Tails на USB-накопитель, используя Tails Installer.

1. Подключите USB-накопитель к компьютеру.

2. Запустите Tails Installer:

Код: Выделить всё

tails-installer-launcher
3. Нажмите на кнопку Install
tails_installer_in_debian.png
4. Нажмите «Browse» и выберите ISO-образ, который вы загрузили ранее.
Выберите свой USB-накопитель в раскрывающемся списке Целевое устройство/Target Device.

5. Чтобы начать установку, нажмите кнопку «Install Tails».

6. Прочтите предупреждающее сообщение в диалоговом окне. Нажмите «Yes» для подтверждения.
Установка занимает несколько минут.

Индикатор выполнения (progress bar) обычно зависает в течение некоторого времени при синхронизации данных на диске.

7. Закройте Tails Installer.

5/7. Откройте эти инструкции на другом устройстве

На следующем шаге вы выключите компьютер. Чтобы впоследствии следовать остальным инструкциям, мы рекомендуем вам:
  • Откройть эту страницу на смартфоне, планшете или другом компьютере (рекомендуется).
  • Распечатать остальные инструкции на бумаге.
  • Обратите внимание на URL-адрес этой страницы, чтобы вернуться позже:
    https://tails.boum.org/install/expert/usb/#back
6/7. Перезагрузите

1. Выключите компьютер, оставив USB-накопитель подключенным.
2. Включите компьютер.

3. Если компьютер запускается в Tails, появляется меню загрузчика. Выберите «Tails» и нажмите Enter.
По умолчанию большинство компьютеров не запускаются в Tails. Если это не так, вам повезло. В противном случае, если ваш компьютер запускается на Debian, Ubuntu или Linux Mint, обратитесь к разделу устранения неполадок о том, что Tails не запускается в принципе.
Примечание переводчика: на оф. сайте обновилась инструкция, данный раздел добавлю чуть позже.
tails_boot_menu.png
4. Через 30-60 секунд появляется другой экран под названием Tails Greeter.
Если компьютер перестает отвечать на запросы или отображает сообщения об ошибках перед появлением Tails Greeter, обратитесь к разделу устранения неполадок относительно того, что Tails не запускается полностью.
Примечание переводчика: также следует добавить и это.
tails-greeter-welcome-to-tails_1.png
5. В Tails Greeter выберите ваш язык и раскладку клавиатуры в разделе «Language & Region». Нажмите «Start Tails».
6. Через 15-30 секунд появляется рабочий стол Tails.
desktop_1.png
tails-usb.png
tails-usb.png (2.08 КБ) 4879 просмотров
Yeah, вы закончили установку Tails!

Если вы хотите сохранить некоторые документы и конфигурацию в зашифрованном хранилище на финальном USB-накопителе Tails, следуйте нашим инструкциям до конца. В противном случае ознакомьтесь с нашими окончательными рекомендациями.

7/7. Создайте зашифрованное постоянное хранилище (необязательно)

Вы можете дополнительно создать зашифрованное постоянное хранилище в оставшемся свободном месте на USB-накопителе Tails для хранения любой информации, приведенной ниже:
  • Ваши личные файлы и рабочие документы
  • Некоторые из ваших настроек
  • Ваши ключи шифрования
Данные в зашифрованном постоянном хранилище:
  • Остается доступным через отдельные рабочие сессии.
  • Зашифрованы с использованием ключевой фразы по вашему выбору.
Зашифрованное постоянное хранилище не скрыто. Злоумышленник, владеющий USB-накопителем, может узнать, находится ли на нем зашифрованное постоянное хранилище. Примите во внимание, что вы можете выдать свою кодовую фразу по принуждению и/или обману.

Можно открыть зашифрованное постоянное хранилище из других операционных систем, но это может нарушить вашу безопасность. Другим операционным системам, вероятно, не следует доверять обработку конфиденциальной информаций или очистку следов прибывания.


Создание постоянного хранилища

1. Выберите «Applications» ▸ «Tails» ▸ «Configure persistent volume».

2. Укажите кодовую фразу по вашему выбору в текстовых полях Passphrase и Verify Passphrase.
Мы рекомендуем выбрать длинную кодовую фразу из пяти-семи случайных слов. Выучить больше.

3. Нажмите кнопку «Create».

4. Дождитесь завершения создания.
Если вы закроете помощника создания до завершения , возможно, вам не удастся запустить Tails с этого USB-накопителя.

5. Помощник отображает список возможных функций сохранения. Каждая функция соответствует набору файлов или настроек, которые необходимо сохранить в зашифрованном постоянном хранилище.
Мы рекомендуем только активировать функцию сохранения личных данных (Personal Data) на время. Вы можете активировать дополнительные функции позже в соответствии с вашими потребностями.

6. Нажмите «Save».

Перезапустите и активируйте постоянное хранилище

1. Выключите компьютер и перезапустите USB-накопитель Tails.

2. В Tails Greeter:
greeter_with_persistence_1.png
  • Выберите ваш язык и раскладку клавиатуры в разделе «Language & Region»
  • В разделе «Encrypted Persistent Storage» введите свою кодовую фразу и нажмите «Unlock», чтобы активировать зашифрованное постоянное хранилище для текущего рабочего сеанса.
  • Нажмите «Start Tails».
3. Через 15-30 секунд появляется рабочий стол Tails.

4. Теперь вы можете сохранить свои личные файлы и рабочие документы в папке Persistent. Чтобы открыть постоянную папку, выберите «Places» ▸ «Persistent».


У вас теперь есть рабочий Tails, поздравляю!
tails-usb-with-persistence.png
tails-usb-with-persistence.png (5.07 КБ) 4839 просмотров
ЗАКЛЮЧИТЕЛЬНЫЕ РЕКОМЕНДАЦИИ
  • Tails не защищает вас от всего! Взгляните на наши предупреждения.
  • Если вы столкнулись с какой-либо проблемой, используйте функцию «Сообщить об ошибке» на рабочем столе Tails или посетите наши страницы поддержки.
Надеемся, вам понравится использовать Tails :)
Спасибо за внимание, всем бобра! :vic: /* В переводе не исключены ошибки :smile: Ссылка на оригинал - https://tails.boum.org/install/expert/usb/index.en.html */
Последний раз редактировалось пользователем 9 root; всего редактировалось раз: 17
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#2

09 июн 2017, 01:59

/* В переводе не исключены ошибки :smile: Ссылка на оригинал - https://riseup.net/ru/security/message- ... -practices */
Лучшая практика OpenPGP Содержание:
  1. Как использовать это руководство.
  2. Используйте бесплатное программное обеспечение и обновляйте его.
  3. Выбор сервера ключей и настройка вашего компьютера для обновления вашего брелка.
    1. Используйте sks пул серверов ключей, вместо одного конкретного сервера с безопасным соединением
    2. Убедитесь, что все ключи обновлены через выбранный вами сервер ключей.
    3. Обновляйте свои ключи медленно и по одному.
    4. Не слепо верьте в ключи, отправленные сервером ключей.
    5. Не полагайтесь на Key ID.
    6. Проверьте отпечаток ключа перед импортом.
  4. Конфигурация ключа.
    1. Используйте сильный первичный ключ.
    2. Задайте срок годности менее 2 лет.
    3. Установите событие календаря, чтобы напомнить себе о дате истечения срока действия
    4. Создайте сертификат аннулирования.
    5. Используйте только первичный ключ для сертификации (и, возможно, подписания). Имейте отдельный подключ (subkey) для шифрования.
    6. Имейте отдельный подключ (subkey) для подписания
    7. Держите основной ключ исключительно в автономном режиме
    8. Проверка ключа OpenPGP.
      1. Удостоверьтесь, что ваш ключ - OpenPGPv4
      2. Первичными ключами должны быть DSA-2 или RSA (предпочтительнее RSA), в идеале 4096 бит или более
      3. Самоподписи не должны использовать исключительно MD5
      4. Самоподписи не должны использовать SHA1
      5. Сформулированный дайджест алгоритмов предпочтений должен включать, по крайней мере, один член семейства SHA-2 с более высоким приоритетом, чем MD5 и SHA1
      6. Первичные ключи должны иметь разумную дату истечения срока действия (не более 2 лет в будущем)
  5. Собираем все воедино.
  6. Дополнительные советы.
    1. У вас есть зашифрованная резервная копия вашего секретного ключа?
    2. Не включайте «Комментарий» в свой идентификатор пользователя.
--------------------------------------------------------------------- 1. Как использовать это руководство.
Мы собрали здесь много информации о настройке GnuPG. Здесь есть подробные объяснения для каждого изменения конфигурации. Многие из этих изменений требуют внесения правок в файл конфигурации GnuPG на вашем компьютере, расположенном в ~/.gnupg/gpg.conf. Для вашего удобства все предложенные преобразования в файле gpg.conf собраны в одном месте в нижней части этой страницы. Мы настоятельно рекомендуем вам не слепо копировать файл, а читать документ и понимать, что делают настройки.

2. Используйте бесплатное программное обеспечение и обновляйте его.
Информационная безопасность слишком важна, поэтому не следует использовать проприетарное программное обеспечение. Вы должны использовать бесплатную реализацию OpenPGP и поддерживать ее в актуальном состоянии. Каноническая бесплатная реализация OpenPGP - это GnuPG, и она доступна для каждой крупной современной операционной системы. Однако недостаточно просто установить GnuPG и забыть. Вы должны держать пакет в актуальном состоянии, чтобы потенциально возможные уязвимости устаревшей версии были исправлены. У всего программного обеспечения есть ошибки, и GnuPG не является исключением. Если вы работаете на:

GNU / Linux (Debian, Ubuntu, Mint, Fedora и т. Д.)
ваша операционная система автоматически установит GnuPG и сохранит ее в актуальном состоянии для вас.
Windows
Вы можете установить Gpg4win и подписаться на gpg4win-announce, чтобы знать, когда нужно обновить программу.
Mac OS
Вы можете установить GPG-пакет из GPGTools (откуда вы узнаете, когда вам нужно обновлять?).
Создание из исходников для любой другой операционной системы
Вы должны подписаться на gnupg-announce, чтобы знать, когда нужно обновить программу.

3. Выбор сервера ключей и настройка вашего компьютера для обновления вашего брелка.
Если вы не регулярно обновляете свои открытые ключи, вы не получите очень важной и достойной внимания своевременной информации о истечении их срока действия или аннулирования! Для получения обновлений ключей есть два компонента. Многие пользователи отправляют свои обновления ключей на сервер ключей. Чтобы получать эти обновления, вы должны сначала убедиться, что используете сервер ключей, который функционирует правильно. Затем вы должны настроить свой компьютер для получения обновлений ключей обычным способом.

3.1 Используйте sks пул серверов ключей, вместо одного конкретного сервера с безопасным соединением
Большинство клиентов OpenPGP настраивают только один конкретный сервер ключей. Это нежелательно, потому что если сервер ключей потерпит неудачу (упадет) или, что еще хуже, если он будет работать, но работать не должным образом, вы не сможете получить обновления критических ключей. Мало того, что это единственная точка отказа, она также является основным источником утечки информации о взаимоотношениях между пользователями OpenPGP и, следовательно, целью атаки.

Поэтому мы рекомендуем использовать sks пул серверов ключей. У машин в этом объединении регулярно проводятся проверки работоспособности, что гарантирует, что они функционируют должным образом. Если сервер работает некорректно, он автоматически удаляется из пула.

Вы также должны убедиться, что вы общаетесь с пулом серверов ключей по зашифрованному каналу, используя протокол hkps. Чтобы использовать hkps, вам сначала нужно установить gnupg-curl:

Код: Выделить всё

sudo apt-get install gnupg-curl
Затем, чтобы использовать этот пул серверов ключей, вам нужно загрузить sks-keyservers.net CA и сохранить его где-нибудь на вашем компьютере. Пожалуйста, запомните путь, в который вы сохранили файл! Затем вы должны проверить подлинность сертификата.

Теперь вам нужно будет использовать следующие параметры в ~/.gnupg/gpg.conf и указать полный путь, в котором вы сохранили файл .pem выше:

Код: Выделить всё

keyserver hkps://hkps.pool.sks-keyservers.net
keyserver-options ca-cert-file=/path/to/CA/sks-keyservers.netCA.pem
Теперь ваши взаимодействия с сервером ключей будут зашифрованы через hkps, что скроет вашу личность от всех, кто может отслеживать ваш трафик. Например, если вы используете gpg -refresh-keys на сервере ключей (который использует только hkp), тогда кто-либо, отслеживая ваш трафик, увидит каждый ваш одиночный ключ, находящийся в вашей связке ключей (поскольку вы запрашиваете обновления для них). Это довольно интересная информация.

Примечание: hkps://keys.indymedia.org, hkps://keys.mayfirst.org и hkps://keys.riseup.net (хотя рекомендуется использовать пул вместо этого).

3.2. Убедитесь, что все ключи обновлены через выбранный вами сервер ключей.
При создании ключа люди могут назначить конкретный сервер ключей, чтобы использовать его для вытаскивания собственных ключей. Рекомендуется использовать следующий параметр ~/.gnupg/gpg.conf, который будет игнорировать такие обозначения:

Код: Выделить всё

keyserver-options no-honor-keyserver-url
Это полезно, потому что (1) это помешает кому-либо установить небезопасный метод для вытаскивания ключа и (2), если назначенный сервер использует hkps, обновление не будет выполнено, потому что ca-cert будет не соответствовать, поэтому ключи никогда не будут обновлены. Также обратите внимание, что злоумышленник может назначить сервер ключей, который он контролирует, чтобы наблюдать, когда или где вы обновляете свой ключ.

3.3. Обновляйте свои ключи медленно и по одному.
Теперь, когда вы настроили хороший сервер ключей, вам нужно убедиться, что вы регулярно обновляете свои ключи. Лучший способ сделать это на Debian и Ubuntu - использовать parcimonie:

Код: Выделить всё

sudo apt-get install parcimonie
Parcimonie - это демон, который медленно обновляет ваш брелок от сервера ключей через Tor. Он использует рандомизированное бездействие (сон) и новые цепочки Tor для каждого ключа. Цель состоит в том, чтобы усложнить для атакующего сопоставление обновлений ключей с вашим брелком.

Вам не следует использовать gpg -refresh-keys или пункт меню «Обновить ключи» на вашем почтовом клиенте, потому что вы станете раскрыты для всякого "слушающего" и для оператора сервера ключей будет раскрыт весь набор ключей, которым вы интересуетесь с целью обновления.

3.4. Не слепо верьте в ключи, отправленные сервером ключей.
Любой пользователь может загрузить ключи на сервера ключей, и нет оснований полагать, что любой загружаемый вами ключ действительно принадлежит человеку, указанному в списке ключей. Поэтому вы должны проверить у каждого владельца полный отпечаток их ключа. Вы должны выполнить эту проверку в реальной жизни или по телефону.

После того, как вы проверили требуемый ключевой отпечаток, вы можете загрузить ключ из пула серверов ключей:

Код: Выделить всё

gpg --recv-key '<fingerprint>'
Следующий шаг - это подтверждение того, что вы действительно получили корректный ключ от сервера ключей. Сервер ключей, возможно, дал вам другой ключ, а не тот, который вы только что попросили. Если у вас установлен gpg с версией менее 2.1, после этого вы должны вручную подтвердить отпечаток после того, как вы загрузили ключ (версии 2.1 и более поздние будут отказываться принимать неправильные ключи с сервера ключей).

Вы можете подтвердить ключевой отпечаток одним из двух способов:

Вариант 1. Проверьте, что отпечаток ключа теперь находится в вашем брелке:

Код: Выделить всё

gpg --fingerprint '<fingerprint>'
Вариант 2. Попытайтесь (локально) подписать ключ с этим отпечатком:

Код: Выделить всё

gpg --lsign-key '<fingerprint>'
Если вы уверены, что имеете правильный отпечаток от владельца ключа, тогда более предпочтительным методом является 2-й вариант. Если вы хотите публично афишировать свое подключение к человеку, которому принадлежит ключ, вы можете сделать его публично экспортируемым --sign-key.

Обратите внимание на одиночные кавычки выше ('), они должны окружать ваш полный отпечаток ключа и необходимы, чтобы эта команда работала. Двойные кавычки (") также работают.

3.5. Не полагайтесь на Key ID.
Короткие ID ключей OpenPGP, например 0×2861A790, имеют длину 32 бит. Они на опыте показали, что могут быть легко подменены другим ключом с тем же ID. Длинные ID ключей OpenPGP (например, 0xA1E6148633874A3D) имеют длину 64 бит. Они тривиально подделываются, что также является потенциально серьезной проблемой.

Если вы хотите иметь криптографически-сильный ID ключа, вы должны использовать полный отпечаток. Вы никогда не должны полагаться на короткий или даже длинный ID.

Вероятно, вы должны, как минимум, установить keyid-format 0xlong и with-fingerprint параметры gpg (вставьте их в ~/.gnupg/gpg.conf), чтобы увеличить размер отображаемого ID до 64-бит при регулярном использовании и чтобы всегда отображать отпечаток.

Обратите внимание, что обнаружен баг в enigmail, который исправлен в версии 1.7.0: если вы добавите параметр ‘with-fingerprint’ для отображения полных отпечатков, когда составляется список ключей, отпечаток ключа, отображаемый в окне управления ключами enigmail, будет являться подключом (subkey), а не отпечатком первичного ключа. Вы всегда можете найти отпечаток своего первичного ключа (например, если вы хотите отдать свой отпечаток кому-либо для проверки подписи ключа?). Чтобы отобразить отпечатки всех ваших секретных ключей, выполните:

Код: Выделить всё

gpg --with-fingerprint --list-secret-key
3.6. Проверьте отпечаток ключа перед импортом.
Перед импортом любых полученных или загруженных ключей в свой брелок, вы можете и должны проверить их с помощью отпечатка, это защитит вас от скомпрометированных ключей и позволит не поломать ваш собственный:

Код: Выделить всё

gpg --with-fingerprint <keyfile>
4. Конфигурация ключа.
Теперь, когда вы знаете, как получать регулярные обновления ключей с хорошо проверенных серверов ключей, вы должны убедиться, что ваш ключ OpenPGP настроен оптимально. Многие из этих изменений могут потребовать от вас создания нового ключа.

4.1. Используйте сильный первичный ключ.
У некоторых людей все еще есть 1024-битные ключи DSA. Вам действительно нужно перейти на более сильную бит-длину и хэширование. В 2011 году правительство США установило, что NIST осуждает DSA-1024, с 2013 года он даже запрещен.

Рекомендуется сделать 4096-битный ключ RSA с помощью хэширующего алгоритма sha512, сделав инструкцию перехода, подписанную обеими ключами, а затем сообщив людям. Также посмотрите на этот хороший документ, в котором подробно описаны шаги, необходимые для создания такого ключа, чтобы убедиться, что вы получаете правильный алгоритм хэширования (это может быть немного сложно, если вы используете версии GnuPG менее 1.4.10).

Переход может быть болезненным, но он того стоит, и это хорошая возможность попрактиковаться с инструментарием!

4.2. Задайте срок годности менее 2 лет.
Многие люди хотят, чтобы срок годности их ключей не истекал никогда, поэтому делают их бессрочными. Зачем, это бессмысленно? Вы всегда можете продлить срок действия, даже после того, как он истек! Это «истечение» на самом деле представляет собой скорее предохранительный клапан или «выключатель мертвой души», который автоматически срабатывает в какой-то момент. Смысл данной настройки - отключить ваш ключ, если вы потеряете к нему доступ (и не имеете сертификата аннулирования). Если у вас есть физический доступ к секретному ключу, вы можете его разблокировать.

Установка даты истечения срока означает, что вам нужно будет продлить эту дату в будущем. Это небольшая задача, которую вам нужно будет запомнить (см. Следующий пункт о настройке напоминания).

Вы можете думать, что это будет вас раздражать и что вы не хотите каждый раз обновлять дату, но на самом деле хорошо делать это на регулярной основе, чтобы ваши навыки OpenPGP были свежими. Это покажет пользователям, что ключ все еще активен, и что владелец ключа использует его. Кроме того, многие люди не будут подписывать ключ, который не имеет срока годности!

Если вы уже создали ключ без истечения срока действия, вы можете изменить дату истечения срока действия своего ключа, выполнив следующие действия:

Код: Выделить всё

gpg --edit-key '<fingerprint>'
Теперь выберите подключ (subkey), для которого вы хотите установить дату истечения срока действия (например, первый), или none (никакой?), чтобы установить срок действия вашего первичного ключа, а затем выполните команду ‘expire’:

Код: Выделить всё

gpg> key 1
gpg> expire
Затем установите дату в пределах разумного, сохраните ключ и выйдите (например, 2 года):

Код: Выделить всё

Key is valid for? (0) 2y
gpg> save
Затем вы можете отправить свой ключ на сервер ключей, чтобы опубликовать это изменение:

Код: Выделить всё

gpg --send-key '<fingerprint>'
4.3. Установите событие календаря, чтобы напомнить себе о дате истечения срока действия
Вы, скорее всего, забудете, поэтому лучше создать напоминание. Установите напоминание за месяц или раньше, чтобы вы могли внести изменения вовремя.

Помните: вы всегда можете продлить срок действия (даже после истечения срока его действия!), Поэтому вам не нужно создавать новый ключ, вам просто нужно продлить срок действия до более позднего времени. Делать это на регулярной основе полезно для тренировки OpenPGP знаний, иначе вы забудете что-либо.

4.4. Создайте сертификат аннулирования.
Если вы забудете свою кодовую фразу или если ваш закрытый ключ взломан или потерян, вы можете либо дождаться окончания срока действия ключа (это нехорошее решение), либо активировать ваш сертификат отзыва, опубликовав его на серверах ключей. Выполнение последнего будет уведомлять других о том, что этот ключ отменен.

Отключенный ключ все еще может быть использован для проверки старых подписей или дешифрования данных (если у вас все еще есть доступ к закрытому ключу), но он не может использоваться для шифрования новых сообщений.

Код: Выделить всё

gpg --output revoke.asc --gen-revoke '<fingerprint>'
Это создаст файл с именем revoke.asc. Вы можете распечатать бумажную копию сертификата для хранения в безопасном месте (передав его маме или поместив в резервные копии на внешнем сервере). Если кто-то получит доступ к сертификату, он сможет отменить ваш ключ, что очень неловко, но если он также имеет доступ к вашему закрытому ключу, то это именно то, чего вы не хотите.

4.5. Используйте только первичный ключ для сертификации (и, возможно, подписания). Имейте отдельный подключ (subkey) для шифрования.
Это делается по умолчанию в GnuPG 1.4.18 (и, возможно, раньше) и в более высоких версиях. Если вы создали свой ключ со старыми реализациями OpenPGP, вам может понадобиться создать новые подключи (subkey), используя те же инструкции, что и для подписания, см. ниже.

4.6. Имейте отдельный подключ (subkey) для подписания
По умолчанию GnuPG использует тот же подключ (subkey) для подписания (например, подписание сообщения электронной почты) и удостоверения (например, подписание другого ключа). Полезно отделить эти цели, поскольку один из них более важен, чем другой.

В этом случае ваш первичный ключ используется только для сертификатов, которые происходят нечасто.

Создать новый подключ (subkey) можно в диалоговом окне --edit-key, используя команду addkey. Во время диалога вы можете выбрать “capability” (умение) ключа ...

4.7. Держите основной ключ исключительно в автономном режиме
Это сложно сделать, но это поможет защитить очень важный первичный ключ. Если ваш первичный ключ украден, злоумышленник может создавать новые личности, отзывать существующие и полностью олицетворять вас. Таким образом, сохранение ключей «в автономном режиме» - хороший способ защиты от таких атак.

Перед тем, как это сделать, убедитесь, что вы создали отдельный ключ подписи, иначе вы не сможете подписывать электронные письма без вашего автономного ключа.

Извлечение первичного ключа является сложным, но это должно вам помочь :

Код: Выделить всё

# Извлекаем первичный ключ
gpg -a --export-secret-key john.doe@example.com > secret_key
# Извлекаем subkeys, который мы будем импортировать позже
gpg -a --export-secret-subkeys john.doe@example.com > secret_subkeys.gpg
# *удаляем* секретный ключ из брелка, поэтому остаются только subkeys 
$ gpg --delete-secret-keys john.doe@example.com
Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) y
# Повторно импортируем subkeys 
$ gpg --import secret_subkeys.gpg
# Проверяем все ли в порядке
$ gpg --list-secret-keys
# Удаляем subkeys 
$ rm secret_subkeys.gpg
Затем вам нужно поместить файл secret_key в автономный режим, возможно, на флэш-накопитель, который вы всегда носите с собой, или в охраняемом сейфе. Другие будут использовать смарт-карты для хранения ключа и сохранения их с помощью физического брелка. Безопасность этого устройства будет защитой вашего ключа.

Опять же, убедитесь, что у вас есть сертификат аннулирования.

Вы можете убедиться, что данные о секретном ключе отсутствует, запустив --list-secret-keys, который cделает "потерянные" данные с sec# вместо вместо sec (???).

Примечание: в некоторых экзотических ситуациях --delete-secret-keys может не полностью удалить данные секретного ключа, а --list-secret-keys будет показывать sec вместо sec#. В этом случае вы можете переместить каталог .gnupg из директории, а не запускать --delete-secret-keys. Вам, конечно, нужно будет повторно импортировать ваши trustdb (базы данных доверия) и открытые ключи, которые будут выглядеть примерно так:

Код: Выделить всё

Вместо gpg --delete-secret-keys john.doe@example.com, сделайте следующее:
$ mv .gnupg .gnupg.bak
# повторно импортируйте subkeys
$ gpg --import secret_subkeys.gpg
# проверьте все ли в порядке
$ gpg --list-secret-keys
# удалите subkeys с диска
$ rm secret_subkeys.gpg
# повторно импортируйте открытый брелок
$ gpg --homedir .gnupg.bak --export | gpg --import
# повторно импортируйте trust db (базы данных доверия)
$ gpg --homedir .gnupg.bak --export-ownertrust | gpg --import-ownertrust
# удалите резервный каталог GPG для того, чтобы очистить *все* секретные ключи
$ rm -rf .gnupg.bak
Наконец, обратите внимание, что в приведенных выше манипуляциях данные о секретном ключе хранятся в открытом доступе на диске. Вы можете безопасно удалить эти файлы (используя, например, nwipe) вместо использования простой rm, для удаления данных закрытого ключа. Учтите, что современные диски, такие как SSD, поддерживают расширенную прошивку, которая может не подчиняться таким командам, оставив следы данных секретного ключа на диске. В этом случае лучшей защитой является использование полного шифрования диска.

Обратите внимание, что эти процедуры могут изменяться с версии на версию. См. это обсуждение или эту статью, или это руководство, разработанное для GnuPG 2.x и выше.

4.8. Проверка ключа OpenPGP.
Существует удобный инструмент, который будет выполнять проверку ключей в дальнейшем для вас. Вы можете получить его из источников, или если вы используете Debian или Ubuntu, вы можете установить пакет напрямую, выполнив:

Код: Выделить всё

sudo apt-get install hopenpgp-tools
Чтобы запустить эти тесты с помощью данного инструмента, вы можете сделать следующее:

Код: Выделить всё

hkt export-pubkeys '<fingerprint>' | hokey lint
В выходных данных любые проблемы с вашим ключом будут отмечены красным цветом. Если все зеленое, ваш ключ проходит каждый из приведенных критериев. В противном случае, ваш ключ не прошел один из перечисленных ниже тестов, и вы должны исправить его или сгенерировать новый ключ после проверки того, что ваш gpg.conf настроен в соответствии с рекомендациями.

4.8.1. Удостоверьтесь, что ваш ключ - OpenPGPv4
Согласно RFC4880: «Ключи V3 устарели. Они содержат три недостатка. Во-первых, относительно легко создать ключ V3, который имеет тот же идентификатор ключа, что и любой другой ключ, потому что идентификатор ключа содержит все 64 бита общего модуля. Во-вторых, поскольку отпечаток ключа V3 хэширует ключевой материал, но не его длину, появляется возможность наступления противоречий с отпечатками. В-третьих, в алгоритме хеша MD5 есть недостатки, которые заставляют разработчиков отдать предпочтение другим алгоритмам. См. ниже подробное обсуждение ключевых идентификаторов и отпечатков ключей "

Чтобы определить, является ли ваш ключ ключом V3, вы можете сделать следующее:

Код: Выделить всё

gpg --export-options export-minimal --export '<fingerprint>' | gpg --list-packets |grep version
4.8.2. Первичными ключами должны быть DSA-2 или RSA (предпочтительнее RSA), в идеале 4096 бит или более
Чтобы проверить, используете ли вы DSA-2 или RSA, вы можете сделать следующее:

Код: Выделить всё

gpg --export-options export-minimal --export '<fingerprint>' | gpg --list-packets | grep -A2 '^:public key packet:$' | grep algo
Если результат равен 1, вы используете RSA. Если это 17, то это DSA, и вам нужно будет подтвердить, что размер, указанный в следующей проверке, сообщает размер ключа бит длины больше 1024, в противном случае вы не используете DSA-2.

Если зарегистрированный алгоритм равен 19, вы используете ECDSA, если это 18, вы используете ECC, а проверка определения длины бит ключа ниже не является подходящим критерием для этих типов ключей, так как размеры ключей значительно уменьшатся.

Чтобы проверить длину бит первичного ключа, вы можете сделать это:

Код: Выделить всё

gpg --export-options export-minimal --export '<fingerprint>' | gpg --list-packets | grep -A2 'public key' | grep 'pkey\[0\]:'
4.8.3. Самоподписи не должны использовать исключительно MD5
Вы можете проверить это, выполнив:

Код: Выделить всё

gpg --export-options export-minimal --export '<fingerprint>' | gpg --list-packets | grep -A 2 signature | grep 'digest algo'
Если вы видите, что результаты ‘digest algo 1’ напечатаны, тогда у вас есть собственные подписи, которые используют MD5, так как digest algo 1 - MD5. См. OpenPGP RFC 4880, раздел 9.4 для таблицы, которая отображает алгоритмы хеширования для чисел.

Чтобы исправить это, во-первых, вы должны установить следующее в своем ~/.gnupg/gpg.conf:

Код: Выделить всё

cert-digest-algo SHA512
Во-вторых, вы должны создать новую собственную подпись на вашем ключе (например, изменив дату истечения срока действия ключа).

4.8.4. Самоподписи не должны использовать SHA1
Вы можете проверить это, выполнив:

Код: Выделить всё

gpg --export-options export-minimal --export '<fingerprint>' | gpg --list-packets | grep -A 2 signature | grep 'digest algo 2,'
Если отобразились любые результаты ‘digest algo 2’, тогда у вас есть собственные подписи, которые используют SHA1, так как digest algo 2 - это SHA1. См. OpenPGP RFC 4880, раздел 9.4 для таблицы, которая отображает алгоритмы хеширования для чисел.

Чтобы исправить это, вы можете создать новую собственную подпись на своем ключе (например, изменив дату истечения срока действия ключа) после установки в своем ~/.gnupg/gpg.conf:

Код: Выделить всё

cert-digest-algo SHA512
4.8.5. Сформулированный дайджест алгоритмов предпочтений должен включать, по крайней мере, один член семейства SHA-2 с более высоким приоритетом, чем MD5 и SHA1
Вы можете проверить это, выполнив:

Код: Выделить всё

gpg --export-options export-minimal --export '<fingerprint>' | gpg --list-packets | grep 'pref-hash-algos'
а затем проверив результаты. Порядок предпочтений основан на том, какое число приходит первым слева направо. Если вы лицезреете цифры ‘3’, ‘2’, или ‘1’, прежде чем вы увидите ‘11’, ‘10’, ‘9’ или ‘8‘, вы указали свои предпочтения в пользу ослабленного алгоритма дайджеста

Чтобы исправить это, сначала установите следующее в своем ~/.gnupg/gpg.conf:

Код: Выделить всё

default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
затем задайте настройки на своем ключе следующим образом:

Код: Выделить всё

$ gpg --edit-key '<fingerprint>'
gpg> setpref
...
gpg> save
4.8.6. Первичные ключи должны иметь разумную дату истечения срока действия (не более 2 лет в будущем)
Вы можете проверить, каковы даты истечения срока действия, выполнив следующие действия:

Код: Выделить всё

gpg --export-options export-minimal --export '<fingerprint>' | gpg --list-packets | grep 'key expires after'
Затем визуально проверьте, какие результаты подтвердят это - указанная дата будет относиться к созданию ключа, хотя это может быть трудно интерпретировать.

Еще один способ проверить срок действия:

Код: Выделить всё

gpg --list-keys '<fingerprint>'
Который должен показывать даты создания и истечения срока действия первичного ключа и каждого связанного подключа. Если вы не видите ничего, что говорит «истекает» в этом выходных данных, то вы не установили срок годности должным образом.

Чтобы исправить это, вы можете сделать следующее:

Код: Выделить всё

$ gpg --edit-key '<fingerprint>'
gpg> expire
...
gpg> save
5. Собираем все воедино.
Все рекомендованные настройки, описанные в этом руководстве, были объединены в один конфиг daraconf от Jacob Appelbaum «Сборник закаленных файлов конфигурации». Вы можете щелкнуть правой кнопкой мыши по этой ссылке и сохранить gpg.conf в ~/.gnupg/gpg.conf (Linux и MacOS). Для пользователей Windows файл gpg.conf должен быть сохранен в AppData\GnuPG\.

mkdir ~/.gnupg/
nano ~/.gnupg/gpg.conf

Код: Выделить всё

#
# Это реализация Лучшей практики OpenPGP от сайта Riseup
# https://help.riseup.net/en/security/message-security/openpgp/best-practices
#


#-----------------------------
# default key (ключ по умолчанию)
#-----------------------------

# Дефолтный ключ для подписания. Если эта опция не используется, ключ по умолчанию
# это первый ключ, обнаруженный в секретной связке

#default-key 0xD8692123C4065DEA5E0F3AB5249B39D24F25E3B6


#-----------------------------
# behavior (поведение)
#-----------------------------

# Отключить добавление строки с версией в ASCII защищенном выводе
no-emit-version

# Отключить строку комментария в текстовых подписях and ASCII защищеных сообщениях
no-comments

# Отображать ID длинных ключей
keyid-format 0xlong

# Перечислять все ключи (или только указанные) вместе с их отпечатками
with-fingerprint

# Отображать вычисленную достоверность ID пользователей во время
# перечесления (составления списка) ключей
list-options show-uid-validity
verify-options show-uid-validity

# Попробуйте использовать GnuPG-Agent. С помощью этой опции, GnuPG сначала попытается
# подключиться к агенту, прежде чем он попросит ввести ключевую (парольную) фразу.
use-agent


#-----------------------------
# keyserver (сервер ключей)
#-----------------------------

# Это сервер, с которым будет осуществляться связь при использовании 
#    --recv-keys, --send-keys, и --search-keys
# чтобы получать,  отправлять  и  искать ключи 
keyserver hkps://hkps.pool.sks-keyservers.net

# Предоставить хранилище сертификатов для переопределения системного значения по умолчанию
# Получать из https://sks-keyservers.net/sks-keyservers.netCA.pem
keyserver-options ca-cert-file=/usr/local/etc/ssl/certs/hkps.pool.sks-keyservers.net.pem

# Установить прокси для использования HTTP и HKP-серверов ключей - по умолчанию используется
# стандартный локальный прокси-сервер Tor socks
# Рекомендуется использовать Tor для улучшения анонимности. Предпочтительно использовать либо
# выделенный SOCKSPort для GnuPG и/или включенный IsolateDestPort и
# IsolateDestAddr
#keyserver-options http-proxy=socks5-hostname://127.0.0.1:9050

# Не допустить утечки DNS, когда используем Tor
# см. https://trac.torproject.org/projects/tor/ticket/2846
keyserver-options no-try-dns-srv

# При использовании --refresh-keys, если у соответствующего ключа есть предпочтительный
# URL-адрес сервера ключей, отключить использование этого предпочтительного
# keyserver-а для обновления ключа
keyserver-options no-honor-keyserver-url

# При поиске ключа с помощью --search-keys, включать ключи, отмеченные
# на сервере как отмененные (revoked)
keyserver-options include-revoked


#-----------------------------
# algorithm and ciphers (алгоритм и шифры)
#-----------------------------

# список личных настроек дайджеста. Когда несколько дайджестов поддерживаются
# всеми получателями, выберите самый сильный
personal-cipher-preferences AES256 AES192 AES CAST5

# список личных настроек дайджеста. Когда множественные шифры поддерживаются
# всеми получателями, выберите самый сильный
personal-digest-preferences SHA512 SHA384 SHA256 SHA224

# алгоритм дайджеста сообщений, используемый при подписании ключа
cert-digest-algo SHA512

# Этот список предпочтений используется для новых ключей и становится
# значением по умолчанию для "setpref" в меню редактирования
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Вам необходимо будет раскомментировать и/или настроить следующие параметры для ваших личных предпочтений: default-key, keyserver-options ca-cert-file и keyserver-options http-proxy.

6. Дополнительные советы.
6.1. У вас есть зашифрованная резервная копия вашего секретного ключа?
Дважды проверьте его.

6.2. Не включайте «Комментарий» в свой идентификатор пользователя.
Если вы считаете, что вам нужно поле «Комментарий» в вашем ID пользователя OpenPGP, подумайте долго и упорно еще раз, прежде чем принимать решение, что это действительно так. Вам, вероятно, это не нужно, а также наличие поля комментариев затрудняет людям понимание того, что они утверждены.
/* В переводе не исключены ошибки :smile: Ссылка на оригинал - https://riseup.net/en/security/message- ... p/gpg-keys */
Управление ключами OpenPGP с помощью командной строки Linux Это базируется на Ubuntu GPG Howto

Убедитесь, что вы уже установили правильные значения по умолчанию
Пожалуйста, сначала просмотрите руководство Лучшая практика OpenPGP, чтобы убедиться, что вы правильно задали свои настройки. Сделайте это, прежде чем продолжить!

Создание пары ключей OpenPGP с помощью GPG
Нажмите Alt+F2 и введите gnome-terminal, затем подтвердите ввод
В терминале введите команду: gpg --gen-key
которая вернет меню, подобное этому

Код: Выделить всё

Please select what kind of key you want:
  (1) RSA and RSA (default)
  (2) DSA and Elgamal
  (3) DSA (sign only)
  (4) RSA (sign only)
Выберите тип ключа, который вы хотите. RSA и RSA - рекомендуемый тип. (Только знаковые - sign only) ключи не могут использоваться для шифрования.

Затем введите необходимый размер ключа. 4096 - рекомендуем.

Код: Выделить всё

What keysize do you want? (2048)
Затем введите время, в течение которого вы хотите, чтобы ключ был действительным, а затем нажмите y, чтобы подтвердить дату истечения срока действия. Если вы выберете 0, ключ не истечет никогда, потребуется отменить его вручную, если вы больше не захотите его использовать. Рекомендуется, чтобы срок действия ключа истекал не позже, чем через 2 года.

Код: Выделить всё

Please specify how long the key should be valid.
     0 = key does not expire
   <n> = key expires in n days
   <n>w = key expires in n weeks
   <n>m = key expires in n months
   <n>y = key expires in n years
Key is valid for? (0)
Введите свое имя, адрес электронной почты. Не рекомендуется использовать комментарий. Ваше имя и адрес электронной почты могут быть любыми, не обязательно писать ваше настоящее имя или адрес электронной почты. Если вы хотите использовать ключ OpenPGP для шифрования электронной почты, введите адрес электронной почты в приглашении (поле?) «Адрес электронной почты».

Код: Выделить всё

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
  "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: John Q. Alias
Email address: the-email-youre-going-to-use@whatever.tld
Comment:
Теперь введите надежный пароль, который вы можете запомнить. Если вы забудете этот пароль, его невозможно будет восстановить, и любые зашифрованные данные, которые вы используете, включая электронные письма, будут надолго недоступны. Нажмите «Ввод», когда закончите, чтобы сгенерировать ключ.
Ваша пара открытого и закрытого ключей OpenPGP создана!

Перечислите свои ключи
Вы можете использовать эту команду для отображения своих ключей:
gpg --list-secret-keys

Она должна выводить данные в таком формате:

Код: Выделить всё

sec   4096R/0xE361D8GH916EFH89 2014-05-14 [expires: 2016-05-14]
      Key fingerprint = 1234 5678 90AB CDEF GH01  2344 5678 9012 ABCE FGH1
uid                            John Q. Alias <the-email-youre-going-to-use@wherever.tld>
ssb   4096R/0x40339E25E2F2D99E 2014-05-14
Любая ссылка на ваш KEY-ID ниже может быть найдена с использованием первой команды и просмотра вывода. Строка, которую вы ищете, чтобы найти KEY-ID, - это строка секунд каждой из записей). Строка содержит сек, ключ силы (key strength) и аббревиатуру типа (4096R в первой строке), косую черту, KEY-ID и дату создания. В приведенном ниже коде содержится ключевой код KEY-ID:

Код: Выделить всё

sec   4096R/0xE361D8GH916EFH89 2014-05-14 [expires: 2016-05-14]
            ^KEY-ID^
      Key fingerprint = 1234 5678 90AB CDEF GH01  2344 5678 9012 ABCE FGH1
uid                            John Q. Alias <the-email-youre-going-to-use@wherever.tld>
ssb   4096R/0x40339E25E2F2D99E 2014-05-14
Таким образом, для этого примера, KEY-ID будет E361D8GH916EFH89.
Однако, как обсуждалось здесь, вы не должны полагаться на keyid! Вместо этого вы должны использовать свой полный отпечаток (full fingerprint) для всех операций.

Экспорт / публикация открытого ключа OpenPGP
  • 1. Нажмите Alt + F2 и запустите gnome-terminal
    2. Создайте бронированную версию ASCII вашего открытого ключа для экспорта, набрав:
    gpg --export -a <<fingerprint>> > mykey.asc
Вы только что экспортировали свой открытый ключ OpenPGP ASCII в файл mykey.asc в папку, в которой вы были (ваш домашний каталог, если вы открыли новый терминал). Теперь вы можете отправить ключ кому угодно, кто в состоянии шифровать файлы для вас.

Публикация вашего открытого ключа OpenPGP на сервер ключей
На этом этапе вы можете опубликовать свой открытый ключ на ключевом сервере, где люди могут запросить его удаленно, чтобы отправлять вам зашифрованные данные и электронные письма.
  • 1. Нажмите Alt + F2 и запустите: gnome-terminal
    2. Введите gpg --send-keys <<fingerprint>>
    где <> - отпечаток ключа, который вы хотите опубликовать на ключевых серверах. Надеюсь, вы уже [[настроили хороший сервер ключей → /gpg-best-practices#selecting-a-keyserver-and-configuring-your-machine-to-refresh-your-keyring].
См. также https://wiki.archlinux.org/index.php/GnuPG_(Русский), https://www.gnupg.org/gph/en/manual.html.
Последний раз редактировалось пользователем 8 root; всего редактировалось раз: 17
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#3

15 июн 2017, 05:01

А шо так мало просмотров, комментариев вообще нет? Я старался, переводил, неужели никому не интересна данная тема? :sad:
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Dja
Сообщения: 6875
Зарегистрирован: 27 авг 2016, 20:03
Решено: 30
Откуда: Voskresensk
Благодарил (а): 1310 раз
Поблагодарили: 724 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#4

15 июн 2017, 10:48

adminka, ну я вот против анонистов Если ты вышел в сеть, то ты должен быть идентифицирован. А то получится что беда пришла, а от кого - неизвестно. Да и бывший ресурс пострадал от одного такого анонимиста-любителя. На костер их.
Это вам надо на какой-нить кулхацкерный ресурс. Там будут рады

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#5

15 июн 2017, 11:37

Dja, ору. Ты часом не в силовых структурах работаешь?)
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Dja
Сообщения: 6875
Зарегистрирован: 27 авг 2016, 20:03
Решено: 30
Откуда: Voskresensk
Благодарил (а): 1310 раз
Поблагодарили: 724 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#6

15 июн 2017, 11:47

adminka, не часом, и не двумя. Но жертвой анонимных имбецилов был и не раз.

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#7

15 июн 2017, 11:57

Dja, эт как? Что тебе сделали "анонимные имбецилы"?

Имхо, анонимность в скором времени будет нужна, поскольку наше государство, подчинив для своей машины пропаганды, абсолютно все русские телеканалы и радио-передачи, решило закручивать гайки в интернете, уже активно практикует. Это, фактически - ограничение доступа к информации, причем парой справедливо, а парой - нет. И это формирует некий страх того, что в итоге в интернете будет то, что сейчас происходит на телевидении: тотальная промывка мозгов населения; +будет закрыт доступ к пиратскому сегменту. Это касается ни только банальных фильмов, музыки, игр и программ, но и книг, статей. И, если нет какого-то средства обхода этого, средства анонимизации, то это прескорбно с учетом уровня жизни в нашей стране, когда денег просто нет для того, чтобы покупать все исключительно лицензионное... Поэтому, подготавливаемся заранее)
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Dja
Сообщения: 6875
Зарегистрирован: 27 авг 2016, 20:03
Решено: 30
Откуда: Voskresensk
Благодарил (а): 1310 раз
Поблагодарили: 724 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#8

15 июн 2017, 13:08

adminka, вот глядишь и начнут переползать на свободное ПО.

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#9

15 июн 2017, 14:10

Dja, да даже с этой стороны, а че толку то? Ну, будут, от этого никому не будет ни холодно, ни жарко; разве что люди будут пользоваться менее удобными программами типо gimp и какими-нибудь кривыми видео редакторами, вместо photoshop и sony vegas. Будет ли кто-нибудь донатить свободному ПО? Очень малый процент пользователей небольшие деньги, переводя которые в доллары, будут получаться гроши. Так что, переход домохозяек на свободное ПО в России никак не двинет прогресс вперед. Хотя нет, постойте, разве что этот сайт начнет пользоваться большей популярностью, пхахахаха XDDD Так и не услышал я, чем тебе анонимные пользователи не угодили, ну ды ладно, не хочешь отвечать, тоды закроем тему.
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#10

15 июн 2017, 14:26

adminka, а какая вообще связь между tails и некие пакеты профобработки видео?
Я потерял нить твоего суждения)

То и дело изрекаете пророчества, что gnu прям-таки обречено (перед популярными ос в которых можно взять и наворовать любого софта какого душе угодно), а на практике все несколько иначе последние два десятка лет, и с устойчивой перспективой ещё на столько же.
Изображение
   
Изображение

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#11

15 июн 2017, 14:32

Chocobo, так прямая связь. [удалено]

Я этого не говорил. Я лишь заметил, что, если/когда домохозяйки в России перейдут на свободное ПО, то это не приведет ни к какому прогрессу, для свободного ПО от этого никакого профита не будет. Причем тут обречено? Где ты увидел хоть слово про "обречено"?
 ! Сообщение из: symon2014
Случаем не перегрелся?
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#12

16 июн 2017, 08:27

symon2014, на каком основании вы удалили часть моего сообщения? Будьте добры, объяснитесь и покажите мне, пожалуйста, пункт правил, где явно определено, что сказанное мной - плохо, и вообще "ай-я-яй, как нехорошо" такое писать, чтоб я хотя бы знал, в чем я, возможно не прав.
И что это за:"случаем не перегрелся", что за хамство??? Я вам что друг, знакомый, жена, может быть, сын, к которому вам дозволено так обращаться? Что это за поведение?
Вы не готовы! :pc2:
Изображение

no avatar

symon2014

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#13

16 июн 2017, 08:35

 ! Сообщение из: symon2014
adminka, Если горите желанием, я за вас поищу статью в кодексах о "пиратском контенте", или для вас нужно обязательно указать это в правилах форума?

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#14

16 июн 2017, 10:25

adminka, tails - бесспорно хороший набор инструемнтария для обеспечения некоторого уровня анонимности в сети, но вот основной критике они (вместе с тором и прочими анонимайзерами) и подвергаются за то, что разного рода маргинальные элементы могут использовать его в своих мелкогаденьких или откровенно ужасающих интересах. И объясленный тобой юзкейс частично подтверждает опасения, что вместо светлого соблюдения свобод пользователей дистрибутива - получаем дополнительный поток действий проивоправных.

Что же касаемо именно вариантов с нелицензиатом - скачать возможно его получится и без лишних следов, но его же потом придется юзать, и на "менее заморачивающихся" о секюрности пользователя осях, мягко говоря. Да и уровень ОС может отходить на второй план.
Т.е. при желании контроля за распространением ПО может заниматься - сама софтинка, компонент ОС, или даже фирмварь железяки (молча, в обход сетевого стека ОС, как недавно проскакивало в новостяхпро AMT), сможет насобирать нужной информации и заслать её вендору, или напрямую товарищу майору :order: А возможность автоматизации всего и вся на уровне дистрибьюторов ПО, Федеральных операторов связи - может сделать эту гипотезу реальностью в ближайшие несколько лет, если кто-либо подойдет к вопросу основательно. Уже не за горами такой вот сценарий, и это все только первые шаги на пути к контролю за информацией, и освоение интернета сейчас у многих стран явно приоритетней освоения космических далей.
Изображение
   
Изображение

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#15

16 июн 2017, 11:21

Не по теме
Chocobo, очень хорошее замечание.
По поводу 2-й части сообщения. Следует понимать, в чем главная цель. Главная цель не в том, чтобы ограничить доступ людей к нелицензионному ПО, а в том, чтобы иметь доступ к их личным данным (первое - это предлог, повод; второе - причина, цель). Если б не было желающих получить доступ к личным сведениям, то и средства анонимизации были не так сильно распространены среди обычного населения. Но, увы, людям не нравится, что кто-то будет за ними следить, а те, кто хочет следить, просто так от этой идеи не откажутся, потому что ее работающая реализация может принести огромные деньги. Есть 2-е стороны, неготовые в этом вопросе пойти на уступки. Поэтому будут развиваться как средства анонимизации, так и средства борьбы с ней. Поэтому, имхо, и юзать нелицензионное ПО получится, и использовать его совершенно анонимно, если знать, как... (Надеюсь, понятно изложил мысли, точнее не могу).
Есть ведь еще и другая проблема: подчинение сети политикой: ограничение доступа к альтернативным источникам информации. Здесь тоже есть 2 стороны: одна хочет ограничить, а другая не хочет быть ограниченной. Это начинает проявляться пока только в России, но это также будет популяризировать и двигать вперед ПО для анонимизации, когда одна из сторон "пойдет в активное наступление".
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#16

16 июн 2017, 11:46

Вопрос легальности ПО давай опустим, он не относится к теме, а административную статью для физлиц вроде еще не ввели (или просто не соблюдают).
adminka писал(а):одна хочет ограничить, а другая не хочет быть ограниченной. Это начинает проявляться пока только в России
Вот тут не могу согласиться. Возвращаясь хотя бы к теме желания мониторить https - cложно исключить вероятность, что действующие УЦ выдающие сертификаты - не находятся под контролем соответствующих служб, имеющих нужные данные для расшифровки трафика. И таким образом на мировой политической арене - пока в СНГ продумают открыто агрессивные методы, с другой стороны океана могут тыкать на это пальцем говоря о свободах, имея тот же функционал в рукаве.

Тема анонимности всегда будет тесно пересекаться с теориями заговора, и всякой другой параноей. Сейчас думаю никого не удивишь, что любой телефонный разговор могут прослушать на лету, для интернета такой контроль пока нонсенс.

Для себя, пока не начал вести теневые операции с финансами, какую-нибудь противоправную деятельность в сети - меня не особо волнует будут ли они глазеть в мой трафик или нет, да и неинтересен я им буду :smile:
Изображение
   
Изображение

no avatar

symon2014

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#17

16 июн 2017, 11:48

Не по теме
У меня друг давно занимается очисткой воды, недавно "ненавязчиво" предложили заменить водомер на нечто подобное. http://ttronics.ru/?menu=calculation
Анонимайзер не поможет, и демократия под присмотром. :smile:

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#18

16 июн 2017, 12:58

Не по теме
Chocobo, это была вторая логическая часть. Я не имел ввиду, что слушают трафик пользователей только в России. Я имел ввиду, что подчинение сети политикой (т.е. активная подготовка к тому, чтобы начать блокировать страницы с альтернативным взглядом на происходящее; например, новостные сайты) начинает проявляться пока только в России (хотя, возможно, в Китае уже такая система действует, но я не уверен в этом). И под словом "проявляться" я подразумеваю, что это заметно невооруженным глазом...)
Вы не готовы! :pc2:
Изображение

Аватара пользователя

Real
Сообщения: 316
Зарегистрирован: 08 сен 2016, 02:49
Решено: 1
Благодарил (а): 52 раза
Поблагодарили: 192 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#19

16 июн 2017, 16:41

adminka, перевод информации о некоей технологии - дело нужное и полезное.
Ждать невероятный хайп по этому поводу тут - наивно, т.к. тема деликатная.
А вот примеры использования надо-бы подбирать тщательнее, равно как и аргументацию в неизбежной, в такой теме, дискуссии. Ну не нужно в статье про топоры ставить в пример Родиона Раскольникова.
Chocobo писал(а): Уже не за горами такой вот сценарий, и это все только первые шаги на пути к контролю за информацией, и освоение интернета сейчас у многих стран явно приоритетней освоения космических далей.
каждый день новые сводки с фронтов: https://geektimes.ru/post/290099/
Очень интересный абзац:
Законопроект вводит новое понятие «идентификационный модуль». Это электронный носитель информации, который устанавливается в пользовательское оборудование. С его помощью и планируется идентифицировать абонентов.
будущее уже здесь - «идентификационный модуль»! Ура, товарищи!

Аватара пользователя

Автор темы
root
Сообщения: 938
Зарегистрирован: 16 фев 2017, 20:03
Решено: 5
Откуда: г. Хабаровск
Благодарил (а): 268 раз
Поблагодарили: 262 раза
Контактная информация:

Установка Tails из Debian, Ubuntu, или Mint с помощью командной строки и GnuPG

#20

16 июн 2017, 17:18

Real, ни вопрос, приведу. Да вознесется же на пьедестал человек, разоблачивший PRISM с помощью данной ОС, да светится имя его, великого, могущего и бесстрашного Эдварда Сноудена! А, если серьезно, я не ставил своей целью хайп, тут как уж получилось.
Вы не готовы! :pc2:
Изображение

Закрыто

Вернуться в «Руководства»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей