ГлавнаяОперационные системыLinux5 советов по защите вашего ключа GPG в Linux

5 советов по защите вашего ключа GPG в Linux

Ключи GPG — важная часть проверки вашей личности в Интернете. Таким образом, защита от злоумышленников гарантирует, что никто не сможет выдать себя за вас в вашем общении с другими людьми. Здесь мы покажем вам пять простых советов о том, как защитить ключ GPG в Linux.

Совет. узнайте, сколько вам сгенерируйте свой собственный ключ GPG в Linux сегодня.

1. Создайте подразделы для каждой функции GPG

Один из самых простых способов защитить ключ GPG в Linux — создать отдельный подраздел для каждой функции ключа. Подключи — это дополнительные элементы криптографической идентификации, прикрепленные к вашему первичному главному ключу. Из-за это

1. Создайте подразделы для каждой функции GPG

закрытый ключ, поскольку вы не используете его для действий с общим ключом.

Для этого откройте запрос ключа GPG для вашего первичного ключа:

gpg --expert --edit-key YOUR-GPG@EMAIL.ADDRESS

Запустите change-usage, чтобы изменить возможности вашего первичного ключа по умолчанию.

Введите «S», затем нажмите Enter, чтобы отключить возможность подписи вашего первичного ключа.

Терминал, выделяющий подсказку выбора возможностей первичного ключа.

Запустите addkey, чтобы создать второй подраздел вашего первичного ключа.

Терминал, выделяющий ключевое слово «addkey» в командной строке GPG.

Выберите «8» в строке ключевого алгоритма, затем нажмите Enter.

Терминал, выделяющий опцию алгоритма для подраздела.

Введите «=S» в командной строке, затем нажмите Enter, чтобы установить для подраздела значение «Только подпись».

Примечание. Вы можете изменить значение «=S» на «=E» или «=A», чтобы установить для функции подраздела значение «Только шифрование» или «Только аутентификация».

Укажите «4096» в строке размера ключа, затем нажмите Enter, чтобы установить размер вашего подраздела RSA на 4096 бит.

Терминал, выделяющий подсказку о размере ключа для подраздела.<

Установите разумный срок действия вашего подраздела. В моем случае я установлю срок действия моего дополнительного ключа через 1 год.

Терминал, указывающий срок действия ключа для подраздела.

Создайте новый подраздел, набрав «y», а затем нажав Enterв окне подтверждения.

Повторно запустите команду addkeyи создайте два других подраздела для возможностей шифрования и аутентификации.

Убедитесь, что у вашего ключа GPG есть подраздел для каждой возможности, выполнив подкоманду list.

Терминал, показывающий различные подразделы, доступные в первичном ключе.

Кстати, вы тоже являетесь пользователем Windows? Узнайте, как настроить и использовать GPG в Windows .

2. Установите дату истечения срока действия ваших ключей

Еще один простой способ защитить ключ GPG в Linux — указать дату истечения срока действия основного ключа и дополнительных ключей. Хотя это не влияет на способность ключа подписывать, шифровать и аутентифицироваться, его установка дает другим пользователям GPG повод всегда проверять ваш ключ на сервере ключей.

Начните с открытия первичного ключа в инструменте GPG CLI:

gpg --edit-key YOUR-GPG@EMAIL.ADDRESS

Введите «expire», затем нажмите Enter, чтобы изменить дату истечения срока действия вашего первичного ключа. В моем случае я установлю срок действия через 10 лет.

Терминал, выделяющий запрос действительности размера ключа для первичного ключа.

Укажите пароль для вашего ключа GPG, затем нажмите Enter, чтобы подтвердить новую дату истечения срока действия.

Выполните следующие команды, чтобы выбрать внутренние подразделы ключа GPG:

key 1
key 2
key 3
Терминал, подсвечивающий индикатор выбора подраздела.

Запустите expire, затем укажите дату истечения срока действия ваших подразделов. В большинстве случаев срок действия этих ключей истекает раньше, чем срок действия вашего первичного ключа. Лично я установлю срок их действия через восемь месяцев.

Терминал, указывающий срок действия ключа для пакетного обновления набора подразделов.

Введите «сохранить», затем нажмите Enter, чтобы сохранить изменения в связке ключей GPG.

Убедитесь, что срок действия вашего ключа правильный, выполнив: gpg --list-keys.

2. Установите дату истечения срока действия ваших ключей0-highlight-subkey-modified-expiry-date.png" alt="Терминал, показывающий обновленную дату истечения срока действия как для первичного ключа, так и для его подразделов.">

Полезно знать: узнайте, как использовать GPG с графическим интерфейсом с ГНУ Клеопатра .

3. Сохраните ключи GPG в электронном ключе

Ключи безопасности — это небольшие устройства, специально предназначенные для хранения конфиденциальных данных аутентификации. В связи с этим вы также можете использовать их для хранения ключей GPG без ущерба для общей безопасности.

Начните с подключения ключа безопасности к компьютеру, а затем выполните следующую команду, чтобы проверить, обнаруживает ли его GPG:

gpg --card-details

Откройте приглашение GPG для вашего основного ключа, затем запустите list, чтобы распечатать все сведения о связке ключей:

gpg --edit-key YOUR-GPG@EMAIL.ADDRESS

Найдите подраздел со значением использования «S», затем запустите ключ, а затем его порядковый номер в списке подразделов. Например, мой подраздел «S» — первый ключ в моем списке, поэтому я буду использовать key 1.

Терминал, выделяющий подраздел буквой «S» внутри приглашения GPG.

Переместите подраздел «S» во внутреннюю память электронного ключа:

keytocard

Выберите «1» в запросе на передачу, укажите пароль для вашего основного ключа GPG, затем снова запустите команду key, чтобы отменить выбор первого подраздела.

Терминал, выделяющий подсказку выбора для перемещения подраздела в ключ безопасности.

Найдите подраздел со значением использования «A», затем выполните команду key, за которой следует порядковый номер подраздела.

Перенесите подраздел «A» на свое устройство безопасности с помощью команды keytocard, выберите «3» в запросе на передачу, затем повторно запустите команду ключа, отменив выбор подраздела «A».

Терминал выделяет запрос на выбор подраздела аутентификации и перемещает его на ключ безопасности.

Найдите подраздел со значением использования «E», затем выберите его с помощью команды key.

Перенесите подраздел «E» на свое устройство безопасности с помощью команды keytocard, затем выберите «2» в командной строке.

Терминал выделяет запрос на выбор подраздела шифрования и перемещает его на ключ безопасности.

Запустите save, затем нажмите Enter, чтобы сохранить изменения в связке ключей GPG.

Наконец, убедитесь, что вы правильно экспортировали подразделы со своего компьютера, запустив gpg --list-secret-keys [email protected]. При этом рядом с метками «ssb» ваших подразделов должен быть напечатан символ «больше» (>).

Терминал, выделяющий индикатор подраздела, показывает, что он теперь доступен в ключе безопасности.

4. Сделайте резервную копию вашего основного закрытого ключа на бумаге

Помимо ключей безопасности, вы так

3. Сохраните ключи GPG в электронном ключе

овав его в текстовый файл для печати. Бумажный ключ — это простая утилита командной строки, которая берет ваш закрытый ключ и разделяет его до основных секретных байтов. Это полезно, если вы ищете способ сохранить ключ GPG вне цифровых устройств.

Для начала установите paperkey из репозитория пакетов вашего дистрибутива Linux:

sudo apt install paperkey

Экспортируйте двоичную версию вашего основного закрытого и открытого ключей:

gpg --export-secret-key --output secret.gpg YOUR-GPG@EMAIL.ADDRESS
gpg --export --output public.gpg YOUR-GPG@EMAIL.ADDRESS

Преобразуйте свой двоичный закрытый ключ в его основные секретные данные:

paperkey --secret-key secret.gpg --output core-secret.txt

Подтвердите, что вы можете восстановить свой основной закрытый ключ из резервной копии бумажного ключа:

paperkey --pubring public.gpg --secrets core-secret.asc --output secret.gpg

Откройте свой основной секретный файл с помощью вашего любимого графического текстового редактора. В моем случае я использую текстовый редактор GNOME по умолчанию.

Снимок экрана, показывающий секретные данные, извлеченные из закрытого ключа GPG с помощью paperkey.

Нажмите меню «Параметры» в правом верхнем углу окна, затем выберите пункт подменю «Печать».

Снимок экрана, на котором выделена опция «Печать» в текстовом редакторе.

Полезно знать: узнайте, как распечатать файлы с терминала с помощью lp .

5. Удалите свой основной закрытый ключ из системы

Когда вы создаете новый ключ GPG, ваш компьютер сохраняет копии открытого и закрытого ключей внутри вашей файловой системы. Это удобно, но может стать проблемой, если вы используете компьютер, подключенный к сети или с общим доступом.

Один из способов решения этой проблемы — удалить закрытый ключ из вашего собственного набора ключей GPG. Это гарантирует, что любой злоумышленник не сможет извлечь ваш закрытый ключ с вашего компьютера для подписи и сертификации каких-либо дополнительных ключей.

Начните с резервного копирования исходного первичного закрытого ключа и подразделов GPG:

gpg --export-secret-key --armor --output private.asc YOUR-GPG@EMAIL.ADDRESS
gpg --export-secret-subkeys --armor --output sub-private.asc YOUR-GPG@EMAIL.ADDRESS

Зашифруйте вывод основного закрытого блока ключей с помощью симметричного шифрования:

gpg --symmetric private.asc

Укажите относительно надежный пароль для данных вашего закрытого ключа, затем нажмите Enter.

Снимок экрана, показывающий запрос пароля для симметричного шифрования в GPG.

Сохраните зашифрованный закрытый ключ GPG на внешнем запоминающем устройстве.

Удалите все данные закрытого ключа из вашей пары ключей GPG:

gpg --delete-secret-key YOUR-GPG@EMAIL.ADDRESS

Импортируйте блок секретного подраздела обратно в пару ключей GPG:

gpg --import sub-private.asc

Выполните следующую команду, чтобы проверить, существует ли ваш первичный закрытый ключ в вашей системе:

gpg --list-secret-keys YOUR-GPG@EMAIL.ADDRESS

При этом рядом с меткой «sec» первичного ключа должен появиться знак решетки (#). Это означает, что вашего закрытого ключа больше нет в вашей связке ключей GPG.

Терминал, показывающий, что приват больше не существует в связке ключей GPG.

Изучение того, как защитить свой ключ GPG с помощью этих простых советов, — это лишь часть изучения обширной экосистемы криптографии с открытым ключом. Погрузитесь глубже в эту программу к вход на SSH-серверы с помощью GPG .

Изображение предоставлено: 4. Сделайте резервную копию вашего основного закрытого ключа на бумагеrrer noopener nofollow" title="FlyD через Unsplash">FlyD через Unsplash . Все изменения и скриншоты Рамсеса Реда.

5. Удалите свой основной закрытый ключ из системы

ПОХОЖИЕ СТАТЬИ

Популярные записи