Текст книги "PGP: Кодирование и шифрование информации с открытым ключом"

Автор книги: Максим Левин

сообщить о нарушении

Текущая страница: 8 (всего у книги 10 страниц)

PGP диск.

PGP диск – это удобное приложение, которое позволяет вам отвести некоторую часть вашего жесткого диска для хранения конфиденциальной информации. Это зарезервированное место используется для создания файла под именем .

Хотя это всего лишь один файл, он действует подобно вашему жесткому диску в том отношении, что он выполняет функцию хранения ваших файлов и исполняемых программ. Вы можете его себе представить в виде флоппи дискеты или внешнего жесткого диска. Для того, чтобы использовать программы и файлы, находящиеся на нем, вы его устанавливаете , после чего его можно использовать также, как любой другой диск. Вы можете установить программы внутри этого диска либо копировать на него файлы. После того, как вы отключите   этот диск, он станет недоступным для третьих лиц и для того, чтобы открыть его, необходимо ввести парольную фразу, которая известна только вам. Но даже разблокированный диск защищен от несанкционированного доступа. Если ваш компьютер зависнет во время использования диска, то его содержание будет зашифровано.

Одним из наиболее важных преимуществ и удобств использования программы PGPdisk является тот факт, что теперь нет необходимости шифровать большое количество файлов, в которых находится конфиденциальная информация. Теперь можно переместить все конфиденциальные файлы и даже программы на такой диск и таким образом избежать необходимости каждый раз расшифровывать какой-либо файл при его открытии.

Для того, чтобы установить новый PGP диск, необходимо выполнить следующие команды:

Пуск – Программы – PGP – PGPdisk

после чего появится окно программы со следующими командами:

• new – создать новый PGP диск

• mount – установить созданный диск путем ввода парольной фразы

• unmount – закрыть диск (зашифровать), который был ранее установлен

• prefs – опции настройки

Как создать новый PGP диск.

1.  Запустите программу PGPdisk

2.  Исполните команду New, после чего на экране появится мастер создания PGP диска.

3.  Нажмите на next.

4.  Появится окошко создания PGP диска, в котором необходимо указать путь, где новый диск под названием   надо сохранить.

5.  Нажмите на кнопку Save и файл под этим названием сохранится на диске, выбранном вами (по умолчанию на диске С).

6.  Под надписью введите цифру, обозначающую размер PGP диска и не забудьте выбрать килобайты или мегабайты там же.

7.  Под надписью подтвердите букву, которую вы присвоите новому диску.

8.  Нажмите на next.

9.  Введите парольную фразу, которую в дальнейшем необходимо будет вводить для установки нового диска. Введите парольную фразу два раза.

10.  Нажмите на next.

11.  При необходимости подвигайте мышку или нажимайте на кнопки на клавиатуре для того, чтобы программа сгенерировала новый ключ

12.  Нажмите на next. Столбик покажет вам инициализацию создания нового диска.

13.  Еще раз нажмите на next, с тем, чтобы окончательно установить новый PGP диск.

14.  Нажмите на Finish.

15.  Введите название нового диска.

16.  Нажмите на Start.

17.  Нажмите на ОК (на диске еще нет данных). Компьютер скажет вам, когда закончится форматирование диска.

18.  Нажмите на кнопку Close на окне форматирования. Теперь ваш новый диск появится на том диске, который вы ранее указали (по умолчанию диск С). Для того, чтобы открыть диск, надо дважды нажать на него мышкой.

Как установить PGP диск.

Как только новый диск будет создан, программа PGP автоматически его установит с тем, чтобы вы могли начать его использовать. После того, как вы закончили работу с конфиденциальной информацией, необходимо отключить диск. После отключения диск его содержимое будет зашифровано в виде зашифрованного файла.

Для открытия PGP диска надо дважды щелкнуть по нему мышкой и дважды ввести парольную фразу в появившееся окно программы. Вы сможете убедиться в том, что PGP диск открылся, зайдя в мой компьютер и увидев, что рядом с диском С появился диск D. В том случае, если у вас уже есть диск D, то новый диск получит следующую букву Е и т.д. Зайти на новый диск можно через мой компьютер или другую оболочку просмотра файлов.

Использование установленного PGP диска.

На диске PGP можно создавать файлы, каталоги, перемещать файлы или каталоги, либо стирать, т.е. можно делать те же самые операции, что и на обычном диске.

Закрытие PGP диска.

Закройте все программы и файлы, имеющиеся на диске PGP, т.к. невозможно закрыть диск, если файлы на этом диске до сих пор еще открыты. Теперь зайдите в мой компьютер выделите мышкой диск PGP, нажмите на правую кнопку мышки и выберите команду в появившемся меню

Как только диск будет закрыт, то он исчезнет из моего компьютера и превратится в зашифрованный файл на диске С.

Еще один важный момент, на который необходимо обратить внимание, это настройки программы, которые позволяют автоматически закрыть диск в случае не обращения к диску в течение какого-либо периода времени. Для этого надо исполнить команду в программе PGPdisk и в появившемся меню под названием (автоматическое закрытие) выделить флажками все три команды:

• auto unmont after _ minutes of inactivity (автоматически закрыть после __ минут бездействия). Здесь также необходимо указать количество минут.

• auto unmont on computer sleep (автоматически закрыть при переходе компьютера в спящее состояние)

• prevent sleep if any PGPdisk could not be unmounted (не позволять компьютеру перейти в состояние спячки, если PGP диск не был закрыт).

Смена парольной фразы.

1.  Убедитесь в том, что PGP диск не установлен. Невозможно сменить парольную фразу в том случае, если диск установлен.

2.   Выберите команду из меню .

3.  Выберите тот диск, парольную фразу для которого вы хотите изменить.

4.  Введите старую парольную фразу. Нажмите на ОК. Появится окошко для ввода новой парольной фразы.

5.  Введите новую парольную фразу. Минимальная длина парольной фразы: 8 знаков.

6.  Нажмите на ОК. Окошко новой парольной фразы закроется.

Удаление парольной фразы.

1.  Убедитесь в том, что PGP диск не установлен.

2.  Выберите команду из меню . Появится окошко, которое попросит вас ввести парольную фразу, которую необходимо отменить.

3.  Введите пароль и нажмите на ОК.

Система для шифрования с двумя ключами.

Все желающие (PGP распространяется свободно) переписывают из любых источников саму систему (PGP) и ее исходные тексты (если есть необходимость, исходные тексты также распространяются свободно). Все функции системы выполняются с помощью одной единственной программки – она делает все. Дальнейшие действия проследим на примере двух корреспондентов: меня (Пети) и Васи. Итак, Петя и Вася захотели использовать PGP и раздобыли его (хотя бы на нашем PGP support site – DIOGEN).

Первое действие – генерация секретного ключа пользователя (RSA-key). Для этого система запрашивает фразу пароля, которая потом будет неоднократно использоваться при каждом использовании секретного ключа. Кроме того, запрашивается собственно имя (идентификатор) пользователя, куда входит и его адрес (E-mail, FIDO), на основании этих данных и с использованием ряда случайных чисел (которые получаются путем измерения интервалов времени между нажатиями клавиш человеком) генерируется СЕКРЕТНЫЙ ключ пользователя. Это просто бинарная последовательность. Этот ключ рекомендуется хранить достаточно тщательно, несмотря на то, что воспользоваться им сможет только тот, кто знает фразу пароля. Затем, на основании этого СЕКРЕТНОГО ключа PGP генерирует ОБЩИЙ (публичный) ключ (тоже RSA). На этом предварительные действия закончены.

Следующий этап. Конечно, наши герои, Петя и Вася могли бы встретиться однажды, договориться о совсем секретном пароле и потом шифровать свои послания этим паролем. Но порой это не совсем удобно, не всегда получится и не всегда секретно, и потом, если у Вас ТЫСЯЧИ адресатов:(... Так эта система делает все простым и гениальным. Петя, создав оба ключа, посылает общий ключ Васе (ну, и всем остальным, кому надо). То же самое делает и Вася. Итак, у Пети есть свой собственный секретный ключ, общий ключ Васи (и другие общие ключи, в принципе, сколько угодно). И все. PGP:).

Теперь Петя хочет написать Васе СОВСЕМ СЕКРЕТНОЕ письмо. То есть, чтобы его смог прочитать ТОЛЬКО Вася. Петя берет общий ключ Васи и с помощью все той же PGP шифрует письмо (этим ключом). (На самом деле, шифруется не само письмо, а временный пароль, которым уже шифруется письмо, но это не принципиально). И посылает то, что получилось адресату (Васе). Петя может быть спокоен – теперь зашифрованное общим ключом Васи письмо может прочитать ТОЛЬКО Вася, так как только у него есть секретный ключ, которому однозначно соответствует общий. Даже написавший письмо Петя не прочтет его.

Общий ключ генерируется на основе секретного, но обратный процесс невозможен в реальное время на реальной технике для ключей длиной >256 байт. Так же действует и Вася. Таким образом, первое, что позволяет делать эта система – это писать шифрованные письма адресатам, с которыми вы никогда не встречались или не имеете канала секретной связи.

Второе. Петя хочет "подписать" какой-то текст (программу, файл...), то есть поставить на него какую-то цепочку байт, по которой получивший сможет определить: ага, этот файл был однозначно завизирован Петей, и никто эту подпись не подделывал (что-то отдаленно напоминает ARJ security envelope). Петя берет свой файл, свой секретный ключ и с помощью PGP генерирует ЭЛЕКТРОННУЮ ПОДПИСЬ. Тоже просто последовательность байт, но последовательность абсолютно уникальная, так как для ее построения используется алгоритм "message digest", это отдаленный аналог CRC того файла, который подписывается, но у двух файлов может быть одинаковый CRC, а вот MD – не может. Теперь Петя может послать эту подпись вместе с файлом Васе (или отдельно). Вася (человек недоверчивый), берет файл, берет подпись (если она отдельно от файла), берет общий ключ Пети, запускает PGP, а она ему: "да, данный файл действительно был подписан таким-сяким тогда-то". Чему можно доверять почти на 100%.

Это два основных принципа использования шифрования с общим ключом. Естественно, оба они могут быть использованы вместе: то есть, вы шифруете свое письмо адресату с помощью ЕГО общего ключа, а затем подписываете его своей электронной подписью с помощью СВОЕГО секретного ключа.

Теперь я расскажу, как это дело организуется на практике. Для более подробного описания ваших действий по предохранению информации, ключей, о предотвращении возможности их подделки – читайте первую часть документации по PGP (зря я ее переводил?).

Key-server. Это станция из числа многих, раскиданных по всему свету. Для того, чтобы Вам самому не рассылать свой общий ключ "всем-всем-всем" (что, как Вы понимаете, довольно трудоемко), эту часть работы они берут на себя. На сервере Вы может зарегистрировать свой общий ключ – он будет рассылаться всем, кто этого пожелает, а также получить все необходимые общие ключи, чтобы писать письма. В PGP введен институт "удостоверения" общих ключей, это составная часть мероприятий по защите ключей from tampering. То есть, если я уверен, что вот этот ключ мне передал (однажды) Миша Браво (переслал по почте – именно он, либо привез лично), то я могу удостоверить его своей как бы "электронной подписью" (удостоверением), и при проверке сообщений, подписанных Мишей Браво будут упоминаться все удостоверившие (таким образом, при удостоверении ключа я (ты, он...) беру на себя ответственность за его достоверность). Степень достоверности общего ключа определяется PGP по количеству и степени достоверности "удостоверяющих подписей" (причем все делается автоматически).

Для удобства работы PGP группирует ключи в keyring (каталоги), таким образом, Вы можете иметь у себя на машине только два файла (кроме системных PGP): каталог секретных ключей и каталог общих ключей. Причем последний можно получить на нашем сервере. И вообще, программа очень неплохо эргономически построена, несмотря на интерфейс командной строки. Все вещи делаются за один присест. А для обработки пришедшего файла (что бы там ни было: подпись, ключ, письмо зашифрованное) достаточно просто дать команду "pgp file_name" – и она сама в нем разберется и разложит все новые ключи и подписи по местам.

Еще одно – весьма важное – свойство PGP: она очень неплохо делает ASCII armour. Вам сие действие должно быть знакомо: UUкодирование файлов в эху, да-да. Вкратце: Вы берете любой файл (текстовый, двоичный) и кодируете его так, чтобы в результате получились только символы первой половины таблички ASCII. Это необходимо при пересылке файлов в эхах и нетмэйлом (ну, и Е-mail`ом). Так вот, PGP это делает с одновременной упаковкой (по алгоритму ZIP, лицензия была предоставлена разработчикам), так что файлы получаются меньше, чем у UUENCODE/UUDECODE, к тому же их не надо предварительно архивировать. Таким образом можно пересылать и тексты и программы, естественно. PGP может файл зашифровать, а может и не зашифровывать, подпись может быть добавлена в сообщение, а может быть послана отдельно. Ну, и, разумеется, зашифрованные файлы и подпись могут быть созданы в виде двоичных файлов.

Приложения.

Краткий путеводитель по миру PGP.

Начиная с 1991 года аббревиатура PGP стала своеобразным символом. Во-первых, она обозначает определенное семейство продуктов (в основном, разработанных Филипом Зиммерманном, или под его руководством). Во-вторых, она ассоциируется с бескомпромиссным подходом к стойкости криптографии для массового использования, применением определенных алгоритмов, протоколов и форматов, прошедших долгую практическую проверку в сетях публичного пользования. В-третьих, она указывает на де-факто стандарт шифрования и цифровой подписи для электронной почты, который, вероятно, вскоре станет официальным стандартом Интернета.

Продукты.

За семь лет триумфального шествия PGP были созданы десятки программ, в той или иной степени использующие компоненты технологии PGP, или согласованных с ней. Описать или даже перечислить их в одной статье не представляется возможным, поэтому здесь представлены лишь важнейшие продукты.

PGP 2.х.х и ее расширения.

PGP 2 – это «классическая» PGP. С помощью команд строчного интерфейса ее пользователь может выполнять все базовые криптографические функции, а именно:

• генерацию пары из закрытого/открытого ключа;

• шифрование файла с помощью открытого ключа любого пользователя PGP (в том числе своего);

• расшифровку файла с помощью своего закрытого ключа;

• наложение цифровой подписи с помощью своего закрытого ключа на файл (аутентификация файла) или на открытый ключ другого пользователя (сертификация ключа);

• проверку (верификацию) своей подписи или подписи другого пользователя с помощью его открытого ключа.

Награды PGP.

1997 «Crossroads 98 A-List Award» (единственный промышленный приз, вручаемый компанией Open System Advisor Inc. на основании опроса пользователей, использующих продукт в критическом контексте).

1996 "Приз за качество в информационных технологиях" от PS Week.

1996 "Лучший продукт для защиты" от Network Computing.

1996 Вторая премия за "Лучший Интернет-продукт" от Network Computing.

1995 "Один из 10 самых важных продуктов 1994 г." от Information Week.

1995  Крайслеровская премия "За инновацию в разработках".

Справка: Начиная с 1994 г., только с сервера MIT подгружается по 500—1000 копий PGP в день. Общее количество установленных копий всех версий оценивается в 2—5 млн.

Награды Фила Зиммермана.

1996  Премия Норберта Винера от CPSR («Компьютерные профессионалы за социальную ответственность»).

1995 Приз "За личные достижения" от Internet World.

1995 Приз "Pioneer Award" от Фонда электронных рубежей (EFF).

Простейшие функции управления «связками ключей».

Кроме того, PGP 2 реализует простейшие функции управления «связками ключей», включая добавление и удаление ключа со связки, возможность гибкой настройки параметров, а также встроенные функции сжатия исходного открытого текста по алгоритму ZIP и кодирования шифровки в формате RADIX-64, позволяющем пересылать сообщения по 7-битным каналам, не прибегая к дополнительному армированию (uuencode и пр.)

В качестве криптоалгоритма с открытым ключом (как для шифрования, так и для наложения подписи) в этой версии был использован RSA, в качестве алгоритма хеширования файла для наложения – MD5, а в качестве симметричного криптоалгоритма – IDEA. Популярность PGP имела своей обратной стороной то, что фирмы, претендующие на обладание патентами на эти алгоритмы (RSA Data Security Inc., США, – на первые два, и Ascom-Systec, Швейцария, – на третий) засыпали Зиммерманна судебными исками. История многочисленных обращений в суд, соглашений, отзывов и повторной подачи исков могла бы составить тему отдельного исследования.

Конечно, на популярность PGP очень сильно повлияли косвенные обстоятельства, такие, как попытки преследования Зиммерманна властями (косвенная аттестация качества программы спецслужбами), тяжбы с RSA и Ascom-Systec (привлекшие внимание всех тех, кто обеспокоен распространением "прав интеллектуальной собственности" на алгоритмы) и, наконец, бесплатное ее распространение.

Однако этих обстоятельств было бы недостаточно, чтобы сделать PGP 2 де-факто криптографическим стандартом для электронной почты, удерживать внимание пользователей в течение почти семи лет (своеобразный рекорд для всей компьютерной отрасли) и оставить позади всех конкурентов.

Суть заключается не в этом, а, как ни странно, в том, что Зиммерманн написал хорошую программу. С самого начала PGP соответствовала всем требованиям, предъявляемым гражданскими криптологами к криптографическому программному обеспечению, а именно:

• использование проверенных алгоритмов, выдержавших попытки взлома в течение достаточного времени;

• длина ключей, достаточная, чтобы исключить снижение безопасности в результате увеличения вычислительных ресурсов потенциальных оппонентов (удваивающихся каждый год, согласно закону Мура) в течение длительного периода времени (512-битные и длиннее ключи PGP 2.6 считаются относительно безопасными и сегодня);

• локальная генерация и локальный менеджмент ключей, исключающие их попадание в чужие руки;

• гибкая схема удостоверения действительности ключей, допускающая как распределенное управление доверием ("сеть доверия"), так и централизованную архитектуру сертификации;

• и, наконец, открытость и доступность для проверки и критики не только алгоритмических решений и форматов файлов, но и исходного текста самой программы.

PGP очень хорошо документирована. В отличие от большинства программных продуктов, документированы не только достоинства и сильные стороны программы, но также и уязвимые места; соответствующая глава сохранилась и в документации на коммерческие версии.

Все это очень высоко подняло планку качества для криптографических продуктов, и хотя за последние годы были предложены десятки альтернативных программ, ни одной из них не удалось приблизиться по количеству используемых копий к PGP 2. И сегодня эта версия конкурирует лишь с другими версиями PGP и ее клонами.

Позднее была построена версия PGP 2.6.31 ("международный релиз"), не использующая библиотеку RSAREF (это бесплатно распространяемая RSA Inc., то есть, американского производства, библиотека криптографических функций, примененная в версиях PGP начиная с 2.5).

Ресурсы и документация PGP 2.6 переведены на два десятка языков. Русскую локализацию PGP выполнил Андрей Чернов, а первый том "Руководства пользователя" переведен на русский Петром Сучковым.

Изначально ориентированная на массовых пользователей MS-DOS и Unix, PGP 2.6 была затем перенесена и на другие платформы, включая OS/2, MacOS, BeOS и даже Amiga и Atari. Доступ ко всем этим вариантам программы, к исходным текстам, а также к русским ресурсам можно получить со страниц "Русского Альбома PGP".

Недостатками этой версии принято считать неразвитость механизма управления связками ключей (они хранятся в виде простых последовательностей в файлах, и работа со связками, состоящими из сотен и тысяч ключей становится невыносимо медленной), ограниченный набор использованных в ней криптографических алгоритмов и ограничение на длину ключа. С распространением графических пользовательских интерфейсов (ГПИ) ОС и оболочек, а также почтовых программ, использующих ГПИ, консольный интерфейс PGP 2 стал преградой на пути приобщения к криптографии массового пользователя – тех, на кого, собственно, и была рассчитана программа.

Последний недостаток отчасти компенсировался появлением независимо разработанных программ – графических оболочек для PGP 2.6 и модулей сопряжения этой программы с популярными почтовыми пакетами.