Ero sivun ”GNU Privacy Guard” versioiden välillä

Siirry navigaatioon Siirry hakuun
3 566 merkkiä lisätty ,  20. lokakuuta 2008
→‎Käyttö: parantelua, vähän materiaalia Linkun wikistä tekijän luvalla
(→‎Käyttö: parantelua, vähän materiaalia Linkun wikistä tekijän luvalla)
Rivi 16: Rivi 16:
Gpg:tä käytettäessä on luotava avainpari (tai tuotava jo olemassa oleva). Avainpari luodaan, mikäli mahdollista paikallisella koneella verkko alhaalla, komennolla
Gpg:tä käytettäessä on luotava avainpari (tai tuotava jo olemassa oleva). Avainpari luodaan, mikäli mahdollista paikallisella koneella verkko alhaalla, komennolla
  $ gpg --gen-key
  $ gpg --gen-key
Tämän jälkeen gpg kysyy, minkä tyyppinen avain luodaan ja kuinka suuri avain (bitteinä) luodaan. Oletusasetukset ovat hyvät. Seuraavaksi kysytään, kuinka pitkään luotava avain on voimassa. Oletuksena avain ei vanhene koskaan mikä on usein hyvä vaihtoehto.
Tämän jälkeen gpg kysyy, minkä tyyppinen avain luodaan ja kuinka suuri avain (bitteinä) luodaan. Oletusasetukset ovat hyvät. Seuraavaksi kysytään, kuinka pitkään luotava avain on voimassa. Oletuksena avain ei vanhene koskaan mikä on usein hyvä vaihtoehto:
<pre>
Valitse millaisen avaimen haluat:
  (1) DSA ja ElGamal (oletus)
  (2) DSA (vain allekirjoitus)
  (5) RSA (vain allekirjoitus)
Valintasi? 1
DSA-avainparissa tulee olemaan 1024 bittiä.
ELG-E keys may be between 1024 and 4096 bits long.
Minkä kokoisen avaimen luodaan? (2048)
Halutun avaimen koko on 2048 bittiä
Kuinka kauan avaimen tulee olla voimassa.
        0 = Avain ei vanhene koskaan
    <n>  = Avain vanhenee n päivän kuluttua
    <n>w = Avain vanhenee n viikon kuluttua
    <n>m = Avain vanhenee n kuukauden kuluttua
    <n>y = Avain vanhenee n vuoden kuluttua
Avain on voimassa? (0)
Avain ei vanhene koskaan
Onko tämä oikein? (y/N) y
</pre>


Näiden tietojen jälkeen gpg kysyy nimen, kommentin ja sähköpostiosoitteen luotavaa avainta varten. Kommenttina voi olla vaikka privat, work tai home. Skandinaavisten ja muiden erikoismerkkien käyttö annetuissa arvoissa voi tuoda myöhemmin ongelmia. Real namen lisäksi avainpariin voi myöhemmin lisätä muita aliavaimia (identiteettejä, sähköpostiosoitteita), joten voit käyttää samaa avainta monella sähköpostitunnuksella.
Näiden tietojen jälkeen gpg kysyy nimen, kommentin ja sähköpostiosoitteen luotavaa avainta varten. Kommenttina voi olla vaikka privat, work tai home. Skandinaavisten ja muiden erikoismerkkien käyttö annetuissa arvoissa voi tuoda myöhemmin ongelmia. Real namen lisäksi avainpariin voi myöhemmin lisätä muita aliavaimia (identiteettejä, sähköpostiosoitteita), joten voit käyttää samaa avainta monella sähköpostitunnuksella.


<pre>
<pre>
Email address: pera@linux.fi
Oikea nimi: Pertti Peruskäyttäjä
Comment: Mun GPG-avain \o/
Sähköpostiosoite: pera@linux.fi
You selected this USER-ID:
Huomautus: Ensimmäinen GPG-avaimeni
     "Pertti Peruskayttaja (Mun GPG-avain \o/) <pera@linux.fi>"
Käytät merkistöä "utf-8".
Valitsit seuraavan käyttäjätunnuksen:
     "Pertti Peruskäyttäjä (Ensimmäinen GPG-avaimeni) <pera@linux.fi>"


Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
Muuta (N)imi, (H)uomautus, (S)ähköposti vai (O)k/(L)opeta? O
</pre>
</pre>


Nyt salaiselle avaimelle pyydetään salasana.
Nyt salaiselle avaimelle pyydetään salasana.
Voit käyttää salasanan keksimiseen apuna ohjelmaa pwgen. Salasana suojaa hiukan salaista avainta, jos se hukkuu tai joku saa kopion siitä käsiinsä.
Voit käyttää salasanan keksimiseen apuna ohjelmaa [[pwgen]]. Salasana suojaa hiukan salaista avainta jos se hukkuu tai joku saa kopion siitä käsiinsä.


<pre>
<pre>
You need a Passphrase to protect your secret key.
Tarvitset salasanan suojaamaan salaista avaintasi.


Enter passphrase:  [tarPEKs1_randoomi15salasana]
Syötä salasana:  [tarPEKs1_randoomi15salasana]
Repeat passphrase: [tarPEKs1_randoomi15salasana]
Toista salasana: [tarPEKs1_randoomi15salasana]
</pre>
</pre>


 
Näiden tietojen antamisen jälkeen kone luo varsinainen avainparin. Se voi kestää hetken ja jopa pysähtyä hetkeksi, jos tietokoneella ei tehdä muuta, sillä GPG tarvitsee satunnaisdataa riittävän turvallisten avainten luomiseksi. Satunnaisdataa saadaan seuraamalla käyttäjän enemmän tai vähemmän satunnaisia toimintoja koneella. Avainparin luomisen pysähtyessä saat ilmoituksen
Näiden tietojen antamisen jälkeen kone luo varsinainen avainparin. Se voi kestää hetken ja jopa pysähtyä hetkeksi, jos tietokoneella ei tehdä muuta. Tällöin saat ilmoituksen
<pre>
<pre>
Not enough random bytes available. Please do some other
Tarvitaan paljon satunnaislukuja. Voit suorittaa muita toimintoja
work to give the OS a chance to collect more entropy!
(kirjoittaa näppäimistöllä, liikuttaa hiirtä, käyttää levyjä)
alkulukujen luomisen aikana, tämä antaa satunnaislukugeneraattorille
paremmat mahdollisuudet kerätä riittävästi entropiaa.
</pre>
</pre>
Tässä tapauksessa liikuttele hiirtä tai selaa wikiä, jotta satunnaislukugeneraattori sekoittuu tarpeeksi.
Tässä tapauksessa liikuttele hiirtä tai selaa wikiä, jotta satunnaislukugeneraattori sekoittuu tarpeeksi.
Rivi 49: Rivi 72:
Kun kaikki tämä on tehty, gpg tulostaa tiedot juuri luodusta avaimesta, allekirjoittaa julkisen avaimen salaisella avaimella (itsellään) sekä lisää sen korkeimmalle luottamustasolle (ultimate) avainrenkaaseen trustdb.gpg, joka luodaan, jos sitä ei vielä ole olemassa.
Kun kaikki tämä on tehty, gpg tulostaa tiedot juuri luodusta avaimesta, allekirjoittaa julkisen avaimen salaisella avaimella (itsellään) sekä lisää sen korkeimmalle luottamustasolle (ultimate) avainrenkaaseen trustdb.gpg, joka luodaan, jos sitä ei vielä ole olemassa.
<pre>
<pre>
gpg: /home/pertti/.gnupg/trustdb.gpg: trustdb created
gpg: key 7AF6D4B4 marked as ultimately trusted
gpg: key 7AF6D4B4 marked as ultimately trusted
public and secret key created and signed.
julkinen ja salainen avain on luotu ja allekirjoitettu.


gpg: checking the trustdb
gpg: tarkistetaan trustdb:tä
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:  1  signed:  0  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 0  valid:  1  signed:  0  trust: 0-, 0q, 0n, 0m, 0f, 1u
pub  1024D/7AF6D4B4 2007-08-12
pub  1024D/7AF6D4B4 2007-08-12
       Key fingerprint = 6C00 8FC4 274D 441E F220  03F4 14D6 E291 7AF6 D4B4
       Key fingerprint = 6C00 8FC4 274D 441E F220  03F4 14D6 E291 7AF6 D4B4
uid                  Pertti Peruskayttaja (Mun GPG-avain \o/) <pera@linux.fi>
uid                  Pertti Peruskayttaja (Ensimmäinen GPG-avaimeni) <pera@linux.fi>
sub  2048g/49EF6931 2007-08-12
sub  2048g/49EF6931 2007-08-12
</pre>
</pre>
Tässä 7AF6D4B4 on avaimen tunnistenumero, 1024 salauksen pituus (bittiä), D DSA-algoritmilla luotu ja 6C00 8FC4 274D 441E F220  03F4 14D6 E291 7AF6 D4B4 sen sormenjälki. Viimeisellä rivillä on avaimen luontipäivä.
Tässä 7AF6D4B4 on avaimen tunnistenumero, jolla avaimeen tullaan myöhemmin viittaamaan. 1024 salauksen pituus (bittiä), D tarkoittaa että avain on DSA-algoritmilla luotu ja 6C00 8FC4 274D 441E F220  03F4 14D6 E291 7AF6 D4B4 on avaimen sormenjälki. Viimeisellä rivillä on avaimen luontipäivä.
Huomaa skandien syrjiminen.


Kaikki käytössä olevat avainparit näet komennolla
Kaikki käytössä olevat avainparit näet komennolla
  $ gpg --list-keys
  $ gpg --list-keys
Nyt avain on luotu ja allekirjoitettu itsellään (allekirjoituksista lisää myöhemmin). Tässä vaiheessa kannattaa luoda avaimen mitätöintitiedosto ja varmuuskopioida tämän jälkeen sekä äsken luotu salainen avain että mitätöintitiedosto varmaan paikkaan. Seuraavaksi käydään läpi miten tämä tapahtuu.


==== Avaimen mitätöintitiedosto ====
==== Avaimen mitätöintitiedosto ====
Rivi 72: Rivi 96:
Kumoamistiedoston luomiseen tarvitaan avaimen salainen osa ja sen salasana. Se tehdään komennolla
Kumoamistiedoston luomiseen tarvitaan avaimen salainen osa ja sen salasana. Se tehdään komennolla
  gpg --gen-revoke tunnistenumero
  gpg --gen-revoke tunnistenumero
Esimerkiksi edellä luodulle avaimelle
gpg --gen-revoke 7AF6D4B4
Tämän jälkeen gpg kysyy syyn avaimen mitätöintiin ja kommentin mitätöinnille. Tämän jälkeen gpg tulostaa mitätöintiosan muodossa
Tämän jälkeen gpg kysyy syyn avaimen mitätöintiin ja kommentin mitätöinnille. Tämän jälkeen gpg tulostaa mitätöintiosan muodossa
  -----BEGIN PGP PUBLIC KEY BLOCK-----
  -----BEGIN PGP PUBLIC KEY BLOCK-----
Rivi 77: Rivi 103:
  pitkä mystinen merkkisarja
  pitkä mystinen merkkisarja
  -----END PGP PUBLIC KEY BLOCK-----
  -----END PGP PUBLIC KEY BLOCK-----
Tallenna tämä osa esimerkiksi CD-levylle. Lisäksi se kannattaa varmuuden vuoksi esimerkiksi tulostaa.
Tallenna tämä osa esimerkiksi CD-levylle. Lisäksi se kannattaa varmuuden vuoksi tulostaa.


Mitätöintitiedostolla avain voidaan sitten poistaa esimerkiksi julkiselta avainpalvelimelta. Ohjeet tähän löytyy yleensä palvelimen kotisivulta.
Mitätöintitiedostolla avain voidaan sitten poistaa esimerkiksi julkiselta avainpalvelimelta. Ohjeet tähän löytyy yleensä palvelimen kotisivulta.
Rivi 85: Rivi 111:


Tietyn avaimen julkinen osa voidaan tallentaa tiedostoon komennolla
Tietyn avaimen julkinen osa voidaan tallentaa tiedostoon komennolla
  gpg --export -a tunnus > tiedosto.key
  gpg --export -a tunnistenumero > tiedosto.key
Valitsin -a ei ole pakollinen, mutta se tallentaa avaimen teksti- eikä binäärimuodossa, jolloin se on selkeämpi lukea ja riski sen korruptoitumiseen on pieni.
Valitsin -a ei ole pakollinen, mutta se tallentaa avaimen teksti- eikä binäärimuodossa, jolloin se on selkeämpi lukea ja riski sen korruptoitumiseen on pieni.  


Tällä tavalla tallennettu tiedosto voidaan tuoda toisessa Gpg:ssä käyttöön komennolla
Tällä tavalla tallennettu tiedosto voidaan tuoda toisessa Gpg:ssä käyttöön komennolla
  gpg --import avain.key
  gpg --import avain.key
Julkisen avaimen voi julkaista vaikka kotisivullaan tai kantaa USB-tikulla. Avain voidaan myös lähettää julkisille avainpalvelimille, mutta ennen avaimen lähetystä kannattaa harjoitella ensin jonkun aikaa sen käyttöä, sillä avaimen luonnissa tapahtunutta virhettä ei voi korjata sen jälkeen, kun avain on julkistettu avainpalvelimilla. Sen voi julkaisun jälkeen ainoastaan mitätöidä, jos salainen avain on vielä tallessa, tai jos mitätöintitiedosto on muistettu luoda etukäteen ja se on hyvä tallessa. Avaimen julkaiseminen avainpalvelimelle käsitellään myöhemmin tässä artikkelissa.
Vastaanottaja voi tarkistaa avaimen todenperäisyyden, mikäli hänellä on tiedossa avaimen sormenjälki, joka on mieluiten saatu jotain muuta, kuin sähköistä reittiä pitkin. Hyviä siirtovälineitä ovat paperimuoto tai tarpeen vaatiessa puhelin. Sormenjälki on avaimestasi tiivistealgoritmilla laskettu 40-merkkinen merkkijono joka varmistaa, että elektronisesti välitetty avain ei ole muuttunut siirron aikana ja että se todella vastaa väitettyä avainta. Sormenjäljen tarkistaminen on se tapa, jolla ihminen pystyy järkevällä resurssinkäytöllä varmistamaan elektronisen avaimen liitettäessä sitä omaan julkisten avainten renkaaseen ja antamaan tälle luottotason.
Oman avaimen sormenjäljen saa selville komennolla
gpg --fingerprint tunnistenumero
Myös salaisia avaimia voidaan tallentaa tiedostoon. Tällöin käytetään valitsinta <tt>--export-secret-key</tt>:
gpg --export-secret-key -a tunnistenumero > salainen_avain.key
Salainen avain on syytä tallentaa ulkoiselle medialle (esim. CD-levylle) ja viedä levy paikkaan, josta se ei varmasti joudu vääriin käsiin. Vaikka salaista avainta suojaa avainta luotaessa valittu salasana, tämä suojaus ei ole niin vahva, että se estäisi varmasti salaisen avaimen väärinkäytökset.
Salainen avain voidaan tuoda käyttöön samaan tapaan kuin julkinenkin avain komennolla <tt>gpg --import avain.key</tt>.


=== Viestien salaaminen ja purkaminen ===
=== Viestien salaaminen ja purkaminen ===

Navigointivalikko