Шифрование трафика популярных Jabber клиентов

VSL аватар
Опубликовано VSL в Сб, 17/01/2009 - 16:54
PGPВ данной статье говорится о том, как самому организовать шифрованную и подписанную посредством электронно-цифровой подписи переписку с вашими корреспондентами с помощью популярных Jabber-программ (клиентов) с использованием технологии OpenPGP. Взамен усилиям по предварительной настройке, которые могут показаться немного замысловатыми, вы получите потрясающее впечатление защищенности, как будто вы разговариваете со своим корреспондентом, находясь с ним в одной комнате, в которой кроме вас никого нет, что не идет ни в какое сравнение с беседой по телефону, которую могут подслушать посторонние люди. Кроме того, предварительные настройки по созданию ключа вам придется выполнить всего один раз.

Итак, рассмотрим случай общения в закрытом об любопытных глаз и ушей канале. Что для этого потребуется? Совсем немногое - ключ GPG. Обо всем остальном уже позаботились разработчики Jabber-клиентов.

Создание ключа GnuPG

Прежде всего хочу заметить, что изготовление ключа для использования с Jabber необходимо лишь в том случае, если у вас нет ключа. Если же у вас уже есть OpenPGP-ключ для использования с электронной почтой, защиты файлов или подписания документов, вам достаточно добавить на этот ключ идентификатор вашего Jabber-аккаунта. Как это сделать можно прочитать чуть ниже.

GnuPG позволяет сгенерировать ключи разных типов. Не вдаваясь в подробности, рекомендую создать ключ RSA с ограниченным сроком действия подключа шифрования. Сделать это можно следующим образом. (Хотя можно создать ключ DSA-Elgamal с одним сроком действия базового ключа и подключа шифрования по более простой схеме, ограничившись пунктом № 1 меню GnuPG создания ключа, тогда вам не придется создавать подключ шифрования, но это менее предпочтительный вариант).

Открываем консоль и даем команду:

  1. gpg --gen-key

Выбираем тип ключа RSA только для подписи (номер подпункта 5)

Выбираем размер ключа от 1024 до 4096 бит, рекомендую выбрать ключ длиной 2048 бит.

Выбираем срок действия ключа. Можно выбрать срок действия ключа без ограничений, можно определенное количество лет, месяцев, дней. Не вдаваясь в подробности, рекомендуется создать базовый ключ с неограниченным сроком действия, либо определенное количество лет. Я создал ключ со сроком действия в 30 лет.

Итак, используя подсказку программы о формате ввода срока действия, вводим срок действия ключа и жмем Enter

Подтверждаем (y/n)

Вводим свое имя (латиницей)

Вводим свой e-mail

(В данном случае нужно ввести реальный e-mail для того, что бы вы могли использовать ключ для защиты своей электронной почты. Если вы предполагаете использовать свой ключ только для Jabber-клиента, то вместо e-mail нужно ввести полный адрес Jabber-аккаунта, а в поле "комментарий" дать пояснение, что ключ импользуется для приватного общения в Jabber-сессиях, например просто написав сочетание Jabber-client. В данном случае один из следующих пунктов статьи, в котором говорится о том, как использовать полученный ключ c Jabber-клиентом, можно будет проигнорировать)
Комментарий можно пропустить, нажав Enter

Далее программа сообщит следующее:

  1. Сменить (N)Имя, (C)Комментарий, (E)email-адрес или (O)Принять/(Q)Выход?

Если все верно, вводим O

Далее дважды вводим свой пароль к ключу (латиницей). Требования к выбору пароля можно сформулировать так:

Пароль позволяет защитить ваш секретный ключ от несанкционированного доступа к нему посторонних лиц в случае, если ваш ключ окажется в их руках, и является последней степенью его защиты, именно поэтому к подбору пароля нужно отнестись очень серьезно. GnuPG с помощью хеш-функции "перемалывает" пароль в симметричный ключ определенной длины, с помощью которого ваш секретный ключ зашифровывается симметричным алгоритмом и хранится именно в таком виде. Именно поэтому нет никакой разницы, какой пароль вы придумаете, короткий или длинный – ключ будет все равно одинаковой длины, однако это с технической точки зрения. С точки же зрения криптостойкости к подбору пароля следует подойти более чем основательно, поскольку короткий пароль будет обладать малой энтропией (случайностью), поэтому будет бессмысленной ситуация шифрования 128 битным ключом, который получен из пароля «123» или «Vasya», - образно говоря, можно представить, что в данной ситуации мы устанавливаем на мощнейшую дверь замок, вскрываемый булавкой.

Никогда не используйте в качестве паролей собственные даты рождения или даты рождения близких родственников, имена людей, домашних животных, паспортные данные, марку любимого автомобиля, сотового телефона и т.п., или просто короткое сочетание букв и цифр. Все эти данные уже либо занесены в словари для вскрытия зашифрованных данных, либо могут быть подобраны без особо больших усилий. Из своего опыта могу сказать, что я угадал пароль к почтовому ящику своего товарища, в то время как он был уверен, что сделать этого не удасться. Все оказалось очень просто - он сам не единожды произносил его в контексте посторонних бесед.

Лучшим паролем с точки зрения криптостойкости является длинный набор случайных букв в разном регистре, цифр и других печатаемых символов, однако запомнить такой пароль невозможно. Выход однако есть, и он весьма эффективен – в качестве стойкого и запоминаемого пароля вы можете применить парольную фразу. Именно таким образом я и рекомендую вам поступить. Однако правильный выбор парольной фразы может потребовать от вас раздумий, поэтому не торопитесь с вводом первой придуманной фразы. Причин тому несколько. Во первых, если это будет ваша фраза, придуманная налету, то нет никаких гарантий, что уже завтра или послезавтра вы ее не забудете; во вторых, если вы введете какую-либо известную фразу, произнесенную известным политиком или литературным героем, ее энтропия (степень непредсказуемости) окажется много ниже рекомендуемой границы криптостойкости, так как скорее всего фраза окажется так же внесенной в «ломальные» базы данных. Наилучшим решением будет применение фразы, которая будет отражением ваших личных глубоких, трудно угадываемых посторонними людьми постоянных мыслей или воспоминаний из детства, которые гарантированно осели в вашей памяти. Будет хорошо, если в данную фразу вы внесете дополнительную энтропию с помощью применения в случайных местах некоторых букв в другом регистре клавиатуры, подмешиванием знаков препинания или других печатаемых символов (например $!#).

Если вы решили сделать пароль совершенно случайным, но не хотите его придумывать сами, то можете сгенерировать его с помощью gpg командой:

  1. gpg -a --gen-random 2 15

И последнее - не вводите парольную фразу кириллицей. Для удобства (но не для повышения криптостойкости) вы можете писать ее нажимая на клавиши с русскими буквами, но обязательно в латинской раскладке клавиатуры. И помните, если вы забудете свою парольную фразу – никто не сможет вам помочь в восстановлении доступа к вашему собственному ключу.

Итак вы ввели первую порцию данных, после чего началась генерация ключа. В это время вы можете понажимать на разные кнопки клавиатуры, подвигать мышью для того, что бы привнести дополнительную случайность в процесс генерирования (GnuPG использует эти возможности). По завершении операций генерирования ваш ключ готов, запишите его идентифицирующий номер, который будет иметь вид из 8-ми букв и цифр (примерно так - A56D81276).

Но мы сгенерировали только базовый ключ, теперь нужно создать еще подключ шифрования. Делаем это следующим образом:

1. Выполняем команду:

  1. gpg --edit-key A56D81276

где вместо A56D81276 (в данном случае это только пример) вы должны ввести идентификатор своего собственного только что созданного базового ключа (вы его только что записали).

2. Даем команду addkey

3. Вводим пароль

4. Выбираем тип ключа - (6) RSA (только для шифрования)

5. Выбираем размер ключа - рекомендую выбрать 3072 бит

6. Выбираем срок действия ключа
Вот здесь не рекомендуется выбирать срок действия очень большим. Достаточно выбрать срок действия 2-3 года. Впоследствии вы сможете создать новый подключ шифрования (не меняя базовый ключ) точно так же, как вы это делаете сейчас, создавая подключ шифрования.

7. Подтверждаем (y/n)

Опять начинает генерация, только теперь подключа шифрования. Нажимаем на кнопки клавиатуры, двигаем мышью.
По окончании генерации даем команду save

Все, ключ сгенерирован. Вы можете его посмотреть командой gpg --list-key секретный ключ можно посмотреть командой gpg --list-secret-key

Теперь, для того, что бы можно было использовать ключ с Jabber-клиентом, нужно добавить дополнительный идентификатор (некоторые Jabber-клиенты этого не требуют, но это полезная операция, к тому же примерно так же вы можете создать дополнительный идентификатор для другого e-mail адреса), который должен связать ваш ключ с вашим Jabber-именем. Делается это так:

1. Даем команду

  1. gpg --edit-key A56D81276

(где A56D81276 опять же только пример, вы должны ввести идентификатор своего ключа! Обратите внимание, что в этом и последующих примерах редактирования ключа вы должны вводить идентификатор базового ключа, который вы сгенерировали с самого начала, а не идентификатор сгенерированного подключа шифрования, который вы создали командой addkey.)

2. Выполняем команду adduid

3. На приглашение ввести имя вводим свое имя (латиницей)

4. На приглашение ввести e-mail вводим свой Jabber-адрес (полностью, например baba-yaga@jb.ru).

5. В качестве комментария вводим Jabber-IM-Client (это не обязательно, но в данном случае очень желательно, что бы пользователи могли понять, что данный идентификатор используется не для электронной почты, а именно для jabber переписки).

6. Вновь получаем строку
Сменить (N)Имя, (C)Комментарий, (E)email-адрес или (O)Принять/(Q)Выход?

7. Принимаем (если ничего не нужно менять).

8. Вводим пароль

9. Сохраняем командой save

Все, ключ готов! При желании вы можете его просмотреть, дав команду gpg --list-key
При этом вы увидите ключ примерно таким:

  1. pub   2048R/848F138B 2009-01-18 [годен до: 2029-01-13]
  2. uid                  baba-yaga (Jabber-IM-Client) [baba-yaga@jb.ru]
  3. uid                  baba-yaga [baba-yaga@yaga.ru]
  4. sub   3072R/A3CC5BA3 2009-01-18 [годен до: 2012-01-18]

Применительно к конкретно-данному ключу 848F138B это ID-ключа Бабы-Яги.

Если вы по каким-либо причинам захотите сменить пароль к вашему ключу, то сможете это сделать следующей последовательностью операцией:

  1. gpg --edit-key A56D81276
  2. passwd
  3. save

Выход из меню редактирования ключа, на случай если вы не хотите сохранять сделанные при редактировании ключа изменения, осуществляется командой quit

В дальнейшем может быть полезным включение в файл gpg.conf (он расположен в папке /home/user/.gnupg/) следующих строк:

  1. default-key [keyID]
  2. ask-cert-level

где [keyID] - идентификатор вашего ключа (в нашем примере это A56D81276)

Сохранение резервной копии ключа

Теперь важен следующий шаг. В случае утери ключа (системный сбой, переформатирование или выход из строя винчестера) вы не сможете восстановить ваш ключ в оригинале. Поэтому вам нужно сохранить ваш ключ на CD-диске. Дайте 2 команды:

  1. gpg --export-secret-keys -a A56D81276
  2. gpg --export -a A56D81276

(опять же идентификатор нужно подставить свой)

Последовательно скопируйте содержимое первого и второго полученных текстовых блоков в текстовый файл и сохраните на CD или на другом надежном носителе. Рекомендуется присвоить соответствующее имя полученному файлу, что бы вы всегда помнили, что в данном файле хранится не только ваш публичный ключ, но и секретный (приватный) ключ.

Блоки текста должны выглядеть примерно так:

  1. -----BEGIN PGP PUBLIC KEY BLOCK-----
  2. Version: GnuPG v1.4.6 (GNU/Linux)
  3.  
  4. mQENBEO1UBQBCAC8EgZV7dCUm0PSGXuLwT3pbQIswiYtN4GZbQmBxnEn0UvsYrEo
  5. 2vzV2jUP4JJ/xe7p7BzYQBO03E1pt/FtPtJXZx4LFu3OQXWC5R4q+r+bf6Tx5X4K
  6. .........
  7. cLKUxkiknNV6oP0fwPwcBz3JeiCHtffYARxNE2OxK9w4D2u04rSq/5RhdGM07U8a
  8. TxHHheW3qlkLVxpOTiR/I2AsQ92A1Kj3V+SmfS1vyI7/u6ZSoX6Nqpb/Ifl7QnKY
  9. lBrY3Y15Br+3W61GctkuRy9HDtsyvRto5G9qH4j/fta9WveoeOmWiz7E
  10. =GIcU
  11. -----END PGP PUBLIC KEY BLOCK-----

Секретный ключ в заголовке будет содержать слово PRIVATE. Копировать блоки текста нужно включая заголовки.

На всякий случай полезно сделать сертификат отзыва вашего ключа. Сделать это можно командой

  1. gpg --output revoke.asc --gen-revoke  A56D81276

(опять же не забываем, что вместо A56D81276 нужно подставить идентификатор своего ключа)

В результате операции создания сертификата отзыва вы получите файл revoke.asc. При создании сертификата отзыва GnuPG попросит вас назвать причину создания сертификата. Если вы его создаете на всякий случай, то отметьте пункт меню, соответствующий формулировке - "без указания причины", после вам будет нужно ввести пароль. Созданный файл сохраните вместе с ключом на CD носителе. Обратите снимание, что файлы ключей и сертификата отзыва, которые вы только что получили с целью сохранения на CD, очень не желательно оставлять на винчестере вашего компьютера, поэтому после операций создания и сохранения этих файлов на CD-диск удалите эти файлы с винчестера. При этом желательно воспользоваться не штатными средствами ОС, а одной из специализированных программ для уничтожения файлов (в Linux это можно сделать командой shred -u /путь/файл, кстати удобно сделать на рабочем столе кнопку запуска с подходящим изображением, перемещая файлы на символ полученного шредера, как в корзину, вы будете надежно удалять файлы, однако следут знать, что на журналируемых ФС процесс удаления файлов может иметь нюансы). Если вы удалили файлы штатными средствами ОС, то не поленитесь удалить их и из корзины.

Не пренебрегайте операцией сохранения резервной копии ключа. Генерирование нового ключа будет с одной стороны лишней тратой времени, а с другой - на вашем ранее созданном ключе к тому времени могут быть накоплены сертифицирующие подписи корреспондентов (об этом чуть ниже). К тому же вам нужно будет оповестить корреспондентов о смене ключа и побеспокоится о том, что они импортировали ваш новый ключ и снабдили его своей подписью. Но об этом чуть ниже.

Обмен ключами

Для того, что бы вы смогли общаться со своими корреспондентами в закрытой и подписанной форме необходимо обменяться открытыми ключами и выполнить некоторые действия над ключами ваших корреспондентов после их импортирования. Операции обмена ключами можно выполнить несколькими способами, самым надежным из которых является, конечно, способ передачи ключа из рук в руки. Мы же рассмотрим более распространенные случаи обмена - через сервер ключей (это своего рода библиотека, хранилище ключей) и по электронной почте.

Итак, экспортируем свой ключ на сервер ключей:

  1. gpg --send-key --keyserver subkeys.pgp.net A56D81276

В данном случае мы экспортировали свой открытый ключ на сервер subkeys.pgp.net

Если не указывать имя сервера (в нашем примере указан сервер subkeys.pgp.net), то команда отправит ключ на сервер, указанный в настройках GnuPG по умолчанию, команда в этом случае будет выглядеть так:

  1. gpg --send-key A56D81276

Теперь нам нужно импортировать ключ вашего корреспондента. Обратите внимание, что в следующих примерах изменен идентификатор ключа, поскольку в данном случае мы говорим не о вашем ключе, а уже о ключе вашего корреспондента (примененный в примерах идентификатор вымышленный). Команда поиска нужного ключа на сервере subkeys.pgp.net выглядит следующим образом:

  1. gpg --search-keys --keyserver subkeys.pgp.net [e-mail]

где [e-mail] - адрес электронной почты или Jabber вашего корреспондента

В результате вы получите список найденных ключей. Теперь, если вы введете номер найденного ключа из списка (номер найденного ключа отображается в первом столбце результатов работы команды), GnuPG произведет импорт ключа на вашу ключевую связку. Вместо e-mail или Jabber вашего корреспондента вы можете указать идентификатор ключа вашего корреспондента. В этом случае команда сможет сразу найти нужный ключ. Например такая команда может выглядеть так:

  1. gpg --search-keys --keyserver subkeys.pgp.net F4516BC3

(не забываем, что вместо F4516BC3 нужно подставить идентификатор ключа вашего корреспондента)

Если вы точно знаете идентификатор ключа вашего корреспондента, то можете сразу (без предварительной операции поиска) импортировать его ключ с сервера ключей следующей командой:

  1. gpg --recv-key --keyserver subkeys.pgp.net F4516BC3

Если вы не укажете конкретный сервер ключей, то GnuPG будет работать с серверами, заданными в его настройках по умолчанию. К примеру команда поиска ключа в этом случае будет выглядет так:

  1. gpg --search-keys F4516BC3

или так

  1. gpg --search-keys baba-yaga@jabber.ru

а команда импорта без предварительного поиска будет выглядеть так:

  1. gpg --recv-key F4516BC3

Если вы не хотите пользоваться серверами ключей, то обмен можно произвести непосредственно через операции экспорта/импорта ключей и отправку их через электронную почту. Сделать это можно так. Дайте операцию экспорта своего открытого ключа:

  1. gpg --export -a A56D81276

(в данном случае опят же вместо A56D81276 подставляете ID своего ключа)

Скопируйте полученный текст (включая заголовки, см. пример выше) в окно электронной почты или текстовый файл и отправьте его вашему корреспонденту.

В свою очередь полученный от корреспондента текст скопируйте в текстовый файл, например с именем key_name и дайте команду

  1. gpg --import /путь/key_name

Итак обмен ключами произведен. Теперь набор имеющихся ключей вы можете посмотреть командой

  1. gpg --list-key

В том случае, если вы импортировали по ошибке чужой или ненужный ключ, или вам нужно удалить более не используемый ключ, вы можете его удалить командой

gpg --delete-key [ID ключа]

где [keyID] - идентификатор ключа

Если вы захотите удалить свой ключ, то можете это сделать 2-мя командами последовательно:

  1. gpg --delete-secret-keys [ID ключа]
  2. gpg --delete-key [ID ключа]

Сертификация ключей

Идеальным вариантом процедуры обмена ключами является его передача из рук в руки, но это возможно далеко не всегда. Поскольку в нашем случае вы производили обмен ключами через Интернет, вы должны произвести проверку подлинности ключа. Это делается в целях того, что бы быть уверенным, что полученный вами ключ не является на самом деле поддельным ключом другого человека. К примеру если вы знаете голос вашего корреспондента, то можно сделать телефонный звонок и сверить отпечаток ключа.
Можно произвести проверку подлинности с помощью дополнительных Интернет-ресурсов, например, с использованием сервиса WebMoney, если человек имеет персональный сертификат системы, т.е. если система проверила личность пользователя.
С другой стороны, можно положиться на распределенную сеть доверия ключей OpenPGP (за вас может поручиться множество других людей используя экспортируемые подписи ключей), воспользовавшись одним из сервисов Интернет или посмотрев имеющиеся (если они есть) сертифицирующие ключ подписи других известных корреспондентов. В случае вашего давнего знакомства по e-mail, Jabber, icq, через какой-либо иной Интернет-сервис и общения не несущего какой-либо достаточно важной информации бывает достаточно оценить доверие из своего опыта общения с вашим собеседником. В последнем случае, правда, рекомендуется поставить локальную подпись на ключ вашего корреспондента, но об этом чуть позже.

Если вы хотите произвести сверку отпечатка ключа, то нужно выполнить следующую операцию - просмотр отпечаток ключа:

  1. gpg --fingerprint F4516BC3

где, опять же, F4516BC3 является примером, на самом деле вы должны ввести ID своего корреспондента или вместо ID его e-mail или Jabber

Например, так

  1. gpg --fingerprint baba_yaga@jabber.ru

Отпечаток ключа - это уникальный набор букв и цифр, который невозможно подделать, поскольку GnuPG вычисляет его с помощью хеш-функции, в аргумент которой подставляет материал самого ключа. Если отпечаток ключа совпадает с тем, который ваш корреспондент продиктовал вам по телефону или передал другим надежным способом, то можно полагать, что ключ подлинный.
Этой же командой вы можете посмотреть и отпечаток своего ключа, просто предложив команде в качестве аргумента свой собственный ключ.

Посмотреть сертифицирующие ключ подписи можно с помощью следующей команды:

  1. gpg --list-sigs F4516BC3

В том случае, если ключ новый или ранее ни кем не был заверен экспортируемой подписью, то сертифицирующих ключ подписей на нем вы соответственно не найдете.

Очень часто у пользователей встает вопрос - какова же тогда польза всей этой системы? Польза заключается в том, что ключ, передаваемый вами корреспонденту, является открытым и его можно свободно передавать через Интернет, при этом нужно лишь удостовериться в подлинности ключа. Кроме того, такая схема незаменима при большом количестве корреспондентов, с которыми вы желаете общаться в приватной беседе, поскольку в данном случае вам не нужно хранить коллекцию секретных паролей, к тому же вы можете быть спокойны, что ваш секретный ключ или пароль не был в руках посторонних людей. Ну и кроме того, механизмы проверки подлинности ключей позволяют с достаточно высокой точностью определить подлинность полученного вами открытого ключа.

Удостоверившись в том, что ключ не поддельный, нужно выполнить операцию подписания ключа свой электронно-цифровой подписью. Для этого нужно воспользоваться командой sign или lsign из меню редактирования ключа gpg --edit-key
При этом важно понимать, что если вы подписываете ключ только для себя, то должны воспользоваться командой lsign (локальная подпись), если же вы хотите дать ключу экспортируемую подпись, т.е. чтобы на эту подпись после обновления ключа на сервере смогли опираться в качестве подтверждающей и другие пользователи, то нужно воспользоваться командой sign.

Итак, даем команду редактирования ключа

  1. gpg --edit-key F4516BC3

(опять же не забываем, что F4516BC3 это только пример, вместо него нужно поставить идентификатор ключа вашего корреспондента)

и смотрим на вывод команды. Идентификаторы (разные e-mail, Jabber) помечены номером в скобках.
Далее даем команду:

  1. uid n

где n - номер того идентификатора, который вы хотите снабдить подписью. В нашем случае в качесте n нужно поставить номер идентификатора, соответствующий Jabber аккаунту.
Далее даем команду:

  1. lsign

(в данном случае мы подписываем локальной подписью, если вы хотите дать ключу экспортируемую подпись, то дайте команду sign)

Подтверждаем (y/N)

Вводим пароль

Сохраняем командой save

Рекомендуется давать подпись той записи ключа, в отношении которой вы произвели проверку подлинности. Однако если вы ставите локальную подпись (а это наш случай), на которую не смогут опираться другие пользователи ключевой сети доверия, то вы можете подписать ключ целиком, хотя это и менее предпочтительно.
В данной случае в меню редактирования ключа достаточно будет дать команду lsign без выбора нужного идентификатора. Последовательность команд в этом случае следующая:

  1. gpg --edit-key F4516BC3
  2. lsign
  3. save

Подписав ключ, нужно выполнить операцию назначения доверия ключу вашего корреспондента.
Данный параметр поставит в известность программу GnuPG о наделенном вами доверии ключу вашего корреспондента. Это нужно для того, что бы ключ вашего корреспондента мог участвовать в построении цепочки доверия среди других ключей (если у вас их несколько или много), находящихся на вашей ключевой связке. Назначенное доверие - это ваше субъективное мнение о том, насколько компетентен владелец ключа в вопросах установления подлинности ключей других корреспондентов.

Итак даем команду:

  1. gpg --edit-key F4516BC3

далее даем команду:

  1. trust

Согласно предложенному меню назначаем определенный уровень доверия

Сохраняем командой save

Ключ подписан, доверие определено.

Защищенное общение

Теперь осталось только выполнить некоторые операции в программе Jabber-клиента и можно приступать к защищенному общению с вашими корреспондентами. В данном случае рассмотрены программы PSI, Gajim и популярный клиент Kopete. Впрочем, ими не ограничивается полный список программ, поддерживающих защиту OpenPGP (например недавно выпущен плагин для популярного Windows-клиента QIP Infium, поддержку OpenPGP-защиты осуществляет популярный клиент Tkabber и другие клиенты), и скорее всего в других программах выполняемые действия будут аналогичными.

PSI

Во-первых, нужно идентифицировать свою учетную запись с вашим ключом, или, иначе говоря, присвоить своей учетной записи свой ключ.
Для этого:

1. Открываем настройки своей учетной записи
2. Жмем пункт "изменить" (Modify)
3. Выбираем вкладку "детали"(details)
4. Жмем на кнопку "выбрать ключ" (select key)
5. Выбираем свой ключ и жмем "ОК".

После того, как вы выполните эту операцию, программа при запуске будет просить у вас ввод пароля к вашему секретному ключу. Это нормально, так как для операций расшифрования сообщений ваших корреспондентов и подписывания своих сообщений необходим доступ к вашему секретному ключу.

Далее нужно связать учетную запись пользователя (вашего корреспондента) с его ключом.
Для этого:

1. В окне контактов программы (ростере) выбираете корреспондента, ключ которого вы импортировали, подписали и назначили ему уровень доверия
2. Кликаете по нему правой кнопкой мыши и выбираете пункт "Присвоить ключ OpenPGP".
3. В открывшемся окне выбираете ключ корреспондента.
4. Жмете "ОК".

Для включения режима шифрования при общении с вашими собеседниками нажмите на символ замка, который будет активен в панели окна диалога. В процессе приватного общения вы получите цветное сообщение от программы в окне диалога о том, что шифрование включено.

GAJIM

Настройки выполняются аналогично тому, как это делается для программы PSI. Что бы идентифицировать свою учетную запись с вашим ключом, нужно выполнить следующее:
1. Идем через меню по следующему пути: "Правка - учетные записи (выбираем свою учетную запись) - изменить - личная информация - выбрать ключ"
2. Выбираем свой ключ и жмем "ОК".
В меню "Личная информация" вы увидите поле "Сохранить парольную фразу" - отмечать это поле по причинам безопасности нежелательно !

Присвоить ключи вашим корреспондентам можно так же, как в и программе PSI:
1. В окне контактов (ростере) находим вашего собеседника
2. Кликаем на найденном контакте правой кнопкой мыши и говорим "Назначить OpenPGP ключ"
3. В открывшемся окне выбираем нужный ключ (который принадлежит вашему собеседнику) и жмем "ОК".

Для включения режима шифрования при общении с вашими собеседниками нажмите на символ замка, который будет активен в нижней панели окна диалога. В процессе приватного общения вы получите цветное сообщение от программы в окне диалога о том, что шифрование включено.

KOPETE

К сожалению, в моем распоряжении программа Kopete только с ангоязычным интерфейсом, поэтому приведу пункты меню на английском языке. Пользователям с русским интерфейсом программы будет не сложно разобраться с поиском русских пунктов меню.
Итак:

1. Из главного окна программы идем по пути "Setting - Configure Plugins"
2. В открывшемся окне плагинов отмечаем галочкой пункт "Cryptography"
3. Жмем кнопку "Select" напротив поля "Yuor Private PGP Key"
4. В открывшемся окне выбираем свой ключ
5. Жмем "ОК".

В меню выбора своего ключа вы увидите опции запоминания пароля - также не рекомендуется отмечать пункт "Do not ask for the Passphrase", это снижает безопасность. Остальные опции настройте по своему усмотрению.

Для назначения вашему корреспонденту его ключа делаем следующее (примерно так же как и в программах PSI и Gajim)

1. В главном окне программы (ростере) ищем нужного корреспондента
2. Кликаем правой кнопкой мыши на найденном контакте
3. Выбираем пункт контекстного меню "Select Cryptography Public Key"
4. В открывшемся окне жмем кнопку "Select"
5. Выбираем ключ корреспондента и жмем "ОК".

Для того, что бы включить режим шифрования, в окне чата необходимо пройти в меню "Tool" и отметить пункт "Encrypt Messages". При ведении диалога с вашим собеседником вы будете получать соответсвующие сообщения о том, что чат криптован.

Если Ваш клиент PSI, а у Вашего корреспондента к примеру, Gajim или Kopete, то все работать будет точно так же исправно. Если Ваш корреспондент использует windows + PSI, то для закрытого общения ему потребуется установить еще и криптомодуль GnuPG, который предустановлен практически в каждом дистрибутиве Linux, но требует отдельной инсталляции в Windows. Если вы столкнетесь с трудностью настройки PSI+OpenPGP в windows в вопросе назначения ключей, то решение сможете найти здесь.

Можно добавить, что созданный вами в первой части статьи ключ можно использовать и для шифрования/подписания e-mail переписки в Linux, Windows и MacOsX, а так же для шифрования и/или подписывания файлов с помощью ЭЦП. Более полный список команд, параметров и опций по использованию GPG вы сможете найти на его официальном сайте, в русскоязычном руководстве, а получить ответы на интересующие вопросы в большом количестве информационных материалов сети интернет или на форуме сайта www.pgpru.com.

В заключении отмечу, что ключ GPG можно сгенерировать, используя различные графические надстройки над GnuPG. Наиболее предпочтительной из них считаю подсистему шифрования Enigmail почтового клиента Thunderbird, которая устанавливается в виде расширения. Данная оболочка, кроме генерирования (хотя на самом деле она лишь предоставляет интерфейс генерирования ключа, ключ же генерируется GnuPG), позволяет осуществлять весь необходимый комплекс операций по управлению ключами (поиск ключей на сервере и отправка ключей на сервер, подписание, установка уровня доверия, просмотр свойств и т.п.).
Однако Enigmail сгенерирует ключ именно для учетной записи электронной почты, поэтому после придется создать дополнительный Jabber-идентификатор через меню управления ключами или из консоли GnuPG. Не рекомендую создавать ключ в оболочке Kgpg. Мне пока неизвестно, есть ли прогресс этой оболочки в новом KDE4, но более ранние версии предлагали создание ключа вообще без подключа шифрования, в котором для операций шифрования использовался базовый ключ, что нельзя считать удачным решением.
Наиболее же гибким и правильным способом создания ключа можно считать способ создания ключа из консоли GnuPG (как описано в данной статье), к тому же консоль позволяет использовать весь мощный арсенал средств управления ключами, который в рамках данной статьи не рассматривается.

Если вы используете windows, то создание ключа возможно будет удобнее в одной из графических надстроек над GnuPG, по банальной причине неудобства консольной работы windows, хотя его создание в консоли все же более предпочтительно. Если вы столкнетесь с трудностью ввода консольных команд, а это может произойти по причине того, что в среде windows GnuPG может не понять длинных путей с пробелами (GnuPG по умолчанию ставится в каталог c:\Program Files\Gnu\GnuPG), то вам нужно заключить путь в кавычки. Сделать это, на примере команды редактирования ключа, можно так:
"c:\Program Files\GNU\GnuPG\gpg.exe" --edit-key [ID ключа]
Работу при этом удобнее проводить не через меню "Пуск-выполнить", а после открытия консоли командой cmd.
Не забудьте отключить автоматический переключатель раскладки клавиатуры (если используете) на время создания и редактирования ключа, не забывайте, что при создании ключа необходимо вводить имя и особенно пароль в латинской раскладке клавиатуры.

Если вам нужно выполнить несколько команд к ряду, то будет удобно использовать следующую последовательность команд:

  1. cmd
  2. cd "c:\Program Files\GNU\GnuPG\"

Далее, перейдя в каталог c:\Program Files\GNU\GnuPG\, вы сможете давать команды не указывая пути до GnuPG, например так:
  1. gpg --edit-key [ID ключа]

Если вы генерировали ключ в Linux и вам нужно перенести его в Windows (или напротив из Windows в Linux), то воспользуйтесь сохраненной на CD-диске копией своих ключей и дайте команду
  1. gpg --import /путь/файл_в_котором_лежит_ключ

при этом пользователям windows лучше импортировать файл непосредственно с CD, либо, если вы хотите предварительно положить его на винчестер, то положите его в корневой каталог либо в каталог без длинных путей с пробелами (после импортирования обязательно удалите файл с винчестера, в том числе из корзины или, что предпочтительнее, воспользуйтесь для удаления файла шредером). Если ваши ключи (приватный и публичный) расположены в одном файле, то команда import произведет операцию импорта обоих ключей. Просмотр публичного ключа вы сможете сделать командой gpg --list-key (можно добавить ID ключа в качестве аргумента, что бы просмотреть конкретный ключ), просмотр секретных ключей вы сможете просмотреть командой gpg --list-secret-key

Включение режима SSL

И самое последнее. Если ваш Jabber-сервер поддерживает SSL-протокол, то включите SSL-защиту - этим вы дополнительно повысите защищенность своего канала связи. Например, в используемом мною клиенте Gajim это можно сделать следующим образом:

"Правка - Учетные записи - Изменить (свою учетную запись) - вкладка "Соединение" - ставим галочку "Использовать SSL".
В других Jabber-клиентах это реализовано примерно так же.

Некоторые Jabber-клиенты при включении SSL могут выдать сообщение о том, что сертификат не является доверенным, что может произойти по причине использования сервером самоподписного сертификата.

Приятного и приватного общения!

Ваша оценка: Ничего Средняя оценка: 10 (19 votes)
RSS-материал