GPA - grafické rozhraní pro GnuPG (gpg)

Projekt GNU privacy assistant (GPA) si klade za cíl se stát standardním grafickým rozhraním pro GnuPG (GNU Privacy Guard, GPG) - GUI frontend.

GnuPG (GPG) je kryptografický software pro šifrování, dešifrování, digitální podepisování a ověřování dokumentů, emailů ap. Umožňuje taky správu soukromých a veřejných klíčů. Je šířen pod svobodnou licencí, tedy je zdarma pro jakékoliv (i komerční) použití. Používá asymetrickou kryptografii, tedy veřejné a soukromé (tajné) klíče (public a private). Pracuje se standardem OpenPGP, jehož specifikace je zveřejněna v RFC 4880. Program PGP byl dříve zdarma, později byl zpoplatněn, ovšem vytvořil standard PGP. Proto někdy jsou v gpg nebo například v enigmailu odkazy na PGP standard.

V linuxu je gpg vždy v základní distribuci. Přesvědčit se o tom lze snadno. V konzoli (WINDOWS v příkazovém řádku) se napíše: gpg --version a vypíše se nám:

gpg (GnuPG) 1.4.10
Copyright (C) 2008 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Podporované algoritmy:
Veřejný klíč: RSA, RSA-E, RSA-S, ELG-E, DSA
Šifra: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128,
CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Komprese: Nezakomprimováno, ZIP, ZLIB, BZIP2

Tím jsme se přesvědčili, že máme gpg přítomno a funkční.
Ve WINDOWS se musí GnuPG doinstalovat z http://www.gnupg.org/, nejlépe jako balíček gpg4win, jehož součástí je taky GPA (taky kleopatra aj.). Samozřejmě si můžete nainstalovat jen GnuPG bez grafické nadstavby, pak ale budete muset používat příkazovou řádku. Pokud používáte poštovního kienta THUNDERBIRD, tak to nevadí, stačí do něj přidat vynikající rozšíření ENIGMAIL, který má grafické rozhraní pro správu klíčů, šifrování, dešifrování a podepisování, takže již nic jiného nebudete potřebovat.

GPA je grafické rozhraní pro GnuPG (GPG).

Silnou stránkou GPA je práce s textem ve schránce (šifrovat, podepsat, ověřit a dešifrovat text ve schránce). Tím je umožněno vkládat zašifrovaný (+podepsaný) text do webových emailových rozhraní. Samozřejmě nejlepší volbou je text zašifrovat a podepsat. Zašifrovat text něčím veřejným klíčem může kdokoliv, proto až podepsání šifrované zprávy zaručuje, že byla napsána držitelem soukromého klíče. Bylo by velkou chybou při šifrování textu tento ještě dát zvlášť digitálně podepsat. Na to v GPA existuje zatrhávací políčko "podepsat", které zajistí podepsání zašifrovaného textu. Doporučuji vždy jako příjemce přidat sebe (svůj veřejný klíč). Tím bude zajištěna možnost přečtení odeslaných zašifrovaných zpráv. Jinak by bylo nutné o text zprávy žádat původního příjemce zprávy. Nejlepší je to nastavit v menu edit, backend preferences, encrypt-to (v záložce GPG for OpenPGP), use custom value - zadat ID svého klíče, např. AE0B5090. Tím bude zajištěno to, že se jako přijemce vždy zadá navíc taky specifikovaný klíč. Toto nastavení rozhodně doporučuji, na bezpečnost to nemá vliv a vy si vždy budete moci přečíst odeslané zprávy.
Pro dešifrování zprávy doporučuji vždy používat tlačítko "kontrola podpisu". Tím dojde k dešifrování zprávy a kontrole podpisu. Dopředu totiž na zašifrovaném textu není poznat, zda je zpráva pouze zašifrována nebo zašifrována + podepsána. Pokud zpráva podpis neobsahuje, tak se nic neděje, oblast s kontrolou podpisu bude prázdná.

 

 

Při potřebě použít tajný klíč se zobrazí výzva k zadání hesla - pinentry. To je naprosto v pořádku a bezpečné.

Hodnocení

Podle mého názoru je to jeden z vynikajících nástrojů, tedy grafická nadstavba pro GnuPG - GPG (front end). Bohužel dobrý dojem kazí neúplný překlad, někde dokonce zamíchaný s němčinou (gültigkeit - platnost). V UBUNTU v 10.04 LTS funguje bez problémů, v 12.04 LTS nejde vůbec, viz poznámka pod čarou. V novějších verzích UBUNTU i DEBIAN vyskakuje chyba, škoda. GPA pracuje taky v MS WINDOWS, stačí si nainstalovat GPG4win, zde pracuje GPA bezchybně. Ještě jsem v testované verzi 0.9.0 v ubuntu 10.04 LTS při generování párů klíčů všiml, že při zadání doby platnosti klíče je to ignorováno a klíč se vytvoří s neomezenou dobou platnosti. Pak se to musí změnit v editaci soukromého klíče. Taky mi chybí možnost vytvořit revokační certifikát. Nezbývá, než ho vytvořit v konzoli příkazem
gpg --output 0BB2876F_revoke_josef_novak.asc --gen-revoke 0BB2876F.

Bohužel GPA taky neumožňuje zvolit délku klíče, automaticky nastaví RSA 2048 bitů. Největší délka je přitom 4096 bitů. Takže v LINUXu nezbývá než nový pár klíčů (veřejný a soukromý) vytvořit v konzoli příkazem gpg --gen-keys nebo pomocí doplňku emailového klienta thunderbirdu ENIGMAIL (tento všechny potřebné volby obsahuje). Ve WINDOWS lze k tomu použít Kleopatru, ta potřebné volby obsahuje také, ale zase nemá tak dobrou práci se schránkou jako GPA. Pro WEBMAILY je to důležité. GPA umí napsat text ve schránce, zašifrovat pro příjemce a zároveň podepsat. V Kleopatře je toto dost nepohodlné, neumožňuje psát text přímo ve schránce, ikdyž podporu schránky obsahuje.

Záloha soukromého klíče je dobrá věc při ztrátě nebo poškození tohoto klíče, ale nepomůže nám při zapomenutí hesla tajného klíče. Pro vytvoření revokačního certifikátu je totiž potřeba tajný klíč (a znalost hesla). Pro revokaci (zneplatnění) veřejného klíče již není heslo potřeba, stačí k tomu revokační certifikát. Proto je nutno chránit revokační certifikát stejně jako soukromý klíč.

Proč je vlastně tak důležité nepoužívaný klíč (ztracený, poškozený, se zapomenutým heslem) zneplatnit? Protože veřejný klíč jednou vložený na server klíčů již nejde nijak odstranit a trvale tam zůstává. Jde pouze označit jako neplatný (revokovaný).
Možná někdo namítne, že je pak lepší si nechávat klíče na svém webu. To určitě není nejlepší nápad, protože PGP standard dle RFC 4880 je založen na pavučině důvěry. Pak by nikdo nemohl tento veřejný klíč (vystavený na vlastním webu) podepsat a tím mu zvýšit důvěryhodnost.

 

Stažení a instalace GPA

1. WINDOWS - GPG4win GnuPG a GPA (bez kleopatry a ostatních komponent)
2. LINUX - bývá v balíčkovacím systému

---

Poznámka: V UBUNTU 12.04 LTS balíček GPA byl vyřazen z depozitáře proto, že GPA nepracoval správně a zobrazoval chybu. Pro správu klíčů je možné používat SEAHORSE (menu aplikace, systémové nástroje, předvolby, hesla a klíče), pro šifrování/dešifrování textu (např. ve webfreemailech) GEANY, doplněk geanyPG, umožnuje zašifrovat a podepsat text a dešifrovat/ověřit text. Ani v novějších distribucích (UBUNTU, DEBIAN 8) GPA nepracuje správně, hlasí chybu v GPGME.

Knihovna PGPME vrátila neočekávanou chybu:
Obecná chyba Assuanu

Řešením „chyba PGPME - chyba v Assuanu“ je při spuštění GPA vypnout x.509, tedy spouštět ho takto:

gpa --disable-x509

Potíže s GPA nezmizely ani ve verzi GPA 0.9.9 (lubuntu 16.04 LTS). Proto doporučuji stále spouštět GPA s vypnutou podporou x509: gpa --disable-x509

---