GnuPG - šifrování a digitální podpis

GnuPG je nejrozšířenějším softwarem pro šifrování a digitální podepisování nejen e-mailů podle normy RFC 9580 OpenPGP standardu. Byl původně odvozen ze softwaru PGP (Pretty Good Privacy - dost dobré soukromí), který vytvořil Phil Zimmermann. GnuPG (taky GNU Privacy Guard, GPG) patří do kategorie otevřeného software, je to šifrovací program pod licencí GPL.

GnuPG je program pro šifrování a digitální podepisování (elektronický podpis) s veřejným klíčem (asymetrická kryptografie), kde se vždy vytváří pár klíčů, soukromý (tajný) klíč a veřejný klíč. Tyto veřejné klíče se pak dají najít na serveru veřejných OpenPGP klíčů. Nejčastější použití je v e-mailovém klientu, kde se dá šifrování nastavit automaticky. Data (e-mail) se šifrují pomocí veřejného klíče příjemce zprávy, elektronický podpis (digitální) se vytváří pomocí soukromého klíče odesílatele zprávy. Dešifrování zprávy u příjemce probíhá pomocí soukromého klíče příjemce zprávy a ověření digitálního podpisu u příjemce zprávy se provádí pomocí veřejného klíče odesílatele.

S nainstalovanou podporou šifrování dle standardu OpenPGP (ve Windows šifrování umožňuje programová sada gpg4win) je možné velmi pohodlně šifrovat a digitálně podepisovat e-maily, jde o tzv. koncové šifrování. E-maily lze šifrovat také na chytrých mobilech, viz koncové šifrování e-mailu na mobilu.

Proč vlastně šifrovat e-maily?

Listovní tajemství je jedno ze základních lidských práv a svobod přiznaných v České republice Listinou základních práv a svobod. Člověk je má ze samé podstaty toho, že je lidskou bytostí. Jako takové je nezadatelné, nezcizitelné, nepromlčitelné a nezrušitelné.

E-mail není proti monitorování obsahu nijak chráněn. Existuje sice zákon o poštovním tajemství, ale dodržuje se? A hlavně, lze to vůbec zjistit, že vám někdo čte e-maily? Na to pamatuje trestní zákoník v § 182 „Porušení tajemství dopravovaných zpráv zákona č. 40/2009 Sb.“.

Poslat obyčejný e-mail je, jako poslat pohlednici. Každý, kdo s pohlednicí (e-mailem) přijde do styku, může si jeho obsah přečíst nebo zkopírovat. Šifrovaný a digitálně (elektronicky) podepsaný e-mail nemůže přečíst nikdo jiný než příjemce zprávy (ochrana proti monitorování, úmyslné změně obsahu a jistota odesílatele). A že existuje monitorování nejen e-mailů dokládá aféra špehování NSA s XKeyscore!!!
Co máte v e-mailu je jen vaše věc a máte právo na soukromí.

Pamatujte, že bez koncového šifrování je obsah zpráv snadno snadno přístupný vašemu poskytovateli
e-mailové schránky nebo systémům pro hromadné sledování (PRISM, UKUSA, ECHELON - pět očí, viz „Školení, instalace OS LINUX, Darknet“). Je to jako poslat pohlednici, kdy všichni, okolo koho e-mail zrovna letí, uvidí co jste psali.

GnuPG (GPG - GNU Privacy Guard) vzniklo jako náhrada kdysi zadarmo používaného PGP (Pretty Good Privacy - dost dobré soukromí). Je to jeden z nejlepších programů na šifrování a digitální podepisování dle standardu OpenPGP, který definuje norma RFC 9580 (RFC 4880 - zastaralé).

Linuxová komunita obvykle preferuje zabezpečení pomocí OpenPGP standardu, státní správa (na MS Windows) dává přednost S/MIME (Secure/Multipurpose Internet Mail Extensions).

V OS linux je již GnuPG standardně nainstalován. Stačí si v terminálu (příkazový řádek) zadat příkaz na zjištění
verze GnuPG:

uzivatel@PC-lin:~$ gpg --version
gpg (GnuPG) 2.2.27
libgcrypt 1.9.4
Copyright (C) 2021 Free Software Foundation, Inc.
License GNU GPL-3.0-or-later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /home/uzivatel/.gnupg
Podporované algoritmy:
Veřejný klíč: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Šifra: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Komprese: Nezkomprimováno, ZIP, ZLIB, BZIP2

Vypíše se verze GPG. Tím máme jistotu, že GPG je nainstalováno a funguje. Nyní všechny příkazy je dobré psát již jako gpg --příkaz.

Například:

gpg --version nebo gpg --help

Ve WINDOWS se musí GPG nainstalovat ze stránek GnuPG ( http://www.gnupg.org/ ). Vše potřebné zajistí Gpg4win programová sada, která taky umožňuje kompletní správu nad GnuPG (správu klíčů, podpisů ap.). Taky lze při používání výborného emailového klienta THUNDERBIRD s vestavěnou podporou GnuPG (gpg) šifrování a podepisování emailů.
Starší návody někdy někde zmiňují ENIGMAIL, což byl dobrý doplněk pro Thunderbird, dokud ještě neměl vestavěnu podporu GnuPG (od verze Thunderbird > 78 doplněk enigmail a gpg4win nebudete potřebovat).
Gpg4win návod - návod na používání v EN.

Verze gpg4win 4.4.0 obsahuje

1. GnuPG 2.4.7 - šifrovací GnuPG program
2. Kleopatra 3.3.0 - grafický správce OpenPGP a S/MIME klíčů a certifikátů
3. GpgOL 2.5.14 - doplněk pro MS Outlook e-mailového klienta
4. GpgEX 1.0.11 - plugin pro MS Explorer
5. Okular 23.11.70-patched - univerzální prohlížeč dokumentů pdf, epub...
6. Kompendium (de) 4.0.1 - dokumentace v němčině
7. Compendium (en) 3.0.0 - dokumentace v angličtině

Tučně zvýrazněné jsou potřebné části, komponenty.

V LINUXu i ve Windows stačí při používaní emailového klienta THUNDERBIRD používat jeho doplněk ENIGMAIL (od verze 78, tj. říjen 2019,  má Thunderbird úplnou gpg správu klíčů integrovánu). Pokud chcete mít pohodlnou správu klíčů a podpisů a nebudete používat thunderbird, stačí mít program Kleopatra. Kleopatra navíc umožňuje práci se schránkou, tedy šifrovat, podepisovat, dešifrovat a oveřovat zprávy ve schránce. Tím lze ukládat přes schránku šifrované emaily do webových emailových klientů (seznam.cz, google.com). S anonymizérem TOR a případně s e-mailem na protonmailu, pak lze skrýt nejen obsah přenášených zpráv ale i to, kdo s kým komunikuje, kdy, IP adresy, SMTP servery... - metadata. Tím se dostává ochrana soukromí na ještě vyšší úroveň. Na mobilech lze používat vynikající K-9 mail + OpenKeychain pro bezpečnou komunikaci.

 

Seznam nejpoužívanějších příkazů gpg

Všechny tyto příkazy z příkazového řádku lze  také udělat grafického rozhraní Kleopatra nebo GpgFrontend!

Vytvoření páru OpenPGP klíčů = osobní klíč

to bývá úplně to první, co je třeba udělat

gpg --full-gen-key = vytvoření páru OpenPGP klíčů plně pod kontrolou, jen tak se vytvoří 4096 bitový RSA klíč
gpg --expert --full-gen-key = volba pro experty
gpg --help = výpis nápovědy
gpg -b dokument.pdf = vytvořit podpis oddělený od dokumentu
gpg --verify dokument.pdf.sig = ověřit podpis
gpg -b -u Pávek@gmail.com prava.pdf - parametr "u" když je více soukromých klíčů
gpg -u 18F239CBA1A42E70299ABC183934A098F07ADAC8 -b Covid-19-12.04.2024-SSCP-FINAL-REPORT.pdf
gpg -se -r Pávek@gmail.com banner.png = zašifrovat a podepsat dokument
gpg -se -r AE0B5090 banner.png = zašifrovat a podepsat dokument
gpg -se -r AE0B5090 -a dopis.txt = zašifrovat a podepsat dokument v ASCI (v čitelné podobě)
gpg -se -r uzivatel@nejakadomena.cz --multifile *.txt = zašifruje a podepíše všechnu txt soubory a adresáři
gpg -se -r charvatub@seznam.cz -u knabo@email.cz wob-sezona.jpg = pokud je více tajných privátních klíčů, parametr "u" určuje, kterým klíčem to podepsat
gpg -sea -R charvatub@seznam.cz banner.png = zašifrovat a podepsat v ASCII, -R neukládá identifikátor klíče, nelze vidět pro koho to je
gpg --encrypt-files -r AE0B5090 * = zašifrování všech souborů v aktuálním adresáři

Výše uvedené příkazy mají jednu vlastnost, do zašifrovaných dat se uloží identifikátor klíče (komu je zpráva určena). To by mohla být bezpečnostní slabina. Naštěstí to lze eliminovat zadáním "R", kdy se identifikátor klíče do dat neuloží:
gpg -se -R AE0B5090 zprava.txt - zašifrování a podepsání souboru jako anonymní adresát

gpg zprava.txt.gpg
gpg: anonymní adresát; zkouším tajný klíč FF7837AA ...
gpg: o.k., my jsme anonymní adresát.
gpg: zašifrováno ELG-E klíčem, ID 00000000
gpg: Podpis vytvořen Pá 13. květen 2016, 13:51:51 CEST pomocí klíče DSA s ID uživatele AE0B5090
gpg: Dobrý podpis od "Petr Pávek (Růžová 1377, ŽELEZNÝ BROD, ČOP:109777991) <Pávek@gmail.com>"
gpg:                 alias "[jpeg image of size 2355]"

gpg --output banner.png -d banner.png.gpg = dešifrovat a ověřit podpis
gpg kresba1.png.gpg = dešifrovat a ověřit podpis (zkrácený zápis)
gpg -d --multifile soubor.txt.gpg soubor2.txt.gpg soubor3.txt.gpg
gpg --refresh-keys = aktualizovat klíče ze serveru klíčů
gpg --fingerprint = výpis klíčů s otisky prstů
gpg --auto-key-locate keyserver --locate-keys pave@gmail.com - načtení (import) veřejného klíče
gpg --import jan_novak.asc = načtení nějakého veřejného klíče ze souboru
gpg -o Petr.asc --export -a Pávek@gmail.com = export veřejného klíče do souboru
gpg -o sec_Petr.asc --export-secret-key -a AB0F2030 = export soukromého (tajného) klíče do souboru
gpg --import sec_Petr.asc = načtení soukromého (tajného) klíče ze souboru
gpg --recv-keys --keyserver pgp.mit.edu FA773B7F = stažení veřejného klíče ze serveru klíčů
gpg --send-keys 47B7F7DF6E496E1D69A5686B54C43A49E510A53C = odeslání veřejného klíče na server PGP klíčů
gpg --sign-key FA773B7F = podepsání cizího veřejného klíče
gpg -K = vypsání soukromého klíče
gpg --list-keys = výpis všech klíčů
gpg -k --show-photos = výpis všech klíčů i fotoid (fotkou)
gpg --search-keys Ferda Mravenec = hledání veřejného klíče
gpg --check-sigs = kontrola podpisů (status "!" = OK, "-" = chybný podpis, "%" = chyba během kontroly podpisu)
gpg --update-trustdb - úprava pavučiny důvěry, dotazy k jednotlivým klíčům
gpg --check-trustdb - úprava pavučiny důvěry automaticky bez dotazů
gpg --edit-key keyid: trust - nastavení míry důvěry pro vybraný klíč, check - seznam podpisů klíče
gpg --list-sigs AE0B5090 - výpis všech podpisů klíče
gpg --delete-secret-and-public-key EA2A1FAC = smazání tajného i veřejného klíče = smazání osobního klíče
gpg --dump-options = výpis všech příkazů

Úpravy OpenPGP klíčů

Většina úprav klíčů se provádí na osobním klíči, na veřejném klíči (patřícímu k osobnímu klíči) pro jehož změnu je třeba mít soukromý klíč a znát heslo k soukromému klíči. Jenom heslo k soukromému klíči je v soukromém klíči.
Cizí veřejné klíče můžeme podepsat a poslat zpět na server OpenPGP klíčů, čímž se vytváří síť důvěry (pavučina).

Vstup do editačního módu GPG

gpg --edit-key 18F239CBA1A42E70299ABC183934A098F07ADAC1

Zobrazí se gpg> což znamená, ze jsme gpg módu úprav, kde lze zadávat jednotlivé, níže uvedené, příkazy.

gpg> help = výpis nápovědy

quit        ukončí gpg mód úprav bez uložení změn
save        uložit změny a ukončit
help        ukáže tuto nápovědu
fpr         vypsat otisk klíče
grip        ukázat keygrip
list        vypsat seznam klíčů a id uživatelů
uid         vyberte identifikátor uživatele N
key         vyberte podklíč N
check       kontrolovat podpisy
sign        podepsat vybrané ID uživatele [* níže jsou uvedeny relevantní příkazy]
lsign       podepsat vybrané uživatelské ID lokálně
tsign       podepsat vybrané uživatelské ID důvěryhodným podpisem
nrsign      podepsat vybraná uživatelská ID neodvolatelným podpisem
adduid      přidat identifikátor uživatele
addphoto    přidat fotografický ID
deluid      smazat vybrané ID uživatele
addkey      přidat podklíč
addcardkey  přidat klíč na kartu
keytocard   přesunout klíč na kartu
bkuptocard  přesunout záložní klíč na kartu
delkey      smazat vybrané podklíče
addrevoker  přidat revokační klíč
delsig      smazat podpisy z vybraných uživatelských ID
expire      změnit datum expirace pro klíč nebo vybrané podklíče
primary     označit vybrané uživatelské ID jako primární
pref        vypsat seznam předvoleb (pro experty)
showpref    vypsat seznam předvoleb (podrobně)
setpref     nastavit sadu preferencí pro vybrané uživatelské ID
keyserver   nastavit URL preferovaného serveru klíčů pro vybraná uživatelská ID
notation    zadat poznámku pro vybraná uživatelská ID
passwd      změnit heslo
trust       změnit důvěryhodnost vlastníka klíče
revsig      revokovat podpisu na vybraných uživatelských ID
revuid      revokovat vybrané uživatelské ID
revkey      revokovat klíč nebo vybrané podklíče
enable      nastavit klíč jako platný (enable)
disable     nastavit klíč jako neplatný (disable)
showphoto   ukázat vybrané fotografické ID
clean       směstnat nepoužitelná ID uživatelů a odstranit z klíče nepoužitelné podpisy
minimize    směstnat nepoužitelná ID uživatelů a odstranit z klíče všechny podpisy

* Příkaz „sign“ může být použit s předponou „l“ pro lokální podpis (lsign),
s „t“ pro důvěryhodný podpis (tsign) nebo „nr“ pro neodvolatelný
podpis (nrsign) nebo libovolnou jejich kombinací (ltsign, tnrsign, atd.).

gpg> passwd = změna hesla k tajnému klíči
gpg> addphoto <ENTER> = přidání fotky
gpg> expire <ENTER> = změna datumu vypršení platnosti klíče
gpg> deluid 2 <ENTER> = smazání nechtěných UID v gpg

Smazání nežádoucího UID OpenPGP klíče se skládá ze třech kroků

1. gpg> list <ENTER> - vypíše jednotlivá UID s čísly, např. [  absolutní ] (1).Petr K. <peka@seznam.cz>
[  absolutní ] (2)  peka@seznam.cz - chceme smazat UID 2
2. gpg> uid 2 - označí zvolené UID *
3. gpg> deluid 2 - kontrolní dotaz a/N a pak  to vybrané UID smaže (po gpg> save se změny trvale uloží)

gpg>save <ENTER> = uložení změn, v novějších verzích se provede automaticky quit!
gpg>quit <ENTER> = ukončení módu editace klíče s (pokud byl spuštěn příkaz save) nebo bez uložení změn

Revokace (zneplatnění) veřejného OpenPGP klíče

Musíte k tomu mít tajný klíč!

1. Vytvořit revok. certifikát:
   gpg --output revoke_18F849CBA1A42E70299ABC125934A098F07ADAC8.asc --gen-revoke 18F849CBA1A42E70299ABC125934A098F07ADAC8
   (bez vlastnictví tajného klíče to nelze provést)
   Po vytvoření rev. certifikátu se vypíše upozornění:
   Revokační certifikát byl vytvořen.
   Prosím přeneste jej na médium, které můžete dobře schovat. Pokud se
   k tomuto certifikátu dostane nepovolaná osoba, může zneplatnit Váš klíč.
2. gpg --import revoke_18F849CBA1A42E70299ABC125934A098F07ADAC8.asc
3. gpg --send-keys 18F849CBA1A42E70299ABC125934A098F07ADAC8 = odeslání revokovaného veřejného klíče na server klíčů
4. gpg --delete-secret-and-public-key 18F849CBA1A42E70299ABC125934A098F07ADAC8 = smazání tajného i veřejného klíče

Pozn.: Revokační certifikát se vytváří ihned po vytvoření páru klíčů.

Editace OpenPGP osobního klíče

Do editačního módu přejdeme příkazem:

gpg --edit-key AE0B5090
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Tajný klíč je dostupný.

pub  1024D/AE0B5090  vytvořen: 2007-04-12  platnost skončí: 2017-03-21  použití: SC 
důvěra: absolutní    platnost: absolutní
sub  4096g/FF7837AA  vytvořen: 2007-04-12  platnost skončí: 2017-03-21  použití: E  
[  absolutní ] (1). Petr Pávek (Růžová 1377, ŽELEZNÝ BROD, ČOP:109777991) <Pávek@gmail.com>
[  absolutní ] (2)  [jpeg image of size 2355]

Příkaz>

Jako příkaz můžeme dát:

addptoto = přidání fotky
passwd = změna hesla k soukromému (tajnému) klíči

Aby se změny projevily, je nutné ukončit editační mód příkazem save.
Příkazem quit se editační mód ukončí bez uložení změn.
Další možnosti úpravy OpenPGP osobního klíče jsou viz výše.

Šifrování v GPG symetrickou šifrou

Toto nevyžaduje mít tajný a veřejný klíč, ale bezpečnost je dána kvalitou hesla! Toto heslo musí znát i příjemce zprávy.

Zašifrování souboru symetrickou šifrou:

gpg -c banner.jpg
Vložte heslo: heslo
Opakujte heslo: heslo

Vytvoří se zašifrovaný soubor banner.png.gpg.

Dešifrování souboru zašifrovaného symetr. šifrou:

gpg --output banner.png -d banner.png.gpg
vložte heslo: heslo
gpg: CAST5 zašifrovaná data
gpg: zašifrováno jedním heslem
gpg: VAROVÁNÍ: zpráva nebyla chráněna proti porušení její integrity

GnuPG – gpg návod na vytvoření páru klíčů

Zjištění verze GnuPG

uzivatel@PC-lin:~$ gpg --version

Vytvoření páru OpenPGP klíčů v příkazovém řádku

V někdy se to taky nazývá „osobní klíč“ = pár klíčů (soukromý, tajný klíč + veřejný klíč = pár klíčů [osobní klíč]).

gpg --full-gen-key
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Prosím, vyberte druh klíče, který chcete:
(1) RSA a RSA (implicitní)
(2) DSA a Elgamal
(3) DSA (pouze pro podpis)
(4) RSA (pouze pro podpis)
(14) Existing key from card
Váš výběr? <ENTER>
klíč RSA může mít délku v intervalu 1024 až 4096 bitů.
Jakou délku klíče si přejete? (3072) 4096
Požadovaná délka klíče je 4096 bitů.
Prosím určete, jak dlouho by klíč měl platit.
0 = doba platnosti klíče není omezena
<n>  = doba platnosti klíče skončí za n dní
<n>w = doba platnosti klíče skončí za n týdnů
<n>m = doba platnosti klíče skončí za n měsíců
<n>y = doba platnosti klíče skončí za n let
Klíč je platný po? (0) 30
Platnost klíče skončí v Pá 3. července 2020, 10:37:15 CEST
Je to správně (a/N)? a
GnuPG potřebuje sestrojit uživatelské ID, aby bylo možné rozpoznat
váš klíč.

Jméno a příjmení: Jan Hus
E-mailová adresa: janhus@seznam.cz
Komentář: Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789
Používáte znakovou sadu „utf-8“.
Zvolil(a) jste tento identifikátor uživatele:
„Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>“

Změnit (J)méno, (K)omentář, (E)-mail, (P)okračovat dál nebo (U)končit program? P
Musíme vytvořit mnoho náhodných bajtů. Během vytváření můžete
provádět nějakou jinou práci na počítači (psát na klávesnici, pohybovat myší,
používat disky); díky tomu má generátor lepší šanci získat dostatek entropie.

gpg: klíč 9FB42FB961DC9D51 označen jako absolutně důvěryhodný.
gpg: adresář „/home/Petr/.gnupg/openpgp-revocs.d“ vytvořen
gpg: odvolací certifikát uložen jako „/home/Petr/.gnupg/openpgp-revocs.d/E267C4466BF47646145B78759FB42FB961DC9D51.rev“
veřejný a tajný klíč byly vytvořeny a podepsány.

pub   rsa4096 2020-06-03 [SC] [platnost skončí: 2020-07-03]
E267C4466BF47646145B78759FB42FB961DC9D51
uid                      Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sub   rsa4096 2020-06-03 [E] [platnost skončí: 2020-07-03]

Vytvořený odvolací certifikát
v adresáři „/home/Petr/.gnupg/openpgp-revocs.d/E267C4466BF47646145B78759FB42FB961DC9D51.rev“:

Toto je revokační certifikát pro OpenPGP klíč:

pub   rsa4096 2023-08-10 [S] [platnost skončí: 2023-08-17]
EB0AB9B9382CB8C77507195DDEC737F1F566B538
uid          Josef Novák (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <jonovak753@seznam.cz>

Odvolací certifikát je svým způsoben „bezpečnostní vypínač“, který
veřejně prohlašuje, že klíč by se již neměl používat. Jednou zveřejněný
odvolací certifikát již nelze vzít zpět.

Použijte jej pro odvolání tohoto klíče v případě zneužití nebo ztráty
soukromého klíče. Avšak bude-li soukromý klíč stále přístupný, bude
lepší vytvořit nový odvolací certifikát s odůvodněním odvolání.
Podrobnosti naleznete v manuálu GnuPG u popisu příkazu
„gpg --generate-revocation“.

Aby se zabránilo nechtěnému použití tohoto souboru, níže před 5 pomlček byla
vložena dvojtečka. Před importem a zveřejněním tohoto odvolacího certifikátu
odstraňte tuto dvojtečku textovým editorem.

:-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: This is a revocation certificate
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=wTlf
-----END PGP PUBLIC KEY BLOCK-----

Nahrání fotky

gpg --edit-key E267C4466BF47646145B78759FB42FB961DC9D51
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Tajný klíč je dostupný.

sec  rsa4096/9FB42FB961DC9D51
vytvořen: 2020-06-03  platnost skončí: 2020-07-03  použití: SC 
důvěra: absolutní    platnost: absolutní
ssb  rsa4096/98E70FD585E93D6C
vytvořen: 2020-06-03  platnost skončí: 2020-07-03  použití: E  
[  absolutní ] (1). Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>

gpg> addphoto

Vyberte obrázek, který bude použit jako Vaše fotografické ID. Obrázek musí
být ve formátu JPEG. Nezapomeňte, že obrázek bude uložen ve Vašem veřejném
klíči - velký obrázek bude mít za následek velmi velký veřejný klíč !
Vhodná velikost obrázku je asi 240x288.

Vložte jméno JPEG souboru s fotografickým ID: hus.jpg
Tento JPEG je opravdu velký (6347 bajtů)!
Jste si jistý(á), že jej chcete použít? (a/N) a
Icon theme "elementary" not found.
Je tato fotografie správná (a/N/u)? a

gpg>save

gpg --list-keys
gpg: kontroluji databázi důvěry
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: hloubka: 0  platných:   1  podepsaných:   0  důvěra: 0-, 0q, 0n, 0m, 0f, 1u
gpg: další kontrola databáze důvěry v 2020-07-03
/home/Petr/.gnupg/pubring.kbx
-------------------------------
pub   rsa4096 2020-06-03 [SC] [platnost skončí: 2020-07-03]
E267C4466BF47646145B78759FB42FB961DC9D51
uid       [  absolutní ] Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>
uid       [  absolutní ] [jpeg image of size 6347]
sub   rsa4096 2020-06-03 [E] [platnost skončí: 2020-07-03]

Poslání veřejného klíče na server gpg klíčů

gpg --send-keys E267C4466BF47646145B78759FB42FB961DC9D51
gpg: posílám klíč 9FB42FB961DC9D51 na hkps://keys.openpgp.org

Podepsání nějakého veřejného klíče

gpg --sign-key 4608C0CA2C941E8ACA5941D2191B300C733BBEA2

pub  rsa2048/191B300C733BBEA2
vytvořen: 2011-03-03  platnost skončí: nikdy       použití: SCA
důvěra: neznámý formát platnost: neznámý formát
sub  rsa2048/5EC6EECA2E45B28C
vytvořen: 2011-03-03  platnost skončí: nikdy       použití: E  
[  neznámá   ] (1). Info <info@bis.cz>


pub  rsa2048/191B300C733BBEA2
vytvořen: 2011-03-03  platnost skončí: nikdy       použití: SCA
důvěra: neznámý formát platnost: neznámý formát
Otisk primárního klíče: 4608 C0CA 2C94 1E8A CA59  41D2 191B 300C 733B BEA2

Info <info@bis.cz>

Jste si jistý(á), že chcete podepsat tento klíč
svým klíčem „Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>“ (9FB42FB961DC9D51)

Skutečně podepsat? (a/N) a

Kontrola podpisů veřejných klíčů

gpg --check-signatures
/home/Petr/.gnupg/pubring.kbx
-------------------------------
pub   rsa4096 2020-06-03 [SC] [platnost skončí: 2020-07-03]
E267C4466BF47646145B78759FB42FB961DC9D51
uid       [  absolutní ] Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sig!3        9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>
uid       [  absolutní ] [jpeg image of size 6347]
sig!3        9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sub   rsa4096 2020-06-03 [E] [platnost skončí: 2020-07-03]
sig!         9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>

pub   rsa2048 2011-03-03 [SCA]
4608C0CA2C941E8ACA5941D2191B300C733BBEA2
uid       [    plná    ] Info <info@bis.cz>
sig!3        191B300C733BBEA2 2011-03-03  Info <info@bis.cz>
sig!         9FB42FB961DC9D51 2020-06-03  Jan Hus (Na Chmelnici 1864, ŽELEZNÝ BROD, ČOP:123456789) <janhus@seznam.cz>
sub   rsa2048 2011-03-03 [E]
sig!         191B300C733BBEA2 2011-03-03  Info <info@bis.cz>

gpg: 6 dobrých podpisů

Výpis gpg (GnuPG) klíče

gpg --list-keys EBE59664B0E17C28109CD4D1B5965FE90D6994AC
pub   rsa4096 2017-03-16 [SC] [platnost skončí: 2027-03-14]
EBE59664B0E17C28109CD4D1B5965FE90D6994AC
uid       [  absolutní ] Petr Pávek (Růžová 1377, ŽELEZNÝ BROD, ČOP:206793439) <Pávek@gmail.com>
uid       [  absolutní ] [jpeg image of size 4031]
sub   rsa4096 2017-03-16 [E] [platnost skončí: 2027-03-14]

Další klíč:

gpg --list-keys A58D24F9DC29F4B153FF85D576C0B465FE7BEE98
pub   ed25519 2023-12-08 [SC] [platnost skončí: 2033-12-05]
A58D24F9DC29F4B153FF85D576C0B465FE7BEE98
uid       [  neznámá   ] Milan Kerslager <milan.kerslager@seznam.cz>
uid       [  neznámá   ] Milan Kerslager <milan.kerslager@gmail.com>
uid       [  neznámá   ] Milan Kerslager <milan.kerslager@pslib.cz>
sub   ed25519 2023-12-08 [S] [platnost skončí: 2026-12-07]
sub   cv25519 2023-12-08 [E] [platnost skončí: 2026-12-07]

Pozor, k jednomu klíči může být přiřazeno více e-mailů, není tak nuto ke každému e-mailu zřizovat nový pár klíčů. Stačí mít uvedeno více uid.

Přidání dalšího e-mailu (uid) k osobnímu klíči:

gpg --edit-key 18F239CBA1A42E70299ABC183934A098F07ADAC1
gpg (GnuPG) 2.2.27; Copyright (C) 2021 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Tajný klíč je dostupný.

sec  rsa4096/3934A098F07ADAC1
vytvořen: 2024-03-29  platnost skončí: 2027-03-29  použití: SC  
důvěra: neznámý formát platnost: neznámý formát
ssb  rsa4096/337C581E86BA6E93
vytvořen: 2024-03-29  platnost skončí: 2027-03-29  použití: E   
[  neznámá   ] (1). Velky Medved <velky.medved@email.cz>

gpg> list

sec  rsa4096/3934A098F07ADAC1
vytvořen: 2024-03-29  platnost skončí: 2027-03-29  použití: SC  
důvěra: neznámý formát platnost: neznámý formát
ssb  rsa4096/337C581E86BA6E93
vytvořen: 2024-03-29  platnost skončí: 2027-03-29  použití: E   
[  neznámá   ] (1). Velky Medved <velky.medved@email.cz>

gpg> adduid
Jméno a příjmení: Velky Medved
E-mailová adresa: vel.med@gmail.com
Komentář: Osobní email
Používáte znakovou sadu „utf-8“.
Zvolil(a) jste tento identifikátor uživatele:
„Velky Medved (Osobní email) <vel.med@gmail.com>“

Změnit (J)méno, (K)omentář, (E)-mail, (P)okračovat dál nebo (U)končit program? P

Po zadání (P) se přidá další uid, e-mail.
Pak se zadá příkaz <save> a <quit>. Viz opak, smazání nechtěného UID OpenPGP klíče
Nakonec se veřejný klíč odešle na server věřejných klíčů příkazem:
gpg --send-keys 18F239CBA1A42E70299ABC183934A098F07ADAC1

Pamatujte, že zveřejněním veřejného klíče (publikování) na serveru klíčů ho umožní ostatním najít.

Ve výpisu je postupně uvedeno:

• pub – veřejný hlavní klíč
• rsa4096 – použitý algoritmus datum vzniku klíče
• [SC] – co klíč umí (příznaky), u master klíče musí být vždy alespoň tyto dva
  C (Certify) – podepisování jiných klíčů
  S (Sign) – vytváření elektronického podpisu
  E (Encrypt) – šifrování
  A (Auth) – autentizace (tj. přihlašování pro SSH klíče)
• [platnost skončí: 2027-03-14] - konec platnosti klíče
• Otisk (fingerprint) - identifikátor klíče
• uid (user id) - uživatel jméno (přezdívka), adresa, e-mail, fotka (jpeg image)
• důvěryhodnost
  1. absolutní (ultimate) = osobní klíč, tedy veřejný klíč s existujícím soukromým klíčem do páru klíčů, moje vlastní klíče.
  2. plná (full) = klíč jsem ověřil
  3. částečná (marginal) = klíči věřím částečně
  4. nikdy (never) = klíči nevěřím
  5. nenastavena (undefined) = nevím nebo neřeknu
  6. neznámá (unknown) = zatím nenastaveno, neznámá
• sub – subklíče (klíče podřazené hlavnímu klíči, lze je přidávat/zneplatňovat)
  
  

Identifikátory OpenPGP klíče

1. Název klíče (Jméno Příjmení nebo přezdívka)
2. e-mail
3. ID klíče (keyID)
4. Otisk (otisk klíče - fingerprint)

Podle identifikátorů 2-4 se dají vyhledávat veřejné OpenPGP klíče na serveru klíčů.

TOFU - Trust On First Use – důvěřuj při prvním užití

V roce 2015 byl program gpg rozšířen o tento model.
Princip je jednoduchý – když přijde první podepsaná zpráva z nějaké e-mailové adresy, tak se z veřejného klíčového serveru stáhne klíč a označí jako částečně platný – je přidána nová úroveň platnosti. U několika následných použití uvedeného klíče (ověření podpisu či zašifrování pro dotyčného) se zobrazuje upozornění „There is limited assurance this key belongs to the named user“ (Existuje omezená záruka, že tento klíč patří uvedenému uživateli.). Poté se stane plně platným.

Kleopatra - grafická správa klíčů

Pro mnoho lidí může být práce s OpenPGP klíči složitá a obtížná. Cílem programu Kleopatra je snížit tuto obtížnost nabídkou příjemného grafického programu.

 

Související články s šifrováním podle OpenPGP standardu

1. ENIGMAIL - vynikající doplněk poštovního klienta THUNDERBIRD - thunderbird už ho nepotřebuje
2. GPA - výborné grafické rozhraní, frontend gpg
3. KLEOPATRA - GUI pro GnuGPG, součástí programové sady gpg4win pro Windows (Kleopatra existuje i pro Linux)
4. GpgFrontend - grafický správce OpenPGP klíčů (jako Kleopatra) ale jen pro OpenPGP klíče
5. GEANY - doplněk geanyPG umožnuje zašifrovat a podepsat text a dešifrovat/ověřit text, nic víc a proto bezpečný i pro začátečníky
6. K-9 mail + OpenKeychain - použití bezpečné emailové komunikace na mobilech (na androidu lze stáhnout z google play úložiště)

Bezpečnostní upozornění

Nezapomeňte všechny soubory se soukromým klíčem smazat bezpečně (skartovat),
např. shred -u seckey.asc!!! Obyčejné smazání není doporučeno, jelikož takový soubor se dá obnovit a okopírovat, zcizit. Pak by mohl někdo s vaším soukromým (osobním, tajným) klíčem nejenom číst vaše e-maily, ale také se za vás vydávat!
Pokud k tomu dojde (kompromitace osobního klíče), je nutno veřejný klíč zneplatnit (revokovat).

Používání šifrování v OpenPGP standardu

Nejčastější používání šifrování podle OpenPGP standardu je u e-mailových klientů, komunikátorů a dalších.

• e-mailoví klienti pro PC a notebooky: thunderbird, clawsmail, kmail, evolution, outlook
• e-mailoví klienti pro mobily: K-9 mail + OpenKeychain
• Protonmail
• Komunikátory: Pidgin
• Podepisování dokumentů a souborů
• Šifrování a podepisování souborů

Síť důvěry (web of trust)

Podvržené OpenPGP klíče podvodníky jsou běžnou a častou metodou pro podvody na internetu. Vytvořit si pár klíčů s falešnými údaji může každý. Proto se při stažení veřejného klíče ze serveru klíčů komunikující protistrany nejdříve zobrazuje, že klíč není ověřen a (zatím) se mu nedá důvěřovat. Je doporučeno u nově stažených veřejných klíčů si ověřit otisk (fingerprint) důvěryhodným, bezpečným kanálem. To je například telefonickým rozhovorem, na webových stránkách (NÚKIB), posláním přes šifrovaný Signal atd. Po ověření otisku pak takový veřejný klíč podepsat a poslat na server klíčů. V podstatě každý uživatel GnuPG může být certifikační autoritou. V reálném používání jsou to většinou naši známí, přátelé, spolupracovníci, obchodní partneři atd. Tím se buduje síť důvěry OpenPGP klíčů, popřípadě se použije při koncovém šifrování TOFU - Trust On First Use (důvěřuj při prvním užití).

Externí odkazy a články:

• linuxexpres - GPG
• Wikipedie
• Bezpečnost emailů
• bis.vse.cz
• Kleopatra návod

---