diff options
Diffstat (limited to 'doc/ru/faq163_ru2.raw')
| -rw-r--r-- | doc/ru/faq163_ru2.raw | 1403 |
1 files changed, 1403 insertions, 0 deletions
diff --git a/doc/ru/faq163_ru2.raw b/doc/ru/faq163_ru2.raw new file mode 100644 index 000000000..df5e54a7f --- /dev/null +++ b/doc/ru/faq163_ru2.raw @@ -0,0 +1,1403 @@ +[$htmltitle=GnuPG FAQ] +[$htmlcharset=<meta http-equiv="content-type" content="text/html; charset=utf-8">] +[$sfaqheader=The GnuPG FAQ says:] +[$sfaqfooter= +The most recent version of the FAQ is available from +<http://www.gnupg.org/> +] +[$usenetheader= +] +[$maintainer=David D. Scribner, <faq 'at' gnupg.org>] +[$hGPGHTTP=http://www.gnupg.org] +[$hGPGFTP=ftp://ftp.gnupg.org] +[$hVERSION=1.2.2] + +[H body bgcolor=#ffffff text=#000000 link=#1f00ff alink=#ff0000 vlink=#9900dd] +[H h1]GnuPG Frequently Asked Questions[H /h1] + + +[H p] +Версия: 1.6.3[H br] +Редакция от: 30 Июля 2003[H br] +Руководитель проекта: [$maintainer] +[H br]Перевод на русский: Maxim Britov <[email protected]>, GnuPG KeyID 0x6F3DB1FB +[H br]CODEPAGE: UTF-8 +[H /p] + + +В данном документе (далее - "FAQ") Вы найдете ответы на наиболее часто +задаваемые вопросы по GnuPG. Последняя версия FAQ (английская) в формате HTML +доступна [H a href=[$hGPGHTTP]/documentation/faqs.html]здесь[H /a]. + +Содержание создано автоматически, поэтому может содержать ошибки и может +случиться, что некоторые из отвеченных ниже вопросов могут в него не попасть. +Принимаются любые предложения по усовершенствованию структуры настоящего документа. + +Все дополнения и исправления отправляйте на англ. языке руководителю проекта. +Будет правильнее, если Вы предложите и ответ на Ваш новый вопрос или укажете +и вопрос, и ответ по которым Вы имеете свои предложения. Ваша помощь будет +оценена по достоинству. + +Не следует присылать сообщения типа "Это следует поместить в FAQ - Каков ответ?". +Если вопрос не задавался ранее, видимо он не относится к часто задаваемым. +В этом случае Вам следует поискать ответ в архиве соответствующей почтовой +рассылки. + +[H hr] +<C> +[H hr] + + +<S> ОБЩЕЕ + +<Q> Что такое GnuPG? + + [H a href=[$hGPGHTTP]]GnuPG[H /a] расшифровывается как GNU Privacy Guard и + является GNU инструментом для секретных коммуникаций и хранения данных. + GnuPG может использоваться для шифрования данных и создания цифровых подписей. + GnuPG представляет собой легкое, но мощное средство управления ключами + и совместимо с предложенным OpenPGP Internet стандартом, как описано + в [H a href=http://www.rfc-editor.org/]RFC 2440[H/a]. + Также, по возможности, обеспечивается совместимость с PGP от NAI, Inc. + +<Q> GnuPG совместимо с PGP? + + В основном, да. GnuPG и новейшие версии PGP следуют стандарту OpenPGP. + Но существуют некоторые проблемы при взаимодействии. + Подробности см. в вопросе <Rcompat>. + +<Q> Свободен ли GnuPG для персонального или коммерческого использования? + + Да! GnuPG является частью инструментов и приложений GNU созданных + и распространяемых в соответствии с Free Software Foundation (FSF) + General Public License (GPL). Поэтому GnuPG свободно для копирования, + использования, изменения и распространения в соответствии с данной + лицензией. Прочитайте, пожалуйста, файл озаглавленный COPYING, который + прилагается к данной программе для получения более полной информации. + +<Q> Какие соглашения используются в данном FAQ? + + Поскольку GnuPG разрабатывается для нескольких оперционных систем + (часто параллельно), то соглашения используемые в данном FAQ отражают + окружение оболочки UNIX. Для пользователей Win32, ссылки на подсказку + командной строки ("$") следует рассматривать, как приглашение (">"), + имена каталогов разделенные прямым слешем ("/") следует разделять + обратным слешем ("\"), и тильду ("~") рассматривать, как путь к + домашнему каталогу пользователя (см. ответ на <Rhomedir> для примера). + + Некоторые командные строки в настоящем FAQ слишком длинны для правильного + отображения некоторыми браузерами в Web версии данного документа + и поэтому некоторые строки могут быть разбиты на две и более. Такие + команды следует ввести целиком - одной строкой, иначе команда будет + ошибочна и как минимум, не даст требуемого результата. + + Помните, что данный FAQ содержит информацию, которая может оказаться + не актуальной для Вашей текущей версии программы, т.к. постоянно + производятся усовершенствование программы и исправления найденных ошибок + (см. файл NEWS поставляемый вместе с исходными текстами). Один из + пунктов которого сообщает, что в GnuPG начиная с версии 1.1.92 файл + персональных параметров программы переименован из "options" в "gpg.conf". + Информация в FAQ, ссылающаяся на файл параметров "options" полностью + применима к новому файлу "gpg.conf" в большинстве случаев. + Подробнее см. в вопросе <Roptions>. + + +<S> ИСТОЧНИКИ ИНФОРМАЦИИ + +<Q> Где я могу получить больше информации о GnuPG? + + Онлайновые источники: + + [H ul] + [H li]Страница документации на [H a href=[$hGPGHTTP]/documentation/]<[$hGPGHTTP]/documentation/>[H/a]. + Также смотрите HOWTO и GNU Privacy Handbook (GPH, доступную на Английском, Испанском и Русском (Спасибо Павлу Шайдо за русский перевод)). Последнее является + подробным руководством пользователя GnuPG. Вы также найдете документ о том, + как перейти с PGP 2.x на GnuPG. + + [H li]На [H a href=[$hGPGHTTP]/documentation/mailing-lists.html]<[$hGPGHTTP]/documentation/mailing-lists.html>[H/a] + Вы найдете онлайновый архив дискуссионных списков рассылки (в т.ч. gnupg-ru). + Более интереным должен быть gnupg-users - где обсуждаются проблемы + пользовательского уровня, для русскоязычных пользователей существует + также рассылка gnupg-ru; gnupg-devel - для контактов с разработчиками. + + Дополнительно можно поискать на MARC, например: [H br] + gnupg-users: [H a href=http://marc.theaimsgroup.com/?l=gnupg-users&r=1&w=2]<http://marc.theaimsgroup.com/?l=gnupg-users&r=1&w=2>[H/a][H br] + gnupg-devel: [H a href=http://marc.theaimsgroup.com/?l=gnupg-devel&r=1&w=2]<http://marc.theaimsgroup.com/?l=gnupg-devel&r=1&w=2>[H/a][H br] + + [H b]ПОЖАЛУЙСТА:[H /b] + Перед отправкой вопроса с список рассылки, прочтите данный FAQ и доступную + докуменцию. Следует просмотреть также архив рассылки, т.к. вплне возможно, + что Ваш вопрос уже обсуждался ранее. Это поможет людям сконцентрировать + внимание на решении новых, еще не решенных вопросов. + + [H li]Пакет с исходным кодом GnuPG содержит подкаталог: + + [H samp] + ./doc + [H /samp] + + в котором Вы можете найти некоторую дополнительную информацию (интересную в + основном Хакерам, а не обычным пользователям). + [H /ul] + +<Q> Где я могу взять GnuPG? + + Вы можете скачать GNU Privacy Guard с главного FTP сервера проекта + [H a href=[$hGPGFTP]/gcrypt/]<[$hGPGFTP]/gcrypt/>[H /a] или с одного из зеркал: + + [H a href=[$hGPGHTTP]/download/mirrors.html] + <[$hGPGHTTP]/download/mirrors.html> + [H /a] + + Текущая стабильная версия GnuPG [$hVERSION]. Обновите Вашу программу до + указанной версии, т.к. она включает дополнительные функции и исправления + найденных ошибок, которые могли быть найдены в предыдущих версиях. + + +<S> УСТАНОВКА + +<Q> На каких операционных системах может работает GnuPG? + + GnuPg должен работать на большинстве Unix, а также Windows (включая + Windows NT/2000/XP) и Macintosh OS/X. Текущий список поддерживаемых + систем можно посмотреть здесь: + + [H a href=[$hGPGHTTP]/download/supported_systems.html] + <[$hGPGHTTP]/download/supported_systems.html> + [H /a] + +<Q> Какие поставщики случайных чисел мне следует использовать? + + "Хорошие" случайные числа имеют решающее значение для секретного шифрования. + Различные операционные системы предоставляют различные механизмы поставки + более или менее качественных случайных числа. Linux и *BSD поставляют + случайные числа созданные ядром посредством /dev/random - этот вариант + предпочтителен для данных систем. + Solaris с установленным SUNWski пакетом также предоставляет /dev/random. + В данном случае следует использовать параметр конфигурирования: + + [H samp] + --enable-static-rnd=linux + [H /samp] + + Также существует устройство ядра для поставки случайных чисел разработанное + Andi Maier [H a href= http://www.cosy.sbg.ac.at/~andi/SUNrand/]<http://www.cosy.sbg.ac.at/~andi/SUNrand/>[H /a], но это всё еще бета версия. + Используйте ее на свой страх и риск! + + На других системах, хорошим выбором будет Entropy Gathering Daemon (EGD). + Это perl-демон, который наблюдает за системной активностью и хеширует ее в + случайные числа. См. страницу загрузки [H a href=[$hGPGHTTP]/download/]<[$hGPGHTTP]/download/>[H /a] + для получения EGD. Используйте параметр конфигурирования: + + [H samp] + --enable-static-rnd=egd + [H /samp] + + Если указанные выше параметры не работают, можете использовать генератор + случайных чисел "unix". Но он [H B]очень[H /B] медленен и его следует + избегать. Качество поставляемых случайных чисел не очень хорошее, поэтому + им не следует пользоваться для важных данных. + +<Didea> +<Q> Как добавить поддержку RSA и IDEA? + + RSA включен в поставку GnuPG начиная с версии 1.0.3. + + Официальная поставка GnuPG не включает поддержку IDEA по причине + патентных ограничений. Патент на IDEA истечет в 2007, поэтому не ждите + официальной поддержки до этого момента. + + Однако существует неофициальный модуль поддержки IDEA для GnuPG. + Он доступен на + [H a href=ftp://ftp.gnupg.dk/pub/contrib-dk/]<ftp://ftp.gnupg.dk/pub/contrib-dk/>[H /a]. Ищите: + + [H pre] + idea.c.gz (модуль на C ) + idea.c.gz.sig (файл подписи) + [H /pre] + + [H pre] + ideadll.zip (модуль на C и win32 dll) + ideadll.zip.sig (файл подписи) + [H /pre] + + Директивы компиляции в заголовках файлов. Вам будет необходимо добавить + следующую строку в Ваш файл персональных настроек ~/.gnupg/gpg.conf: + + [H samp] + load-extension idea + [H /samp] + + +<S> ПРИМЕНЕНИЕ + +<Q> Каков рекомендуемый размер ключа? + + 1024 бита для DSA подписей; даже и для простых ElGamal подписей. + Этого достаточно, т.к. при большем рамере ключа слабейшим звеном + оказывается уже размер хеша. + Вы можете добавить ключи шифрования большего размера, но Вам следует + просмотреть отпечаток этого ключа командой: + + [H samp] + $ gpg --fingerprint <User ID> + [H /samp] + + Вам следует придерживаться стандартных алгоритмов (т.е. DSA для подписей + и ElGamal для шифрования). Ключ ElGamal для подписи невыгоден по следующим + причинам: большой размер подписей; сложно создать пригодный для подписи ключ, + который сможет противостоять настоящим атакам, Вы не получите чего-то особенно + секретного или надежного в сравнении с DSA, плюс существуют также проблемы + совместимости с некоторыми версиями PGP. + Он был предложен потому, что в то в свое время имелись проблемы + с патентами на DSA. + +<Q> Почему процесс создания ключей занимает иногда так много времени? + + Основная проблема в том, что необходимо собрать много случайных чисел + и для этого мы (в Linux - с устройства /dev/random) должны собирать + случайные числа. На самом деле трудно заполнить внутренний буфер Linux + энтропией; я говорил с Ted Ts'o и он сказал, что лучший способ заполнить + буфер это понажимать клавиши на Вашей клавиатуре. Хорошая секретность + имеет свою цену. Я нажимаю на клавиши Shift, Ctrl, Alt and CapsLock + потому, что эти клавиши не выводят что-либо на экран. И таким путем + Вы получаете ключи быстрее (это то, что делает PGP2). + + Также проблема может быть в том, что другая программа забирает данные + из Вашего генератора случайных чисел (например из /dev/random). + +<Q> И это действительно долго, когда я работаю на удаленной системе. Почему? + + Никогда не делайте этого! Вы никогда не должны создавать ключи и + даже пользоваться GnuPG на удаленной системе потому, что Вы обычно + не имеете физического контроля за Вашей таблицей секретных ключей + (которая зачастую может быть неустойчива к атакам на подбор стандартных + паролей по словарю). Я настойчиво рекомендую всем создавать ключи только + на локальном компьютере (неподключенный лаптоп возможно наилучший выбор). + А если Вы вынуждены делать это на Вашем подключенном к сети компьютере + (я знаю, все мы так делаем) будьте уверены, что используете сильный пароль + для всех Ваших аккаунтов и для секретного ключа, и что Вы можете доверять + Вашему системному администратору. + + Когда я проверял GnuPG на удаленной машине через ssh (это была не альфа);-) + я имел некоторые проблемы. Создание ключа занимамо *очень* долгое время, + так что я использовал специальный параметр --quick-random для создания + несекретных ключей, которые пригодны разве что для некоторых экспериментов. + +<Q> Каковы различия между командами и параметрами? + + Если Вы выполните 'gpg --help', то Вы получите два разных списка. + Первый - список команд, а второй - параметров. Всякий раз когда Вы + запускаете GPG, Вы [H b]должны[H /b] использовать хотя бы одну команду + (с одним исключением, см. ниже). Вы [H b]можете[H /b] использовать один + или более параметров. Команде следует, в точности по описанию, находиться + в конце списка аргуметов, после всех параметров. Если команда задает имя + файла (в основном все они это делают), имя файла должно быть в самом конце. + Базовый формат вызова gpg: + + [H samp] + $ gpg [--option что-либо] [--option2] [--option3 что-либо] --command файл + [H /samp] + + Некоторым параметрам требуются аргументы. Например параметр --output + (который можно сократить до -o) это параметр которому требуется имя файла. + Аргументы параметра должны следовать непосредственно после требующего их + параметра, иначе gpg не сможет узнать какой аргумент, какому параметру + принадлежит. Как параметр --output так и имя файла должны предшествовать + команде. Параметр --recipient (-r) задает имя или KeyID того, кому + шифруется сообщение и которые должны находиться справа от параметра -r. + Команда --encrypt (-e) должна находится после всех параметров и следовать + за файлом, который Вы хотите шифровать. Поэтому в данном примере командная + строка должна иметь следующий вид: + + [H samp] + $ gpg -r Алиса -o секрет.txt -e тест.txt + [H /samp] + + Если Вы используете полные названия параметров, читать станет легче: + + [H samp] + $ gpg --recipient Алиса --output секрет.txt --encrypt тест.txt + [H /samp] + + Если Вы шифруете файл с расширением ".txt" и Вы можете захотите + получить результат в текстовом виде ASCII-формата (не двоичном), + Вам следует воспользоваться параметром --armor (-a), который + не имеет аргументов: + + [H samp] + $ gpg --armor --recipient Алиса --output секрет.txt --encrypt тест.txt + [H /samp] + + Если предположить квадратные скобки вокруг параметров, это будет + выглядеть так: + + [H samp] + $ gpg [--armor] [--recipient Алиса] [--output секрет.txt] --encrypt тест.txt + [H /samp] + + Параметры могут следовать в произвольном порядке: + + [H samp] + $ gpg --output секрет.txt --recipient Алиса --armor --encrypt тест.txt + [H /samp] + + Если имя Вашего файла начинается с дефиса (например файл "-a.txt"), + GnuPG примет это за параметр и может сообщить об ошибке. В таких случаях + следует использовать "./-a.txt" или остановть обработку команд и параметров + двойным дефисом: "-- -a.txt". + + [H B]Исключение составляет только одна команда:[H /B] одновременное + подписывание и шифрование. Для этого Вы следует скомбинировать обе команды, + как показано ниже: + + [H samp] + $ gpg [--параметры] --sign --encrypt тест.txt + [H /samp] + +<Q> Не могу удалить User ID из связки секретных ключей потому, + что он отсутствует в связке открытых ключей. Что делать? + + Поскольку Вы можете выбрать User ID только из списка открытых ключей, + то прямого способа сделать это нет. Однако сделать это на самом деле + совсем не трудно. Создайте новый User ID с полностью идентичным именем + и увидите, что получилось два идентичных User ID в связке секретных + ключей. Теперь выберите данный User ID и удалите его. Оба User ID будут + удалены из связки секретных ключей. + +<Q> Не могу удалить секретный ключ потому, что пропал открытый ключ. + Что делать? + + Поиск ключа, для выполнения операций с ним, всегда производится по связке + открытых ключей, поэтому невозможно удалить секретный ключ не имея + открытого ключа. Обычно не должно возникать ситуаций, когда открытый ключ + потерян, а секретный ключ всё еще присутствует. Но такое случается, + поэтому в GnuPG имеется способ сделать это: просто используйте длинный + KeyID для указания удаляемого ключа, который можно получить применением + параметра --with-colons (см. 5 поле в строке начинающейся с "sec"). + + Если потерян открытый ключ и нужно взамен его создать новый для + продолжения использования секретного ключа, можно воспользоваться + утилитой gpgsplit так, как описано в вопросе <Rgpgsplit>. + +<Q> Что означают понятия доверие, достоверность и доверие владельцу? + + Ответ приведу с английским текстом, т.к. вопрос очень важен. + + В GnuPG термин "доверие владельцу" используется вместо "доверие", + чтобы показать, что это есть величина, которая относится к ключу + и выражает степень Вашего доверия к владелецу данного ключа и к тому, + как он относится к подписыванию других ключей. "Достоверность" + (вычисленое доверие) есть величина, показывающая насколько высоким + GnuPG считает доверие к ключу (т.е. насколько можно быть уверенным в том, + что ключ действительно принадлежит тому, кто указан, как владелец данного + ключа). Для большей информации о степенях доверия см. главу "Сеть доверия" + в The GNU Privacy Handbook (существует в русском переводе). + + With GnuPG, the term "ownertrust" is used instead of "trust" to + help clarify that this is the value you have assigned to a key + to express how much you trust the owner of this key to correctly + sign (and thereby introduce) other keys. The "validity", or + calculated trust, is a value which indicates how much GnuPG + considers a key as being valid (that it really belongs to the + one who claims to be the owner of the key). For more information + on trust values see the chapter "The Web of Trust" in The GNU + Privacy Handbook. + +<Q> Как подписать файл патча? + + Воспользуйтесь "gpg --clearsign --not-dash-escaped ...". Есть проблема с + --clearsign в том, что все строки начинающиеся с дефиса выделяются + как "- "; но поскольку diff создает множество строк начинающихся с дефиса, + то если они будут выделены таким образом, будет не очень хорошо для Вашего + патча ;-). + Для применения патча без удаления прозрачной подписи, можно использовать + специальный параметр --not-dash-escaped для отключения выделния таких + последовательностей. Не следует отсылать такие патчи по email потому, + что пробелы и завершители строк также являются частью подписи, а почтовик + может не сохранить их. Если Вы хотите послать файл почтой, то можно + подписать его используя Ваш MUA (Mail User Agent, т.е Почтовый агент). + +<Q> Где параметр "encrypt-to-self"? + + Используйте "--encrypt-to Ваш_KeyID". Можно использовать больше, чем одну + копию данного параметра. Временно отменить действие данного параметра + можно использованием параметра "--no-encrypt-to". + +<Q> Как избавиться от строки Version и добавить комментарий в заголовках + сообщений кодированных в ASC-формате? + + Используйте " --no-version --comment '' ". Учтите, что стандарт требует + обязательного наличия пустой строки. + +<Q> Что означает "Используется таблица символов xxxx."? + + Вы увидите данное сообщение, когда необходимо преобразование введенных + данных в UTF-8. Набор символов Вашей системы отличен от UTF-8 и GnuPG + вынуждено преобразовать введенную информацию из используемого Вами набора + символов в соответствующий набор символов UTF-8. + По умолчанию используется стандартный набор символов "iso-8859-1". + Вы можете указать используемый системой набор символов используя параметр + " --charset ". Важно, чтобы заданная таблица символов соответствовала + используемой в Вашей системе. В противном случае Вы должны пользоваться + только символами имеющими 7-битное представление, т.к. все 8-битные + символы будут преобразованы в UTF-8 и Вы можете столкнуться с серьезными + проблемами, если неверно указали используемую таблицу символов. + + Для русскоязычной аудитории: не рекомендуется использовать русский язык + в User ID и коментариях. На момент перевода GnuPG поддерживает только + UTF-8 и KOI8-R, которые могут использоваться на Unix системах, но не + используются в Windows. В Windows категорически запрещается использовать + русский язык в именах и комментариях User ID! Хотя некоторые + программы-оболочки могут понимать (а может и нет) большее число кодировок. + +<Q> Как просмотреть список KeyID для которых зашифровано сообщение? + + [H samp] + $ gpg --batch --decrypt --list-only --status-fd 1 2>/dev/null | + awk '/^\[GNUPG:\] ENC_TO / { print $3 }' + [H /samp] + +<Q> Почему я не могу расшифровать файлы зашифрованные симметричным + шифром (-c) используя GnuPG версий ниже 1.0.1. + + Версии GnuPG ниже 1.0.1 содержали ошибку, которая проявлялась только + при использовании шифров 3DES и Twofish для симметричного шифрования + (они никогда не использовались, как шифры по умолчанию). + Ошибка исправлена, но для расшифровки таких файлов необходимо запустить + gpg с параметром " --emulate-3des-s2k-bug "; расшифровать файл и + зашифровать снова без данного параметра. + + Замечение: Данный параметр удален в GnuPG версии 1.1.0 и более новых, + поэтому Вам придется воспользоваться версией между 1.0.1 и 1.0.7 для + расшифровки таких файлов. + +<Q> Как можно автоматизировать работу с GnuPG? + + Следует воспользоваться параметром --batch и не использовать паролей, + т.к. обычно нет возможности хранить их безопаснее, чем в связке секретных + ключей. Рекомендуем следующий способ создания ключей для автоматизации + работы: + + На безопасном компьютере: + [H ol] + [H li] Если Вам требуется автоматическое подписывание, создайте для + Вашего ключа - подключ имеющий возможность подписи (используйте + интерактивное меню редактирования предоставляемое командой + " gpg --edit-key KeyID ", введите "addkey" и выберите типа ключа DSA). + [H li] Необходим пароль. + [H li] gpg --export-secret-subkeys --no-comment ВашПодключ >secring.auto + [H li] Скопируйте secring.auto и файл таблицы открытых ключей во временный + каталог. + [H li] Перейдите в этот каталог. + [H li] " gpg --homedir . --edit ВашПодключ " и используйте "passwd" для + удаления пароля из подключа. Можете заодно удалить и все неиспользуемые + подключи. + [H li] Скопируйте secring.auto на дискету и вставьте ее в нужный компьютер. + [H /ol] + + На нужном компьютере: + [H ol] + [H li] Установите secring.auto, как связку секретных ключей. + [H li] Теперь можно запустить Ваш новый сервис. Хорошо бы также установить + систему обнаружения вторжений, для предупреждения об удачном + вторжении, после чего Вы сможете отозвать все подключи + установленные на данном компьютере и создать новые. + [H /ol] + +<Q> Какие почтовые клиенты можно использовать совместно с GnuPG? + + Использование GnuPG для шифрования почтовой корреспонденции это + одно из наиболее популярных его применений. Некоторые почтовые программы + или почтовые агенты (MUA) умеют работать с GnuPG. На данный момент + существует два способа шифрования с применением GnuPG: "старый метод" + с применением ASCII-кодирования (т.е. прозрачные подписи и шифрование) + и в соответствиии с RFC 2015 (ранее именуемое PGP/MIME, сейчас OpenPGP). + Последнее полностью поддерживает MIME. Некоторые MUA поддерживают только + один из этих методов. Поддержка может быть как встроена в MUA, так и + реализоваться в виде подключаемых подулей "плагинов", а также может + выполняться внешним, дополнительным программным обеспечением. + + Нижепреведённый список неполон: + + [H pre] + MUA OpenPGP ASCII Как? (N,P,T) + ------------------------------------------------------------- + Calypso В Д П (Unixmail) + Elm В Д Д (mailpgp,morepgp) + Elm ME+ В Д С + Emacs/Gnus Д Д Д (Mailcrypt,gpg.el) + Emacs/Mew Д Д С + Emacs/VM В Д Д (Mailcrypt) + Evolution Д Д С + Exmh Д Д С + GNUMail.app Д Д П (PGPBundle) + GPGMail Д Д В + KMail (<=1.4.x) В Д В + KMail (1.5.x) Д(П) Д(В) П/В + Mozilla Д Д П (Enigmail) + Mulberry Д Д П + Mutt Д Д С + Sylpheed Д Д С + Sylpheed-claws Д Д С + TkRat Д Д С + XEmacs/Gnus Д Д Д (Mailcrypt) + XEmacs/Mew Д Д С + XEmacs/VM В Д Д (Mailcrypt) + XFmail Д Д С + + С-Сам, встроена поддержка , П-плагин , Д-Дополнительной программой + [H /pre] + + Ниже дан список несвободных MUA. Проект GNU не рекомендует применение + этих программ, но они представлены для полноты информации. + + [H pre] + MUA OpenPGP ASCII How? (N,P,T) + ------------------------------------------------------------- + Apple Mail Д Д П (GPGMail) + Becky2 Д Д П (BkGnuPG) + Eudora Д Д П (EuroraGPG) + Eudora Pro Д Д П (EudoraGPG) + Lotus Notes Н Д П + Netscape 4.x Н Д П + Netscape 7.x Д Д П (Enigmail) + Novell Groupwise Н Д П + Outlook Н Д П (G-Data) + Outlook Express Н Д П (GPGOE) + Pegasus Н Д П (QDPGP,PM-PGP) + Pine Н Д Д (pgpenvelope,(gpg|pgp)4pine) + Postme Н Д П (GPGPPL) + The Bat! Д(>=1.62) Д С (Ritlabs) + [H /pre] + + Хороший обзор поддержки OpenPGP можно найти на:[H br] + [H a href=http://www.openpgp.fr.st/courrier_en.html]<http://www.openpgp.fr.st/courrier_en.html>[H /a] и[H br] + [H a href=http://www.bretschneidernet.de/tips/secmua.html]<http://www.bretschneidernet.de/tips/secmua.html>[H /a]. + + Пользователи программ MUA для Win32 для использования OpenPGP могут рассмотреть + применение GPGrelay [H a href=http://gpgrelay.sourceforge.net]<http://gpgrelay.sourceforge.net>[H /a], это небольшой + email-ориентированный сервер, который использует GnuPG для предоставления + возможности почтовым клиентам отправлять и принимать сообщения + соответствующие PGP-MIME (RFC 2015). + +<Q> Не могу найти библиотеки gpg? + + Про них часто спрашивают. Однако текущая точка зрения разработчиков GnuPG, + то что это создаст некоторые проблемы безопасности и следовательно + не стоит ожидать подобного в ближайшем будущем. Однако в некоторых + областях возможно применение gpgme. Вы найдете его на [H a href=[$hGPGFTP]/gcrypt/alpha/gpgme]<[$hGPGFTP]/gcrypt/alpha/gpgme>[H /a]. + +<Q> Я благополучно создал сертификат отзыва, но я не понимаю, как отослать его + на сервер ключей. + + Большинство серверов ключей не принимают 'голый' сертификат отзыва. + Вам придется сначала импортировать сертификат в GnuPG: + + [H samp] + $ gpg --import МойСертификатОтзыва.asc + [H /samp] + + затем отошлите отозванный ключ на сервер ключей: + + [H samp] + $ gpg --keyserver keyserver.kjsl.com --send-keys Мой_KeyID + [H /samp] + + (или воспользуйтесь для этого Web интерфейсом сервера ключей). + +<Dhomedir> +<Q> Как перенести файл таблицы связок ключей в другой каталог? + + GnuPG хранит несколько файлов в специальном домашнем каталоге. + Это файл персональных настроек, pubring.gpg, secring.gpg, trustdb.gpg, + и другие. GnuPG всегда будет создавать и использовать эти файлы. + Для Unix систем домашним обычно будет каталог " ~/.gnupg "; + для Windows " C:\gnupg\ ". + + Если Вы хотите переместить эти файлы в другое место, + воспользуйтесь параметром: + + [H samp] + --homedir /Мой/путь/ + [H /samp] + + и тогда GnuPG создаст эти файлы в указанном каталоге. Файл таблицы открытых + ключей будет в " /Мой/путь/pubring.gpg ". Таким образом можно хранить + свои секреты на дискете. Не используйте для этого параметр " --keyring ", + т.к. он задает дополнительные файлы связок ключей. + +<Q> Как проверить подписанный пакет? + + Перед проверкой подписи, сопровождающей пакет, необходимо сперва + импортировать ключ поставщика подписи, организации или человека + создавщего подпись в используемую таблицу связок ключей. Для + продотвращения предупреждений от GnuPG ключу следует иметь степень + достоверности (или подписать его локально). + + Скачайте файл с отделенной подписью вместе с пакетом. Обычно эти файлы + имеют тоже имя, что и подписанный пакет со следующими расширениями (.sig) + для бинарных или (.asc) для ASCII-кодированных подписей. + + После того, как ключ импортирован и пакет с сопровождающей его подписью + получен, используйте: + + [H samp] + $ gpg --verify ФайлПодпись ПодписанныйФайл + [H /samp] + + Если файл подписи имеет то же имя, что и файл пакета, то для проверки + пакета достаточно указать только файл подписи, тогда GnuPG получит + имя проверяемого файла путем удаления из имени расширения .sig или .asc. + Например, для проверки пакета названного Пакет.tar.gz используйте: + + [H samp] + $ gpg --verify Пакет.tar.gz.sig + [H /samp] + +<Q> Как экспортировать связку ключей только с избранными ключами? + + Если Вы желаете создать таблицу связок ключей имеющую только небольшое + подмножество ключей из Вашей основной таблицы связок, то просто укажите + ключи, которые Вы хотите экспортировать: + + [H samp] + $ gpg --armor --export Ключ1 Ключ2 Ключ3 Ключ4 > Ключи1-4.asc + [H /samp] + +<Dgpgsplit> +<Q> Имеется секретный ключ, но я потерян открытый ключ. Что можно сделать? + + Все OpenPGP секретные ключи имеют внутри себя копию открытого ключа + и имеется возможность создать новый открытый ключ используя секретный. + + Утилита для преобразования секретного ключа в открытый ключ (сейчас + это параметр запуска утилиты gpgsplit) включена в дистрибутив GnuPG + версии 1.2.1 и новейшие (а также может быть найдена в CVS). + Пример использования: + + [H samp] + $ gpgsplit --no-split --secret-to-public secret.gpg >publickey.gpg + [H /samp] + + Сперва следует экспортировать секретный ключ и преобразовывать + только его. Хотя использование всей таблицы также будет работать. + После завершения, файл publickey.gpg можно импортировать в GnuPG + обычным способом. + +<Q> Письмо с подписью имеет неверную подпись. Почему? + + Если Вы используете web-mail: + Убедитесь, что в настройках web-mail адреса отключено использование + HTML форматирования для отправляемых сообщений имеющих прозрачную подпись. + Такое форматирование может дополнить сообщение пробелами, символами + табуляции и в итоге дать неверную подпись. Отправленное чистотекстовым + сообщение получатель сможет скопировать текстовый файл для проверки или + возможно web-mail сервис может позволить приложить подписанное сообщение, + как файл, если нет возможности отправки его чистотекстовым. + + Для русскоязычной аудитории: существует также проблема таблиц символов. + Сообщение на русском языке может подвергнуться перекодировке по пути + следования (и не один раз). Например отправленное в cp1251 сообщение + может прийти к получателю в koi8-r. Так же многие почтовые программы + по разному совмещают проверку/подписывание сообщений с их + перекодировыванием в другие кодировки. Например почтовая программа + в Windows показывает сообщение в windows кодировке cp1251, а + рекомендуемая кодировка для email koi8-r и если в настройках программы + выбрана эта кодировка для отправки сообщений, то почтовый агент может + подписать тескт в cp1251, а затем сконвертировать его в koi8-r, что + приведет к неверной подписи, если программа у получателя не имеет + такой же ошибки (или не знает о ней). Аналогично может происходить + и при проверке сообщения созданного в koi8-r, но отображаемого + в cp1251. + + +<S> ПРОБЛЕМЫ СОВМЕСТИМОСТИ + +<Dcompat> +<Q> Как зашифровать сообщение в GnuPG так, чтобы его можно было бы + расшифровать в PGP? + + Это зависит от версии PGP. + + [H ul] + [H li]PGP 2.x[H br] + Обычно нельзя этого сделать потому, что PGP 2.x обычно использует шифр IDEA, + который не поддерживается GnuPG, т.к. данный алгоритм шифрования патентован + (см. <Ridea>), но если Вы имеете модифицированную версию PGP можете + попробовать: + + [H samp] + $ gpg --rfc1991 --cipher-algo 3des ... + [H /samp] + + Пожалуйста не пользуйтесь каналами для передачи данных в gpg, + а сделайте это используя файл; иначе PGP 2 не сможет понять это. + + Вы не сможете зашифровать симметричным шифром файл для PGP 2. + + + [H li]PGP 5.x и новейшие[H br] + Необходимо использовать два параметра: + + [H samp] + --compress-algo 1 --cipher-algo cast5 + [H /samp] + + Можно также воспользоваться "3des" вместо "cast5"; "blowfish" работает + не со всеми версиями PGP 5. Также можно добавить параметр: + + [H samp] + compress-algo 1 + [H /samp] + + в файл персональных настроек " ~/.gnupg/gpg.conf ", что не помешает + нормальной работе GnuPG. + Это относится и к симметричному шифрованию. + [H /UL] + +<Q> Как перейти с PGP 2.x на GnuPG? + + PGP 2 использует RSA и IDEA алгоритмы шифрования. Срок патента на RSA + истек и RSA поддерживается GnuPG с версии 1.0.3, а IDEA алгоритм остается + патентованным до 2007. При определенных условиях можно пользоваться + IDEA даже сейчас. В этом случае следует прочитать вопрос <Ridea> + о том, как получить поддержку IDEA в GnuPG и прочитать + [H a href=[$hGPGHTTP]/gph/en/pgp2x.html]<[$hGPGHTTP]/gph/en/pgp2x.html>[H /a] для выполнения перехода. + +<Q> (удален) + + (пусто) + +<Q> Почему PGP 5.x не сможет шифровать сообщения некоторыми ключами? + + PGP, Inc. отказалость от использования ключей ElGamal типа 20 даже для + шифрования. Они поддерживают только тип 16 (котрый идентичен, по крайней + мере для расшифрования). Для больше совместимости, GnuPG (с версии 0.3.3), + также использует тип 16 для подключей ElGamal, которые создаются, если + выбран рекомендованный по умолчанию алгоритм ключа. Можно добавить + ключ ElGamal типа 16 в связку ключей. + +<Q> Почему PGP 5.x не сможет проверить мои подписи? + + PGP 5.x не понимает подписи v4, но OpenPGP требует v4 подписей, что + GnuPG и делает по умолчанию. Используйте параметр "--force-v3-sigs" для + создания v3 подписей. + +<Q> Как перенести степени доверия владельцам ключей из PGP в GnuPG? + + Существует скрипт в каталоге tools, что бы помочь Вам. После импорта + из PGP таблицы связок ключей можно выполнить следующию команду: + + [H samp] + $ lspgpot pgpkeyring | gpg --import-ownertrust + [H /samp] + + где pgpkeyring это оригинальная таблица связок ключей, а не GnuPG таблица, + которую Вы возможно создали на первом этапе. + +<Q> PGP не нравится мой секретный ключ. + + Старые версии PGP могут не работать с некоторыми пакетами создаваемыми + GnuPG. Эти пакеты создаются в полном соотвествии с OpenPGP; однако PGP + не настоящее OpenPGP. Обойти это можно экспортировав секретные ключи + следующей командой: + + [H samp] + $ gpg --export-secret-keys --no-comment -a Ваш-KeyID + [H /samp] + + Другая возможная причина: по умолчанию GnuPG шифрует секретный ключ + симметричным шифром Blowfish. Старые версии PGP поймут только симметричные + шифры 3DES, CAST5 или IDEA. Используйте следующий способ, чтобы + перешифровать секретный ключ gpg другим шифром: + + [H samp] + $ gpg --s2k-cipher-algo=CAST5 --s2k-digest-algo=SHA1 + --compress-algo=1 --edit-key <User ID> + [H /samp] + + Затем командой passwd можно сменить пароль (можно сменить его на тотже + самый, но он зашифруется уже шифром CAST5). + + Сейчас можно экспортировать ключ и PGP должно принять его. + + Для PGP 6.x используются следующие параметры экспорта: + + [H samp] + $ gpg --s2k-cipher-algo 3des --compress-algo 1 --rfc1991 + --export-secret-keys <KeyID> + [H /samp] + +<Doptions> +<Q> GnuPG больше не инсталлирует файл " ~/.gnupg/options " file. Он не нужен? + + Нет. Файл " ~/.gnupg/options" переименован в " ~/.gnupg/gpg.conf" для + всех версий новее 1.1.92. Если файл " ~/.gnupg/options " существует, то + он будет найден при установке и всё еще будет использован, но данное + переинменование потребуется для совместимости по именам файлов с будущими + инструментами. Существующий файл настроек можно переименовать в gpg.conf + для обновляющихся пользователей и получающих сообщение, что "файл + настроек старого формата проигнорирован" (это происходит, когда программа + обнаруживает оба файла и gpg.conf, и options). + +<Q> Как экспортировать ключи GnuPG для использования в PGP? + + Данный вопрос задают настолько часто, что здесь получилось целое HOWTO: + + PGP сможет (для большинства типов ключей) использовать созданные в GnuPG + секретные ключи. Проблемы возникают от того, что GnuPG поддерживает + немного больше положений стандарта OpenPGP, чем PGP. Если секретный ключ + использует одно из них, то PGP отвергнет их или позднее могут возникать + какие-либо проблемы. Учтите, что PGP совсем не признает ElGamal ключи + предназначенные для подписи, так что они неприменимы ни в одной версии. + + Данные инструкции применимы для GnuPG 1.0.7 и последующих, + а также для PGP 7.0.3 и последующих. + + Начнем с редактирования ключа. Большинство параметров не обязательны, + т.к. значения используемые по умолчанию правильны, но лучше воспризвести всё + в точности потому, что некоторые иные значения параметров могут быть заданы + в файле персональный настроек. + + [H samp] + $ gpg --s2k-cipher-algo cast5 --s2k-digest-algo sha1 --s2k-mode 3 + --simple-sk-checksum --edit KeyID + [H /samp] + + Отключаем некоторые особенности GnuPG. Устанавливаем предпочтения + для шифров, хешей и сжатия в понимаемые PGP. (Да, Я понимаю, что + список шифров получился своеобразный, но это то, что использует PGP + без IDEA). + + [H samp] + > setpref S9 S8 S7 S3 S2 S10 H2 H3 Z1 Z0 + [H /samp] + + Теперь сохраняем список в ключе. + + [H samp] + > updpref + [H /samp] + + И наконец, мы должны расшифровать секретный ключ и зашифровать заново + шифром, который понравится PGP. Он указан в строке параметров при + вызове команды --edit выше, поэтому сейчас необходимо только сменить + пароль. Можно использовать и старый пароль, а можно воспользоваться + возможностью сменить его наконец. + + [H samp] + > passwd + [H /samp] + + Сохраняем изменения. + + [H samp] + > save + [H /samp] + + Сейчас можно использовать обычный экспорт: + + [H samp] + $ gpg --export KeyID > МойОткрытыйКлюч.pgp[H br] + $ gpg --export-secret-key KeyID > МойСекретныйКлюч.pgp + [H /samp] + + За эту информацию спасибо David Shaw! + + +<S> ПРОБЛЕМЫ и СООБЩЕНИЯ ОБ ОШИБКАХ + +<Q> Что означает сообщение "ВНИМАНИЕ: используется незащищенная память!" + + GnuPG требует установки прав setuid(root) на многих системах. + Это необходимо для блокирования страниц памяти. Блокирование страниц + не позволяет операционной системе сохранять их на диск, что позволяет + хранить Ваши данные в секрете. Если Вы не получаете это сообщение, + то видимо операционая система позволяет блокировать страницы + непревелигированным пользователям. GnuPG отказывается от + привелигированного режима сразу после блокирования страниц. + + Для установки прав setuid(root) исполняемому файлу gpg выполните: + + [H samp] + $ chmod u+s /путь/к/gpg + [H /samp] + + или + + [H samp] + $ chmod 4755 /путь/к/gpg + [H /samp] + + Некоторые люди предпочитают избегают применения setuid(root), если + нет каких-либо причин для создания особой секретности. Посоветуйтесь + с системным администратором, если нет возможности выполнить указанные + действия самостоятельно. + + На UnixWare 2.x и 7.x следует установить GnuPG с привилегиями 'plock' + для получения аналогичного эффекта: + + [H samp] + $ filepriv -f plock /путь/к/gpg + [H /samp] + + Если нет возможности или Вы не хотите устанавливать для GnuPG права + setuid(root), можно воспользоваться параметром "--no-secmem-warning" + или добавить: + + [H samp] + no-secmem-warning + [H /samp] + + в файл персональных настроек ~/.gnupg/gpg.conf (это избавит + от предупреждений). + + На некоторых системах (например Windows) GnuPG не блокирует страницы + памяти и старые версии GnuPG (<=1.0.4) предупреждали: + + [H samp] + gpg: Please note that you don't have secure memory + gpg: Учтите, что Вы не имеете безопасной памяти + [H /samp] + + Данное предупреждение нельзя было отключить вышеуказанным параметром потому, + что причина его возникновения очень серьезна. Однако это слишком смущало + пользователей, поэтому сообщение было убрано. + +<Q> Поддержка больших файлов (LFS) не работает. + + LFS корректно работает начиная с версии 1.0.4. Если configure не + видит этого - попробуйте другой компилятор. egcs 1.1.2 работает + прекрасно, другие gccs иногда нет. Некоторые проблемы компиляции + GnuPG 1.0.3 и 1.0.4 на HP-UX и Solaris были вызваны плохой + поддержкой LFS. + +<Q> При редактировании ключа значения доверий отображаются некорректно после + подписывания User ID. Почему? + + Это вызвано тем, что некоторая информация хранится непосредственно в + trustdb, но все вычисления степеней доверия могут быть выполнены только + после команды сохранения " save ". Это трудно поправимая ошибка архитектуры + программы, которая будет пересмотрена в какой-нибудь из будущих версий. + +<Q> В чем смысл сообщения "skipping pubkey 1: already loaded"? + + Шифр RSA входит в пакет GnuPG начиная с версии 1.0.3. Если Вы всё еще + используете параметр "load-extension rsa" в файле персональных + параметров Вы увидите данное сообщение. + Просто удалите данную команду загрузки модуля из файла персональных + параметров. + +<Q> GnuPG 1.0.4 не создает ~/.gnupg. + + Это известная ошибка, уже исправленная в последовавшей версии GnuPG. + +<Q> Подписи ElGamal не проверяются всеми версиями начиная с 1.0.2 + + Используйте параметр --emulate-md-encode-bug. + +<Q> Старые версии GnuPG не могут проверить ElGamal подписи + + Обновите GnuPG до версии 1.0.2 или новее. + +<Q> При использовании --clearsign, в тексте появляются дополнительные минусы. + Почему? + + Это называется отделенный черточками текст, что является требованием + OpenPGP. Это происходит всегда, когда строка начинается с черточки ("-") + и необходмо для четкого отделения структур подписи (типа + "-----BEGIN PGP SIGNATURE-----") от других строк начинающихся с более + чем двух черточек. + + Если Вы используете GnuPG для обработки подобных сообщений, то все + дополнительные черточки удалятся. Хорошие почтовые клиенты (MUA) + удаляют эти черточки при отображении сообщения. + +<Q> Что означает сообщение "не могу обработать эти множественные подписи" + + Из-за различий в форматах сообщений GnuPG не всегда может правильно + разделить файл с множественными подписями на части. Данное сообщение + указывает на проблемы с входными данными. + + Единственный способ иметь множественные подписи в файле это использование + формата OpenPGP с пакетами One-Pass Signature (которые используются GnuPG + по умолчанию) или формат прозрачных подписей. + +<Q> Отправил ключ на сервер ключей, но ничего не произошло + Вы счастливый обладатель версии GnuPG 1.0.2 или старше под Windows. + В этих версиях GnuPg данная функция еще не была реализована, но это + не было ошибкой, поэтому и предупреждений никаких не было. Новейшие + версии сообщают об этом. + Обновите GnuPG до версии 1.0.4 или более новой. + +<Q> Что значит сообщение "gpg: waiting for lock ..." + + Старые версии gpg любили ненормально завершаться и оставлять + блокировочные файлы. Зайдите в ~/.gnupg удалеите все " .*.lock " файлы. + +<Q> Старые версии GnuPG (например 1.0) имеют проблемы с ключами созданными + новейшими версиями GnuPG + + Начиная с версии 1.0.3, ключи в GnuPG создаются с предпочтением + шифра TWOFISH (и шифра AES начиная с версии 1.0.4), и что тоже важно, + они совместимы с новым методом шифрования MDC. В будущем это станет частью + OpenPGP и поддерживается также PGP 7. Новый метод предотвращает атаки + на системы шифрования почты. + + Это означает, что версии GnuPG до 1.0.3 имеют проблемы с новыми ключами. + По причине исправления ошибок и прорех в безопасности, Вам настоятельно + рекомендуется использовать последнюю стабильную версию GnuPG. В качестве + временной меры, для решения проблемы, Вы можете принудить GnuPG использовать + старый шифр по умолчанию в качестве основного, добавив: + + [H samp] + cipher-algo cast5 + [H /samp] + + в Ваш файл персональных параметров. + +<Q> Начиная с 1.0.4, я вижу "не рекомендуем данный алгоритм шифрования ..." + + Если предупреждение появляется сразу после создания нового ключа, то + Вы являетесь свидетелем ошибки версии 1.0.4. Она использует новый шифр AES + (Rijndael), который некорректно называет "нерекомендуемым". + Игнорируйте данной предупреждение. Все последовавшие затем версии + GnuPG не имеют данной проблемы. + +<Q> Некоторые даты отображаются как ????-??-??. Почему? + + Во многих реализациях libc, даты превышающие 2038-01-19 не могут быть + правильно отображены. 64-bit ОС не имеют данной проблемы. Чтобы не + выводить неверное значение даты GnuPG заменяет ее вопросиками. + Если хотите получить корректное значение - используйте параметры + --with-colons и --fixed-list-mode. + +<Q> Проблема всё еще очтается. Как сообщить об ошибке? + + А Вы уверены, что Ваша проблема еще не обсуждалась в почтовых рассылках? + Вы просмотрели список ошибок (ссылку Вы найдете в документации)? + Если не уверены в том, что это ошибка, отправьте письмо в gnupg-devel + рассылку. В противном случае воспользуйтесь системой отслеживания ошибок + GUUG [H a href=http://bugs.guug.de/Reporting.html]<http://bugs.guug.de/Reporting.html>[H /a]. + +<Q> Почему GnuPG не поддерживает X.509 сертификаты? + + GnuPG во-первых, и это главное, внедряет OpenPGP стандарт (RFC 2440), + который использует инфраструктуру отличную от X.509. + + Всё это криптосистемы с открытым ключом, но открытые ключи в них + на самом деле обрабатываются различным образом. + +<Q> Почему национальные символы в моем User ID выглядят, мягко говоря, странно? + + В соотвествии с OpenPGP GnuPG сохраняет User ID строки (и другие + вещи) используя UTF-8. В процессе перекодирования в формат Unicode, + многие национальные символы кодируются как дву- или трех-байтовые + последовательности. Например, å (0xE5 в ISO-8859-1) + станет Ã¥ (0xC3, 0xA5). Это также может быть причиной того, + почему серверы ключей не находях Ваш ключ. + +<Q> Ошибка 'sed' при запуске ./configure на Mac OS X + + Это будет исправлено после обновления GnuPG до autoconf-2.50. + До тех пор: найдите строку CDPATH в скрипте configure вставьте после него: + + [H samp] + unset CDPATH + [H /samp] + +<Q> Почему GnuPG 1.0.6 падает на связках ключей из версии 1.0.7? + + Есть небольшая ошибка в версии 1.0.6, из-за которой которой некорректно + обрабатываются пакеты доверий. Возможно понадобится данный патч, если нет + возможности обновить GnuPG: + + [H a href=http://www.gnupg.org/developer/gpg-woody-fix.txt]<http://www.gnupg.org/developer/gpg-woody-fix.txt>[H /a] + +<Q> После обновления GmuPG до версии 1.0.7 файлы связок ключей очень медленно + обрабатываются. Что делать? + + Был изменен способ хранения подписей для сохранения совместимости с v3 + подписями. Можете воспользоваться новым параметром --rebuild-keydb-caches, + который был добавлен в данной версии и предназначен для миграции на новые + версии и также увеличивает скорость многих операций со связками ключей. + +<Q> Разве полное доверие одному User ID-у на ключе не отменяет + предупреждающего сообщения, при шифровании сообщения для другого User ID? + + Нет. В GnuPG версии 1.2.1 и более ранних имелась ошибка в способе + определения достоверности ключей. В процессе разработки GnuPG 1.2.2, + ошибка была обнаружена в коде вычисления достоверности. Ошибка приводила + к тому, что для ключей и имеющиех больше одного User ID достоверность + одного User ID распространялась на все присутствующие в ключе. + Ошибка исправлена в GnuPG версии 1.2.2 и рекомендуется обновить GnuPG. + Больше информации и патч для некоторых до-1.2.2 версий GnuPG см. здесь: + + [H a href=http://lists.gnupg.org/pipermail/gnupg-announce/2003q2/000268.html]<http://lists.gnupg.org/pipermail/gnupg-announce/2003q2/000268.html>[H /a] + +<Q> Только что скомпилированная из исходников GnuPG для GNU/Linux + основанную на RPM и GnuPG не работает. Почему? + + Многие дистрибутивы GNU/Linux, основанные на RPM, устанавливают + GnuPG как часть стандартной инсталляции в каталог /usr/bin. Позднее, + когда Вы компилируете и устанавливаете GnuPG из исходников, а не из + RPM, файлы обычно (по умолчанию) сохраняются в " /usr/local/bin ", пока + не указан параметр " --prefix " с другим каталогом при запуске configure. + А каталог " /usr/bin " скорее всего предшествует каталогу " /usr/local/bin " + в переменной PATH. + + Для решения данной проблемы удалите RPM версию командой " rpm -e gnupg " + перед установкой программы из исходных текстов. Если Вы получаете + ошибку связей при удалении старого пакета RPM (таких, как up2date + в RedHat, который использует GnuPG), удалите пакет RPM командой + " rpm -e gnupg --nodeps ". Все связи станут вновь актуальны после + установки скомпилированной версии. Если по умолчанию используется + каталог " /usr/local/bin ", некоторые пакеты (например SuSE's Yast Online + Update) необходимо настроить на новое местоположение GnuPG в каталоге + " /usr/local/bin " или создать символические ссылки в " /usr/bin ", + которые будут указывать на соответствующие файлы в " /usr/local/bin ". + +<S> ДРУГИЕ ВОПРОСЫ + +<Q> Как пользоваться GnuPG? + + Для создания пары ключей секретный/открытый запустите: + + [H samp] + $ gpg --gen-key + [H /samp] + + и выберите значения по умолчанию. + + Данные зашифрованные открытым ключом могут быть расшифрованы только + соответствующим ему секретным ключом. Секретный ключ защищается паролем, + а открытый ключ - нет. + + Чтобы отправить шифрованное сообщение кому-либо необхоимо зашифровать + это сообщение открытым ключом получателя и тогда он сможет расшифровать + сообщение своим и только своим секретным ключом и вводом пароля секретного + ключа. + + GnuPG также широко используется для создания подписей. Файлы зашифрованные + секретным ключом могут быть расшифрованы открытым ключом. Чтобы + подписать что-нибудь, вычисляется хеш подписываемых данных и затем + хеш шифруется каким-либо образом секретым ключом. Если кто-либо + имеет Ваш открытый ключ, он может проверить, что подпись создана именно + Вами и что оно не было изменено. + + Таблица связок ключей это файл на диске, который хранит ключи. + Есть таблица связок открытых ключей, в которой хранятся Ваши открытые + ключи и открытые ключи Ваших друзей. Также имеется таблица связок + секретных ключей, в которой хранятся Ваши секретные ключи и + Вы должны беречь их от посторонних. Никогда не предоставляйте доступ + к данным файлам другим людям и используйте *сильные* пароли для + защиты Ваших данных. + + Вы можете зашифровать что-либо стандартным способом используя параметр + " gpg -c ". Это позволит зашифровать данные паролем и не использовать + открытый и секретный ключи. Если получатель шифрованного сообщения знает + пароль - он сможет расшифровать его. Обычно это используется для + шифрования себе. Следует пользоваться этим только для переписки с теми, + кто знает или может легко обменяться с Вами паролями (например с Вашим + приятелем или женой). Преимущество данного подхода в том, что можно + время от времени менять пароль, чем снизить риск того, что многие старые + сообщения будут прочтены теми, кто узнает Ваш пароль. + + Можно добавить/скопировать ключи в/из таблицы связок ключей командами + " gpg --import " и " gpg --export ". " gpg --export-secret-keys " + экспортирует секретные ключи. Это обычно не нужно делать, но можно создать + ключ на одном компьютере, а затем перенести на другой. + + Ключи могут быть сертифицированы используя команду " gpg --edit-key ". + Когда Вы подписываете ключ, Вы подтверждаете, что ключ принадлежит + персоне, указанной в идентификаторе ключа. Вам следует полностью убедиться + в том, что ключ действительно принадлежит данной персоне: Поэтому Вам + следует проверить отпечатки ключа командой: + + [H samp] + $ gpg --fingerprint KeyID + [H /samp] + + по телефону (если Вы хорошо знаете голос другого человека), на + собрании по подписыванию ключей (обычно устраивается на компьютерных + конференциях) или встрече местной группы пользователей GNU/Linux. + + Так, что еще. Можете воспользоваться параметром " -o ИмяФайла " для + переназначения вывода некоторой информации в файл (используйте + "-" для принудительного вывода в stdout). " -r " позволяет указать + получателя (чьим открытым ключом шифровать) в командной строке вместо + ввода в интерактивном режиме. + + Да, еще одно важное дополнение. По умолчанию зашифрованные данные + имеют двоичный формат. Если неоходимо получить их как ASCII текст, + который выглядит читабельным, то добавьте параметр " -a ". Но + предпочтительно использовать MIME, который понимаемают почтовые клиенты + (Mutt, Pine и мн. другие). + + Существует небольшая проблема безопасности в OpenPGP (и соответственно + в GnuPG); чтобы избежать ее Вам следует всегда подписывать и шифровать + сообщения вместо простого шифрования. + +<Q> Почему некторые подписи ELG-E ключом достоверны? + + Это ключи ElGamal, которые сгенерированы GnuPG в v3 (RFC 1991) пакетах. + Черновой OpenPGP позднее изменил идентификатор ElGamal ключей, которые + используются и для подписи и для шифрования, с 16 на 20. + GnuPG сейчас использует 20 при создании новых ElGamal ключей, но всё еще + признает 16 (которые согласно OpenPGP теперь "только для шифрования"), + если такой ключ в v3 пакете. GnuPG единственная программа, которая + использовала эти v3 ElGamal ключи - поэтому такое допущение вполне + безопасно. + +<Q> Как работает механизм доверий? + + Он работает более или менее похоже на то, как это сделано в PGP. Отличие + в том, что степень доверия высисляется в тот момент, когда она необходима. + Это одна из причин необходимости файла trustdb, который содержит + список подписей достоверных ключей. Если Вы не запустили программу в + пакетном режиме, то Вам предложат назначить значение параметра доверия + (доверия владельцу ключа) для ключа. + + Вы можете просмотреть достоверность (вычисленное значение) используя + команду. + + [H samp] + $ gpg --list-keys --with-colons + [H /samp] + + Если первое поле "pub" или "uid", то второе поле показывает Ваше доверие: + + [H pre] + o = Неизвестно (ключ нов для программы) + e = Срок действия ключа истек + q = Не определено (нет присвоенного значения) + n = Полностью нет доверия данному ключу + m = Ограниченное доверие ключу + f = Полное доверие + u = Абсолютное доверие ключу; обычно используется, + только для ключей, для которых Вы имеете также и секретный ключ. + r = Ключ был отозван + d = Ключ отключен + [H /pre] + + Значение в "pub" записи предпочтительнее всех "uid" записей. + Вы можете получить список присвоенных степеней доверия (степень Вашего + доверия корректности подписывания ключей другими людьми) командой: + + [H samp] + $ gpg --list-ownertrust + [H /samp] + + Первое поле это отпечаток главного ключа, а второе поле - присвоенная + степень: + + [H pre] + - = Нет степени доверия вледьцу, не присвоена еще или не вычислена. + n = Не доверять подписям данного человека на других ключах. + m = Ограниченное доверие подписям данного человека. + f = Считать, что человек действительно знает, как правильно + подписывать ключи. + u = Не нужно доверий потому, что у нас имеется секретный ключ. + [H /pre] + + Храните данные значения в секрете потому, что они означают Ваше + отношение к другим людям. PGP хранит данную информацию в своей таблице + связок ключей, поэтому публиковать свою таблицу связок ключей, вместо + экспорта конкретных связок ключей - плохая идея. GnuPG хранит значения + доверий файле trustdb.gpg, поэтому можно свободно дать кому-либо + свой файл таблицы связок колючей (но можете использовать также и параметр + --export). + +<Q> Что означают: "key C26EE891.298, uid 09FB: ...."? + + Это внутреннее представление User ID в trustdb. + "C26EE891" это KeyID, "298" это локальный ID (LID) (номер записи trustdb) + и "09FB" это последние два байта хеша ripe-md-160 из User ID для данного + ключа. + +<Q> Как мне понять некоторые информационные сообщения? + + Во время проверки достоверности ключа GnuPG иногда печатает некоторую + информацию, которая предваряет информацию о проверяемых данных. + + [H samp] + "key 12345678.3456" + [H /samp] + + Это о том, что Key ID имеет 12345678 и его внутренний номер 3456, + который является номером записи в так называемой записи каталога trustdb. + + [H samp] + "uid 12345678.3456/ACDE" + [H /samp] + + Это о том, что это User ID для того же ключа. Для идентификации User ID + в связке - печатаются два последних байта (ACDE) его ripe-md-160 хеша. + + [H samp] + "sig 12345678.3456/ACDE/9A8B7C6D" + [H /samp] + + Это о том, что это подпись ключом с Key ID 9A8B7C6D указанных выше + ключа и User ID, если это подпись, подписывающая сам ключ, то + User ID часть будет пуста (..//..). + +<Q> Строки заголовка прозрачной подписи являются частью подписанного? + + Нет. Можно, например, добавить или удалить "Comment:" строки. + Они аналогичны строкам заголовка письма. Однако, срока "Hash:" + требуется для OpenPGP подписей для указания использованного + алгоритма цифровой подписи. + +<Q> Что такое список предпочитаемых алгоритмов? + + Список предпочитаемых алгоритмов это список шифров, хешей и + алгоритмов сжатия сохраняемый в самоподписи ключа во время создания + ключа. Когда Вы шифруете документ, GnuPG использует данный список + (который является частью открытого ключа) для того, чтобы определить + какие алогоритмы использовать. В основном это предназначеначено для + того, чтобы сообщить другим лючям, какие алгоритмы получатель сможет + принять и порядок предпочтения им данных алгоритмов. + +<Q> Как сменить список предпочитаемых алгоритмов? + + В версии 1.0.7 и новейших, Вы можете использовать редактирование + ключа и установить новый список предпочтений используя команду + "setpref"; формат данной команды аналогичен выводу команды "pref". + Предпочтения не изменятся немедленно, но они будут использованы при + создании нового User ID. Если Вы хотите обновить предпочтения + существующих User ID, выберите эти User ID (или ни одного для + обновления всех сразу) и дайте команду "updpref". Учтите, что + отметка времени на самоподписи увеличивается на одну секунду, + когда выполняется данная команда. + + +<S> БЛАГОДАРНОСТИ + + Премного благодарны Nils Ellmenreich за ведение настоящего FAQ столь + длительный срок, Werner Koch за первоначальный FAQ, всем участникам + почтовых рассылок gnupg-users и gnupg-devel присылавших вопросы и ответы. + Они предоставили наибольшее количество ответов. + + Также спасибо Casper Dik за скрипт для создания данного FAQ + (он использует его для великолепного FAQ по Solaris2). + + От переводчика: + Огромное спасибо разработчикам GnuPG. + Премного благодарен Павлу Шайдо за его переводы GNU Privacy Handbook + и руководства (man), за ценные советы по переводу интерфейса, настоящего + FAQ и пр. документов по GnuPG.[H br] + Спасибо также Gyre, Андрею Кавко, всем участникам почтовых рассылок + gnupg-ru и pgp-n-gpg. + +[H hr] + +Copyright (C) 2000, 2001, 2002, 2003 Free Software Foundation, Inc., +59 Temple Place - Suite 330, Boston, MA 02111, USA + +Copyright (C) 2003 Translation from English into Russian by Maxim Britov + +Verbatim copying and distribution of this entire article is permitted in +any medium, provided this notice is preserved. + |