Ero sivun ”GNU Privacy Guard” versioiden välillä

Siirry navigaatioon Siirry hakuun
6 merkkiä poistettu ,  16. marraskuuta 2020
ei muokkausyhteenvetoa
pEi muokkausyhteenvetoa
Ei muokkausyhteenvetoa
Rivi 11: Rivi 11:


== Salaiset ja julkiset avaimet ==
== Salaiset ja julkiset avaimet ==
Gpg:ssä käytetään kahdenlaisia avaimia, salaisia ja julkisia. Kuten nimistä voi päätellä, julkinen avain on tarkoitettu levitettäväksi julkisesti tai esimerkiksi lähetettäväksi avainpalvelimelle ja salainen avain on tarkoitus pitää vain käyttäjän omassa käytössä.
GPG:ssä käytetään kahdenlaisia avaimia, salaisia ja julkisia. Kuten nimistä voi päätellä, julkinen avain on tarkoitettu levitettäväksi julkisesti tai esimerkiksi lähetettäväksi avainpalvelimelle ja salainen avain on tarkoitus pitää vain käyttäjän omassa käytössä.


Kun käyttäjällä on toisen henkilön julkinen avain tämä voi salata viestin (tai tiedoston) siten, että sen avaamiseen tarvitaan vastaanottajan salainen avain. Vastaavasti salaista avainta käyttämällä on mahdollista lisätä viestiin allekirjoitus, jonka aitouden voi tarkistaa julkisella avaimella.
Kun käyttäjällä on toisen henkilön julkinen avain tämä voi salata viestin (tai tiedoston) siten, että sen avaamiseen tarvitaan vastaanottajan salainen avain. Vastaavasti salaista avainta käyttämällä on mahdollista lisätä viestiin allekirjoitus, jonka aitouden voi tarkistaa julkisella avaimella.
Rivi 20: Rivi 20:


== Käyttö ==
== Käyttö ==
Gpg:tä käytetään komentoriviltä, mutta sille on olemassa myös [[Gpg#Katso myös|graafisia käyttöliittymiä]].
GPG:tä käytetään komentoriviltä, mutta sille on olemassa myös [[GPG#Katso myös|graafisia käyttöliittymiä]].


=== Avainparin luominen ===
=== Avainparin luominen ===
Gpg:tä käytettäessä on luotava avainpari (tai tuotava jo olemassa oleva). Avainpari luodaan, mikäli mahdollista paikallisella koneella verkko alhaalla, komennolla
GPG:tä käytettäessä on luotava avainpari (tai tuotava jo olemassa oleva). Avainpari luodaan, mikäli mahdollista paikallisella koneella verkko alhaalla, komennolla
  $ gpg --gen-key
  $ gpg --gen-key
Tämän jälkeen gpg kysyy, minkä tyyppinen avain luodaan ja kuinka suuri avain (bitteinä) luodaan. Oletusasetukset ovat hyvät. Seuraavaksi kysytään, kuinka pitkään luotava avain on voimassa. Oletuksena avain ei vanhene koskaan mikä on usein hyvä vaihtoehto:
Tämän jälkeen GPG kysyy, minkä tyyppinen avain luodaan ja kuinka suuri avain (bitteinä) luodaan. Oletusasetukset ovat hyvät. Seuraavaksi kysytään, kuinka pitkään luotava avain on voimassa. Oletuksena avain ei vanhene koskaan mikä on usein hyvä vaihtoehto:
<pre>
<pre>
Valitse millaisen avaimen haluat:
Valitse millaisen avaimen haluat:
Rivi 47: Rivi 47:
</pre>
</pre>


Näiden tietojen jälkeen gpg kysyy nimen, kommentin ja sähköpostiosoitteen luotavaa avainta varten. Kommenttina voi olla vaikka privat, work tai home. Skandinaavisten ja muiden erikoismerkkien käyttö annetuissa arvoissa voi tuoda myöhemmin ongelmia. Real namen lisäksi avainpariin voi myöhemmin lisätä muita aliavaimia (identiteettejä, sähköpostiosoitteita), joten voit käyttää samaa avainta monella sähköpostitunnuksella.
Näiden tietojen jälkeen GPG kysyy nimen, kommentin ja sähköpostiosoitteen luotavaa avainta varten. Kommenttina voi olla vaikka privat, work tai home. Skandinaavisten ja muiden erikoismerkkien käyttö annetuissa arvoissa voi tuoda myöhemmin ongelmia. Real namen lisäksi avainpariin voi myöhemmin lisätä muita aliavaimia (identiteettejä, sähköpostiosoitteita), joten voit käyttää samaa avainta monella sähköpostitunnuksella.


<pre>
<pre>
Rivi 79: Rivi 79:
Tässä tapauksessa liikuttele hiirtä tai selaa wikiä, jotta satunnaislukugeneraattori sekoittuu tarpeeksi.
Tässä tapauksessa liikuttele hiirtä tai selaa wikiä, jotta satunnaislukugeneraattori sekoittuu tarpeeksi.


Kun kaikki tämä on tehty, gpg tulostaa tiedot juuri luodusta avaimesta, allekirjoittaa julkisen avaimen salaisella avaimella (itsellään) sekä lisää sen korkeimmalle luottamustasolle (ultimate) avainrenkaaseen trustdb.gpg, joka luodaan, jos sitä ei vielä ole olemassa.
Kun kaikki tämä on tehty, GPG tulostaa tiedot juuri luodusta avaimesta, allekirjoittaa julkisen avaimen salaisella avaimella (itsellään) sekä lisää sen korkeimmalle luottamustasolle (ultimate) avainrenkaaseen trustdb.gpg, joka luodaan, jos sitä ei vielä ole olemassa.
<pre>
<pre>
gpg: key 7AF6D4B4 marked as ultimately trusted
gpg: key 7AF6D4B4 marked as ultimately trusted
Rivi 107: Rivi 107:
Esimerkiksi edellä luodulle avaimelle
Esimerkiksi edellä luodulle avaimelle
  $ gpg --gen-revoke 7AF6D4B4
  $ gpg --gen-revoke 7AF6D4B4
Tämän jälkeen gpg kysyy syyn avaimen mitätöintiin ja kommentin mitätöinnille. Tämän jälkeen gpg tulostaa mitätöintiosan muodossa
Tämän jälkeen GPG kysyy syyn avaimen mitätöintiin ja kommentin mitätöinnille, sen jälkeen tulostaa mitätöintiosan muodossa
  -----BEGIN PGP PUBLIC KEY BLOCK-----
  -----BEGIN PGP PUBLIC KEY BLOCK-----
  ohjelman versio ja muita tietoja
  ohjelman versio ja muita tietoja
Rivi 117: Rivi 117:


=== Avainten tuominen ja vieminen ===
=== Avainten tuominen ja vieminen ===
Jotta Gpg:n salauksista ja allekirjoituksista saataisiin jotain hyötyä, on käyttäjien pystyttävä antamaan julkisia avaimiaan toisilleen.
Jotta GPG:n salauksista ja allekirjoituksista saataisiin jotain hyötyä, on käyttäjien pystyttävä antamaan julkisia avaimiaan toisilleen.


Tietyn avaimen julkinen osa voidaan tallentaa tiedostoon komennolla
Tietyn avaimen julkinen osa voidaan tallentaa tiedostoon komennolla
Rivi 123: Rivi 123:
Valitsin -a ei ole pakollinen, mutta se tallentaa avaimen teksti- eikä binäärimuodossa, jolloin se on selkeämpi lukea ja riski sen korruptoitumiseen on pieni.  
Valitsin -a ei ole pakollinen, mutta se tallentaa avaimen teksti- eikä binäärimuodossa, jolloin se on selkeämpi lukea ja riski sen korruptoitumiseen on pieni.  


Tällä tavalla tallennettu tiedosto voidaan tuoda toisessa Gpg:ssä käyttöön komennolla
Tällä tavalla tallennettu tiedosto voidaan tuoda toisessa GPG:ssä käyttöön komennolla
  $ gpg --import avain.key
  $ gpg --import avain.key


Rivi 142: Rivi 142:
Tämän jälkeen viestin salaaminen onnistuu valitsimen <tt>-e</tt> (tai <tt>--encrypt</tt>) avulla:
Tämän jälkeen viestin salaaminen onnistuu valitsimen <tt>-e</tt> (tai <tt>--encrypt</tt>) avulla:
  $ gpg --encrypt tiedosto
  $ gpg --encrypt tiedosto
Jolloin Gpg luo tiedoston tiedosto.gpg, jossa tiedoston sisältö on salattuna. Tämän jälkeen Gpg kysyy, millä julkisella avaimella viesti salataan (listan näet komennolla <tt>gpg --list-keys</tt>). Jos esimerkiksi halutaan salata tiedosto käyttäen yllä luodun avaimen julkista osaa, annetaan avaimen tunnukseksi avaimen tunnistenumero 7AF6D4B4 ja painetaan entteriä. Avaimen tunnistenumero voidaan antaa myös valitsimella <tt>-r</tt>:
Jolloin GPG luo tiedoston tiedosto.gpg, jossa tiedoston sisältö on salattuna. Tämän jälkeen GPG kysyy, millä julkisella avaimella viesti salataan (listan näet komennolla <tt>gpg --list-keys</tt>). Jos esimerkiksi halutaan salata tiedosto käyttäen yllä luodun avaimen julkista osaa, annetaan avaimen tunnukseksi avaimen tunnistenumero 7AF6D4B4 ja painetaan entteriä. Avaimen tunnistenumero voidaan antaa myös valitsimella <tt>-r</tt>:
  $ gpg -e -r 7AF6D4B4 tiedosto
  $ gpg -e -r 7AF6D4B4 tiedosto


Salattu viesti puretaan vastaavasti valitsimen --decrypt avulla:
Salattu viesti puretaan vastaavasti valitsimen --decrypt avulla:
  $ gpg --decrypt tiedosto.gpg
  $ gpg --decrypt tiedosto.gpg
Jolloin Gpg kysyy avaimeen kuuluvaa salasanaa. Avaimen salaisen osan on myös oltava käytettävissä.
Jolloin GPG kysyy avaimeen kuuluvaa salasanaa. Avaimen salaisen osan on myös oltava käytettävissä.


=== Allekirjoittaminen ===
=== Allekirjoittaminen ===
Allekirjoitettaessa tiedostoa annetaan gpg:lle valitsin <tt>-s</tt> (tai <tt>--sign</tt>) ja allekirjoitettava tiedosto:
Allekirjoitettaessa tiedostoa annetaan GPG:lle valitsin <tt>-s</tt> (tai <tt>--sign</tt>) ja allekirjoitettava tiedosto:
  $ gpg --sign tiedosto
  $ gpg --sign tiedosto
Jonka jälkeen gpg pyytää salasanan ja allekirjoittaa tiedoston oletusavaimella. Jos halutaan käyttää jotain muuta kuin oletuksena käytettävää avainta, se voidaan antaa valitsimella <tt>-u</tt>:
Jonka jälkeen GPG pyytää salasanan ja allekirjoittaa tiedoston oletusavaimella. Jos halutaan käyttää jotain muuta kuin oletuksena käytettävää avainta, se voidaan antaa valitsimella <tt>-u</tt>:
  $ gpg -s -u 7AF6D4B4 tiedosto
  $ gpg -s -u 7AF6D4B4 tiedosto
Tällöin tuloksena on tiedosto <tt>tiedosto.gpg</tt>, jossa on allekirjoitettu viesti ja allekirjoitus pakattuna. Pakkaamattomana tiedosto allekirjoitetaan valitsimella <tt>--clearsign</tt>:
Tällöin tuloksena on tiedosto <tt>tiedosto.gpg</tt>, jossa on allekirjoitettu viesti ja allekirjoitus pakattuna. Pakkaamattomana tiedosto allekirjoitetaan valitsimella <tt>--clearsign</tt>:
Rivi 176: Rivi 176:
Jolloin tuloksena on tiedosto <tt>tiedosto.sig</tt>, jossa on allekirjoitus pakattuna.
Jolloin tuloksena on tiedosto <tt>tiedosto.sig</tt>, jossa on allekirjoitus pakattuna.


Allekirjoitus tarkistettaan antamalla gpg:lle valitsin <tt>--verify</tt>:
Allekirjoitus tarkistettaan antamalla GPG:lle valitsin <tt>--verify</tt>:
  $ gpg --verify tiedosto
  $ gpg --verify tiedosto
  gpg: Signature made Sun 12 Aug 2007 19:35:07 EEST using DSA key ID 7AF6D4B4
  gpg: Signature made Sun 12 Aug 2007 19:35:07 EEST using DSA key ID 7AF6D4B4
  gpg: Good signature from "Pentti Perussurffaaja (Ensimmäinen GPG-avaimeni) <pera@linux.fi>"
  gpg: Good signature from "Pentti Perussurffaaja (Ensimmäinen GPG-avaimeni) <pera@linux.fi>"
Tällöin gpg siis kertoo, millä avaimella ja milloin allekirjoitus on tehty. Jos tiedostoa on muutettu allekirjoituksen jälkeen, toinen rivi muuttuu muotoon
Tällöin GPG siis kertoo, millä avaimella ja milloin allekirjoitus on tehty. Jos tiedostoa on muutettu allekirjoituksen jälkeen, toinen rivi muuttuu muotoon
  gpg: BAD signature from "Pentti Perussurffaaja (Ensimmäinen GPG-avaimeni) <pera@linux.fi>"
  gpg: BAD signature from "Pentti Perussurffaaja (Ensimmäinen GPG-avaimeni) <pera@linux.fi>"


Jos allekirjoitus on erillisessä tiedostossa, annetaan se parametrina gpg:lle
Jos allekirjoitus on erillisessä tiedostossa, annetaan se parametrina GPG:lle.
  $ gpg --verify tiedosto.sig
  $ gpg --verify tiedosto.sig


Rivi 207: Rivi 207:
Jos avain murretaan, salainen avain hukkuu tai avaimen käyttö muuten lopetetaan voidaan avainpalvelimelle lähettää tieto avaimen käytöstä poistamisesta '''vain''' mitätöintitiedoston avulla. Tästä syystä mitätöintitiedosto on tärkeää luoda avainparia luotaessa.
Jos avain murretaan, salainen avain hukkuu tai avaimen käyttö muuten lopetetaan voidaan avainpalvelimelle lähettää tieto avaimen käytöstä poistamisesta '''vain''' mitätöintitiedoston avulla. Tästä syystä mitätöintitiedosto on tärkeää luoda avainparia luotaessa.


Mitätöintitiedosto lähetetään palvelimelle siten, että ensin se otetaan käyttöön gpg:lle ja tämän jälkeen avain lähetetään normaaliin tapaan avainpalvelimelle. Jos mitätöintitiedoston nimi olisi <tt>avain.revoke</tt>, se lähetettäisiin avainpalvelimelle seuraavasti:
Mitätöintitiedosto lähetetään palvelimelle siten, että ensin se otetaan käyttöön GPG:lle ja tämän jälkeen avain lähetetään normaaliin tapaan avainpalvelimelle. Jos mitätöintitiedoston nimi olisi <tt>avain.revoke</tt>, se lähetettäisiin avainpalvelimelle seuraavasti:
  $ gpg --import avain.revoke
  $ gpg --import avain.revoke
  gpg: key TUNNISTE: "Nimi <osoite>" revocation certificate imported
  gpg: key TUNNISTE: "Nimi <osoite>" revocation certificate imported
Rivi 219: Rivi 219:
PGP-avaimella on siis mahdollista allekirjoittaa tiedostoja ja viestejä. Mutta miten vastaanottaja voi luottaa siihen, että allekirjoittaja on oikeasti se, kuka väittää olevansa? Tätä varten PGP-avaimia on mahdollista allekirjoittaa.
PGP-avaimella on siis mahdollista allekirjoittaa tiedostoja ja viestejä. Mutta miten vastaanottaja voi luottaa siihen, että allekirjoittaja on oikeasti se, kuka väittää olevansa? Tätä varten PGP-avaimia on mahdollista allekirjoittaa.


Allekirjoittaminen tarkoittaa sitä, että PGP:tä käyttävät henkilöt tapaavat toisensa ja tarkistavat toistensa henkilöllisyyden virallisella kuvallisella henkilöllisyystodistuksella (ajokortti, passi tms.) ja avaintensa sormenjäljet. Avaimen sormenjälki on tietyn avaimen tunnistemerkkijono. Gpg:llä avainten sormenjäljet näkee komennolla
Allekirjoittaminen tarkoittaa sitä, että PGP:tä käyttävät henkilöt tapaavat toisensa ja tarkistavat toistensa henkilöllisyyden virallisella kuvallisella henkilöllisyystodistuksella (ajokortti, passi tms.) ja avaintensa sormenjäljet. Avaimen sormenjälki on tietyn avaimen tunnistemerkkijono. GPG:llä avainten sormenjäljet näkee komennolla:
  $ gpg --fingerprint
  $ gpg --fingerprint
<tt>--fingerprint</tt>-valitsimen perään voi laittaa myös hakusanan, esimerkiksi
<tt>--fingerprint</tt>-valitsimen perään voi laittaa myös hakusanan, esimerkiksi
Rivi 233: Rivi 233:
  [ unknown] (1). Käyttäjän Nimi (kommentti) <nowiki><sähköposti></nowiki>
  [ unknown] (1). Käyttäjän Nimi (kommentti) <nowiki><sähköposti></nowiki>
*Kirjoita <tt>n</tt>, jossa n on suluissa oleva numero. Valitse näin uid:t (sähköpostiosoitteet), jotka haluat allekirjoittaa. Enterin painaminen valitsee kaikki uid:t.
*Kirjoita <tt>n</tt>, jossa n on suluissa oleva numero. Valitse näin uid:t (sähköpostiosoitteet), jotka haluat allekirjoittaa. Enterin painaminen valitsee kaikki uid:t.
*Gpg näyttää avaimen sormenjäljen ja salauksen vahvuuden. Tarkista, että tiedot ovat samat, jotka sait henkilöltä tapaamisen yhteydessä.
*GPG näyttää avaimen sormenjäljen ja salauksen vahvuuden. Tarkista, että tiedot ovat samat, jotka sait henkilöltä tapaamisen yhteydessä.
*Allekirjoita avain komennolla <tt>sign</tt>.
*Allekirjoita avain komennolla <tt>sign</tt>.
*Jos tarkistuksen huolellisuutta kysytään, valitse "arkinen" (''casual'') (2).
*Jos tarkistuksen huolellisuutta kysytään, valitse "arkinen" (''casual'') (2).
1 122

muokkausta

Navigointivalikko