PGP 5.0

PGP 5.0

Ряд правительств серьезно наказывает своих граждан за использование шифрованных коммуникаций. В некоторых странах вас даже могут за это расстрелять. Но если вы живете в такой стране, возможно, PGP вам тем более пригодится.

Быстрый старт

В случае, если вы используете PGP в первый раз, сначала вам нужно сгенерировать пару ключей, выбрав в меню Keys программы PGPkeys пункт New Key. Как правило, вам удастся сделать это автоматически через Помощник генерации ключа. Затем вам нужно будет послать открытый ключ другому пользователю. Для этого перетащите мышью ключ из главного окна PGPkeys в окно почтового сообщения. После этого пользователь, который получил ваш ключ, сможет шифровать направляемую вам почту. Для того, чтобы посылать зашифрованные письма ему, вам потребуется получить его открытый ключ. Подписывать письма вы можете и без отправки своего открытого ключа другим пользователям, но тогда никто не сможет проверить вашу подпись. Вы также можете отправить свой открытый ключ на публично доступный сервер ключей, с которого этот ключ смогут получить другие пользователи.

Ключи Diffie-Hellman/DSS могут осложнить коммуникацию с пользователями ранних версий PGP. Diffie-Hellman/DSS — это новый тип ключей, являющийся по крайней мере столь же надежным, что и ключи Я5Атой же длины. Однако, ключи DH/DSS не поддерживаются более ранними версиями PGP, что означает, невозможность обмена зашифрованной почтой с пользователями, которые еще не перешли к использованию версии 5.0 или выше. Использование ключей DH/DSS значительно сокращает время, необходимое для шифрования и расшифровки.

Импорт файлов с ключами из ранних версий PGP. Ваши файлы с ключами должны быть скопированы в папку установки PGP 5.0 при выполнении установки. Для того, чтобы импортировать другие файлы с ключами, лучше всего физически  заместить файлы с ключами по умолчанию «pubring.pkr» и «secring.skr» вашими старыми файлами «pubring.pgp» и «secring.pgp» в то время, когда PGP не запушена. При этом, информация о приписанных ключам степенях доверия сохраняется. Другой способ — это просто перетащить старые файлы с ключами из окна Проводника (Explorer) в главное окно PGP или выбрать пункт Import... из меню Keys программы PGP-keys. При использовании этого способа информация о доверии не будет перенесена, так как если вы получили файл с открытыми ключами от кого-то другого, информация о его степени доверия к ним вам ни к чему. В случае, если у вас на связке несколько закрытых ключей, вам нужно использовать команду Set Default из меню Keys программы PGPkeys, чтобы указать ключ, который при подписи других ключей, а также сообщений, будет использоваться по умолчанию.

Для того, чтобы послать свой открытый ключ другому пользователю, просто переместите его мышью в любое текстовое окно, или отправьте его на сервер ключей, а затем попросите своих друзей подгрузить его, используя PGP 5.0 или браузер. Обычным является включение URL, указывающего на ключ, в стандартную подпись ваших сообщений. Такой URL выглядит следующим образом:

<http://swissnet.ai. mit.edu: 11371/pks/lookup?op=get&search=0 х272727>

Конечно, вам нужно заменить идентификатор ключа, которым заканчивается URL (0x27272727) на идентификатор вашего собственного ключа. Узнать идентификатор своего ключа вы можете, выбрав этот ключ в главном окне PGPkeys и использовав пункт Properties меню Keys этой программы.

Прием «Переместить и оставить» работает почти везде. Вы можете переместить ключи, идентификатор пользователя, подписи непосредственно на поверхность рабочего стола, перемещать идентификаторы пользователей из списка идентификаторов в список получателей и т.п.

Для того, чтобы подписать ключ, выделите его и выберите пункт Sign из меню Keys в PGPkeys. Вы можете затем указать степень доверия, с которой вы относитесь к данному ключу, щелкнув на нем правой кнопкой мыши и выбрав из контекстного меню пункт Key Properties. В случае, если вы укажете, что степень доверия к этому ключу является «полной» («Complete»), другие ключи, подписанные его владельцем, будут считаться действительными.

Для того, чтобы отозвать ключ, выделите его и выберите пункт Revoke из меню Keys в PGPkeys.

Имейте в виду, что новый интерфейс делает возможными многие вещи, которые раньше не были возможны (или занимали слишком много времени). Это включает подписывание одновременно нескольких ключей. Для этого, выделите все ключи, которые хотите подписать, и выберите Sign из меню Keys. Вы также можете удалять идентификаторы пользователя с ключей, удалять подписи, использовать перетаскивание мышкой для импорта связок ключей, на ходу управлять доверием и действительностью ключей.

Ответы на часто задаваемые вопросы

Сколько дискового пространства необходимо для успешной установки PGP 5.0 на компьютере?

Для успешной установки вам понадобится 15 MB.

Что обозначают различные значки в PGP Keys?

Один золотой ключ обозначает открытый ключ [из пары], сгенерированной по технологии DSS/Diffie-Hellman. Пара синих ключей обозначает вашу пару, состоящую из секретного и открытого ключей, сгенерированную по технологии RSA. Один синий ключ обозначает открытый ключ [из пары], сгенерированной по технологии RSA. Когда ключ или пара ключей изображены бледным цветом, это значит, что они временно недоступны для использования при шифровании и формировании подписей. Ключ, перечеркнутый красной линией, обозначает отозванный ключ.

Как мне импортировать и экспортировать ключи с сервера ключей?

Для того, чтобы экспортировать открытый ключ со своей связки на сервер ключей:

  1. Откройте PGP Keys
  2. Щелкните на [нужном] ключе правой кнопкой мыши
  3. Выберите опцию Keyserver
  4. Щелкните на пункте меню Send Selected Key

Для того, чтобы импортировать ключ с сервера:

  1. Откройте POP Keys
  2. Откройте м-еню Keys
  3. Выберите опцию Keyserver
  4. Введите почтовый адрес или идентификатор ключа, который вы хотите найти

Где располагаются plug-ins в Eudora/Exchange? 

Соответствующие кнопки, появляются, когда вы читаете сообщение или составляете новое сообщение.

Как мне распространить мой открытый ключ?

Предпочтительным способом является помещение вашего открытого ключа на сервер ключей. PGP 5.0 может делать это автоматически во время создания ключа. Вы также можете щелкнуть на ключе правой кнопкой мыши, выбрать Keyserver и щелкнуть на Send Selected Key. Для того, чтобы отправить [открытый] ключ кому-нибудь по почте, переместите ключ с помощью мыши из PGPkeys в окно почтового сообщения.

Я получил чей-либо [открытый] ключ по почте. Как мне добавить его на свою связку ключей?

В случае, если вы используете [в качестве почтовой программы MS] Exchange или Eudora, вы можете щелкнуть мышью на кнопке Extract PGP Key(s) from Email Message. В случае, если вы используете другую почтовую программу, скопируйте фрагмент текста, содержащий ключ, в буфер обмена, затем перейдите в окно PGP keys и выберите из меню Edit пункт Paste. [Добавленный] ключ будет показан в виде значка в окне PGPkeys.

Как мне зашифровать, расшифровать, подписать или проверить подпись файла, используя Проводник?

Щелкните правой кнопкой мыши на файле, выберите PGP, затем щелкните на операции, которую хотите выполнить.

Я не использую Exchange, Outlook, или Eudora, как мне зашифровать или подписать почтовое сообщение?

После того, как вы набрали текст сообщения, скопируйте его в буфер обмена, затем выберите PGPtray в системном меню, далее выберите Encrypt Clipboard, Sign Clipboard или Encrypt and Sign Clipboard. [Далее, вернитесь в окно почтовой программы и вставьте содержимое буфера обмена в текст сообщения].

Я не использую Exchange, Outlook, или Eudora, как мне расшифровать зашифрованное сообщение или проверить подписанное сообщение?

Скопируйте содержимое сообщения в буфер обмена, выберите PGPtray в системном меню, далее выберите Decrypt/Verify Clipboard.

Могу ли я использовать в PGP 5.0 ключи, созданные в более ранних версиях PGP?

Да. Вы можете перетащить мышью старые связки ключей в [окно] PGPkeys, или [в Проводнике] два раза щелкнуть мышью на файле со старой связкой ключей.

Совместима ли PGP for Personal Privacy 5.0 с предыдущими версиями PGP?

PGP 5.0 полностью совместима с предыдущими версиями PGP. Некоторые из предыдущих версий должны быть немного модернизированы (файлы модернизации доступны с нашего сервера () для улучшения совместимости с новыми типами ключей. Использование в версии 5.0 ключей, сгенерированных по технологии DSS/Diffie-Hellman ограничивают обратную совместимость, так как пользователь более ранней версии не сможет проверить вашу подпись, и будет не в состоянии [использовать ваш сгенерированный по этой технологии ключ] для шифровки направляемых вам сообщений. Пользователям, которые продолжают использовать старые версии PGP, мы рекомендуем провести бесплатную модернизацию до версий PGPmail 4.5.1 и PGPmail 4.0.1 для улучшения совместимости. Модернизация же до версии 5.0 обеспечит полную совместимость со всеми релизами PGP и предоставит все преимущества новых ключей, генерируемых по технологии DSS/Diffie-Hellman keys.

Как признаки валидности и доверия перенести с моих [существующих] ключей, сгенерированных по технологии RSA на ключи, сгенерированные по технологии Diffie-Hellman?


Признаки валидности и доверия действующего ключа RSA будут автоматически перенесены на ключ Diffie-Hellman при подписи ключа DH ключом RSA если оба ключа обладают одним идентификатором пользователя и находятся на одной связке.

Почему в PGP включен дополнительный механизм DSS/Diffie-Hellman?

Дополнительный механизм DSS/Diffie-Hellman включен для обеспечения гибкости системы в будущем, а также потому, что позволяет значительно улучшить производительность системы.

Что такое PGP/MIME и когда он используется?

PGP/MIME представляет собой стандарт IETF, который позволяет пользователям PGP автоматически шифровать и подписывать приложения при отправке почтовых сообщений, кроме того, PGP/MIME предоставляет пользователям более удобный интерфейс. При получении сообщения в формате PGP/MIME тело сообщения заменяется иконкой, показывающей, было ли сообщение зашифровано и/или подписано. При двойном щелчке мышью, будет расшифровано сообщение или проверена подпись. ВАЖНО: формат PGP/MIME следует использовать только при обмене сообщениями с пользователями PGP версии 5.0 или более поздних. Пользователи более ранних версий могут столкнуться с проблемами при расшифровке или поверке подписи сообщений в формате PGP/MIME.

Существует ли режим plug-in для Microsoft's Outlook Express?

В настоящее время PGP не работает в режиме plug-in с Outlook Express, поскольку программа этот режим не поддерживает.

Что представляет собой «MessagelD» в сообщениях, зашифрованных PGP?

MessagelD (идентификатор) использовался много лет назад во времена BBS и FIDOnet. Некоторые почтовые системы этого типа не могли обрабатывать длинные сообщения и PGP снабжалась дополнительной способность разбивать сообщения на части. MessagelD позволял PGP снова склеивать разбитые на дробные части сообщения в правильном порядке при получении сообщения. В настоящее время это средство не имеет применения.

Почему ключи PGP 5.0 настолько длиннее ключей PGP2.6.2?

Создаваемый по умолчанию открытый ключ PGP 5.0 на самом деле включает два открытых ключа: ключ DSS для формирования подписи и ключ Diffie-Hellman для шифрования. Кроме этого, в PGP 5.0 компонент Diffie-Hellman может быть в два раза длиннее ключа максимальной длины в версии 2.6.2.

Как мне проверить целостность двоичных файлов PGP 5.0, которые я получил?

Все распространяемые PGP, Inc. файлы, содержащие криптографические программы, подписаны с помощью корпоративного ключа PGP, Inc., так что каждый пользователь может проверить, не были ли эти файлы модифицированы после того, как их подписали. Эти подписи содержатся в директории «signatures», вложенной в директорию, в которую вы установили PGP 5.0. [Открытый] корпоративный ключ находится на связке, распространяемой вместе с PGP 5.0. Такие подписи называются «отделенными» («detached signatures»), поскольку они размещаются в отдельных от подписываемых файлов файлах. Для проверки целостности включенных в состав PGP 5.0 двоичных файлов перейдите в директорию «signatures» и щелкните правой кнопкой по подписи. Выберите из контекстного меню PGP -> Verify Signature. Появится диалог, запрашивающий у вас имя файла, который вы хотите проверить (файла, соответствующего данной подписи). Обратитесь к списку файлов, приведенному ниже, для того, чтобы определить, где находится соответствующий файл. Например, щелкните правой кнопкой мыши на файле PGPkeys.exe.sig и выберите PGP -> Verify Signature из появившегося контекстного меню. В открывшемся окне диалога перейдите в директорию PGP50 и выберите файл PGP-keys.exe, который соответствует отделенной подписи PGPkeys.exe.sig. Нажмите кнопку Open.

Повторите эту операцию с каждым файлом для проверки их целостности.

Имейте в виду, что некоторые файлы (например, .dll) находятся в других директориях, так что для определения нахождения файлов обращайтесь к списку, приведенному ниже.

PGPkeys.exe -> директория, в которую установлена PGP 5.0

PGPtray.exe -> директория, в которую установлена PGP 5.0

PGPks.dll --> Windows\System PGPwctx.dll --> Windows\System PGPcmdlg.dll --> Windows\System PGPRecip.dll --> Windows\System PGP.dll --> Windows\System Simple.dll --> Windows\System Bn.dll --> Windows\System Keydb.dll --> Windows\System PGPExch.dll --> Win-dows\System PGPplugin.dll --> Eudora\plugins

В случае, когда имеются основания предполагать возможность модификации двоичных файлов, входящих в поставку PGP 5.0, недобросовестным посредником, предлагаемая авторами документа процедура проверки целостности не является удовлетворительной. В случае, если недобросовестный посредник модифицировал файлы, входящие в поставку, он также мог сгенерировать фальшивую пару ключей с идентификатором, совпадающим с идентификатором ключа PGP, Inc. Пользователю, подозревающему, что имеющаяся у него копия поставки PGP 5.0 является модифицированной недобросовестным посредником, в качестве первой меры рекомендуется удалить открытый ключ PGP, Inc., содержащийся на связке, входящей в поставку, и получить заведомо аутентичную копию ключа, например, с сервера www.pgp.com или с сервера ключей.

Это позволяет лишь снизить риск, но не решает проблему определения целостности файлов в общем виде, т.к. модифицированная злоумышленником программа может заведомо некорректно выполнять процедуру проверки подписи.

Хитрости

При использовании MS Outlook, вы должны запретить опцию Use Microsoft Word as the e-mail editor, чтобы PGP plug-in работал правильно. Это может быть сделано выбором в MS Outlook меню Tools, затем Options. Щелкните на вкладке E-mail и сбросьте'флажок «Use Microsoft Word as the e-mail editor.»

При использовании MS Exchange, вы должны запретить опцию Always send messages in Microsoft Exchange rich text format. В случае, если эта опция не запрещена, MS Exchange разрушит целостность подписанных PGP сообщений, вставляя разметку RTF в уже подписанное сообщение. Для того, чтобы запретить эту опцию, выберите в MS Exchange меню Tools, далее выберите Address Book. Двойной щелчок на имени пользователя в адресной книге вызовет диалог, на первой вкладке которого содержится опция Always send messages in Microsoft Exchange rich text format. Сброс этой опции нужно выполнить для каждого пользователя.

Сообщение об ошибке «The decompression of %s failed. There may not be enough disk space available in your TEMP directory.» Это проблема с программой установки InstallShield. Для того, чтобы обойти ее, очистите временную директорию Windows [обычно, «Windows\TEMP»] и запустите программу установки еще раз.

Во время установки может появиться сообщение «Insert Disk 2». В случае, если это мешает установке, очистите временную директорию Windows [обычно, «Windows\TEMP»] и запустите программу установки еще раз. Это также ошибка про/рам мы установки.

Ошибки в PGP 5.0

Curly CAPS-o-TILDE (231-123)

Поставляемая MIT версия PGP50freeware (не уверен относительно PGP50trial и коммерческой версии) содержит ошибку в нулевой кодировочной таблице, из-за которой программа распознает символ ASCII #231 (X заглавная в кодировке ср!251, используемой Windows для представления русских текстов, и у строчная в стандартной кодировке Интернет KOI8) как ascii # 123 ({). Это приводит к искажению текстов при шифровании и подписи, а также к ошибкам при взаимодействии с другими версиями PGP.

Обсуждение

Рядом пользователей были высказаны предположения, что это не ошибка, а резервация, внесенная PGP, Inc. для предотвращения использования 5.0 в неанглоязычных регионах до выхода «международного релиза». Больше похоже все же на банальную опечатку.

Решение

1.1 Проверьте, содержит ли ваш экземпляр указанную ошибку. Для этого (1.1.1) скопируйте в Буфер обмена русский алфавит:

АБВГДЕЁЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮ Яабвгдеёжзийклмнопрстуфхцчшщъыьэюя

и (1.1.2) подпишите содержимое Буфера выбором пункта Sign Clipboard меню, выскакивающего при щелчке на значке PGPtray в Области системных индикаторов (Tray). Затем (1.1.3) проверьте содержимое Буфера командой Launch Associated Viewer того же меню. В случае, если результат выглядит так:

-------BEGIN PGP SIGNED MESSAGE------- АБВГДЕЁЖЗИЙКЛМНОПРСТУФ{ЦЧШЩЬЫЬЭЮ Яабвгдеёжзийклмнопрстуфхцчшщъыьэюя

-------BEGIN PGP SIGNATURE-------

 Version: PGP for Personal Privacy 5.0 

Charset: noconv <. . .>

----- END PGP SIGNATURE------

значит, ваш экземпляр содержит ошибку.

1.2 Найдите файл pgp.dll в папке Windows/SYSTEM и сделайте его резервную копию pgp.dll.old

1.3 Закройте PGPtray выбором команды Quit PGPtray из меню, выскакивающего при щелчке на значке PGPtray в Области системных индикаторов (Tray).

1.4 Откройте файл pgp.dll в папке Windows/SYSTEM любым редактором, позволяющий осуществлять поиск в шестнадцатиричном формате и редактирование (подойдет hiew). Найдите цепочку символов

Dl D2 D3 D47B D6 D7

и замените в ней 7В на D5, сохраните результат и выйдите из редактора.

1.5 Запустите PGPtray снова командой Start --> Programs --> Accessories --> Pretty Good Privacy --> PGPtray (Пуск --> Программу -->Стандартные --> Pretty Good Privacy --> GPtray). Повторите проверку, согласно процедуре 1.1 настоящего описания. Результат должен иметь вид:

----BEGIN PGP SIGNED MESSAGE---- АБВГДЕЁЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮ Яабвгдеёжзийклмнопрстуфхцчшщъыьэюя

-----BEGIN PGP SIGNATURE----- 

Version: PGP for Personal Privacy 5.0

 Charset: noconv <.. .>

------ END PGP SIGNATURE-----

Проблемы совместимости с ранними версиями

Пользователи PGP показывают, что в ряде случаев наблюдается несовместимость PGP 5.0 с прежними версиями PGP при шифровании/расшифровке и подписи/проверке файлов, содержащих символы верхней половины кодовой таблицы, соответствующие кириллическим буквам.

Блок, подписанный ключом от версии 2.6.31 почему-то определяется фриварной версией как «bad сигнатура Igor Dorohin». Верить в наше время нельзя никому. Даже себе. Мне — можно. Блок подписанный ключом от версии 2.6.31 почему-то определяется фриварной версией как «bad сигнатура.

МЕОЕ> PGP 5,0 for Windows американского релиза содержит ошибку. Я бодался в различных кодировках (причем умышленно исключая буквы «у» и «X» в соответствующих кодировках), но ничего не смог сделать. В аттаче образцы моего творчества.

МЕОЕ> при использовании режима clearsig. Даже при выключенном режиме это происходит.

МЕОЕ> В случае, если блок не содержит символа ascii #231, пожалуйста, пришлите архив с исходным и подписанным текстами.

Обсуждение

[skipped due to its volume — write pgp@volga.net for more into]

Решение

Еще ждет своего героя. Я зарезервировал cb$50.00. Так как Русский Альбом PGP — общественная служба, у меня нет возможности предоставлять призы, деноминированные в коммерческих валютах.



Опубликовал admin
13 Июн, Воскресенье 2004г.



Программирование для чайников.