GnuPG - šifrování a digitální podpis

OpenPGP je nejrozšířenějším standardem pro šifrování e-mailů. Byl původně odvozen ze softwaru PGP (Pretty Good Privacy - dost dobré soukromí), který vytvořil Phil Zimmermann. GnuPG (GNU Privacy Guard, GPG) patří do kategorie otevřeného software, je to šifrovací program pod licencí GPL.

GnuPG je program pro šifrování a digitální podepisování (elektronický podpis) s veřejným klíčem (asymetrická kryptografie), kde se vždy vytváří pár klíčů, soukromý (tajný) klíč a veřejný klíč. Nejčastější použití je v e-mailovém klientu, kde se dá šifrování nastavit automaticky. Data (e-mail) se šifrují pomocí veřejného klíče příjemce zprávy, elektronický podpis (digitální) se vytváří pomocí soukromého klíče odesílatele zprávy. Dešifrování zprávy u příjemce probíhá pomocí soukromého klíče příjemce zprávy a ověření digitálního podpisu u příjemce zprávy se provádí pomocí veřejného klíče odesílatele.

S nainstalovanou podporou šifrování dle standardu GnuPGP (ve Windows gpg4win) je možné velmi pohodlně šifrovat a digitálně podepisovat e-maily, jde o tzv. koncové šifrování. E-maily lze šifrovat také na chytrých mobilech, viz koncové šifrování e-mailu na mobilu.

Proč vlastně šifrovat e-maily?

E-mail není proti monitorování obsahu nijak chráněn. Existuje sice zákon o poštovním tajemství, ale dodržuje se? A hlavně, lze to vůbec zjistit, že vám někdo čte e-maily? Na to pamatuje trestní zákoník v § 182 „Porušení tajemství dopravovaných zpráv zákona č. 40/2009 Sb.“.

Poslat obyčejný e-mail je, jako poslat pohlednici. Každý, kdo s pohlednicí (e-mailem) přijde do styku, může si jeho obsah přečít nebo zkopírovat. Šifrovaný a digitálně (elektronicky) podepsaný e-mail nemůže přečíst nikdo jiný než příjemce zprávy (ochrana proti monitorování, úmyslné změně obsahu a jistota odesílatele). A že existuje monitorování nejen e-mailů dokládá aféra špehování NSA XKeyscore.
Co máte v e-mailu je jen vaše věc a máte právo na soukromí.

Pamatujte, že bez koncového šifrování je obsah zpráv snadno snadno přístupný vašemu poskytovateli
e-mailové schránky nebo systémům pro hromadné sledování
(PRISM, UKUSA, ECHELON - pět očí, viz „Školení, instalace OS LINUX, Darknet“). Je to jako poslat pohlednici, kdy všichni, okolo koho e-mail zrovna letí, uvidí co jste psali.

e-mail bez koncového šifrování je jako pohlednice

e-mail bez koncového šifrování

GnuPG (GPG - GNU Privacy Guard) vzniklo jako náhrada kdysi zadarmo používaného PGP (Pretty Good Privacy - dost dobré soukromí). Je to jeden z nejlepších programů na šifrování a digitální podepisování dle standardu GnuPGP, který definuje norma RFC 9580 (RFC 4880 - zastaralé).

Linuxová komunita obvykle preferuje zabezpečení pomocí OpenPGP standard, MS Windows a státní správa dává
přednost S/MIME (Secure/Multipurpose Internet Mail Extensions).

V OS linux je již GnuPG standardně nainstalován. Stačí si v terminálu (příkazový řádek) zadat příkaz na zjištění
verze GnuPG:

uzivatel@PC-lin:~$ gpg --version
gpg (GnuPG) 2.2.27
libgcrypt 1.9.4
Copyright (C) 2021 Free Software Foundation, Inc.
License GNU GPL-3.0-or-later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /home/uzivatel/.gnupg
Podporované algoritmy:
Veřejný klíč: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Šifra: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Komprese: Nezkomprimováno, ZIP, ZLIB, BZIP2

Vypíše se verze GPG. Tím máme jistotu, že GPG je nainstalováno a funguje. Nyní všechny příkazy je dobré psát již jako gpg --příkaz.

Například:

gpg --version nebo gpg --help

Ve WINDOWS se musí GPG nainstalovat ze stránek GnuPG ( http://www.gnupg.org/ ). Vše potřebné zajistí Gpg4win program, který taky umožňuje kompletní správu nad GnuPG (správu klíčů, podpisů ap.). Taky lze při používání výborného emailového klienta THUNDERBIRD s nativní podporou GnuPG (gpg) šifrování od verze > 78 používat jeho doplněk ENIGMAIL, pak gpg4win nebudete potřebovat.
Gpg4win návod - návod na používání v EN.

Verze gpg4win 4.4.0 obsahuje

  1. GnuPG 2.4.7 - šifrovací GnuPG program
  2. Kleopatra 3.3.0 - správce OpenPGP a S/MIME klíčů a certifikátů
  3. GpgOL 2.5.14 - doplněk pro MS Outlook e-mailového klienta
  4. GpgEX 1.0.11 - plugin pro MS Explorer
  5. Okular 23.11.70-patched - univerzální prohlížeč dokumentů pdf, epub...
  6. Kompendium (de) 4.0.1 - dokumentace v němčině
  7. Compendium (en) 3.0.0 - dokumentace v angličtině

Tučně zvýrazněné jsou potřebné části, komponenty.

tajný klíč a veřejné klíče

ZM-SOFT formát klíče

V LINUXu stačí při používaní emailového klienta THUNDERBIRD používat jeho doplněk ENIGMAIL (od verze 78+ má Thunderbird gpg správu klíčů integrovánu). Pokud chcete mít pohodlnou správu klíčů a podpisů a nebudete používat thunderbird a doplněk enigmail (který je na to asi nejlepší), stačí mít podobně jako ve windows gpg4win mít zde program SEAHORSE nebo GPA - GNU Privacy Assistant Kleopatra. Přitom první zmiňovaný již bývá součástí distribuce, takže stačí z příkazového řádku napsat seahorse, nebo ho nalezneme v nabídce aplikace, systémové nástroje, předvolby, hesla a klíče. Kleopatra navíc umožňuje práci se schránkou, tedy šifrovat, podepisovat, dešifrovat a oveřovat zprávy ve schránce. Tím lze ukládat přes schránku šifrované emaily do webových emailových klientů (seznam.cz, google.com). S anonymizérem TOR pak lze skrýt nejen obsah přenášených zpráv ale i to, kdo s kým komunikuje. Tím se dostává ochrana soukromí na ještě vyšší úroveň. Na mobilech lze používat vynikající K-9 mail + OpenKeychain pro bezpečnou komunikaci.

Seznam nejpoužívanějších příkazů gpg

Všechny tyto příkazy z příkazového řádku lze  také udělat grafického rozhraní Kleopatra nebo GpgFrontend!

vytvoření páru klíčů (to bývá úplně to první, co je třeba udělat)
gpg --full-gen-key = vytvoření páru klíčů plně pod kontrolou, jen tak se vytvoří 4096 bitový klíč
gpg --expert --full-gen-key = volba pro experty
gpg --help = výpis nápovědy
gpg -b dokument.pdf = vytvořit podpis oddělený od dokumentu
gpg --verify dokument.pdf.sig = ověřit podpis
gpg -b -u marsik@zmsoft.cz prava.pdf - parametr "u" když je více soukromých klíčů
gpg -u 18F239CBA1A42E70299ABC183934A098F07ADAC8 -b Covid-19-12.04.2024-SSCP-FINAL-REPORT.pdf
gpg -se -r marsik@zmsoft.cz banner.png = zašifrovat a podepsat dokument
gpg -se -r AE0B5090 banner.png = zašifrovat a podepsat dokument
gpg -se -r AE0B5090 -a dopis.txt = zašifrovat a podepsat dokument v ASCI (v čitelné podobě)
gpg -se -r uzivatel@nejakadomena.cz --multifile *.txt = zašifruje a podepíše všechnu txt soubory a adresáři
gpg -se -r charvatub@seznam.cz -u urso@email.cz wob-sezona.jpg = pokud je více tajných privátních klíčů, parametr "u" určuje, kterým klíčem to podepsat
gpg -sea -R charvatub@seznam.cz banner.png = zašifrovat a podepsat v ASCII, -R neukládá identifikátor klíče, nelze vidět pro koho to je
gpg --encrypt-files -r AE0B5090 * = zašifrování všech souborů v aktuálním adresáři

Výše uvedené příkazy mají jednu vlastnost, do zašifrovaných dat se uloží identifikátor klíče (komu je zpráva určena). To by mohla být bezpečnostní slabina. Naštěstí to lze eliminovat zadáním "R", kdy se identifikátor klíče do dat neuloží:
gpg -se -R AE0B5090 zprava.txt - zašifrování a podepsání souboru jako anonymní adresát

gpg zprava.txt.gpg
gpg: anonymní adresát; zkouším tajný klíč FF7837AA ...
gpg: o.k., my jsme anonymní adresát.
gpg: zašifrováno ELG-E klíčem, ID 00000000
gpg: Podpis vytvořen Pá 13. květen 2016, 13:51:51 CEST pomocí klíče DSA s ID uživatele AE0B5090
gpg: Dobrý podpis od "Zdeněk Maršík (Květná 1843, UHERSKÝ BROD, ČOP:109777991) <marsik@zmsoft.cz>"
gpg:                 alias "[jpeg image of size 2355]"

gpg --output banner.png -d banner.png.gpg = dešifrovat a ověřit podpis
gpg kresba1.png.gpg = dešifrovat a ověřit podpis (zkrácený zápis)
gpg -d --multifile soubor.txt.gpg soubor2.txt.gpg soubor3.txt.gpg
gpg --refresh-keys = aktualizovat klíče ze serveru klíčů
gpg --fingerprint = výpis klíčů s otisky prstů
gpg --auto-key-locate keyserver --locate-keys zdem@zmsoft.cz - načtení (import) veřejného klíče
gpg --import jan_novak.asc = načtení nějakého veřejného klíče ze souboru
gpg -o zdenek.asc --export -a marsik@zmsoft.cz = export veřejného klíče do souboru
gpg -o sec_zdenek.asc --export-secret-key -a AB0F2030 = export soukromého (tajného) klíče do souboru
gpg --import sec_zdenek.asc = načtení soukromého (tajného) klíče ze souboru
gpg --recv-keys --keyserver pgp.mit.edu FA773B7F = stažení veřejného klíče ze serveru klíčů
gpg --send-keys 47B7F7DF6E496E1D69A5686B54C43A49E510A53C = odeslání veřejného klíče na server PGP klíčů
gpg --sign-key FA773B7F = podepsání cizího veřejného klíče
gpg -K = vypsání soukromého klíče
gpg --list-keys = výpis všech klíčů
gpg -k --show-photos = výpis všech klíčů i fotoid (fotkou)
gpg --search-keys Ferda Mravenec = hledání veřejného klíče
gpg --check-sigs = kontrola podpisů (status "!" = OK, "-" = chybný podpis, "%" = chyba během kontroly podpisu)
gpg --update-trustdb - úprava pavučiny důvěry, dotazy k jednotlivým klíčům
gpg --check-trustdb - úprava pavučiny důvěry automaticky bez dotazů
gpg --edit-key keyid: trust - nastavení míry důvěry pro vybraný klíč, check - seznam podpisů klíče
gpg --list-sigs AE0B5090 - výpis všech podpisů klíče
gpg --delete-secret-and-public-key EA2A1FAC = smazání tajného i veřejného klíče
gpg --dump-options = výpis všech příkazů

Úpravy klíčů

gpg --edit-key 7889841c = vstup do editace klíče
gpg> help = výpis nápovědy

gpg> help
quit        ukončí tuto nabídku
save        uložit a ukončit
help        ukáže tuto nápovědu
fpr         vypsat otisk klíče
grip        ukázat keygrip
list        vypsat seznam klíčů a id uživatelů
uid         vyberte identifikátor uživatele N
key         vyberte podklíč N
check       kontrolovat podpisy
sign        podepsat vybrané ID uživatele [* níže jsou uvedeny relevantní příkazy]
lsign       podepsat vybrané uživatelské ID lokálně
tsign       podepsat vybrané uživatelské ID důvěryhodným podpisem
nrsign      podepsat vybraná uživatelská ID neodvolatelným podpisem
adduid      přidat identifikátor uživatele
addphoto    přidat fotografický ID
deluid      smazat vybrané ID uživatele
addkey      přidat podklíč
addcardkey  přidat klíč na kartu
keytocard   přesunout klíč na kartu
bkuptocard  přesunout záložní klíč na kartu
delkey      smazat vybrané podklíče
addrevoker  přidat revokační klíč
delsig      smazat podpisy z vybraných uživatelských ID
expire      změnit datum expirace pro klíč nebo vybrané podklíče
primary     označit vybrané uživatelské ID jako primární
pref        vypsat seznam předvoleb (pro experty)
showpref    vypsat seznam předvoleb (podrobně)
setpref     nastavit sadu preferencí pro vybrané uživatelské ID
keyserver   nastavit URL preferovaného serveru klíčů pro vybraná uživatelská ID
notation    zadat poznámku pro vybraná uživatelská ID
passwd      změnit heslo
trust       změnit důvěryhodnost vlastníka klíče
revsig      revokovat podpisu na vybraných uživatelských ID
revuid      revokovat vybrané uživatelské ID
revkey      revokovat klíč nebo vybrané podklíče
enable      nastavit klíč jako platný (enable)
disable     nastavit klíč jako neplatný (disable)
showphoto   ukázat vybrané fotografické ID
clean       směstnat nepoužitelná ID uživatelů a odstranit z klíče nepoužitelné podpisy
minimize    směstnat nepoužitelná ID uživatelů a odstranit z klíče všechny podpisy

* Příkaz „sign“ může být použit s předponou „l“ pro lokální podpis (lsign),
s „t“ pro důvěryhodný podpis (tsign) nebo „nr“ pro neodvolatelný
podpis (nrsign) nebo libovolnou jejich kombinací (ltsign, tnrsign, atd.).

gpg> passwd = změna hesla k tajnému klíči
gpg> addphoto <ENTER> = přidání fotky
gpg> expire <ENTER> = změna datumu vypršení platnosti klíče
gpg> deluid 2 <ENTER> = smazání nechtěných UID v gpg

Smazání nechtěného UID klíče se skládá ze třech kroků

1. gpg> list <ENTER> - vypíše jednotlivá UID s čísly, např. [  absolutní ] (1).Petr K. <peka@seznam.cz>
[  absolutní ] (2)  peka@seznam.cz - chceme smazat UID 2
2. gpg> uid 2 - označí zvolené UID *
3. gpg> deluid 2 - kontrolní dotaz a/N a pak  to vybrané UID smaže (po gpg> save se změny trvale uloží)

gpg>save <ENTER> = uložení změn
gpg>quit <ENTER> = ukončení módu editace klíče bez uložení změn


Revokace (zneplatnění) veřejného klíče

Musíte k tomu mít tajný klíč!

  1. Vytvořit revok. certifikát:
    gpg --output revoke_FA773B7F.asc --gen-revoke FA773B7F
    (bez vlastnictví tajného klíče to nelze provést)
    Po vytvoření rev. certifikátu se vypíše upozornění:
    Revokační certifikát byl vytvořen.
    Prosím přeneste jej na médium, které můžete dobře schovat. Pokud se
    k tomuto certifikátu dostane nepovolaná osoba, může zneplatnit Váš klíč.
  2. gpg --import revoke_FA773B7F.asc
  3. gpg --send-keys --keyserver pgp.mit.edu FA773B7F = odeslání revokovaného veřejného klíče na server klíčů
  4. gpg --delete-secret-and-public-key FA773B7F = smazání tajného i veřejného klíče

Pozn.: Revokační certifikát se vytváří ihned po vytvoření páru klíčů.


Editace privátního (tajného) klíče

Do editačního módu přejdeme příkazem:

gpg --edit-key AE0B5090
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Tajný klíč je dostupný.

pub  1024D/AE0B5090  vytvořen: 2007-04-12  platnost skončí: 2017-03-21  použití: SC 
důvěra: absolutní    platnost: absolutní
sub  4096g/FF7837AA  vytvořen: 2007-04-12  platnost skončí: 2017-03-21  použití: E  
[  absolutní ] (1). Zdeněk Maršík (Květná 1843, UHERSKÝ BROD, ČOP:109777991) <marsik@zmsoft.cz>
[  absolutní ] (2)  [jpeg image of size 2355]

Příkaz>

Jako příkaz můžeme dát:

addptoto = přidání fotky
passwd = změna hesla k soukromému (tajnému) klíči

Aby se změny projevily, je nutné ukončit editační mód příkazem save.
Příkazem quit se editační mód ukončí bez uložení změn.


Šifrování v GPG symetrickou šifrou

Toto nevyžaduje mít tajný a veřejný klíč, ale bezpečnost je dána kvalitou hesla!

Zašifrování souboru symetrickou šifrou:

gpg -c banner.jpg
Vložte heslo: heslo
Opakujte heslo: heslo

Vytvoří se zašifrovaný soubor banner.png.gpg.

Dešifrování souboru zašifrovaného symetr. šifrou:

gpg --output banner.png -d banner.png.gpg
vložte heslo: heslo
gpg: CAST5 zašifrovaná data
gpg: zašifrováno jedním heslem
gpg: VAROVÁNÍ: zpráva nebyla chráněna proti porušení její integrity


GnuPG – gpg návod na vytvoření páru klíčů

Zjištění verze GnuPG

uzivatel@PC-lin:~$ gpg --version

gpg --full-gen-key
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Prosím, vyberte druh klíče, který chcete:
(1) RSA a RSA (implicitní)
(2) DSA a Elgamal
(3) DSA (pouze pro podpis)
(4) RSA (pouze pro podpis)
(14) Existing key from card
Váš výběr? <ENTER>
klíč RSA může mít délku v intervalu 1024 až 4096 bitů.
Jakou délku klíče si přejete? (3072) 4096
Požadovaná délka klíče je 4096 bitů.
Prosím určete, jak dlouho by klíč měl platit.
0 = doba platnosti klíče není omezena
<n>  = doba platnosti klíče skončí za n dní
<n>w = doba platnosti klíče skončí za n týdnů
<n>m = doba platnosti klíče skončí za n měsíců
<n>y = doba platnosti klíče skončí za n let
Klíč je platný po? (0) 30
Platnost klíče skončí v Pá 3. července 2020, 10:37:15 CEST
Je to správně (a/N)? a
GnuPG potřebuje sestrojit uživatelské ID, aby bylo možné rozpoznat
váš klíč.

Jméno a příjmení: Jan Hus
E-mailová adresa: janhus@seznam.cz
Komentář: Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789
Používáte znakovou sadu „utf-8“.
Zvolil(a) jste tento identifikátor uživatele:
„Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>“

Změnit (J)méno, (K)omentář, (E)-mail, (P)okračovat dál nebo (U)končit program? P
Musíme vytvořit mnoho náhodných bajtů. Během vytváření můžete
provádět nějakou jinou práci na počítači (psát na klávesnici, pohybovat myší,
používat disky); díky tomu má generátor lepší šanci získat dostatek entropie.

gpg: klíč 9FB42FB961DC9D51 označen jako absolutně důvěryhodný.
gpg: adresář „/home/zdenek/.gnupg/openpgp-revocs.d“ vytvořen
gpg: odvolací certifikát uložen jako „/home/zdenek/.gnupg/openpgp-revocs.d/E267C4466BF47646145B78759FB42FB961DC9D51.rev“
veřejný a tajný klíč byly vytvořeny a podepsány.

pub   rsa4096 2020-06-03 [SC] [platnost skončí: 2020-07-03]
E267C4466BF47646145B78759FB42FB961DC9D51
uid                      Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sub   rsa4096 2020-06-03 [E] [platnost skončí: 2020-07-03]

Vytvořený odvolací certifikát
v adresáři „/home/zdenek/.gnupg/openpgp-revocs.d/E267C4466BF47646145B78759FB42FB961DC9D51.rev“:

Toto je revokační certifikát pro OpenPGP klíč:

pub   rsa4096 2023-08-10 [S] [platnost skončí: 2023-08-17]
EB0AB9B9382CB8C77507195DDEC737F1F566B538
uid          Josef Novák (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <jonovak753@seznam.cz>

Odvolací certifikát je svým způsoben „bezpečnostní vypínač“, který
veřejně prohlašuje, že klíč by se již neměl používat. Jednou zveřejněný
odvolací certifikát již nelze vzít zpět.

Použijte jej pro odvolání tohoto klíče v případě zneužití nebo ztráty
soukromého klíče. Avšak bude-li soukromý klíč stále přístupný, bude
lepší vytvořit nový odvolací certifikát s odůvodněním odvolání.
Podrobnosti naleznete v manuálu GnuPG u popisu příkazu
„gpg --generate-revocation“.

Aby se zabránilo nechtěnému použití tohoto souboru, níže před 5 pomlček byla
vložena dvojtečka. Před importem a zveřejněním tohoto odvolacího certifikátu
odstraňte tuto dvojtečku textovým editorem.

:-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: This is a revocation certificate
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=wTlf
-----END PGP PUBLIC KEY BLOCK-----


Nahrání fotky

gpg --edit-key E267C4466BF47646145B78759FB42FB961DC9D51
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Tajný klíč je dostupný.

sec  rsa4096/9FB42FB961DC9D51
vytvořen: 2020-06-03  platnost skončí: 2020-07-03  použití: SC 
důvěra: absolutní    platnost: absolutní
ssb  rsa4096/98E70FD585E93D6C
vytvořen: 2020-06-03  platnost skončí: 2020-07-03  použití: E  
[  absolutní ] (1). Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>

gpg> addphoto

Vyberte obrázek, který bude použit jako Vaše fotografické ID. Obrázek musí
být ve formátu JPEG. Nezapomeňte, že obrázek bude uložen ve Vašem veřejném
klíči - velký obrázek bude mít za následek velmi velký veřejný klíč !
Vhodná velikost obrázku je asi 240x288.

Vložte jméno JPEG souboru s fotografickým ID: hus.jpg
Tento JPEG je opravdu velký (6347 bajtů)!
Jste si jistý(á), že jej chcete použít? (a/N) a
Icon theme "elementary" not found.
Je tato fotografie správná (a/N/u)? a

gpg>save

gpg --list-keys
gpg: kontroluji databázi důvěry
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: hloubka: 0  platných:   1  podepsaných:   0  důvěra: 0-, 0q, 0n, 0m, 0f, 1u
gpg: další kontrola databáze důvěry v 2020-07-03
/home/zdenek/.gnupg/pubring.kbx
-------------------------------
pub   rsa4096 2020-06-03 [SC] [platnost skončí: 2020-07-03]
E267C4466BF47646145B78759FB42FB961DC9D51
uid       [  absolutní ] Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>
uid       [  absolutní ] [jpeg image of size 6347]
sub   rsa4096 2020-06-03 [E] [platnost skončí: 2020-07-03]

Poslání veřejného klíče na server gpg klíčů

gpg --send-keys E267C4466BF47646145B78759FB42FB961DC9D51
gpg: posílám klíč 9FB42FB961DC9D51 na hkps://keys.openpgp.org

Podepsání nějakého veřejného klíče

gpg --sign-key 4608C0CA2C941E8ACA5941D2191B300C733BBEA2

pub  rsa2048/191B300C733BBEA2
vytvořen: 2011-03-03  platnost skončí: nikdy       použití: SCA
důvěra: neznámý formát platnost: neznámý formát
sub  rsa2048/5EC6EECA2E45B28C
vytvořen: 2011-03-03  platnost skončí: nikdy       použití: E  
[  neznámá   ] (1). Info <info@bis.cz>


pub  rsa2048/191B300C733BBEA2
vytvořen: 2011-03-03  platnost skončí: nikdy       použití: SCA
důvěra: neznámý formát platnost: neznámý formát
Otisk primárního klíče: 4608 C0CA 2C94 1E8A CA59  41D2 191B 300C 733B BEA2

Info <info@bis.cz>

Jste si jistý(á), že chcete podepsat tento klíč
svým klíčem „Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>“ (9FB42FB961DC9D51)

Skutečně podepsat? (a/N) a

Kontrola podpisů veřejných klíčů

gpg --check-signatures
/home/zdenek/.gnupg/pubring.kbx
-------------------------------
pub   rsa4096 2020-06-03 [SC] [platnost skončí: 2020-07-03]
E267C4466BF47646145B78759FB42FB961DC9D51
uid       [  absolutní ] Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sig!3        9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>
uid       [  absolutní ] [jpeg image of size 6347]
sig!3        9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sub   rsa4096 2020-06-03 [E] [platnost skončí: 2020-07-03]
sig!         9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>

pub   rsa2048 2011-03-03 [SCA]
4608C0CA2C941E8ACA5941D2191B300C733BBEA2
uid       [    plná    ] Info <info@bis.cz>
sig!3        191B300C733BBEA2 2011-03-03  Info <info@bis.cz>
sig!         9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, UHERSKÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sub   rsa2048 2011-03-03 [E]
sig!         191B300C733BBEA2 2011-03-03  Info <info@bis.cz>

gpg: 6 dobrých podpisů

Ukázka výpisu gpg (GnuPG) klíče

gpg --list-keys EBE59664B0E17C28109CD4D1B5965FE90D6994AC
pub   rsa4096 2017-03-16 [SC] [platnost skončí: 2027-03-14]
EBE59664B0E17C28109CD4D1B5965FE90D6994AC
uid       [  absolutní ] Zdeněk Maršík (Květná 1843, UHERSKÝ BROD, ČOP:206793439) <marsik@zmsoft.cz>
uid       [  absolutní ] [jpeg image of size 4031]
sub   rsa4096 2017-03-16 [E] [platnost skončí: 2027-03-14]

Ve výpisu je postupně uvedeno:

 

TOFU - Trust On First Use – důvěřuj při prvním užití

V roce 2015 byl program gpg rozšířen o tento model.
Princip je jednoduchý – když přijde první podepsaná zpráva z nějaké e-mailové adresy, tak se z veřejného klíčového serveru stáhne klíč a označí jako částečně platný – je přidána nová úroveň platnosti. U několika následných použití uvedeného klíče (ověření podpisu či zašifrování pro dotyčného) se zobrazuje upozornění There is limited assurance this key belongs to the named user. Poté se stane plně platným.

Kleopatra - grafická správa klíčů

Pro mnoho lidí může být práce s OpenPGP klíči složitá a obtížná. Cílem programu Kleopatra je snížit tuto obtížnost nabídkou příjemného grafického programu.

KLEOPATRA - správce GnuPG klíčů a certifikátů (OpenPGP standard)

  1. ENIGMAIL - vynikající doplněk poštovního klienta THUNDERBIRD - thunderbird už ho nepotřebuje
  2. GPA - výborné grafické rozhraní, frontend gpg
  3. KLEOPATRA - GUI pro GnuGPG, s GPA součásti gpg4win pro Windows
  4. GpgFrontend - podobné jako Kleopatra a Kleopatra pro Linux
  5. GEANY - doplněk geanyPG umožnuje zašifrovat a podepsat text a dešifrovat/ověřit text, nic víc a proto bezpečný i pro začátečníky
  6. K-9 mail + OpenKeychain - použití bezpečné emailové komunikace na mobilech (na androidu lze stáhnout z google play úložiště)

Články:


Komentáře

Kdokoliv může přidávat komentáře ke článkům bez registrace. Zadá si libovolnou přezdívku a napíše komentář.

Jak používat messenger Signál


SSL pro weby od 11/2015 zdarma


MS WINDOWS 10, 11 - sběr informací o uživateli


DEBIAN 12 (bookworm) - OS zdarma debian vyšel 10.6.2023

debian

debian - stáhnout nejnovější DEBIAN pro PC
debian edu - debian pro školy a školní prostředí, stažení DEBedu (torrent)


Zranitelnost „ROM-0“ routerů


Předali data tajným službám
Americké bezpečnostní agentuře (NSA) předali data Microsoft, Yahoo, Google, Facebook...


Itálie preferuje open source
Italský parlament schválil zákon, který nařizuje státním institucím pořizovat otevřený software před komerčním. To znamená LINUX místo MS-WINDOWS, LIBRE OFFICE místo MS OFFICE atd.

05.01. 2025 10:58:47
  • Redakční systém MRS
  • 10 nečastějších zranitelností WEBU
  • Esperantoesperanto - univerzální mezinárodní jazyk
  • Kryptografie okolo nás - kniha popisuje využití kryptografie v běžném životě
  • SMS zdarma - posílání SMS zdarma
  • proč LINUX
  • základy LINUXU
  • Přepsání disku náhodnými daty
  • Software na úřadech - jeho otevřené alternativy
  • Řekněte sbohem Microsoftu
  • Rychlost připojení - změřte si svoji rychlost
  • SEO servis
  • Jak psát web
  • Zákony - občanský, autorský, obchodní zákoník atd.
  • Infosoud - nalezení stání a průběhu jednání
  • Soudní rozhodnutí - nalezení rozsudků
  • ARES - registr ekonomických subjektů
  • Katastr nemovitostí
  • Broďan - brodské nezávislé zpravodajství

vydělávejte
na burze kryptoměn

23.09. 2024 07:53:51
Návštěvy
Celkem: 320019
Týden: 534
Dnes: 13
  přihlásit poslední změna: 27.01. 2025 21:37:17