Настройка программы.

123

Для того, чтобы иметь возможность обмениваться секретными сообщениями с окружающими (уже инсталлировавшими на свои компьютеры программу PGP) вам необходимо сгенерировать пару ключей: общественный и личный. Эта пара будет использована в дальнейшем и для создания цифровой подписи. Не забывайте, что общественным ключом вы можете делиться с кем угодно, но личный ключ необходимо хранить в секрете от всех.

Итак, поехали:

1) Start (Пуск) > Programs (Программы) > PGP > PGPkeys,

2) необходимо указать собственное имя (Full name) и адрес электронной почты (Email address), не забывая, что именно эти данные будут ассоциированы программой с вашими ключами,

3) выбор типа ключа (Key Pair Type): ключ RSA действительно архаичнее и медленнее своего ретивого молодого собрата Diffie-Hellman/DSS, однако, если среди ваших корреспондентов есть пользователи более ранних версий, нежели PGP 5.0, придётся использовать ключ RSA; впрочем, правильнее было бы убедить любителей древностей перейти к использованию нового типа,

4) выбор длины общественного ключа (Key Pair Size): по умолчанию, при использовании метода Diffie-Hellman/DSS, предлагается выбрать 2048-разрядный ключ; соглашайтесь, если вы не страдаете чрезмерной скрытностью или, напротив, открытостью; стандартной длины ключа скорее всего хватит на вашу долгую и счастливую жизнь,

5) можно установить “дату смерти” вашей ключевой пары, то есть крайний срок, до которого данные ключи могут быть использованы для кодирования и подписи (способность к расшифровке и проверке подлинности будет сохраняться); не стоит без крайней нужды ограничивать “время жизни” ваших ключей, помните, что, определив однажды временные рамки, вы уже не будете в состоянии их изменить,

6) на следующем этапе (если об этом позаботился администратор вашей сети, ведающий вопросами криптографии; в противном случае см. сразу пункт 9) формируется дополнительный ключ для расшифровки данных (Additional Decryption Key), он относится к так называемым “спасительным ключам” (Recovery Keys), необходимым для восстановления зашифрованных данных в случае потери личного ключа,

7) теперь настала пора для генерации корпоративного ключа (Corporate Signing Key), которым будет пользоваться администратор вашего сервера для автоматической подписи и установления доверия по отношению к вашим сообщениям,

8) для администратора формируется также ключ для аннулирования вашего ключа (Designated Revocation Key); как-никак, а процессами, происходящими на сервере, управляет администратор, и у него должна быть возможность отменить ваш ключ, скажем, в случае обнаружения подмены,

9) теперь приступим к сочинению ключевой фразы (passphrase); существует единственное ограничение - во фразе должно присутствовать не менее 8 символов; вы можете использовать любые регистры, специальные символы, пробелы, допускается запись фразы на любом языке; если вас смущает печать вслепую, уберите галочку “Скрыть напечатанное” (Hide Typing), в этом случае набираемый текст будет отображаться “в открытую”,

Внимание! Убедитесь в том, что вы хорошо запомнили ключевую фразу!

· после очередного нажатия на кнопку “Далее” (Next) придётся немного подождать, процедура генерации ключей может занять несколько минут; это время рекомендуется посвятить дурацкому, на первый взгляд, занятию – беспорядочному нажатию на клавиши и кнопки, тем самым вы облегчите программе весьма трудоёмкий процесс генерации случайных данных (хотя она прекрасно справилась бы и без вас),

· когда ключи сгенерированы, новоиспечённому пользователю программы предлагается выйти в Интернет и отправить общественный ключ на сервер, где уже сложены ключи других работников компании (root server); к этой процедуре можно вернуться позже или предпочесть индивидуальную рассылку, которая, кстати, в гораздо большей степени гарантирует подлинность вашего открытого ключа,

· всё, ключи созданы, казалось бы можно приступать к работе.

Однако, не торопитесь. Программа PGP требует ответственного подхода, поэтому окно “PGPkeys” удастся закрыть не сразу.

Вставьте в дисковод чистую отформатированную дискету и сохраните на ней “брелки” с общественным и личным ключом (файлы pubring.pkr и secring.scr, соответственно). Почему стоит хранить эти файлы на дискете? На всякий случай нужна резервная копия. Мало ли, что может произойти с вашим жёстким диском. Помните, потеря брелков немедленно влечёт за собой недоступность предназначаемой для вас информации.

Совокупный вес “брелков” составляет примерно 5 Кбайт. В пропорции 3:1 в пользу ключа общественного. Поэтому хранение этих файлов, скажем, на компакт-диске является безумным расточительством, если только хитроумный пользователь не замыслил упрятать свои “брелки” в груду всякого постороннего мусора или просто не доверяет хрупким дискетам. Кто-то может посчитать подобные действия параноидальными. Не будем с ними спорить, а лишь укрепим их в этой мысли последней рекомендацией. Если кража некой зашифрованной информации для вас смерти подобна, удалите файл secring.skr с жёсткого диска и храните его только на дискете (или ином внешнем носителе) в хитром сейфе. Нужно открыть корреспонденцию, вставляйте “ключевую дискету”. Старомодно, но исключительно надёжно. Можно поступить и иначе: произвольным образом переименовать файл secring.skr и хранить его вдали от папки PGP.

Не забудьте отправить свой общественный ключ всем потенциальным получателям вашей “тайной” корреспонденции. Для этого необходимо пометить мышью строку с вашим ключом в окне PGPkeys и перетащить (прижав левую клавишу мыши) строку с ключом в окно текстового сообщения вашей почтовой программы, затем разослать это письмо по адресатам.

Можно действовать и другим образом: закинуть свой общественный ключ на некий сервер и в подписи своего письма указывать адрес этого сервера. Если переписка происходит внутри одной большой организации, именно так, как правило, и поступают.

Адрес сервера может выглядеть, например, так:

http://swissnet.ai.mit.edu:11371/pks/lookup?op=get&search=0x5DC10B44

Последняя комбинация <0x5DC10B44> - это идентификатор вашего ключа. Он записан в разделе Key Properties (в окне PGPkeys после правого клика мышью на вашей строке выбрать Key Properties), в окошке ID в разделе General.

Для того, чтобы подписать свой ключ, после правого клика на своей личной строке выберите меню Sign. Откроется окно PGP Sign Key с нужной вам строкой. После нажатия на OK в новом окне укажите (желательно, без ошибок) вашу ключевую фразу. Очередной клик на OK, и ключ подписан.

Запуск программы.

Существует, по крайней мере, четыре способа запустить программу PGP на вашем компьютере.

· С помощью меню Пуск (Start).

· Из области индикаторов панели задач (замочек в правом нижнем углу рабочего экрана).

· Непосредственно из программы, используемой для передачи данных (Eudora, Outlook, The Bat и проч.).

· Через строку PGP после правого клика на иконке файла или папки.

Первый способ предоставляет доступ к основным ресурсам PGP, плюс возможность обращения к вспомогательной документации и к подпрограмме безоговорочного удаления криптографического пакета с вашего компьютера. Второй способ чаще всего используется при необходимости криптования данных, помещённых в буфере обмена (clipboard). Абсолютное большинство пользователей предпочитает третий способ, то есть работу с шифрованием в привычном окне почтовой программы. Что касается последнего способа, то он хорош уже хотя бы тем, что является самым коротким.

Теперь рассмотрим все четыре способа несколько подробнее.

Й способ.

Пуск (Start) > Программы (Programs) > PGP.

Оставим в стороне рабочую документацию (Documentation) и подпрограмму удаления (Uninstall), их предназначения очевидны. Гораздо важнее сразу же разобраться со служебными полномочиями других подпрограмм.

PGPAdmin. Позволяет построить криптографическую систему для целой организации. Добавляет в конфигурацию ключевой пары пользователя понятие дополнительного корпоративного ключа (Additional Decryption Key - ADK). Вспомните пункты 6-8 части III (Настройка программы).

PGPdisk. Фактически создаёт защищённую область на жёстком диске вашего компьютера, доступ в которую открыт только обладателю пароля (passphrase). Даже после восстановления информации на вашем диске (потерянной после заражения вирусом или форматирования диска), данные из PGPdisk останутся закрытыми “на ключевую фразу”.

Вы можете создать новый PGPdisk (New) необходимого объёма и присвоить ему метку (если она не занята другой партицией жёсткого диска). После чего созданный вами логический диск открыт для размещения данных (Mount). Рекомендуется, попользовавшись, закрывать вашу секретную область на диске (Unmount). Для того, чтобы снова открыть PGPdisk потребуется ввести ключевую фразу. В разделе свойств диска (Prefs) можно произвести дополнительную настройку: установить время, по истечении которого доступ к секретной области будет закрыт автоматически (по умолчанию - 15 минут), отменить установление защиты при выключении компьютера (лучше оставить как есть), а также выбрать “горячую клавишу” для быстрого запирания на ключ.

PGPkeys. Выбрав эту строку, вы получаете доступ к таблице ваших личных и общественных ключей, а также открытых ключей ваших корреспондентов. Если ваши ключи ещё не сгенерированы, выбрав PGPkeys, вы переходите к процедуре создания ключей (более подробную информацию см. в части 3).

Полномасштабное описание этой таблицы на языке оригинала можно найти в описании разработчика (PGP Manual или Help). Мы же ограничимся по возможности кратким комментарием.

Основные кнопки:

- инициация создания новой ключевой пары,

- отмена данного ключа (вы сможете распоряжаться его судьбой, но как рабочий инструмент он будет для вас потерян),

- позволяет подписать избранный ключ,

- уничтожение ключа, соответствующего помеченной строке,

- поиск нужного ключа в списке (необходим, если этот список велик),

- отправить открытый ключ на сервер,

- получить ключ с сервера,

- посмотреть основные параметры ключа,

- вытащить ключи из некоего файла на компьютере,

- закинуть избранные ключи в файл.

Верхняя строка меню в таблице PGPkeys предоставляет дополнительные возможности. Например, вы можете добавить новые пункты в описания ключей (View): идентификатор ключа (Key ID), уровень доверия (Trust), дату создания (Creation Date), дату “смерти” (Expiration Date), ассоциированность с дополнительным ключом (ADK). Есть отсюда и доступ к таблице основных свойств PGP (Edit > Preferences), подробнее описываемой ниже.

PGPtools. Активизирует таблицу инструментов PGP.

- переход к таблице PGPkeys (см. выше),

- выбор файла для шифрования,

- выбор файла документа “на подпись”,

- зашифровать подписанный файл,

- расшифровать данные с подписью,

- удалить так, чтобы невозможно было восстановить,

- создание невосстановимой области.

PGPtray. Активизирует значок , если его нет. Предоставляет лёгкий путь криптования информации, содержащейся в буфере обмена (clipboard). Запуск этой подпрограммы мы рассмотрим подробнее при описании “второго способа” обращения к PGP.

Й способ.

В правом нижнем углу поселился замочек . Любой (правый или левый) клик мышью на этой иконке приводит к появлению нового окна с длинным списком возможностей программы PGP.

Самый жгучий интерес (и наибольшее количество вопросов) в этом списке вызывает незнакомая строка настройки предпочтений, PGP Preferences.

Рассмотрим основные варианты (раздел General).

Always encrypt to default key - всегда шифровать ключом, определённым как основной - если эта опция включена, все данные, зашифрованные открытым ключом получателя, будут шифроваться также и вашим основным ключом; иногда бывает полезным, если вы хотите иметь на своём компьютере доступ к любым зашифрованным данным.

Faster key generation - ускоренное создание ключа - как и следует из текста, позволяет вам несколько сэкономить драгоценное время, хотя теоретически и снижает надёжность ключа.

Cache decryption passphrases for - кэшировать пароль для расшифровки в течение указанного времени - полезно при чтении огромного вороха корреспонденции установить время кэширования побольше, тогда вам не придётся всякий раз, по истечении данного срока, перенабирать ключевую фразу, хотя это может и не понравиться вашим специалистам по безопасности (и совершенно оправданно!), поскольку на время кэширования ваш пароль доступен для перехвата хитроумными взломщиками.

Cache signing passphrases for - кэшировать пароль для подписи расшифровки в течение указанного времени - аналогично предыдущему, если документы на подпись так и сыплются на вас, увеличьте время кэширования.

В разделе Files вы можете менять места расположения “брелков” с ключами. Без особого труда то же самое делается и вручную.

Бросим несколько более пристальный взгляд на вкладку установления предпочтений при работе с электронной почтой, Email. Здесь вы можете изменять параметры работы с почтой для программ, поддерживаемых с помощью встраиваемых модулей. Если отметить галочками все строки, это сократит в дальнейшем перечень процедур при работе с шифрованными почтовыми сообщениями ровно на четыре щелчка мышью. Обратите внимание, что по умолчанию задаётся количество знаков в одном столбце подписываемого сообщения. Это вызвано тем, что разные почтовые программы по-разному сворачивают текст, отсутствие принудительной стандартизации может разрушить структуру подписанного сообщения и привести к невозможности подтверждения подписи.

Раздел Servers, как правило, содержит адрес корпоративного сервера, на котором хранятся открытые ключи всех пользователей компании. Однако, в новой версии PGP любой пользователь может произвольно дополнять список подобных серверов. В самом деле, а вдруг вы одновременно работаете сразу с несколькими компаниями?

Начинающим пользователям не стоит изменять настройки в разделе Advanced. И алгоритмы шифрования, и модели доверия подобраны оптимальным для вас образом.

Все остальные команды в PGPtray предназначены для работы с данными, размещёнными в буфере обмена (clipboard). Загнать данные в буфер можно, выделив их маркером мыши и одновременно нажав на клавиатуре клавиши “Ctrl” и “c”, или выбрав в меню данной программы Edit (Правка) и Copy (Копировать).

Вот список этих команд:

· Use Current Window – использовать выделенный текст в текущем окне,

· Empty Clipboard – очистить буфер обмена от старого содержимого,

· Edit Clipboard Text – простейший текстовый редактор (один клик и текст в буфере),

· Add Key from Clipboard – вытащить ключ, помещённый в буфер,

· Decrypt & Verify Clipboard – расшифровать и идентифицировать информацию из буфера,

· Encrypt & Sign Clipboard – зашифровать и подписать данные, находящиеся в буфере,

· Sign Clipboard – подписать сообщение в буфере,

· Encrypt Clipboard – зашифровать сообщение в буфере.

Й способ.

Как уже было сказано выше, большинство пользователей обращаются к пакету PGP непосредственно из рабочего окна избранной почтовой программы. Поскольку у каждого своя избранница, придётся рассмотреть дополнительный макияж на лицах тех из них, что пользуются наибольшим спросом в массах. Назовём имена финалисток: старушка Eudora, пышка Outlook, дама-вамп по имени The Bat.

Eudora.

В списке появилось дополнительное меню PGP. Отсюда есть переходы к таблице ключей (PGPkeys), таблице предпочтений (Preferences) и общему описанию PGP (Help).

При попытке создать новое сообщение возникает ряд новых кнопок. Перечислим их слева направо: Plugin Selection - выбор дополнительных плагинов, которые будут использованы получателем при расшифровке сообщения, Launch PGPkeys - переход к таблице ключей, Use PGP/MIME - поддержка этого стандарта позволяет декодировать сообщение, не пересылая его в буфер обмена (используется после того, как вы убедитесь, что программа получателя поддерживает данный стандарт), PGP Encrypt - шифровать сообщение, PGP Sign - подписать сообщение.

Outlook.

В строке меню так же появляется PGP с переходами на PGPkeys и Preferences.

Дополнительных кнопок при создании нового сообщения всего три: Encrypt, Sign и PGPkeys. Хочется надеяться, что назначение их можно уже не комментировать.

The Bat.

Эта небольшая, но очень удобная почтовая программа всегда славилась своим почтительным отношением к обеспечению приватности сообщений клиента.

Всё, что действительно необходимо сделать пользователю, это помочь почтовой программе определить, какая версия PGP будет использоваться (Tools > PGP > Choose version). В дальнейшем, при создании сообщения, криптование и подпись осуществляются через меню Privacy.

Имейте в виду, что, как правило, сообщения в шифруются при отправке. Поэтому, если вы установили значительное время ожидания отправки сообщений, лучше в окне почтовой программы размещать уже заранее зашифрованный текст. Это несколько повысит надёжность защиты ваших данных.

Й способ.

Обратите внимание на тот факт, что теперь, после правого клика мышью на любом файле или папке, в нижней строке перечня возможностей возникает сообщение “PGP”. Очень удобно.