Правильне використання ГПГ

Я новачок у шифруванні взагалі та GPG зокрема. Моя справа використання - це зберігання особистих документів на мережевому диску. Ці документи є скануванням (наприклад, дипломами, паперами). Я створив ключ GPG за допомогою gpg --gen-key, а потім зашифрував декілька зображень за допомогою gpg -e -r <name> <file>. За замовчуванням це , здається, вихідні файли з ім'ям після того, як оригінал і суфіксом .gpg, наприклад , diploma.jpgстає diploma.jpg.gpg.

Якщо тип документа відомий, я відкриваю двері для відомої атаки в прямому тексті?

Крім того, які дії потрібно зробити, щоб створити резервну копію ключа (роздрукувати його на папері ...)?

я б не переймався іменем файлу та можливим знанням перших кількох байтів. але якщо вам це неприємно, врахуйте це:

• ви можете використовувати контейнер .7z або .zip із шифруванням aes
• ви можете використовувати контейнерну програму, таку як truecrypt

мати на увазі:

• gpg шифрує ваш файл у змішаному режимі, тобто: він використовує асиметричний ключ для шифрування "сеансового ключа", а потім використовує цей сесійний ключ для шифрування фактичних даних. Таким чином, ви насправді нічого не отримуєте, використовуючи асиметричні ключі для шифрування речей, які вас цікавлять (пам’ятайте: асиметричне шифрування корисне лише для чогось на зразок обміну ключами, коли кількість даних порівняно невелика)

• немає ніяких причин не використовувати симетричне шифрування, оскільки ви хочете запам'ятати парольну фразу у ваші файли / контейнер: gpg --symmetric -e

оскільки ви описали себе як новачка в темі: прочитайте трохи про це в посібнику з gnupg:

http://www.gnupg.org/gph/en/manual.html#CONCEPTS

GPG стисне файл перед шифруванням, що зменшує шанси на звичайну текстову атаку, незалежно від типу файлу. Крім того, якщо трапляється рідкісний випадок компрометованого повідомлення, це не вказує на компромісний ключ серед одержувачів цього повідомлення.

Причина останньої частини стосується процесу, за допомогою якого GPG шифрує повідомлення та файли. Спочатку вміст стискається, як правило, за допомогою zlib. Потім стислі дані симетрично шифруються одноразовим паролем, який називається сеансовим ключем. Потім ключ сеансу асиметрично шифрується відкритими ключами одержувачів. Коли повідомлення розшифровується, процес повертається назад: одержувач розблоковує сесійний ключ за допомогою секретного ключа та парольної фрази, GPG використовує сесійний ключ для розшифрування симетрично зашифрованих даних і, нарешті, він не стискається.

Атака на одне повідомлення швидше спричинить визначення ключа сеансу, ніж компроміс із будь-яким відкритим ключем.

Якщо ви все ще хочете приховати типи файлів, зробіть це:

gpg -ear $RECIPIENT_ID -o filename.asc filename.odt

Щоб відновити оригінальне ім'я файлу при розшифровці, зробіть це:

gpg --use-embedded-filename filename.asc

GPG запише розшифровані дані в оригінальне ім'я файлу, яке зберігається в симетрично зашифрованих даних разом з іншою інформацією, необхідною для відновлення даних.

Примітка: не використовуйте вищевказаний прапор імені файлу, якщо вручну розшифровуєте шифротекст з програми електронної пошти, особливо якщо використовуєте Thunderbird та Enigmail. Багато програм шифрування електронної пошти (включаючи Thunderbird та Enigmail) не присвоюють оригінал імені файлу з чернетки, і розшифрування таким чином може спричинити проблеми, як, наприклад, спроба записати дані в нульове ім’я файлу.

AFAIK, знаючи тип даних, що зберігає зашифрований файл, взагалі не корисний для злому, оскільки шифрування не переймається типом даних. Для шифрування вони є просто бітами (числами), які взагалі не мають значення.

Щодо вашого ключа, найбезпечніший варіант - це запам'ятати його, оскільки не можна отримати доступ до вашого розуму;)

Щоб відповісти на другу частину вашого питання:

Крім того, які дії потрібно зробити, щоб створити резервну копію ключа (роздрукувати його на папері ...)?

Давайте спочатку поговоримо про свідоцтво про відкликання. Ви обов'язково повинні створити та створити резервну копію сертифікату про відкликання головного ключа. Багато людей роблять паперову копію (броньований ascii або QR-код) і зберігають її в захищеному місці, наприклад, у безпечному, замкненому вогнезахисному ящику або сейфі в банку. Якщо ваш головний ключ (ключ сертифікації) буде порушений, у вас з'явиться резервна копія, яка може відкликати його у випадку, якщо сертифікат відкликання зникне з вашого пристрою, або пристрій втрачено тощо.

Якщо у вас немає сертифікату про відкликання, зробіть це за допомогою команди нижче. "mykey" - назва ключа, на якому могли бути останні 8 символів відбитка пальця.

gpg --output revoke.asc --gen-revoke mykey

Сертифікат про відкликання виглядатиме приблизно так, що легко друкувати. Але ти повинен бути обережним. Друк може піддавати це компромісу.

----- ПОЧАТИ ПГП ПУБЛІЧНИЙ КЛЮЧНИЙ БЛОК -----

Коментар: Це сертифікат про відкликання

iQG2BCABCAAgFiEEiz1thFzdqmEJkNsdNgBokN1gxcwFAlsrcOsCHQAACgkQNgBo kN1gxczZ1Qv / aUNZgG0Sjasbu2sDMcX + rjEUNpIGUB6zjcTsPwpXfFo11aM3yefb k0FgMohA8HUwmN4ka + P31jYuNuLNCqFdT8DKKuQk6XgKnX3NieahG / dFaVANXyHR ..................................... це лише приклад сертифікату відкликання ............................................. ...... = 4lcB

----- ЗАКОННИЙ ПГП ПУБЛІЧНИЙ КЛЮЧ БЛОК

Тепер про резервне копіювання головного ключа:

Рішення перше: резервне копіювання головного ключа може бути таким же простим, як і копіювання всього його файлу. Рішення друге: наявність офлайн-головного ключа (C) додає вашій безпеці і, можливо, варто це зробити, залежно від оцінки ризику. Якщо ви використовуєте ноутбук або нетбук для зберігання ваших ключів, може бути особливо хорошою ідеєю перемістити ваш головний ключ в автономному режимі.

Існує два способи мати офлайн-майстер-ключ: важкий шлях та простіший складний шлях .

Після вилучення секретного ключа з головного ключа (C) та запустіть

gpg2 -K

Результат повинен виглядати приблизно так:

Зверніть увагу на # поруч із сек - це вказує, що секретного ключа вже немає.