Namestitev in uporaba programa PGP v. 6.02i
PGP - kaj je to?
PGP (Pretty Good Privacy -
precej dobra zasebnost), je program za kodiranje vsebine datotek
in elektronskih sporočil. Pri kodiranju PGP uporablja
kriptografsko metodo javnega in zasebnega ključa. To pomeni, da
imata tako pošiljatelj, kot prejemnik vsak svoj par javni in
tajni ključ. Javni ključ javno objavita, tajnega pa obdržita
zase. Kodiranje poteka tako, da pošiljatelj sporočilo zakodira
s prejemnikovim javnim ključem in svojim tajnim ključem.
Prejemnik pa sporočilo lahko dekodira samo s pošiljateljevim
javnim ključem in svojim tajnim ključem. S tem odpade potreba
po tim. varnem kanalu, preko katerega je potrebno v
primeru klasične kriptografije prenesti geslo od pošiljatelja
do prejemnika. S tem se tudi bistveno izboljša varnost - če ni
prenašanja gesel, jih tudi ni mogoče prestreči.
Zaradi omejitev izvoza kriptografskih produktov iz ZDA (ZDA
kriptografijo smatrajo kot vojaško tehnologijo), mednarodne
različice programa PGP ne uporabljajo RSA kriptografije. PGP je
na voljo za več platform (operacijskih sistemov), opisana pa je
namestitev in uporaba različice za Windows 95/98.
Namestitev programa PGP International, verzija 6.02i
Pomembno: opisana
so navodila s programom PGP International, verzija 6.02i.
Namestitev in uporaba ostalih (novejših, ali ameriških) verzij
programa poteka podobno.
Program PGP International, verzija 6.02i dobite na
Internetu in sicer v datoteki PGPfreeware602i.exe. Program je seveda dostopen na tem
strežniku in ga lahko takoj prenesete na svoj računalnik.
No, pa gremo! (Spodaj so opisana podrobna navodila za namestitev. Kdor vsaj malo pozna osnove dela z računalnikom, naj preskoči prvi del.)
V
naslednjem koraku nas program vpraša katere komponente
želimo namestiti. Vsekakor moramo namestiti PGP 6.0.2i
Program Files, na voljo pa so tudi priključki (plug-in)
za uporabo PGP-ja s poštnimi odjemalci Outlook Express,
MS Exchage in Eudora. Priključek za Pegasus mail in
nekaj ostalih poštnih odjemalcev lahko poiščete na
spletni strani PGP
International.
Predlagam tudi namestitev komponente PGPdisk.
Generiranje para javni-tajni ključ
Če še nimate svojega tajnega ključa, se bo postopek za njegovo generacijo začel ob prvem zagonu programa PGPkeys (lahko pa tajni ključ dodate kadarkoli kasneje s pritiskom na ikono Generate new keypair v programu PGPkeys). Skozi celoten postopek nas vodi prijazen čarovnik.
Izmenjava javnih ključev in veljavnost ključev
Kot smo rekli, potrebujemo javne
ključe vseh oseb, ki jim želimo pošiljati kodirana sporočila.
Najprej moramo seveda mi drugim poslati svoj ključ. To
storimo tako, da poženemo program PGPkeys, z miško
izberemo svoj ključ ter v menuju Keys izberemo možnost Export.
Datoteko s ključem shranimo na disk (končnica datoteke je .asc),
ter jo pošljemo vsem, s katerimi si nameravamo izmenjevati
kodirana sporočila, lahko pa jo pošljemo tudi na strežnik za
izmenjavo javnih ključev, tim. keyserver (v menuju Server
izberemo možnost Send to).
Ključe drugih oseb v svojo zbirko ključev vključimo še
bolj preprosto. Ena možnost je, da v programu PGPkeys v
menuju Keys izberemo možnost Import, nato pa
izberemo datoteko, ki vsebuje ključ druge osebe, druga pa je, da
v okolju Windows na datoteko s ključem (datoteka ima končnico .asc)
dvakrat kliknemo, in ključ se samodejno doda naši zbirki javnih
ključev.
Javne ključe, ki jih vključimo
v svojo zbirko javnih ključev moramo še podpisati. To sicer ni
nujno, je pa zaželjeno, saj s podpisom programu povemo, da je
ključ OK in da mu torej zaupamo. Lahko bi se namreč zgodilo, da
bi se vsiljivec pretvarjal za neko osebo (npr. vašega
prijatelja) in vam poslal svoj ključ, vi pa bi mislili, da je
ključ prijateljev.
Ključ podpišemo tako, da v programu PGPkeys z miško
izberemo ključ ter v menuju Keys izberemo možnost Sign.
Na podlagi "prstnega odtisa" (fingerprint) ključa se
lahko prepričamo da ključ res pripada pravi osebi. To storimo
tako, da to osebo (npr. vašega prijatelja) pokličemo in
preverimo če se prstna odtisa njegove in vaše kopije njegovega
javnega ključa ujemata. Prstni odtis se nahaja v
šestnajstiškem zapisu (npr. CBD6 5B9A DF76), najnovejše
verzije PGPja pa uporabljajo zapis prstnega odtisa v naravnem
jeziku (kombinacije besed, npr. animal game party).
Ključ nato podpišemo s svojim tajnim geslom. Nato v menuju Keys
lahko izberemo možnost Key properties ter v okvirju Trust
model programu povemo, da je ključ vreden zaupanja.
Uporaba programa PGP
Program sam je sedaj nameščen
in pripravljen na uporabo. Datoteke se nahajajo v mapi c:\Program
Files\Pgp\PGP602i\ (glej 6. korak namestitve). Med datotekami
se nahaja tudi Pgp60.hlp, kjer so podrobna navodila. V
nadaljevanju zato le nekaj osnov.
PGP omogoča kodiranje, dekodiranje in podpisovanje vsebine
namizja, datotek, map ali diskov, elektronske pošte, programski
modul PGPfone pa tudi zvočnih komunikacij. S pomočjo PGPja
lahko datoteke tudi popolnoma izbrišemo (opcija wipe), tako da
obnovitev vsebine datoteke ni več možna, lahko pa popolnoma
izbrišemo tudi tako imenovani prazen prostor na disku. V resnici
namreč prazen prostor na disku ni povsem prazen, saj je mogoče
vsebino izbrisanih datotek obnoviti. PGP lahko prazen prostor na
disku briše do 26-krat zaporedoma in tako povsem onemogoči
obnovitev izbrisane vsebine diska. S posebnimi magnetnimi in
laserskimi tehnikami je namreč mogoče obnoviti večkrat (do
devetkrat) formatiran trdi disk.
PGP in namizje (clipboard)
- PGP Tray
Eden osrednjih delov programskega paketa PGP je pritajeni program
PGP Tray. Ob vsakem zagonu operacijskega sistema
Windows se naseli v opravilno vrstico Oken (poleg ure). Če
kliknemo na ikono PGP Tray-a v opravilni vrstici
Oken (taskbar), se odpre ukazni menu, ki omogoča kodiranje,
dekodiranje in podpisovanje vsebine namizja, vključevanje javnih
ključev, shranjenih na namizju v zbirko ter še nekaj uporabnih
možnosti (npr. zagon programov PGPkeys in PGPtools, itd.)
Zakodirano/odkodirano/podpisano vsebino namizja nato lahko s
pomočjo tehnike Paste, prenesemo v katerikoli program
okolja Windows.
Pri kodiranju se odpre okno s
seznamom javnih ključev v naši zbirki. S pomočjo miške
izberemo seznam oseb, za katere želimo kodirati vsebino namizja
(če nekoga nimamo na seznamu, moramo dobiti njegov javni
ključ!). Osebe, ki jim želimo kodirano vsebino poslati z
miško prenesemo v spodnji del okna - recipients ter pritisnemo
OK
Če smo izbrali podpisovanje, nas program nas vpraša še za naš
tajni ključ (najprej izberemo svoj "signing key", nato
pa vpišemo svoj zasebni ključ - v zbirki imamo namreč lahko
tudi več tajnih ključev, torej lahko eno verzijo programa PGP
uporablja več različnih uporabnikov, vsak s svojim parom
javni-tajni ključ).
Pri dekodiranju samo vpišemo svoj tajni ključ in stvar je
gotova.
PGP in datoteke
Kodiranje in dekodiranje datotek je povsem preprosto. V Windows
Explorerju, kliknemo na datoteko (ali mapo), ki jo želimo
de/kodirati, podpisati ali izbrisati, nato pa v menuju File
(v Windows Explorerju), izberemo PGP ter eno izmed opcij Encrypt,
Sign, Encrypt and Sign ali Wipe.
Kot rečeno namreč PGP omogoča popoln izbris datoteke.
Enako dosežemo s tem, da datoteko najprej izberemo, nato pa z
desnim gumbom miške kliknemo nanjo - na dnu menija ki se odpre
(za lastnostmi datoteke) se pokaže izbira PGP.
Pri kodiranju moramo izbrati
seznam oseb, za katere datoteko kodiramo (če nekoga nimamo na
seznamu, moramo dobiti njegov javni ključ!). Osebe, ki jim
želimo kodirano datoteko poslati z miško prenesemo v spodnji
del okna - recipients list ter pritisnemo OK
Če smo izbrali podpisovanje, nas program nas vpraša še za
"Signing passphrase". Najprej izberemo svoj
"signing key", nato pa vpišemo svoj zasebni ključ
(svoje geslo).
Dekodiranje datotek pa je še bolj preprosto. Na datoteko
skončnico PGP dvakrat kliknemo, ter v okence, ki se odpre
vpišemo svoje geslo (svoj zasebni ključ - passphrase).
Pritisnemo OK in nato Save, ter dekodirana datoteka
je že na našem disku!
Datoteko s končnico .pgp lahko sedaj brišemo, saj je ne
potrebujemo več.
Pri kodiranju se odpre okno s
seznamom javnih ključev v naši zbirki. S pomočjo miške
izberemo seznam oseb, za katere želimo kodirati vsebino datoteke
ali mape (če nekoga nimamo na seznamu, moramo dobiti njegov
javni ključ!). Osebe, ki jim želimo kodirano vsebino poslati z
miško prenesemo v spodnji del okna - recipients ter pritisnemo
OK
Če smo izbrali podpisovanje, nas program nas vpraša še za naš
tajni ključ (najprej izberemo svoj "signing key", nato
pa vpišemo svoj zasebni ključ - v zbirki imamo namreč lahko
tudi več tajnih ključev, torej lahko eno verzijo programa PGP
uporablja več različnih uporabnikov, vsak s svojim parom
javni-tajni ključ).
Pri dekodiranju samo vpišemo svoj tajni ključ, shranimo
datoteko in stvar je gotova.
PGPdisk
Če smo namestili komponento
PGPdisk lahko na svojem računalniku s preprostim postopkom
ustvarimo nov (navidezni) disk. Disk je v resnici datoteka s
končnico .pgd. S klikom na gumb New,
se začne postopek ustvarjanja novega diska. Najprej določimo
ime .pgd datoteke, določimo velikost diska (v kilo, mega ali
gigabajtih) ter črko diska (drive letter), določimo
geslo (tajni ključ) in programu s slepim tipkanjem po tipkovnici
in naključnim premikanjem miške pomagamo zbrati dovolj
naključnih podatkov. Disk nato še formatiramo in mu določimo
ime in postopek je zaključen. Disk nato lahko uporabljamo kot
običajen disk, lahko pa tudi določimo kombinacijo tim. vročih
tipk (hotkeys) s katerimi PGP disk hitro demontiramo iz
sistema.
Že obstoječi PGP disk montiramo zelo preprosto. Preprosto
dvakrat kliknemo na .pgd datoteko, nato pa vpišemo geslo.
Brisanje praznega prostora
na trdem disku
Tako imenovani prazen prostor na disku v resnici ni povsem
prazen, saj je mogoče vsebino izbrisanih datotek obnoviti. S
posebnimi magnetnimi in laserskimi tehnikami je celo mogoče
obnoviti večkrat (do devetkrat) formatiran trdi disk. PGP lahko
prazen prostor na disku briše do 26-krat zaporedoma in tako
povsem onemogoči obnovitev izbrisane vsebine diska. Brisanje
praznega prostora omogoča program PGPtools (s
klikom na skrajno desno ikono).
PGP in elektronska pošta
Načeloma lahko elektronska sporočila kodirako preko namizja z
uporabo programa PGPtray. Vendar pa so
v programskem paketu PGP vključeni tudi priključki (plug-in) za
lažjo uporabo PGPja v nekaterih poštnih programih. V
standardnem paketu so na voljo priključki za Eudoro, microsoft
Exchange/Outlook in Outlook Express. Na spletni strani PGP International je na voljo tudi priključek za Pegasus Mail in
nekatere druge poštne odjemalce.
Priključki omogočajo de/kodiranje in podpisovanje elektronskih
sporočil neposredno iz samih poštnih programov (v poštni
program se vključijo ustrezni ukazi).
Kaj pa varnost?
Popolnoma varne kriptografije
ni. Načeloma pa velja, da daljši kot je ključ bolj varna je
kriptografija. Prav tako se po varnosti razlikujejo tudi
različne metode. Kriptografija javnega in tajnega ključa spada
med najvarnejše.
Kot poroča elektronski časopis Cryptogram (http://www.counterpane.com/crypto-gram.html) iz 15. septembra 1999, je skupina
kriptografskih strokovnjakov iz Amsterdama uspela razbiti
512-bitni ključ. Postopek je trajal več kot sedem mesecev. Za
varnost pa ta podatek ni zelo šokanten. Pomeni le to, da moramo
uporabiti čim daljši ključ. Z razvojem računalnikov so
strokovnjaki sposobni razbijati čedalje daljše ključe, vendar
pa razvoj računalnikov omogoča tudi uporabo še daljših in
zato še varnejših ključev.
Factoring a 512-bit Number
A factoring record was broken last month, on 22 August. A group led by Herman te Riele of CWI in Amsterdam factored a 512-bit (155-digit) hard number. By "hard," I mean that it was the product of two 78-digit primes...the kind of numbers used by the RSA algorithm.
About 300 fast SGI workstations and Pentium PCs did the work, mostly on nights and weekends, over the course of seven months. The algorithm used was the General Number Field Sieve. The algorithm has two parts: a sieving step and a matrix reduction step. The sieving step was the part that the 300 computers worked on: about 8000 MIPS-years over 3.7 months. (This is the step that Shamir's TWINKLE device can speed up.) The matrix reduction step took 224 CPU hours (and about 3.2 Gig of memory) on the Cray C916 at the SARA Amsterdam Academic Computer Center. If this were done over the general Internet, using resources comparable to what was used in the recent DES cracking efforts, it would take about a week calendar time.
The entire effort was 50 times easier than breaking DES.Vir: Cryptogram, 15. september 1999, http://www.counterpane.com/crypto-gram.html
Zaključek
Kot smo videli je namestitev pa tudi uporaba programa PGP povsem enostavna. Z uporabo tega programa bodo naša elektronska sporočila in datoteke bolj varne, seveda pa je potrebno nekaj discipline. Kot prvo je program potrebno redno uporabljati, kot drugo moramo paziti, da svojega gesla ne razglašamo naokrog, in kot tretje si izberimo takšno geslo, ki ga ne bo mogoče enostavno uganiti. Najbolje je, da izberete kombinacijo znakov in cifer. Nikakor pa ne priporočam uporabe gesel kot so priimek, ime partnerja ali otroka, rojstni datum, ime podjetja v katerem ste zaposleni, telefonska številka,... Nekdo, ki bi hotel vdreti v kakšno izmed vaših datotek ali sporočil, bo kot gesla gotovo preizkusil najprej te nize znakov.