وضع “جيد جدا” في PGP

[ware_item id=33][/ware_item]

Pretty Good Privacy (PGP) هو برنامج تشفير موثوق ومختبر رقم واحد. يمكن استخدامه لتشفير النصوص والملفات ورسائل البريد الإلكتروني أو الأقراص بالكامل.


تم إنشاؤه في عام 1991 بواسطة Phil Zimmermann وتم إصداره كمعيار مفتوح يسمى OpenPGP في عام 1997. يوجد أيضًا تطبيق PGP ، تم إصداره بموجب ترخيص GPL يسمى GNU Privacy Guard (GPG) منذ عام 1999.

كان زيمرمان ناشطًا معروفًا مناهضًا للأسلحة النووية في الثمانينيات والتسعينيات ، وكان يريد طريقة لتخزين الملفات والمعلومات خارج نطاق سيطرة الحكومة. أنشأ Zimmerman PGP وأصدر البرنامج مجانًا للجميع ، وأدرج الكود المصدري في كل إصدار.

في أوائل التسعينيات ، كان برنامج التشفير لا يزال يصنف على أنه ذخيرة عسكرية وكان تصديره محظورًا تمامًا. للطعن في هذه اللوائح ، طبع زيمرمان شفرة المصدر في الكتب ، ثم قام بتوزيعها في جميع أنحاء العالم. كان الأساس المنطقي هو أنه بينما كانت الذخيرة تخضع لرقابة صارمة ، كان النص محميًا بموجب التعديل الأول. حققت الولايات المتحدة مع زيمرمان لمدة ثلاث سنوات لكنها أسقطت جميع الاتهامات في عام 1996.

PGP هو نظام مستعار. الاستخدامات الرئيسية هي الحفاظ على خصوصية بياناتك وضمان صحة جميع الاتصالات والملفات. عند استخدامه مع برامج مثل Tor ، يمكن أن يعزز عدم الكشف عن هويته. ومع ذلك ، فإن ميزة توقيع PGP تفعل العكس تمامًا لإبقائك مجهولًا ، حيث يتم استخدامها لإثبات رقمك بيانًا أو مراجعة ملف.

بسبب هذه المعايير المفتوحة ، أصبح من الممكن إنشاء مجموعة متنوعة من البرامج لجميع الأجهزة التي يمكن أن تتفاعل مع آخر.

في PGP ، يحتاج كل مستخدم إلى إنشاء مفتاح عام ومفتاح خاص. يبقى المفتاح الخاص على جهاز الكمبيوتر الخاص بالمستخدم ، ويمكن تحميل المفتاح العمومي بأمان على الويب أو تقديمه للمستخدمين الآخرين. لا يلزم أن تكون متصلاً بهويتك الحقيقية أو عنوان بريدك الإلكتروني ، ولكن يجب توخي الحذر حتى لا يتم خلط المفاتيح!

دعنا نقول أنك تتلقى مفتاح Alice العام ، يمكنك استخدامه لإنشاء ملفات أو نصوص يمكن لـ Alice قراءتها فقط. يمكنك أيضًا التحقق من توقيعات Alice ، لتأكيد أن الملف قد جاء منها بالفعل ، أو أنها حقًا أصدرت بيانًا عامًا منسوبًا إليها.

من ناحية أخرى ، إذا كان لديك مفتاح Alice الخاص ، فيمكنك استخدامه للوصول إلى الملفات المخصصة لها فقط. يمكنك أيضًا استخدامه لتوقيع الملفات والبيانات باسم Alice. هذا هو السبب في أنك تحتاج إلى الحفاظ على خصوصية المفتاح الخاص ، ولماذا يمكن أن يكون خطيرًا إذا تم اختراق جهاز الكمبيوتر الخاص بك. إذا تمكن شخص ما من الوصول إلى جهاز الكمبيوتر الخاص بك ، فيمكنه أيضًا الوصول إلى مفتاحك الخاص.

في حين أن الرياضيات وراء PGP تعتبر مقاومة للرصاص ، فهناك العديد من عمليات الاستغلال المحتملة. المشكلة الأكبر هي الطريقة المثلى لمصادقة المفاتيح العامة. نظرًا لأن أي شخص يمكنه تحميل مفتاح وتوزيعه تحت أي اسم ، فمن الضروري إجراء بعض التحقق للتأكد من أن المفتاح الذي تستخدمه ينتمي فعليًا إلى الشخص الذي تعتقد أنه ينتمي إلى.

تحاول PGP حل هذا باستخدام ما يسمونه "شبكة الثقة". الفكرة هي أنه على الرغم من أنك ربما لم تقابل الشخص الذي تتفاعل معه ، فربما يكون صديقًا موثوقًا به. أو صديق موثوق به لصديقك الموثوق ، وهلم جرا. لإعادة إنشاء سلسلة الثقة هذه ، يقوم كل مستخدم بالتوقيع على مفتاح صديقه. ومع ذلك ، يمكن أن تكشف هذه العملية عن المعلومات الخاصة والمساومة ، وهي عملية متعبة للغاية. كنتيجة ل, لا يتم استخدام شبكة الثقة بما يكفي لجعلها مفيدة.

اقامة

لإعداد PGP على جهازك ، ستحتاج إلى تثبيت برنامج وإنشاء مفتاح PGP الخاص بك. هناك الكثير من البرامج لتلبية الاحتياجات المختلفة ، لكننا سنركز فقط على أكثرها قابلية للاستخدام.

ماك

نظام التشغيل Mac OS X: GPGTools https://gpgtools.org/

دائرة الرقابة الداخلية

iOS: iPGMail https://ipgmail.com/

شبابيك

Windows: GPG4Win https://gpg4win.org/

ذكري المظهر

Android: مشروع الجارديان https://guardianproject.info/code/gnupg/

لينكس

أوبونتو: فرس البحر https://wiki.gnome.org/Apps/Seahorse/
أوبونتو: Enigmail https://www.enigmail.net/home/index.php

قم بإنشاء المفتاح الخاص بك وعمل نسخة احتياطية منه

لاستخدام PGP ، تحتاج إلى إنشاء مفتاح PGP. سيطلب برنامج PGP الذي اخترته الحصول على اسم وعنوان بريد إلكتروني. بينما لا يهم الهوية التي تختارها ، إلا أنه سيكون من الأسهل بكثير دمج PGP في برنامج البريد الخاص بك إذا كنت تستخدم عنوان بريد إلكتروني تملكه.

توصي ExpressVPN بتعيين تاريخ انتهاء الصلاحية على مفتاحك ، لحوالي 2-3 سنوات في المستقبل. يمكنك دائمًا تغيير هذا التاريخ ، طالما أنك لم تفقد الوصول إلى مفتاح PGP.

توصي ExpressVPN أيضًا بإنشاء مفتاح بالحجم الأقصى (2048 بت على الأقل) وتعيين كلمة مرور طويلة ومعقدة (يمكنك إنشاءها باستخدام منشئ كلمات المرور العشوائية).

إذا فقدت كلمة المرور ، فستفقد الوصول إلى مفتاح PGP ولن تتمكن من فك تشفير أي ملفات مرتبطة به. تأكد من عمل نسخة احتياطية منه جيدًا ، وإذا كنت لا تثق في تذكر كلمة المرور ، فقم بنسخها احتياطيًا بشكل منفصل. يمكنك حفظه في مدير كلمة المرور الخاصة بك ، أو ببساطة اكتبه والاحتفاظ به في مكان آمن.

لديك الآن مفتاح PGP الخاص بك! مبروك! يمكنك الآن تحميله على خادم عام حتى يتمكن الأشخاص من رؤيتك وهم يستخدمون PGP ويمكنهم العثور على مفتاحك.

شهادة الإلغاء

الخطوة التالية هي إنشاء شهادة إبطال. لا تقلق بشأن الحفاظ على شهادة الإلغاء آمنة. في الواقع ، تريد الاحتفاظ بها في متناول اليد قدر الإمكان! أرسلها إلى نفسك كمرفق بريد إلكتروني ، وضعها في دليل Dropbox ، واحتفظ بها على محرك الأقراص القياسي. إذا فقدت مفتاحك الخاص من أي وقت مضى ، أو نسيت كلمة مرورك ، أو ما هو أسوأ ، إذا تمكن شخص آخر من الوصول إليه ، فيمكنك إبطال المفتاح بشهادة الإلغاء. سيؤدي إبطال المفتاح الخاص إلى ضمان عدم قيام الآخرين بإرسال المزيد من الملفات إليك باستخدام هذا المفتاح. هذا يمنع أيضًا مفتاحين صالحين يتنقلان حولك ، وهو مصدر آخر للارتباك.

دعم

النسخ الاحتياطي للمفتاح الخاص بك هو أكثر صعوبة. تريد أن تكون النسخة الاحتياطية آمنة قدر الإمكان. نأمل ألا يكون هناك داع للقلق بشأن إمكانية الوصول إليها.

تأكد دائمًا من عمل نسخة احتياطية من مفتاح PGP وكلمة المرور الخاصة به بشكل منفصل. على سبيل المثال ، يمكنك اختيار الاحتفاظ بكلمة المرور الخاصة بك في مدير كلمة المرور وتخزين المفتاح على عصا USB في صندوق الأمانات أو الخزينة.

إذا قمت بإعداد نسخ احتياطية تلقائية لبياناتك العادية ، يمكنك الاحتفاظ بها معًا ، ولكن تأكد من تشفيرها بشكل صحيح!

الأمن وسهولة الوصول غالبا ما تكون في صراع. كلما كان مفتاحك في متناولك ، كلما كان في متناول الآخرين. فكر في تفضيلاتك للمخاطرة عند اتخاذ القرارات المتعلقة بتعقيد كلمة المرور وموقع النسخ الاحتياطية. ينبغي على شخص هارب من حكومة استبدادية بذل المزيد من الجهد في أمنه أكثر من المواطن العادي الذي يريد فقط التمسك بحقهم في الخصوصية على الإنترنت.

الحصول على المفاتيح

ستحتاج إلى استلام مفاتيح PGP العامة لجهات الاتصال الخاصة بك قبل إرسال رسائل مشفرة أو التحقق من ملفاتك ، وستحتاج أيضًا إلى نشر ملفاتك.

يمكنك تحميل مفتاح PGP الخاص بك إلى خادم مفاتيح ، والذي ربما يكون المكان الأكثر ملاءمة لجهات الاتصال الخاصة بك لاستلامه. يمكنك أيضًا استضافته على موقع الويب الخاص بك ، أو الارتباط به في سيرتك الذاتية على twitter ، أو استخدام خدمة مخصصة مثل keybase.io. يمكنك حتى تحميل مفتاح PGP الخاص بك إلى صفحة الفيسبوك الخاصة بك.

يمكن تحديد مفتاح PGP بمعرف مستخدم (اسم أو عنوان بريد إلكتروني) ومعرف مفتاح (مثل 0x0BACE776) وبصمة إصبع (مثل 509E 7B97 D266 A283 DC10 5E6F 57ED 72A2 0BAC E776). بينما يتم حساب كل من معرف المفتاح وبصمة الإصبع من مفتاح PGP نفسه ، يكون معرف المفتاح قصيرًا جدًا بحيث يتعذر عليه تحديد المفتاح بشكل فريد ، لذا يفضل استخدام بصمة الإصبع بدلاً من ذلك. لماذا لا تطبعها على بطاقة عملك لتعزيز هويتك وحالتك عبر الإنترنت كفرد مدرك للخصوصية?

تشفير الملفات

لتشفير الملفات ، ستحتاج إلى المفتاح العمومي للشخص الذي تريد إرسال الملفات المشفرة إليه. يمكنك أيضًا اختيار المفتاح العمومي الخاص بك ، أو استخدام عدة مفاتيح PGP مختلفة.

يمكنك استخدام PGP لتخزين محفظة Bitcoin الخاصة بك على عصا USB. المزايا وفيرة ولا داعي للقلق بشأن من يمكنه الوصول إلى عصا USB ، أو ما إذا كان قد تم نسخها دون علمك. لن تحتاج أيضًا إلى تذكر كلمة مرور أو توصيل كلمة المرور إلى المستلم المقصود للملف ، وهو أمر مستحيل في كثير من الأحيان بدون قنوات مشفرة.

يسهل عليك البرنامج الحديث تشفير وفك تشفير الملفات. غالبًا ما يكون الأمر بسيطًا مثل النقر بزر الماوس الأيمن على الملف المعني. حدد مفتاحًا ، وستنشئ العملية ملفًا بتنسيق .gpg أو .pgp يمكن إرساله بأمان عبر الإنترنت أو تخزينه على وحدة تخزين خارجية أو الاحتفاظ به في السحابة.

توقيع الملفات

يمكن لأي شخص تشفير ملف وإرساله إليك ، وحتى إذا كان الملف يأتي من عنوان البريد الإلكتروني لجهة الاتصال الخاصة بك ، فليس هناك ما يضمن أن الملف أرسله بالفعل. يوفر PGP خيار تسجيل الملفات ، مما يثبت دون شك أن الملف جاء من جهة الاتصال الخاصة بك.

يمكنك اختيار تشفير ملف وتوقيعه ، فقط تشفيره ، أو تسجيله فقط. يمكنك استخدام هذه الميزة لتوقيع البيانات العامة أو لتوقيع إصدارات البرامج. من الشائع جدًا بين مشاريع البرامج مفتوحة المصدر توقيع أي تعليمات برمجية وبرامج.

إذا لم يتم توقيع البرنامج ، فسيكون من الصعب للغاية التحقق من صحته ، حيث كان بإمكان المهاجم إدخال خلفي للبرنامج دون علم المطورين..

عادةً ما تكون ملفات التوقيع هذه بنفس اسم الملفات التي تمثلها ، بالإضافة إلى النهايات .asc أو .sig.

في بعض البرامج ، يمكنك التحقق من التوقيع بمجرد النقر المزدوج فوق ملف التوقيع ، أو تشغيل الأمر gpg –verify file.sig

ستحتاج إلى الحصول على مفتاح PGP الخاص بالتوقيع للتحقق من التوقيع.

على الرغم من أنه من المستحيل على المهاجم تغيير ملف مشفر دون معرفة المالك ، إلا أنه قد لا يزال من المفيد للغاية معرفة المهاجم من قام بتشفير الملف في المقام الأول. يحتاج الأشخاص الذين يبحثون عن عدم الكشف عن هويتهم إلى إنشاء مفاتيح PGP جديدة بعناية لكل من جهات اتصالهم ، والتي يمكن أن تكون معقدة وعرضة للخطأ. في مثل هذه الحالات ، قد يكون من الأنسب استخدام تقنية الرسائل المشفرة مثل OTR ، والتي توفر تشفيرًا موثوقًا ومصادقة.

توقيع وتشفير النص

—– بدء رسالة PGP موقعة —–

هاش: SHA1

مع PGP ، يمكنك تسجيل وتشفير أي شيء إلى حد كبير. في بعض البرامج ، يكفي مجرد كتابة النص في محرر نصوص ، ثم تسجيله أو تشفيره بنقر بزر الماوس الأيمن.

هذا ما سيبدو عليه توقيع PGP. يمكن نشره في تعليق Reddit أو منشور المدونة أو البريد الإلكتروني لإثبات أنك تدلي بتعليق:

—– بداية توقيع PGP-–

الإصدار: GnuPG v1

iQIcBAEBAgAGBQJWVXw0AAoJEIMuYyhAgNc6wKoP / AwSaInjpoSQKUBPukE + TY4vXWnoh1dCiOcLzCsbAz7IvLmtoILlGxfLwi0XUhAUQTKEAHxpWKbUTY / 5MNFA1UUscHSH4t + aCtlFxNk4mMCtZO7c3JPh91U1rgN1K9J5YE9flpk + P5F5fdEhF4iD05P67uf4 + ر / k5cupD + pZv8pGnB + 5rpPPe7ODE5ptA3DyI3i8srrvKVkictxYub9RDknqYJAaE / xxFZ7 + mAZxM64gnN8Rwf + euDqdrf3PqiIUW6kcdvqJOyx7WZt + ows84kEze8AR3QhS1FBJfP3xAhsibBfy0sUSJopyl9kKIEDCcfGDf9Mthe3kzVUUayxz8AOrGC5ce6isg3YN4Nsi8K7idhPQyPgjBWtKWfuuYSUG + dPObVD + pFUkgOnrm07Qhp4ZVXKbuOnqf4swqc4vnW9C / 9ADwk2 / fat071fik8ohDzF9l4Cpm + iLj5w7Pv5iivvfe2oz0WCxnr6wj4XX5MsDTNOmMmObCWbnla + uYEJtDlbWse8XOq7q / DiMT9p + ZtHkSwrQ + 3TLNHxxJK7UJJFdlfZUZqC06LsSb2yEBh7rJytoN2PrpjB5H7Zx99DC5v + i1klr4hbrLeHtd + fVl1AGrMz + agcO6YQGpHJ0hhJXVrRruJjLJzOhJkzUU3o0rHeHRk69jKdAKpsOqABsunt5 = / QHs

——END توقيع PGP-–

تشفير رسائل البريد الإلكتروني

عندما تكتب رسائل بريد إلكتروني خاصة ، فليس من الجيد أن تكتبها في مجلد المسودة الخاص بموفر بريدك الإلكتروني. يتم حفظ كل ما تفعله في هذا المجلد إلى الأبد ، ولا تعرف من يمكنه الوصول إليه. بديل هو كتابة رسائل البريد الإلكتروني الخاصة بك في المفكرة ، تشفير النص ثم لصق النص المشفر في البريد الإلكتروني. يمكن أن تكون كتابة رسائل البريد الإلكتروني في المفكرة متعبة ونسخ ولصق الإصدارات المشفرة أكثر من ذلك. لحسن الحظ ، هناك مكونات إضافية لبرامج البريد مثل Thunderbird (Enigmail) و Apple Mail (GPGTools) التي تجعل عملية فك تشفير وتشفير سلسة. إنها حماية خصوصية قوية للغاية حتى ضد الخصوم الأكثر تطوراً.

شيء واحد عظيم يمكنك القيام به على الفور هو تحميل مفتاح PGP الخاص بك على Facebook وتلقي جميع التحديثات والإشعارات في شكل مشفر. هذا مفيد بشكل خاص للمعلومات الحساسة للأمان مثل إعادة تعيين كلمة المرور. إن استخدام PGP على Facebook قد يمنع المتسلل من اختراق حسابك على Facebook من خلال حساب بريدك الإلكتروني.

البيانات الوصفية والأمن

تم تصميم PGP لإخفاء محتوى الملفات والرسائل ، لكنه لا يحمي بيانات التعريف الخاصة بك. يمكن أن تتضمن بيانات التعريف أسماء الملفات وأحجام الملفات ورؤوس رسائل البريد الإلكتروني وتواريخ الإنشاء والمستلمين. يمكن للمتسلل أن يتعلم الكثير من هذه المعرفة ، لذلك من المهم أن تظل حذراً بشأن ما تشاركه - حتى عند استخدام PGP.

من السهل أيضًا على أي شخص يمتلك ملفًا مشفرًا معرفة من هو المشفر ومن قام بتوقيعه. لا يوفر PGP سرية للأمام ، لذلك إذا تعرض المفتاح الخاص بك للخطر ، يمكن للمهاجم الوصول إلى جميع اتصالاتك المشفرة من الملفات. يمكنهم فك تشفير كل شيء ، مما قد يعرض للخطر سنوات من رسائل البريد الإلكتروني ونقل الملفات.

لهذا السبب يجب عليك تشفير مفاتيحك بكلمة مرور جيدة ، واستخدام مفاتيح متعددة في مواقف متعددة ، واستبدال مفاتيح PGP بانتظام.

من المهم أيضًا معرفة أن PGP لا يقوم بتشفير أسماء الملفات أو رؤوس رسائل البريد الإلكتروني. لذا كن حذرا مما تكتب فيه!

وضع "جيد جدا" في PGP
admin Author
Sorry! The Author has not filled his profile.