Инструменты безопасности с открытым исходным кодом

         

Применение PGP


Доступ к PGP осуществляется из подменю Programs в меню Start. Там имеется несколько доступных опций, включая PGPMail и документацию. Условно свободная версия PGP снабжена отличной документацией, включая более чем семидесятистраничное введение в криптографию. Это прекрасный начальный курс для новичков в криптографии. Для PGP написано также огромное руководство пользователя.

При запуске PGPMail на экране появляется небольшая панель инструментов. Ее можно минимизировать до небольшой иконки на системной панели, когда она не используется. Простой интерфейс PGPMail предлагает несколько опций: PGPKeys, Encrypt, Sign, Encrypt and Sign, Decrypt/Verify, Wipe и FreeSpace wipe. Конкретные функции каждого элемента рассмотрены ниже.

PGPKeys

Раздел PGPKeys служит для управления как вашими открытым и секретным ключами, так и открытыми ключами ваших партнеров (рис. 9.3). Программа PGP создает на диске два каталога, называемых кольцами для ключей, так как они содержат все ключи, как открытые, так и секретные, которые нужны для применения PGP. Файл pubring, находящийся в основном каталоге PGP, содержит ваш открытый ключ, а также открытые ключи других людей, которым вы предполагаете посылать зашифрованные файлы. Файл secring содержит ваш секретный ключ, обычно в зашифрованном виде. Как правило, он содержит только один секретный ключ, но у вас может быть и несколько секретных ключей. Например, вы можете применять один из них для деловых писем, а другой - для частной корреспонденции. Помните только, что документы, зашифрованные с помощью определенного открытого ключа, можно расшифровать только с помощью соответствующего ему секретного ключа.


Рис. 9.3.  Экран PGPKeys

Здесь можно также создавать новые ключевые пары и отзывать пары ключей, которые больше не используются. Можно загрузить свой открытый ключ на один из нескольких серверов открытых ключей. Это позволит тем, кто никогда с вами не общался, найти ваш ключ на сервере открытых ключей и послать вам сообщение PGP. Многие люди, применяющие PGP, имеют привычку размещать открытый ключ в строке подписи своих электронных сообщений, поэтому их адресаты могут легко послать им сообщение, зашифрованное PGP.


Другим способом, помогающим проверить законность некоторого персонального ключа, является его подписывание ключами других людей. Это позволяет удостовериться, что некий открытый ключ принадлежит данному человеку. Вы должны подписывать открытые ключи только тех людей, которых хорошо знаете лично, и проверять, что ключ правильный. Ваши друзья и знакомые также могут подписывать ваши ключи. Это кольцо подписывающих ключей создает неиерархическую модель доверия, называемую сетью доверия. Ее главное достоинство в том, что для ее работы не требуется центральный уполномоченный орган. Более подробно о том, как работает сеть доверия, можно узнать из раздела GnuPG далее в этой лекции.

Чтобы добавить ключи других пользователей в ваше кольцо открытых ключей, можно либо импортировать их непосредственно из файла или произвести поиск на серверах открытых ключей. Выбирая Search в меню Servers или щелкая мышью на иконке с изображением увеличительного стекла и вводя часть имени или некоторый идентифицирующий текст, можно увидеть, какие ключи на серверах открытых ключей соответствуют вашему запросу. Отбуксируйте выбранные элементы из результатов на основной экран PGPKey, и открытый ключ этого человека будет доступен для использования в сообщениях PGP. Можно также просмотреть специфические свойства любого ключа, включая подписавших этот ключ, размер ключа (в битах) и метод (обычно DH, что означает Diffie-Hellman). Наконец, можно импортировать или экспортировать ваши кольца ключей, если вы меняете компьютеры или должны восстановить данные с резервной копии.

Encrypt

Функция Encrypt устроена просто. Сначала появляется диалоговое окно, которое позволяет выбрать файл для зашифрования. Когда файл выбран, PGP попросит выбрать открытый ключ адресата из вашего кольца ключей. Если нужного ключа у вас еще нет, поищите его на серверах открытых ключей, как описано выше, и добавьте его к своему списку. Выберите открытый ключ вашего адресата и отбуксируйте ключ из поля наверху в список адресатов.

Флажки внизу слева позволяют задать несколько важных опций (рис. 9.4).


Одна из наиболее важных - Wipe Original (Стереть оригинал). Установите этот флажок, если вы шифруете файл для хранения на жестком диске. В противном случае PGP просто создаст новый зашифрованный файл и оставит оригинал в открытом для просмотра текстовом виде в том же каталоге. Помните, однако, что если вы выберете эту опцию и потеряете свои ключи, то файл пропадет безвозвратно.


Рис. 9.4.  Экран опций шифрования PGP

Другим важным параметром является Conventional Encryption (Обычное шифрование). Установка этого флажка отменяет шифрование с открытым ключом. Вместо этого будет производиться стандартное шифрование с разделяемым секретом, и вам нужно будет выбрать парольную фразу, чтобы зашифровать данные. Эту парольную фразу затем нужно безопасным образом передать адресату. Подобный метод ликвидирует основное достоинство PGP, но он может быть необходим, если у вас нет открытого ключа адресата. Если у адресата нет программного обеспечения PGP, выберите опцию Self-Decrypting Archive (Саморасшифровывающийся архив). При этом будет создан файл, который сам расшифрует себя, когда получатель щелкнет на нем мышью. Конечно, получатель все равно должен знать парольную фразу, которая применялась при создании файла.

Sign

Функция Sign дает возможность подписать файл с помощью секретного ключа, позволяя впоследствии проверить, что с момента подписания файл не изменился. При этом применяется хэш-функция для преобразования файла в формат дайджеста, а затем производится шифрование с помощью секретного ключа. Это действие противоположно обычному шифрованию открытым ключом. Получатель может взять подпись и попытаться расшифровать ее с помощью вашего открытого ключа. Если хэши совпадут, то можно утверждать, что с момента подписания содержимое не изменилось. Данная функция полезна, если вы больше озабочены целостностью файла, чем конфиденциальностью информации. Примером может служить длинный контракт, который был существенно отредактирован. Можно подписать его цифровой подписью и быть уверенным, что после этого никто не сможет его изменить.


Подпись можно также применять для обеспечения так называемой "неотказуемости" - если вы подписали документ, то может быть доказано, что вы это сделали, если только кто-то не заполучил ваш секретный ключ. Это равносильно юридической силе физической подписи, за исключением того, что подделать цифровую подпись значительно труднее, чем обычную.

Encrypt and Sign

Эта функция совмещает функции Encrypt и Sign, обеспечивая строгую конфиденциальность, целостность и неотказуемость.

Decrypt/Verify

Функция Decrypt/Verify применяется для обращения процесса шифрования PGP. После выбора файла для расшифрования будет предложено ввести парольную фразу, чтобы можно было использовать хранящийся на диске секретный ключ. Если парольная фраза будет введена правильно, вам предложат задать имя нового файла, в который будет помещен результат расшифрования. Эту функцию можно также применять для проверки подлинности подписи.

Wipe

Функция Wipe навсегда стирает файл с жесткого диска. Этот процесс существенно надежнее, чем функция Delete в Windows. Проблема с Windows и большинством других операционных систем состоит в том, что при удалении файла они на самом деле не удаляют данные с жесткого диска, ограничиваясь удалением записи о файле в индексе файловой системы. Данные по-прежнему остаются на дисковых пластинах. Их можно просмотреть с помощью низкоуровневого дискового редактора или восстановить с помощью легко доступных утилит, таких как Norton или DD (DD демонстрируется в лекции 11). Функция Wipe на самом деле несколько раз перезаписывает данные на диске случайными единицами и нулями. По умолчанию это делается три раза, что вполне достаточно для большинства случаев. При желании можно увеличить это число по крайней мере до десяти, если вы стираете сверхсекретные данные, поскольку специалисты по восстановлению данных в действительности могут восстановить данные даже после нескольких перезаписей. Можно увеличить число проходов до 28, и в этом случае даже Агентство национальной безопасности будет бессильно.Отметим, что при стирании больших файлов с большим числом проходов может потребоваться довольно много времени. Это высокоинтенсивная дисковая операция.

Freespace Wipe

Freespace Wipe выполняет ту же функцию, что и Wipe, но для свободного дискового пространства. Время от времени протирать свободные блоки необходимо, так как старые файлы, которые вы удаляли, но не стирали, все еще могут существовать. Кроме того, программы постоянно создают временные файлы, которые могут содержать копии данных ограниченного доступа. Они удаляются операционной системой, когда программа завершается, но все еще существуют на диске. Freespace Wipe санирует весь ваш жесткий диск. Можно запланировать автоматические регулярные санации жесткого диска.


Содержание раздела