Криптография - статьи
         

Криптография - статьи


Александр Лозовюк

Для обеспечения конфиденциальности информации, передаваемой через интернет, используется шифрование и цифровые подписи. Рассмотрим одну из бесплатных утилит для поддержки этих функций на вашем компьютере.

Программа является продуктом сообщества OpenSource, распространяется под лицензией General Public License (GPL) и получить ее можно как в бинарном виде для любой платформы, так и в виде исходных текстов. Пакет изначально присутсвует в любом дистрибутиве Linux и используется во многих приложениях.

Основные функции GnuPG таковы:

  • шифрование текста и файлов (используется несколько алгоритмов);
  • подписывание документов электронной цифровой подписью и проверка чужих подписей;
  • создание и управление списками открытых ключей респондентов.

Конечно, используются только открытые и свободные системы шифрования, например, алгоритм IDEA не поддерживается ввиду того, что срок действия патента на него еще не истек (он действителен до 2007 года, но реализации алгоритма доступны уже сейчас, например: ftp://ftp.gnupg.dk/pub/contrib-dk/.

Следует отметить, что GnuPG исключительно консольная утилита и работает только с командной строки. Конечно, уже есть несколько графических оболочек для упрощения работы и доступно множество компонент для разных языков и сред программирования, но об этом мы расскажем в следующих статьях. GnuPG разработана для обеспечения совместимости с пакетом PGP - в большей части все сказанное о GnuPG, включая алгоритмы, команды и форматы файлов, можно применить и к пакету PGP.

В GnuPG используются разные криптографические алгоритмы: симметричные шифры, шифрование с открытым ключом и смешанные алгоритмы. Длина ключа в 1024 или 2048 бит достаточна для того, что бы вы могли спокойно доверить шифрованию свои секретные данные.

Основной особенностью является система ключей. В GnuPG вы создаете себе несколько ключей, причем каждый служит для отдельного действия (и использует разные алгоритмы). Один из ключей, создаваемые первым, является главным ключом, остальные подчиненными, подключами. Например, главный ключ используется только для подписи самых важных документов, имеет длину 1024 бит, алгоритм DSA, срок действия ключа не ограничен. Для шифрования документов вы создаете еще один или несколько подключей (например, для деловой и личной переписки), которые могут использоваться только для шифрования (алгоритмы ElGamal или RSA). Для этих ключей можно назначить срок использования, например, год или два.

Для первичного ключа можно (и надо) сгенерировать отзывающий сертификат (revokation certificate), который поможет уведомить ваших респондентов о том, что ваш ключ утерян или раскрыт и не может больше применятся, он с этого момента считается отозванным. В дальнейшем с помощью отозванного ключа можно проверять вашу подпись, но нельзя использовать для подписывания новых документов.

Описанная иерархия ключей изображена на рис.


К этой схеме надо дать пояснение. Изначально, при генерации набора ключей, создается пара из двух ключей: главного (алгоритм DSA, 1024 бит) который используется для подписи, и подключа для шифрования документа (ElGamal). Для ключей ElGamal длина может быть до 4096 бит, для остальных – по умолчанию 1024, а максимум 2048 бит.

Теперь давайте приступим к практической работе с GnuPG. Для запуска достаточно перейти в каталог и вызвать программу gpg. Краткий список наиболее важных команд будет дан ниже (как уже говорилось, GnuPG консольная утилита, поэтому все операции выполняются посредством команд из командной строки), сейчас мы воспользуемся командой для генерации нового ключа - --gen-key.

Сперва надо выбрать типы ключей (DSA или RSA), потом задать их длину и срок действия. Если выбирается генерация ключа с установками по умолчанию, то главный ключ DSA будет иметь длину 1024 бит, а для подчиненного ключа ElGamal длину можно выбрать произвольно. Далее в диалоговом режиме укажите свое имя и адрес email, а также пароль для защиты вашего закрытого ключа. В результате в списке ключей (программа ведет свою собственную базу ключей, куда заносятся открытые ключи ваших респондентов) появится новый ключ. GnuPG также поддерживает связь с открытыми серверами, на которых размещаются базы данных открытых ключей, ваш ключ можно туда экспортировать командой --send-keys.

В некоторых случаях вам может потребоваться ваш ключ (открытый или закрытый) в виде переносимого файла (его можно записать на носитель, к примеру USB flash-drive). GnuPG позволяет экспортировать ваши ключи или всю базу ключей в виде одного файла, в бинарном или текстовом виде (команда --export).

И так, вернемся назад к возможностям программы. Для работы с документами доступны несколько команд:

  • подписать документ;
  • зашифровать документ;
  • подписать и зашифровать документ;

Причем, выходной файл можно получить как в исходном виде, так и в чистом текстовом виде (ASCI) вне зависимости от природы исходного файла. К примеру, имеете файл с программой, он двоичный, шифруете и подписываете его, на выходе получаете текстовый файл. После расшифровки, естественно, файл восстанавливается. Это может пригодиться для сохранения зашифрованных файлов в таблицах СУБД.

Для примера приведем содержания зашифрованного и подписанного файла, а справа – в документ внедрена только цифровая подпись, сам текст документа открыт – такая подпись называется прозрачной – clearsign.

Кроме прозрачной подписи, GnuPG может создавать еще и отделённые подписи командой --detach-sign. Такая подпись сохраняется в отдельном файле с расширением *.asc и должна распространятся вместе с подписываемым документом. При проверке такой подписи необходимо указать полный путь к файлу подписи. При этом сам документ может быть как зашифрованным, так и полностью открытым.

Тут следует остановиться на методе шифрования файлов. Для этого GnuPG (и PGP) использует не чистый алгоритм с открытым ключом, а смешанный – для документа формируется уникальный сеансовый ключ, который шифруется шифром с открытым ключом, текст документа шифруется симметричным шифром на основе сеансового ключа. Получатель с помощью своего секретного ключа расшифровывает сначала сеансовый ключ, а потом с его помощью сам документ. Такая схема работает быстрее, чем шифрование с открытым ключом, а по надежности (криптостойкости) равна надежности самого слабого из алгоритмов. Конечно, теоретически, это позволяет упростить задачу дешифровки – вместо взлома системы шифрования с открытым ключом надо взломать только симметричный шифр, то есть подобрать сеансовый ключ. Но такой метод даст возможность расшифровать только одно сообщение, ведь для каждого документа сеансовый ключ генерируется отдельно. Для симметрического шифрования по умолчанию применяется алгоритм CAST5.

Кратко опишем основные команды GnuPG, которые могут понадобиться для повседневной работы. Весь список команд есть в справке и доступен при помощи команды gpg --help:




  • --gen-key – создание новой пары ключей. Команда –edit-key позволяет в последствии изменить параметры ключа.
  • --sign – создает подпись для указанных файлов, используя ключ (если не введен его идентификатор, использует ключ по-умолчанию). --detach-sign создаст подпись в отдельном файле, иначе создается совмещенная подпись.
  • --encrypt – указывает на то, что данные надо зашифровать. Если применяется совместно с –-sign то данные одновременно подписываются.
  • --symmetric – можно применять когда просто надо зашифровать файл (используется симметричный алгоритм, но можно выбрать алгоритм командой --cipher-algo).
  • --decrypt – расшифровывает указанные файлы и сохраняет результат в файл (если указан) или выводит в консоль. Если файлы содержат подпись, она также проверяется.
  • --verify – проверяет подписи для указанных файлов, не выводя содержимого файла.
  • --list-keys – выводит список всех открытых ключей. Команда --list-secret-keys показывает ваши секретные ключи.
  • --delete-key – удаляет открытый ключ из списка. --delete-secret-key удаляет секретный ключ (например, он скомпрометирован или окончился срок действия)
  • --export (--import) – экспорт/импорт ваших ключей, например, для резервирования или переноса на другой компьютер. По умолчанию ключи в бинарном виде, для получения их в ASCI-виде укажите параметр –armor.

Конечно, пользователям Windows работа с командной строки немного непривычна, да и неудобно каждый день все операции набирать в консоли. Поэтому существуют утилиты, которые предоставляют пользователю удобный интерфейс для работы с GnuPG (пользователь может даже не заметить, что он работает с GnuPG). Об этом будет рассказано в одной из следующих статей.



Содержание раздела