<< Предыдущая

стр. 8
(из 15 стр.)

ОГЛАВЛЕНИЕ

Следующая >>


Почтовые серверы Достаточно отправить ключ на один сервер. После
того, как сервер обработает его, он автомагически
переправит его остальным серверам
открытых ключей PGP Например, чтобы отправить ваш ключ на сервер или
обновить уже присутствующий там ключ, пошлите на
любой из серверов сообщение такого типа:
Почтовые серверы открытых ключей PGP созданы, To: pgp public keys@keys.pgp.net
чтобы пользователи PGP могли обмениваться открытыми
From: johndoe@some.site.edu
ключами через почтовые системы Интернет и UUCP.
Subject: add
Пользователи, обладающие доступом к WWW, возможно,
предпочтут использовать WWW интерфейс, доступный по BEGIN PGP PUBLIC KEY BLOCK
URL http://www.pgp.net/pgpnet/www key.html, а менеджеры
Version: 2.6
узлов, ожидающие частых запросов, возможно, предпочтут
<...>
иметь локальную копию всей связки ключей, доступной
END PGP PUBLIC KEY BLOCK
по URL ftp://ftp.pgp.net:pub/pgp/
Этот сервис предназначен лишь для облегчения
Скомпрометированные ключи
обмена ключами между пользователями PGP, и никаких
попыток гарантировать валидность ключей не
Создайте сертификат отзыва ключа (процедура
предпринимается. Для проверки валидности ключей
описана в документации PGP) и отправьте отозванный
используйте сертификаты (процедура описана в
ключ на сервер командой ADD.
документации PGP).

Допустимые команды
Запросы
HELP Возвращает сообщение подсказку на
Все серверы обрабатывают запросы, отправляемые в
английском языке.
форме почтовых сообщений. Команды серверу подаются в
HELP страна Возвращает перевод сообщения
поле Subject: сообщения. Не включайте эти команды в
подсказки (DE, EN, ES, FI, FR, HR, NO)
тело сообщения!
ADD Добавляет открытый ключ PGP, содержащийся
To: pgp public keys@keys.pgp.net
в теле сообщения
From: johndoe@some.site.edu
INDEX1 Возвращает список всех ключей, известных
Subject: help
серверу

82 Pretty Good Privacy
Pretty Good Privacy 81
Почтовые серверы открытых ключей PGP Почтовые серверы открытых ключей PGP

INDEX идентификатор Возвращает список всех Скорее всего, большая часть полученной таким
ключей, содержащих идентификатор ( kv) образом информации будет бесполезной, поэтому
используйте эту команду в варианте с идентификатором.
VERBOSE INDEX1 Возвращает список всех ключей в
Это уменьшит размер сообщения и облегчит жизнь
расширенном формате ( kvv)
вашему почтовому администратору и администратору
VERBOSE INDEX идентификатор Возвращает
сервера, а также даст Вам более полезную выборку.
список всех ключей в расширенном формате, содержащих
Важно: PGP работает с большими связками
идентификатор ( kvv)
чрезвычайно медленно. Добавление всей связки,
GET1 Получить всю связку открытых ключей (split)
полученной с сервера, может занять несколько дней.
GET идентификатор Получить только ключ с
Если вам действительно нужен индекс всех ключей
указанным идентификатором ( kxa)
или вся связка, пожалуйста, загрузите ее с FTP сервера
MGET выражение2,3 Получить все соответствующие (ftp://ftp.pgp.net/pub/pgp/keys/ или одного из
выражению ключи. Выражение должно содержать как национальных серверов).
минимум два символа.
2. Регулярные выражения в команде "MGET"
LAST n3 Получить все ключи, обновленные в
Вот примеры использования регулярных выражений
последние n дней
в команде MGET:
1. Будьте готовы к получению больших объемов
MGET michael Возвращает все ключи,
почты. В результате отправки этих команд вы получите
идентификатор пользователя которых содержит "michael"
огромный объем информации. Будьте осторожны: не все
MGET iastate Возвращает все ключи, идентификатор
почтовые системы могут обрабатывать сообщения такого
пользователя которых содержит "iastate"
объема. В этом случае все сообщения будут отправлены
назад. По всей вероятности, большая часть этой MGET E8F605A5|5F3E38F5 Вернуть ключи с
информации вам никогда не понадобится. На 2 февраля указанными двумя идентификаторами.
1997 г. размер возвращаемых файлов был таким: Одно замечание, касающееся выражений. Их
INDEX возвращал одно сообщение размером 4MB синтаксис не совпадает с использованием "козырных"
символов ("*" и "?") в оболочках UNIX и MSDOS. "*"
VERBOSE INDEX возвращал одно сообщение
означает не "что угодно", а "ноль или более вхождений
размером 8MB
предшествующего символа или метасимвола":
GET возвращал всю связку открытых ключей,
a.* — все, что начинается с "a"
содержащую более 55 000 ключей, всего 18MB, в виде 99
сообщений размером более 200KB каждое. ab*c — ac, abc, abbc и т.д.


84 Pretty Good Privacy
Pretty Good Privacy 83
Почтовые серверы открытых ключей PGP Использование PGP в Linux


Использование
Поэтому не используйте "MGET .*'' — используйте
вместо этого "GET''.

PGP в Linux
3. Ограничения на количество возвращаемых ключей.
Некторые серверы налагают ограничение на
количество возвращаемых в ответ на запросы "MGET" и
"LAST" ключей, чтобы не завалить вас слишком большим
PGP является средством, созданным для обеспечения
их количеством в случае, если вы сделаете опечатку.
защиты и аутентификации информации в таких
Пользователи должны использовать адрес ненадежных коммуникационных сетях, как Internet.
pgp public keys@keys.pgp.net или адрес своего Защита гарантирует, что только получатель информации
национального сервера: может воспользоваться ей. Оказавшись в чужих руках, она
¦ pgp public keys@keys.uk.pgp.net будет совершенно бесполезной, поскольку ее нельзя будет
декодировать.
¦ pgp public keys@keys.de.pgp.net
Аутентификация гарантирует, что если некоторая
¦ pgp public keys@keys.no.pgp.net
ифнормация была создана лицом "A" , то она
¦ pgp public keys@keys.us.pgp.net действительно поступила от "A" и не была никем
сфальсифицирована или изменена в пути.
¦ pgp public keys@keys.nl.pgp.net
PGP основана на криптографической системе,
¦ pgp public keys@keys.fi.pgp.net
известной как открытый ключ, которая может быть
¦ pgp public keys@keys.es.pgp.net использована на ненадежных каналах. Это делает ее
идеальной для обеспечения защиты информации,
¦ pgp public keys@keys.pt.pgp.net
передаваемой по таким сетям, как Internet.
¦ pgp public keys@keys.hr.pgp.net
Для того, чтобы интересоваться защитой
передаваемых вами данных и, следовательно, нуждаться в
для обращений по почте и ftp.pgp.net:pub/pgp/
средстве криптографии, вовсе не обязательно участвовать
для обращений по FTP.
в крутом промышленном шпионаже :) Нечто совсем
Пользователям рекомендуется использовать
простое, например E mail, может быть самой настоящей
перечисленные выше адреса "*.pgp.net", поскольку
причиной начать использовать PGP. Давайте разберемся
предполагается, что они устойчивы и надежны.
почему:
Можно сравнить E Mail с почтовыми карточками.
Любой, кому она попадет в руки, может прочитать ее,


86 Pretty Good Privacy
Pretty Good Privacy 85
Использование PGP в Linux Использование PGP в Linux

потому что нет физических преград, которые смогут Хуан, отправитель и создатель сообщения, не может
помешать этому. С другой стороны, письмо в конверте декодировать его, это может сделать только Педро, при
более защищено. Можно держать конверт в руках, но помощи закрытого ключа.
нельзя прочитать письма. Если кто то захочет прочитать Безопасность системы основана на надежном
его, ему придется порвать конверт. хранении каждым пользователем своих закрытых ключей,
Можно провести аналогию конверта с PGP, которое даже в тех случаях, когда открытый ключ широко
действует как дополнение к нашей E Mail. PGP не известен. Если кто то попытается сломать систему, не
позволяет никому прочитать сообщение, это может зная закрытого ключа получателя, ему потребуется так
сделать только тот, кому оно предназначено; это одно из много лет, что в конце концов информация окажется
многих преимуществ PGP. бесполезной.
Как было сказано во вступлении, помимо защиты,
Как работает криптография открытого PGP дает возможность аутентифицировать информацию.
Рассмотрим почему:
ключа
Наш открытый ключ служит не только для
В системах с открытым ключом каждый человек
кодирования сообщений, но и для "подписи" посылаемой
имеет два ключа, взаимно дополняющих друг друга; один
информации; полная аналогия с подписями, которые
является открытым ключом, а другой закрытым.
часто ставят на бумажных документах.
Открытый ключ может и должен быть свободно
Подписанный цифровым образом без закрытого
доступным, так как он является именно тем ключом,
ключа документ может быть аутентифицирован любым
который остальной мир использует для передачи вам
человеком, обладающим открытым ключом. Такая
информации. Однако открытый ключ не угрожает
аутентификация предоставляет средства, позволяющие
безопасности закрытого ключа.
проверить, действительно ли сообщение поступило от
Рассмотрим это на примере двух друзей, Хуана и человека, указанного в качестве отправителя, и что оно не
Педро. Хуан может безопасно послать информацию было изменено или фальсифицировано.
Педро, если он знает его открытый ключ. С другой
Для обеспечения защиты и аутентификации могут
стороны, Педро, используя свой закрытый ключ, способен
использоваться оба процесса, как кодирование, так и
декодировать сообщение, которое послал Хуан.
подпись. Сначала документ подписывается нашим
Предположим, что есть еще один человек, Маркос,
закрытым ключом и затем кодируется с помощью
который перехватывает сообщение, которое Хуан послал
открытого ключа получателя.
Педро. Маркос не может ничего сделать с сообщением,
поскольку у него нет закрытого ключа Педро. Даже сам


88 Pretty Good Privacy
Pretty Good Privacy 87
Использование PGP в Linux Использование PGP в Linux


Версии PGP
По получении сообщения получатель выполняет
шаги в обратном порядке, сначала декодируя документ
Теперь, когда вы знаете, для чего нужен PGP, вы
своим закрытым ключом и потом проверяя нашу подпись
наверняка захотите им воспользоваться.
нашим открытым ключом.
На этом этапе необходимо еще раз сказать о
Все эти процессы могут быть автоматизированы, это
большой путанице, окружающей различные версии PGP.
мы покажем позднее.
В виду политики Соединенных Штатов в отношении
Открытый ключ хранится в так назыаемом
экспорта криптографического материала, появились
сетрификате ключа, который является самим открытым
несколько версий PGP, вместе с несколькими законами
ключом вместе с именем владельца и датой его создания.
по их использованию. Я постараюсь прояснить всю эту
Закрытый ключ защищен паролем, который неразбериху и перечислю различные версии,
предотвращает его несанкционированное использование. существующие на сегодняшний день.
Оба ключа хранятся в файле, известном как кольцо
PGP 2.3a
ключей, в котором также хранятся различные
Это "классический" PGP. Его все еще можно
сертификаты ключей. Обычно есть кольцо для открытых
использовать, хотя из за несовместимости могут
ключей и кольцо для закрытых.
возникнуть некоторые проблемы при обработке ключей и
Ключи имеют внутренний идентификатор ключа, сообщений, созданными версиями 2.6.x и более поздними,
который состоит из 64 последних бит ключа. При использующими ключи длиннее 1280 бит. Предполагается,
отображении информации о ключе на самом деле что версия 2.3a не может использоваться за пределами
показываются последние 32 бита ключа. Эти США из за патентных ограничений.
идентификаторы ключа используются PGP, например, для
определения ключа при декодировании сообщения. PGP 2.6ui
Это неофициальная версия PGP 2.3a, которая
При подписывании документа PGP формирует 128
устраняет указанные выше проблемы несовместимости.
бит, которые представляют документ. Эта подпись
Эта версия не является версией 2.6.x так как она
является своего рода контрольной суммой, или CRC,
базируется на исходных кодах 2.3a
которая позволяет обнаружить изменения в документе. В
отличие от обычных CRC или контрольных сумм, никто
PGP 2.62ui
не может заново создать эту подпись чтобы узаконить
Она основана на исходных кодах 2.6ui и является
любые изменения исходного документа. Подпись
модификацией, в которой попытались достичь
создается при помощи закрытого ключа отправителя и
совместимости с последнимий нововведениями,
тот, кто хочет внести изменения, не имеет к нему доступа.
появившимися в версиях 2.6.x.


90 Pretty Good Privacy
Pretty Good Privacy 89

<< Предыдущая

стр. 8
(из 15 стр.)

ОГЛАВЛЕНИЕ

Следующая >>