Все о GPG/PGP

Тема про шифрование PGP/GPG.
Криптография: основы для начинающих
Программа Gpg4Usb
Немного о ключах и полезные настройки gpg.conf
Скрипт генерации ключей для Gpg4Usb
Шифрованное общение с помощью Gpg4usb и Psi+, для Linux
g - оболочка для GPG под Linux от Trepet

Ссылки по теме, оставленные пользователями:
https://www.gnupg.org/download/ - Скачать GPG, консольный, "самый правильный" вариант
https://www.hanewin.net/encrypt/PGcrypt.htm - Вот еще шифровалка gpg, кому надо тупо отправить зашифрованное сообщение и есть открытый ключ, все сделает прямо в браузере
https://www.pgpru.com/biblioteka/osnovy/vvedenievkripto/glava1 - Основы криптографии
https://gpg4usb.*****unk.de/docu.html - документация по Gpg4Usb на английском
https://securityinabox.org/ru/guide/gpg4usb/windows/ - документация по Gpg4Usb на русском
https://www.gpgtools.org - GPG для Mac

Программа GPG4USB

Интересное наблюдение. На большинстве ресурсов инструкции по GPG заключаются в монструозных простынях использования командной строки или устаревших и кривых графических оболочках со множеством ограничений.

В то же время есть очень приятная, простая и эффективная альтернатива - GPG4USB. Есть версии для Windows и Linux, программа имеет приятный и не перегруженный интерфейс, русский язык и что самое интересное - она полностью портативна. Т.е. можно держать ее на флешке или контейнере TrueCrypt.

Безусловно, большую эффективность и способность к интеграции вам даст официальный консольный вариант, но лучшей программы для новичков и тех, кому "просто нужно отправить зашифрованное gpg сообщение", на мой взгляд, нет.
Xbit

Немного о ключах и полезные настройки gpg.conf

Давно заметил, что в переписке многие полагаются на настройки GPG "как есть". Что в общем неплохо, ибо необдуманные действия - главная причина неудач. Но некоторые аспекты все же полезно будет узнать и использовать.

Следующий абзац неподготовленный читатель может пропустить.
К примеру, если все хоть смутно, но понимают, что создается пара ключей "секретный-публичный", то мало кто знает, что секретный сам состоит из нескольких ключей. По умолчанию производится генерация двух секретных ключей - для подписи и шифрования. Раньше по-умолчанию создавались ключи DSA для подписи не более 1024 bit и ELG для шифрования не более 4096 bit. Использование DSA длиной 1024 бита накладывает определенные ограничения на качество подписи, т.к. для этого используется ненадежный алгоритм хэширования SHA1 (сломан).

В современных версиях gpg по умолчанию для генерации секретных ключей предлагается использовать RSA длиной до 4096 бит, что является хорошим уровнем защиты вашей информации, предоставляя возможность использовать хэш-функцию SHA512. Однако программа GPG4USB до сих пор для генерации ключей использует старые значения, и генерирует DSA-ELG ключи. Поэтому для генерации пары секретных ключей RSA-RSA рекомендуется использовать другие программы или вовсе консольный вариант GPG.

Для того, чтобы использовать SHA512 в подписи, для надежности, лучше указать это в файле настроек gpg.conf, который лежит в домашнем GPG-каталоге, там, где находятся связки ключей. Это и другие полезные настройки приведены ниже:

#Раскоментируйте строку ниже для более анонимной отправки сообщения 
#throw-keyid

#Не вписывать версию GPG с сообщения
no-emit-version

#Рекомендуемые настройки максимальной безопасности 
personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB ZIP Uncompressed

Следует пояснить опцию "throw-keyid". При отправке зашифрованного сообщения, в нем открытым текстом вписывается ID ключа, чтобы программа на стороне получателя смогла прямо выбрать секретный ключ для дешифровки. Если раскомментировать (убрать #) или добавить throw-keyid, то ID ключа становится неизвестным и программа-дешифратор должна сама перебрать все известные секретные ключи. Не все программы умеют это делать, и включение этой опции при использовании программ мгновенной передачи сообщений (Psi, Miranda и т.п.) скорее всего приведет к ошибке.

Мне тут сообщили, что фича с TZ не работает. Вынужден признать, что это так Манипуляция заголовками средств общения меня расслабила Радует то, что есть люди, которые не просто читают материалы, а перепроверяют их 

Но направление мыслей в общем верное и интересное. Смотреть элементарно в сторону libfaketime для никсов и runasdate для винды.

А можно отсюда поподробней, я чего-то не догнал!  Что за другие программы или консольный вариант?

Скрипт генерации ключей для GPG4USB

Представляю вашему вниманию скрипт генерации ключей, совместимый с программой GPG4USB. Скрипт генерирует RSA ключи длиной 4096 бит. От вас всего лишь требуется запустить скрипт и ввести имя и пароль. Проще некуда

Инструкции простые: скачиваем архив, распаковываем файлы в папку с программой GPG4USB и запускаем genkey.bat для Windows и genkey для Linux (для линукса не забываем про chmod +x genkey). Далее необходимо ввести желаемое имя и парольную фразу. Все!

Примечания:
- Пароль виден в консоли и не может быть пустым
- Генерация может занять некоторое время
- Можно использовать имя короче 5 символов
- Путем нехитрого редактирования скрипта возможно увеличить размеры ключей: установить значение, например, в 8192 бит
- Нельзя ввести e-mail и комментарий. Кому надо, добавляют после или редактируют скрипт самостоятельно

Тестирование и отзывы приветствуются 

Zed, а как скрестить все это чудо с каким-нибудь мессенджером? За...ся уже все настраивать, вся надежда только на тебя

Ну раз вся надежда, то чего-нибудь наваяю в скором времени

А ведь много различных описаний взаимодействия GPG/PGP, например, с Jabber. Причем, на разных клиентах, например, PSI.

Или имеется в виду, что-то другое?

ГАНТЕЛИ, в gpg4win сейчас используется gpg2, у которого проблемы с интеграцией.

Я вообще имел в виду в связке с программой gpg4usb, тема-то про нее, желательно чтоб еще и портативное все было. Просто так сделать связку несложно.

С ней и будет инструкция. В процессе

Шифрованное общение с помощью Gpg4usb и Psi+

1. Подготовка. Качаем софт. Нам понадобятся:

-Psi+ - продвинутый jabber-мессенджер. Заходим по ссылке и качаем последнюю версию Psi+.

-Gpg4usb, надеюсь, все знают, где качать.

-Скрипт генерации ключей (необязательно, подробнее) и скрипт запуска сборки by Zed

2. Устанавливаем Psi+. Изначально портативной сборки Psi+ создатели не выкладывают, поэтому программу сначала нужно установить. Примечание: для установки лучше использовать виртуальную машину. Установка проста, необходимые нам компоненты: Psi+ Core Components, Psi+ Plugins, Psi+ Translations.

3. Создаем папку, где и будем хранить связку. К примеру, "GPG IM". В нее распаковываем содержимое архива gpg4usb-xxx.zip (т.е. папку gpg4usb) и содержимое архива со скриптом запуска. Копируем внутрь "GPG IM" папку Psi+, установленную выше. Далее из папки GPG IM\gpg4usb\bin копируем файл gpg.exe в папку GPG IM\Psi+. В папку GPG IM\gpg4usb в свою очередь кладем содержимое архива генерации ключей. Все, для первого запуска у нас все подготовлено. Примечание: установленную Psi+ теперь можно удалить.

4. Генерация ключей. Для начала нам необходимо сгенерировать себе ключевую пару. Для этого запускаем скрипт генерации ключей genkey.bat в папке GPG IM\gpg4usb, вводим желаемые ник и парольную фразу. Примечание: в последних версиях gpg4usb можно генерировать ключи в самой программе, скриптом пользоваться необязательно.

5. Запуск. Запускаем start_gpg_im.bat, импортируем ключи собеседников в gpg4usb. Примечание: при появлении мастера первого запуска gpg4usb жмем "Далее", "Далее", "Завершить". Все Теперь можно пользоваться связкой GPG-Psi+. Осталось научиться пользоваться Psi, это сюда. Однако расскажу про некоторые тонкости:

-Регистрация. Psi+ некорректно делает DNS-запросы, минуя настройки прокси. Это создает угрозу вашей анонимности, поэтому при указании сервера нужно писать не только доменное имя, но и вручную указывать его ip-адрес. Примечание: узнать ip-адрес сервера можно с помощью специальных веб-сервисов, например здесь (остальные - в поисковиках). При использовании данного метода в логах Tor можно увидеть предупреждения о DNS-утечке, но т.к. вы сам проставили ip-адрес, их можно игнорировать.


-Установка прокси. Пользоваться Psi+ и регистрировать новый джаббер-аккаунт следует, естественно, исключительно через Tor. При первом запуске регистрация делается так. Нажимаем "Зарегистрировать новый", в поле "Прокси-сервер" нажимаем "Изменить". Далее "Создать", имя - Tor, тип - "SOCKS Version 5", адрес "127.0.0.1", порт "9150" (порт на скриншоте пока неправильный), "Сохранить".

-Настройка аккаунта. На вкладке "Аккаунт" можно выключить ведение истории сообщений, сняв соответствующую галку. На вкладке "Подробности" необходимо выбрать ВАШ OpnePGP-ключ. Примечание: чтобы присвоить GPG-ключ собеседнику, необходимо ткнуть на контакт в ростере (главное окно Psi+) правой кнопкой и нажать "Присвоить ключ OpenPGP". На вкладке "Соединение" необходимо удостовериться, что соединение идет через Tor, шифруется и вручную указан ip-адрес и порт jabber-сервера. На вкладке "Другое" в поле "Ресурс" проставить "localhost".

-Общение. При общении убедитесь, что кнопка замка на панели активна - это означает, что ваше общение зашифровано.

-Прочие настройки. Нелишними для безопасности будут следующие настройки: "Настройки-Статус-PEP" снять все галки; "Настройки-Дополнительно-options-pgp-auto start" поставить "true" - это позволит автоматически активировать шифрование с теми, с кем это возможно; "Настройки-Плагины", активировать Client Switcher plugin и на первой вкладке активировать все галки.

Итого: имеем полностью портативное решение обмена GPG-сообщениями в реальном времени Папку GPG IM можно переписать на флешку (в зашифрованный контейнер Truecrypt) и пользоваться сборкой на разных компьютерах.

Отзывы приветствуются
У меня вопрос: нужно ли то же самое для Linux?

Еще для этих целей есть tor-resolve

У меня когда регестрирую акк пишет "Сервер не поддерживает создание аакаунтов" и  "Во время работы с сервером Офииук произошла ошибка. Подробности: Ошибка потока XMPP: Общая ошибка потока"

Ну так может сервер и не поддерживает создание аккаунтов?
На Tor программу натравил? Узнал, указал ip-адрес сервера?

Попробуйте другой сервер (jabme.de 213.239.200.187 )

Вопрос к ZED: что можно удалять и какие файлы оставить после всех манипуляций по Вашей инструкции? Собственно интересует пункт "Примечание: установленную Psi+ теперь можно удалить."
Спасибо!

iaSk, удалять можно установленную версию Psi+ (по умолчанию в папке C:\Program Files\Psi+ или в какой-то подобной), ведь инструкция предполагает портативность, и всю папку Psi+ по инструкции нужно скопировать в папку со сборкой. Еще можно удалить архивы со скриптами - их содержимое тоже есть в папке со сборкой.

Всё, я понял. Меня ввело в заблуждение то, что я не копировал, а переместил папку Psi+ =)