Namestitev in uporaba programa PGP 6.02i

ONLY SLOVENIAN VERSION OF THIS TEXT IS AVALIABLE.

PGP - kaj je to?
PGP (Pretty Good Privacy - precej dobra zasebnost), je program za kodiranje vsebine datotek in elektronskih sporočil. Pri kodiranju PGP uporablja kriptografsko metodo javnega in zasebnega ključa. To pomeni, da imata tako pošiljatelj, kot prejemnik vsak svoj par javni in tajni ključ. Javni ključ javno objavita, tajnega pa obdržita zase. Kodiranje poteka tako, da pošiljatelj sporočilo zakodira s prejemnikovim javnim ključem in svojim tajnim ključem. Prejemnik pa sporočilo lahko dekodira samo s pošiljateljevim javnim ključem in svojim tajnim ključem. S tem odpade potreba po tim. varnem kanalu, preko katerega je potrebno v primeru klasične kriptografije prenesti geslo od pošiljatelja do prejemnika. S tem se tudi bistveno izboljša varnost - če ni prenašanja gesel, jih tudi ni mogoče prestreči.
Zaradi omejitev izvoza kriptografskih produktov iz ZDA (ZDA kriptografijo smatrajo kot vojaško tehnologijo), mednarodne različice programa PGP ne uporabljajo RSA kriptografije. PGP je na voljo za več platform (operacijskih sistemov), opisana pa je namestitev in uporaba različice za Windows 95/98.

Namestitev programa PGP International, verzija 6.02i
Pomembno: opisana so navodila s programom PGP International, verzija 6.02i. Namestitev in uporaba ostalih (novejših, ali ameriških) verzij programa poteka podobno.
Program PGP International, verzija 6.02i dobite na Internetu in sicer v datoteki PGPfreeware602i.exe. Program je seveda dostopen na tem strežniku in ga lahko takoj prenesete na svoj računalnik.

No, pa gremo! (Spodaj so opisana podrobna navodila za namestitev. Kdor vsaj malo pozna osnove dela z računalnikom, naj preskoči prvi del.)

  1. Datoteko s PGP-jem smo prenesli iz Interneta na svoj računalnik! Nahaja se pod imenom PGPfreeware602i.exe.
  2. Gremo v Windows Explorer in si program prekopiramo v neko začasno mapo na disku. To mapo z njeno vsebino vred bomo kasneje izbrisali.
  3. Program je sedaj v naši začasni mapi pripravljen na namestitev. Kliknemo nanj in ga poženemo. Namestitev programa vodi prijazen čarovnik (wizard), tako da ne bi smelo biti nobenih težav.
  4. Najprej nam program izpiše uvodni tekst in nas opozori, da je pred namestitvijo dobro zapustiti vse ostale programe. Kliknemo Next. Če imamo nameščeno kakšno starejšo različico, nam jo čarovnik pomaga odstraniti.
  5. Nato nas vpraša če se strinjamo z licenco (da bomo program uporabljali za nekomercialne namene, itd.). Kliknemo Yes.
  6. Vpišemo svoje podatke: ime, priimek in podjetje, v naslednjem koraku pa nastavimo ciljni direktorij, kamor se bo namestil PGP - program predlaga mapo "C:\Program Files\PGP\PGP602i", zato lahko kliknemo Next.

  7. V naslednjem koraku nas program vpraša katere komponente želimo namestiti. Vsekakor moramo namestiti PGP 6.0.2i Program Files, na voljo pa so tudi priključki (plug-in) za uporabo PGP-ja s poštnimi odjemalci Outlook Express, MS Exchage in Eudora. Priključek za Pegasus mail in nekaj ostalih poštnih odjemalcev lahko poiščete na spletni strani PGP International. Predlagam tudi namestitev komponente PGPdisk.

  8. V naslednjem koraku samo še potrdimo izbrane nastavitve, ter pritisnemo Install.
  9. Po končani osnovni namestitvi nas program vpraša če že imamo zbirko ključev, in če jo imamo, jo lahko uvozimo v to verzijo programa. Zbirko javnih in zasebnih ključev lahko sicer uvozimo tudi kasneje, najbolj enostavno tako, da datoteki pubring.pkr ter secring.skr prekopiramo v podmapo PGP Keyrings programa PGP 6.02i.
  10. Pritisnemo Finish ter ponovno zaženemo računalnik. Namestitev je končana! Če ste namestili tudi program za zaščito zvočnih komunikacij PGPfone, imate na računalniku nameščeno celotno družino aplikacij za zaščito vaše zasebnosti.

 

Generiranje para javni-tajni ključ
Če še nimate svojega tajnega ključa, se bo postopek za njegovo generacijo začel ob prvem zagonu programa PGPkeys (lahko pa tajni ključ dodate kadarkoli kasneje s pritiskom na ikono Generate new keypair v programu PGPkeys). Skozi celoten postopek nas vodi prijazen čarovnik.

  1. Najprej moramo vpisati svoje ime in priimek ter e-mail naslov.
  2. V naslednjem koraku izberemo dolžino ključa. Velja da večja kot je dolžina ključa, večja je varnost, vendar je postopek kodiranja z večjimi ključi računalniško bolj zahteven in zato počasnejši kot bi bil z uporabo manjših ključev. Izbiramo lahko med velikostmi 786 do 4096 bitov. Privzeta vrednost je 2048 bitov. Glede velikosti ključa predlagam, naj ne bo majša od 1024 bitov.
  3. Določimo, kdaj poteče veljavnost ključa (key expiration) - predlagam opcijo never (nikoli), saj bomo v nasprotnem primeru morali svoje ključe redno menjati. To je sicer dobro za varnost, vendar nekoliko zamudno.
  4. Vpišemo geslo. Geslo naj bo daljše od 8 znakov, dobro pa je da vsebuje kombinacijo črk in cifer. Geslo si zapomnimo, saj obnovitev gesla ni možna, praktično nemogoče pa je geslo uganiti. PGP kriptografija namreč spada med nezlomljive.
  5. Da bi program generiral par javni-tajni ključ, mora zbrati nekaj naključnih podatkov. Kot vhodne podatke vzame premikanje miške in tipkanje po tipkovnici, zato nekaj časa slepo pritiskajmo na tipkovnico in brezciljno premikajmo miško. Ko program zbere dovolj naključnih podatkov, pritisnemo Next, sledi pa generiranje para ključev.
  6. Odločimo se še, ali bomo svoj javni ključ poslali na Keyserver, ki je poseben strežnik, kjer se hranijo javni ključi in namestitev je končana! Začasno mapo in njeno vsebino lahko izbrišemo.

 

Izmenjava javnih ključev in veljavnost ključev
Kot smo rekli, potrebujemo javne ključe vseh oseb, ki jim želimo pošiljati kodirana sporočila.
Najprej moramo seveda mi drugim poslati svoj ključ. To storimo tako, da poženemo program PGPkeys, z miško izberemo svoj ključ ter v menuju Keys izberemo možnost Export.
Datoteko s ključem shranimo na disk (končnica datoteke je .asc), ter jo pošljemo vsem, s katerimi si nameravamo izmenjevati kodirana sporočila, lahko pa jo pošljemo tudi na strežnik za izmenjavo javnih ključev, tim. keyserver (v menuju Server izberemo možnost Send to).
Ključe drugih oseb v svojo zbirko ključev vključimo še bolj preprosto. Ena možnost je, da v programu PGPkeys v menuju Keys izberemo možnost Import, nato pa izberemo datoteko, ki vsebuje ključ druge osebe, druga pa je, da v okolju Windows na datoteko s ključem (datoteka ima končnico .asc) dvakrat kliknemo, in ključ se samodejno doda naši zbirki javnih ključev.

Javne ključe, ki jih vključimo v svojo zbirko javnih ključev moramo še podpisati. To sicer ni nujno, je pa zaželjeno, saj s podpisom programu povemo, da je ključ OK in da mu torej zaupamo. Lahko bi se namreč zgodilo, da bi se vsiljivec pretvarjal za neko osebo (npr. vašega prijatelja) in vam poslal svoj ključ, vi pa bi mislili, da je ključ prijateljev.
Ključ podpišemo tako, da v programu PGPkeys z miško izberemo ključ ter v menuju Keys izberemo možnost Sign. Na podlagi "prstnega odtisa" (fingerprint) ključa se lahko prepričamo da ključ res pripada pravi osebi. To storimo tako, da to osebo (npr. vašega prijatelja) pokličemo in preverimo če se prstna odtisa njegove in vaše kopije njegovega javnega ključa ujemata. Prstni odtis se nahaja v šestnajstiškem zapisu (npr. CBD6 5B9A DF76), najnovejše verzije PGPja pa uporabljajo zapis prstnega odtisa v naravnem jeziku (kombinacije besed, npr. animal game party).
Ključ nato podpišemo s svojim tajnim geslom. Nato v menuju Keys lahko izberemo možnost Key properties ter v okvirju Trust model programu povemo, da je ključ vreden zaupanja.

 

Uporaba programa PGP
Program sam je sedaj nameščen in pripravljen na uporabo. Datoteke se nahajajo v mapi c:\Program Files\Pgp\PGP602i\ (glej 6. korak namestitve). Med datotekami se nahaja tudi Pgp60.hlp, kjer so podrobna navodila. V nadaljevanju zato le nekaj osnov.
PGP omogoča kodiranje, dekodiranje in podpisovanje vsebine namizja, datotek, map ali diskov, elektronske pošte, programski modul PGPfone pa tudi zvočnih komunikacij. S pomočjo PGPja lahko datoteke tudi popolnoma izbrišemo (opcija wipe), tako da obnovitev vsebine datoteke ni več možna, lahko pa popolnoma izbrišemo tudi tako imenovani prazen prostor na disku. V resnici namreč prazen prostor na disku ni povsem prazen, saj je mogoče vsebino izbrisanih datotek obnoviti. PGP lahko prazen prostor na disku briše do 26-krat zaporedoma in tako povsem onemogoči obnovitev izbrisane vsebine diska. S posebnimi magnetnimi in laserskimi tehnikami je namreč mogoče obnoviti večkrat (do devetkrat) formatiran trdi disk.

PGP in namizje (clipboard) - PGP Tray
Eden osrednjih delov programskega paketa PGP je pritajeni program PGP Tray. Ob vsakem zagonu operacijskega sistema Windows se naseli v opravilno vrstico Oken (poleg ure). Če kliknemo na ikono PGP Tray-a v opravilni vrstici Oken (taskbar), se odpre ukazni menu, ki omogoča kodiranje, dekodiranje in podpisovanje vsebine namizja, vključevanje javnih ključev, shranjenih na namizju v zbirko ter še nekaj uporabnih možnosti (npr. zagon programov PGPkeys in PGPtools, itd.)
Zakodirano/odkodirano/podpisano vsebino namizja nato lahko s pomočjo tehnike Paste, prenesemo v katerikoli program okolja Windows.

Pri kodiranju se odpre okno s seznamom javnih ključev v naši zbirki. S pomočjo miške izberemo seznam oseb, za katere želimo kodirati vsebino namizja (če nekoga nimamo na seznamu, moramo dobiti njegov javni ključ!). Osebe, ki jim želimo kodirano vsebino poslati z miško prenesemo v spodnji del okna - recipients ter pritisnemo OK
Če smo izbrali podpisovanje, nas program nas vpraša še za naš tajni ključ (najprej izberemo svoj "signing key", nato pa vpišemo svoj zasebni ključ - v zbirki imamo namreč lahko tudi več tajnih ključev, torej lahko eno verzijo programa PGP uporablja več različnih uporabnikov, vsak s svojim parom javni-tajni ključ).
Pri dekodiranju samo vpišemo svoj tajni ključ in stvar je gotova.

PGP in datoteke
Kodiranje in dekodiranje datotek je povsem preprosto. V Windows Explorerju, kliknemo na datoteko (ali mapo), ki jo želimo de/kodirati, podpisati ali izbrisati, nato pa v menuju File (v Windows Explorerju), izberemo PGP ter eno izmed opcij Encrypt, Sign, Encrypt and Sign ali Wipe. Kot rečeno namreč PGP omogoča popoln izbris datoteke.
Enako dosežemo s tem, da datoteko najprej izberemo, nato pa z desnim gumbom miške kliknemo nanjo - na dnu menija ki se odpre (za lastnostmi datoteke) se pokaže izbira PGP.

Pri kodiranju moramo izbrati seznam oseb, za katere datoteko kodiramo (če nekoga nimamo na seznamu, moramo dobiti njegov javni ključ!). Osebe, ki jim želimo kodirano datoteko poslati z miško prenesemo v spodnji del okna - recipients list ter pritisnemo OK
Če smo izbrali podpisovanje, nas program nas vpraša še za "Signing passphrase". Najprej izberemo svoj "signing key", nato pa vpišemo svoj zasebni ključ (svoje geslo).
Dekodiranje datotek pa je še bolj preprosto. Na datoteko skončnico PGP dvakrat kliknemo, ter v okence, ki se odpre vpišemo svoje geslo (svoj zasebni ključ - passphrase). Pritisnemo OK in nato Save, ter dekodirana datoteka je že na našem disku!
Datoteko s končnico .pgp lahko sedaj brišemo, saj je ne potrebujemo več.

Pri kodiranju se odpre okno s seznamom javnih ključev v naši zbirki. S pomočjo miške izberemo seznam oseb, za katere želimo kodirati vsebino datoteke ali mape (če nekoga nimamo na seznamu, moramo dobiti njegov javni ključ!). Osebe, ki jim želimo kodirano vsebino poslati z miško prenesemo v spodnji del okna - recipients ter pritisnemo OK
Če smo izbrali podpisovanje, nas program nas vpraša še za naš tajni ključ (najprej izberemo svoj "signing key", nato pa vpišemo svoj zasebni ključ - v zbirki imamo namreč lahko tudi več tajnih ključev, torej lahko eno verzijo programa PGP uporablja več različnih uporabnikov, vsak s svojim parom javni-tajni ključ).
Pri dekodiranju samo vpišemo svoj tajni ključ, shranimo datoteko in stvar je gotova.

PGPdisk

Če smo namestili komponento PGPdisk lahko na svojem računalniku s preprostim postopkom ustvarimo nov (navidezni) disk. Disk je v resnici datoteka s končnico .pgd. S klikom na gumb New, se začne postopek ustvarjanja novega diska. Najprej določimo ime .pgd datoteke, določimo velikost diska (v kilo, mega ali gigabajtih) ter črko diska (drive letter), določimo geslo (tajni ključ) in programu s slepim tipkanjem po tipkovnici in naključnim premikanjem miške pomagamo zbrati dovolj naključnih podatkov. Disk nato še formatiramo in mu določimo ime in postopek je zaključen. Disk nato lahko uporabljamo kot običajen disk, lahko pa tudi določimo kombinacijo tim. vročih tipk (hotkeys) s katerimi PGP disk hitro demontiramo iz sistema.
Že obstoječi PGP disk montiramo zelo preprosto. Preprosto dvakrat kliknemo na .pgd datoteko, nato pa vpišemo geslo.

Brisanje praznega prostora na trdem disku
Tako imenovani prazen prostor na disku v resnici ni povsem prazen, saj je mogoče vsebino izbrisanih datotek obnoviti. S posebnimi magnetnimi in laserskimi tehnikami je celo mogoče obnoviti večkrat (do devetkrat) formatiran trdi disk. PGP lahko prazen prostor na disku briše do 26-krat zaporedoma in tako povsem onemogoči obnovitev izbrisane vsebine diska. Brisanje praznega prostora omogoča program PGPtools (s klikom na skrajno desno ikono).

PGP in elektronska pošta
Načeloma lahko elektronska sporočila kodirako preko namizja z uporabo programa PGPtray. Vendar pa so v programskem paketu PGP vključeni tudi priključki (plug-in) za lažjo uporabo PGPja v nekaterih poštnih programih. V standardnem paketu so na voljo priključki za Eudoro, microsoft Exchange/Outlook in Outlook Express. Na spletni strani PGP International je na voljo tudi priključek za Pegasus Mail in nekatere druge poštne odjemalce.
Priključki omogočajo de/kodiranje in podpisovanje elektronskih sporočil neposredno iz samih poštnih programov (v poštni program se vključijo ustrezni ukazi).

 

Kaj pa varnost?
Popolnoma varne kriptografije ni. Načeloma pa velja, da daljši kot je ključ bolj varna je kriptografija. Prav tako se po varnosti razlikujejo tudi različne metode. Kriptografija javnega in tajnega ključa spada med najvarnejše.
Kot poroča elektronski časopis Cryptogram (http://www.counterpane.com/crypto-gram.html) iz 15. septembra 1999, je skupina kriptografskih strokovnjakov iz Amsterdama uspela razbiti 512-bitni ključ. Postopek je trajal več kot sedem mesecev. Za varnost pa ta podatek ni zelo šokanten. Pomeni le to, da moramo uporabiti čim daljši ključ. Z razvojem računalnikov so strokovnjaki sposobni razbijati čedalje daljše ključe, vendar pa razvoj računalnikov omogoča tudi uporabo še daljših in zato še varnejših ključev.

Factoring a 512-bit Number
A factoring record was broken last month, on 22 August.  A group led by Herman te Riele of CWI in Amsterdam factored a 512-bit (155-digit) hard number.  By "hard," I mean that it was the product of two 78-digit primes...the kind of numbers used by the RSA algorithm.
About 300 fast SGI workstations and Pentium PCs did the work, mostly on nights and weekends, over the course of seven months.  The algorithm used was the General Number Field Sieve.  The algorithm has two parts: a sieving step and a matrix reduction step.  The sieving step was the part that the 300 computers worked on: about 8000 MIPS-years over 3.7 months.  (This is the step that Shamir's TWINKLE device can speed up.)  The matrix reduction step took 224 CPU hours (and about 3.2 Gig of memory) on the Cray C916 at the SARA Amsterdam Academic Computer Center.  If this were done over the general Internet, using resources comparable to what was used in the recent DES cracking efforts, it would take about a week calendar time.
The entire effort was 50 times easier than breaking DES.

Vir: Cryptogram, 15. september 1999, http://www.counterpane.com/crypto-gram.html

 

Zaključek
Kot smo videli je namestitev pa tudi uporaba programa PGP povsem enostavna. Z uporabo tega programa bodo naša elektronska sporočila in datoteke varne, seveda pa je potrebno nekaj discipline. Kot prvo je program potrebno redno uporabljati, kot drugo moramo paziti, da svojega gesla ne razglašamo naokrog, in kot tretje si izberimo takšno geslo, ki ga ne bo mogoče enostavno uganiti. Najbolje je, da izberete kombinacijo znakov in cifer. Nikakor pa ne priporočam uporabe gesel kot so priimek, ime partnerja ali otroka, rojstni datum, ime podjetja v katerem ste zaposleni, telefonska številka,... Nekdo, ki bi hotel vdreti v kakšno izmed vaših datotek ali sporočil, bo kot gesla gotovo preizkusil najprej te nize znakov.
Tisti, ki ste program uspešno namestili, si sedaj lahko ogledate moj javni PGP ključ in ga po želji dodate v svojo zbirko javnih ključev.
In da še enkrat poudarim: če mi hočete poslati kodirano sporočilo, mi morate najprej poslati svoj javni ključ. Brez njega vašega sporočila ne bom mogel dekodirti in prebrati.