Å sette ‘Pretty Good’ i PGP

[ware_item id=33][/ware_item]

Pretty Good Privacy (PGP) er det pålitelige og testede krypteringsprogrammet. Den kan brukes til å kryptere tekst, filer, e-post eller hele disker.


Det ble opprettet i 1991 av Phil Zimmermann og ble utgitt som en åpen standard kalt OpenPGP i 1997. Det er også en implementering av PGP, gitt ut under en GPL-lisens kalt GNU Privacy Guard (GPG) siden 1999.

Zimmermann var en kjent anti-atomaktivist på 80- og 90-tallet som ønsket en måte å lagre filer og informasjon utenfor regjeringens rekkevidde. Zimmerman opprettet PGP og ga ut programvaren gratis for alle, og inkluderte kildekoden i hver utgivelse.

På begynnelsen av 90-tallet ble krypteringsprogramvare fremdeles klassifisert som militær ammunisjon, og eksporten av den var strengt forbudt. For å bestride dette regelverket trykket Zimmermann kildekoden i bøker, og distribuerte dem over hele verden. Begrunnelsen var at mens ammunisjon ble strengt kontrollert, var teksten beskyttet av den første endringen. USA undersøkte Zimmermann i tre år, men henla alle anklager i 1996.

PGP er et pseudonymøst system. De viktigste bruksområdene er å holde innholdet i dataene dine private og sikre ektheten av all kommunikasjon og filer. Når det brukes sammen med programvare som Tor, kan det øke anonymiteten. Imidlertid gjør PGP-signeringsfunksjonen det motsatte av å holde deg anonym, den brukes til å bevise at du har skrevet en uttalelse eller vurdert en fil.

På grunn av disse åpne standardene har det blitt mulig å lage en rekke programvare for alle enheter som kan samhandle med en annen.

I PGP må hver bruker lage en offentlig nøkkel og en privat nøkkel. Den private nøkkelen blir liggende på brukerens datamaskin, og den offentlige nøkkelen kan trygt lastes opp til nettet eller gis til andre brukere. Det trenger ikke være koblet til din virkelige identitet eller e-postadresse, men forsiktighet er nødvendig for ikke å blande tastene!

La oss si at du mottar Alice sin offentlige nøkkel, kan du bruke den til å lage filer eller tekst som bare er lesbar av Alice. Du kan også bekrefte Alice ’signaturer, for å bekrefte at en fil virkelig kom fra henne, eller at hun virkelig gjorde en offentlig uttalelse tilskrevet henne.

På den annen side, hvis du har Alice's private nøkkel, kan du bruke den til å få tilgang til filer som bare var ment for henne. Du kan også bruke den til å signere filer og utsagn som Alice. Dette er grunnen til at du trenger å holde din private nøkkel privat, og hvorfor det kan være farlig hvis datamaskinen din er kompromittert. Hvis noen får tilgang til datamaskinen din, kan de også få tilgang til din private nøkkel.

Mens matematikken bak PGP regnes som skuddsikker, er det mange mulige utnyttelser. Det største problemet er hvordan du best autentiserer de offentlige nøklene. Siden hvem som helst kan laste opp og distribuere en nøkkel under hvilket som helst navn, er en viss bekreftelse nødvendig for å sikre at nøkkelen du bruker virkelig tilhører personen du tror den tilhører.

PGP prøver å løse dette med det de kaller ‘Web of Trust’. Tanken er at selv om du kanskje ikke har møtt personen du er i samspill med, har kanskje en pålitelig venn av deg det. Eller en pålitelig venn av din pålitelige venn, og så videre. For å gjenskape denne tilliten, vil hver bruker signere vennens nøkkel. Imidlertid kan denne prosessen avsløre privat og kompromitterende informasjon, og er en ganske slitsom prosess. Som et resultat, tillitsnettet brukes ikke nok til å gjøre det nyttig.

Setup

For å sette opp PGP på enheten din må du installere et program og opprette PGP-nøkkelen. Det er mange programmer for forskjellige behov, men vi vil kun fokusere på de mest anvendelige.

Mac

Mac OS X: GPGTools https://gpgtools.org/

iOS

iOS: iPGMail https://ipgmail.com/

Windows

Windows: GPG4Win https://gpg4win.org/

Android

Android: Guardian Project https://guardianproject.info/code/gnupg/

Linux

Ubuntu: Seahorse https://wiki.gnome.org/Apps/Seahorse/
Ubuntu: Enigmail https://www.enigmail.net/home/index.php

Lag nøkkelen og sikkerhetskopier den

For å bruke PGP må du opprette en PGP-nøkkel. Ditt valgte PGP-program ber om navn og e-postadresse. Selv om det ikke spiller noen rolle hvilken identitet du velger den, vil det være langt lettere å integrere PGP i e-postprogrammet ditt hvis du bruker en e-postadresse du eier.

ExpressVPN anbefaler å sette en utløpsdato på nøkkelen din, i rundt 2-3 år i fremtiden. Du kan alltid endre denne datoen, så lenge du ikke har mistet tilgangen til PGP-nøkkelen.

ExpressVPN anbefaler også å opprette en nøkkel med maksimal størrelse (minst 2048 biter) og angi et langt og komplisert passord (som du kan generere med vår tilfeldige passordgenerator).

Hvis du mister passordet, mister du også tilgang til PGP-nøkkelen din og vil ikke kunne dekryptere filer som er tilknyttet den. Sørg for å sikkerhetskopiere det godt, og hvis du ikke stoler på deg selv å huske passordet, kan du sikkerhetskopiere det separat. Du kan lagre den i passordbehandleren din, eller ganske enkelt skrive den ned og holde den et sted trygt.

Du har nå din PGP-nøkkel! Gratulerer! Du kan nå laste den opp til en offentlig server slik at folk kan se deg bruke PGP og de kan finne nøkkelen din.

Tilbakekallingsattest

Neste trinn er å opprette et tilbakekallingsbevis. Ikke bekymre deg for å holde tilbakekallingssertifikatet ditt sikkert. Du vil faktisk holde den så tilgjengelig som mulig! Send det til deg selv som et e-postvedlegg, legg det i Dropbox-katalogen, og oppbevar det på din standard stasjon. Hvis du noen gang mister din private nøkkel, glemmer passordet ditt, eller enda verre, hvis noen andre får tilgang til den, kan du tilbakekalle nøkkelen med tilbakekallingssertifikatet. Tilbakekall av den private nøkkelen vil sikre at andre ikke sender flere filer til deg med den nøkkelen. Dette forhindrer også at to gyldige nøkler fra deg flyter rundt, en annen kilde til forvirring.

backup

Det er vanskeligere å sikkerhetskopiere nøkkelen. Du vil at sikkerhetskopien din skal være så sikker som mulig. Forhåpentligvis trenger ikke å bekymre deg for mye om at det er tilgjengelig.

Sørg alltid for å sikkerhetskopiere PGP-nøkkelen og passordet hver for seg. For eksempel kan du velge å oppbevare passordet ditt i passordbehandleren og lagre nøkkelen på en USB-pinne i safe eller bankinnskudd.

Hvis du har konfigurert automatiske sikkerhetskopier for vanlige data, kan du holde dem sammen, men sørge for at de er riktig kryptert!

Sikkerhet og tilgjengelighet er ofte i konflikt. Jo mer nøkkelen din er tilgjengelig for deg, jo mer vil den også være tilgjengelig for andre. Tenk på risikopreferansene dine når du tar beslutninger om passordkompleksitet og plasseringen av sikkerhetskopiene. Noen på flukt fra en autoritær regjering bør legge mer krefter på sikkerheten sin enn en vanlig innbygger som bare vil opprettholde retten til privatliv på nettet.

Få nøkler

Du må motta de offentlige PGP-nøklene til kontaktene dine før du kan sende dem krypterte meldinger eller bekrefte filene dine, og du må også publisere dine.

Du kan laste opp PGP-nøkkelen til en nøkkelserver, som sannsynligvis er det mest praktiske stedet for kontaktene dine å motta den. Du kan også være vert for den på nettstedet ditt, lenke til det i din Twitter-biograf, eller bruke en dedikert tjeneste som keybase.io. Du kan til og med laste opp PGP-nøkkelen til Facebook-siden din.

En PGP-nøkkel kan identifiseres med en bruker-ID (navn eller e-postadresse), en nøkkel-ID (som 0x0BACE776) og et fingeravtrykk (som 509E 7B97 D266 A283 DC10 5E6F 57ED 72A2 0BAC E776). Mens nøkkel-ID og fingeravtrykk begge beregnes ut fra selve PGP-nøkkelen, er nøkkel-ID-en litt for kort til å identifisere nøkkelen på en unik måte, så fingeravtrykket foretrekkes i stedet. Hvorfor ikke skrive det ut på visittkortet ditt for å styrke din online identitet og status som personvernbevisst, kunnskapsrik person?

Krypter filer

For å kryptere filer, trenger du den offentlige nøkkelen til personen du vil sende de krypterte filene til. Du kan også velge din egen offentlige nøkkel, eller bruke flere forskjellige PGP-nøkler.

Du kan bruke PGP til å lagre Bitcoin-lommeboken på en USB-pinne. Fordelene er mange, og du trenger ikke å bekymre deg for hvem som har tilgang til USB-pinnen, eller om den kan ha blitt kopiert uten din viten. Du trenger heller ikke å huske et passord eller kommunisere passordet til den tiltenkte mottakeren av filen, noe som ofte er umulig uten krypterte kanaler.

Moderne programvare gjør det enkelt for deg å kryptere og dekryptere filer. Ofte er det så enkelt som å høyreklikke på den aktuelle filen. Velg en nøkkel, og prosessen vil opprette en .gpg- eller .pgp-fil som trygt kan sendes over internett, lagres på en ekstern lagringsenhet, eller oppbevares i skyen.

Signer filer

Alle kan kryptere en fil og sende den til deg, og selv om filen kommer fra kontaktens e-postadresse, er det ingen garanti for at filen virkelig ble sendt av dem. PGP tilbyr muligheten til å signere filer, noe som uten tvil viser at filen kom fra kontakten din.

Du kan velge å kryptere og signere en fil, bare for å kryptere den, eller bare signere den. Du kan bruke denne funksjonen til å signere offentlige uttalelser eller til å signere programvareutgivelser. Det er veldig vanlig blant open source-programvareprosjekter å signere kode og programmer.

Hvis programvaren ikke ble signert, ville det være veldig vanskelig å bekrefte dens autentisitet, ettersom en angriper kunne ha introdusert bakdører til programvaren uten kunnskap fra utviklerne..

Disse signaturfilene har vanligvis samme navn som filene de representerer, pluss avslutningene .asc eller .sig.

I noen programvare kan du bekrefte en signatur ved å dobbeltklikke på signaturfilen, eller kjøre kommandoen gpg – verify file.sig

Du må ha PGP-tasten til signatøren for å bekrefte signaturen.

Selv om det er umulig for en angriper å endre en kryptert fil uten at eieren finner ut av det, kan det likevel være veldig verdifullt for angriperen å vite hvem som krypterte filen i utgangspunktet. Personer som søker anonymitet, må nøye opprette nye PGP-nøkler for hver av kontaktene sine, noe som kan være komplisert og feilutsatt. I slike tilfeller kan det være mer hensiktsmessig å bruke kryptert meldingsteknologi som OTR, som tilbyr pålitelig kryptering og autentisering.

Signer og krypter tekst

—–BEGIN PGP-signert melding -

Hash: SHA1

Med PGP kan du signere og kryptere stort sett hva som helst. I noen programvare er det nok å bare skrive teksten din i en tekstredigerer, og deretter signere eller kryptere den med høyreklikk.

Slik vil PGP-signaturen din se ut. Det kan legges ut i en Reddit-kommentar, blogginnlegg eller e-post for å bevise at det virkelig er du som kommenterer:

—– BEGIN PGP-signatur—–

Versjon: GnuPG v1

iQIcBAEBAgAGBQJWVXw0AAoJEIMuYyhAgNc6wKoP / AwSaInjpoSQKUBPukE + TY4vXWnoh1dCiOcLzCsbAz7IvLmtoILlGxfLwi0XUhAUQTKEAHxpWKbUTY / 5MNFA1UUscHSH4t + aCtlFxNk4mMCtZO7c3JPh91U1rgN1K9J5YE9flpk + P5F5fdEhF4iD05P67uf4 + t / k5cupD + pZv8pGnB + 5rpPPe7ODE5ptA3DyI3i8srrvKVkictxYub9RDknqYJAaE / xxFZ7 + mAZxM64gnN8Rwf + euDqdrf3PqiIUW6kcdvqJOyx7WZt + ows84kEze8AR3QhS1FBJfP3xAhsibBfy0sUSJopyl9kKIEDCcfGDf9Mthe3kzVUUayxz8AOrGC5ce6isg3YN4Nsi8K7idhPQyPgjBWtKWfuuYSUG + dPObVD + pFUkgOnrm07Qhp4ZVXKbuOnqf4swqc4vnW9C / 9ADwk2 / fat071fik8ohDzF9l4Cpm + iLj5w7Pv5iivvfe2oz0WCxnr6wj4XX5MsDTNOmMmObCWbnla + uYEJtDlbWse8XOq7q / DiMT9p + ZtHkSwrQ + 3TLNHxxJK7UJJFdlfZUZqC06LsSb2yEBh7rJytoN2PrpjB5H7Zx99DC5v + i1klr4hbrLeHtd + fVl1AGrMz + agcO6YQGpHJ0hhJXVrRruJjLJzOhJkzUU3o0rHeHRk69jKdAKpsOqABsunt5 = / QHs

—–END PGP-signatur—–

Krypter e-post

Når du skriver private e-postmeldinger er det ikke en god ide å skrive dem i kladdmappen til e-postleverandøren. Alt du gjør i den mappen blir lagret for alltid, og du vet ikke hvem som har tilgang til den. Et alternativ er å skrive e-postene dine i notisblokk, kryptere teksten og lime inn den krypterte teksten i e-posten. Å skrive e-post i notisblokk kan være slitsomt og kopiere og lime inn de krypterte versjonene enda mer. Heldigvis finnes det plugins for e-postprogramvare som Thunderbird (Enigmail) og Apple Mail (GPGTools) som gjør prosessen med å dekryptere og kryptere jevn. Det er en veldig sterk personvern mot selv de mest sofistikerte motstandere.

En flott ting du øyeblikkelig kan gjøre er å laste opp PGP-nøkkelen til Facebook og motta alle oppdateringer og varsler i kryptert form. Dette er spesielt nyttig for sikkerhetssensitiv informasjon som å tilbakestille et passord. Å bruke en PGP på Facebook ville forhindre at en hacker kaprer Facebook-kontoen din via e-postkontoen din.

Metadata og sikkerhet

PGP er designet for å skjule innholdet i filer og meldinger, men det beskytter ikke metadataene dine. Metadata kan inneholde filnavn, filstørrelse, overskrifter på e-post, opprettelsesdatoer og mottakere. En hacker kan lære mye av slik kunnskap, så det er viktig å være forsiktig med hva du deler - selv når du bruker PGP.

Det er også enkelt for alle som har en kryptert fil å se hvem den er kryptert for og hvem som har signert den. PGP tilbyr ikke fremtidig hemmelighold, så hvis nøkkelen blir kompromittert, kan en angriper få tilgang til all din krypterte kommunikasjon av filer. De kan dekryptere alt, potensielt kompromitterende år med e-post og filoverføring.

Dette er grunnen til at du bør kryptere nøklene med et godt passord, bruke flere nøkler i flere situasjoner og regelmessig bytte ut PGP-nøklene.

Det er også viktig å vite at PGP ikke krypterer navnene på filer eller overskriftene på e-post. Så vær forsiktig med hva du skriver i dem!

Å sette ‘Pretty Good’ i PGP
admin Author
Sorry! The Author has not filled his profile.