|
Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе
MITM-атаки могут контролировать трафик сервера, рекомендовано использовать
DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и
какая именно учётная запись в этом удостоверяющем центре авторизированы на
выдачу сертификата для домена.
CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат,
используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:
для привязки домена example.com к удостоверяющему центру letsencrypt.org:
example.com. IN CAA 0 issue "letsencrypt.org"
для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890
example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"
DNS-сервер должен быть размещён на отдельном сервере, не подверженном
MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать
протокол DNSSEC, который помешает атакующим подменить DNS-ответы с записью CAA.
Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический
мониторинг отсутствия подмены сертификатов, и подключиться к сервисам
мониторинга CT-логов (Certificate Transparency, отражают выданные
удостоверяющими центрами сертификаты) или вручную отслеживать появление
незапрошенных сертификатов в CT-логах (https://crt.sh/). Также рекомендовано
выбирать размещённых в разных странах операторов хостинга, регистрации домена,
DNS и удостоверяющих центров.
|
|
|
|
|
Перевод шифрованного раздела на LUKS2 и более надёжную функцию формирования ключа (доп. ссылка 1) |
[комментарии]
|
| В шифрованных разделах LUKS1 в качестве функции формирования ключа (KDF, Key Derivation Function) на основе заданного пользователем пароля применяется функция PBKDF2, не обеспечивающая должную стойкость от подбора с использованием GPU. В LUKS2 в качестве KDF появилась возможность использования гибридной хэш-функции [[https://en.wikipedia.org/wiki/Argon2 argon2id]], которая помимо потребления вычислительных ресурсов, затрудняет распараллеливание и требует значительного объёма памяти.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Шифрование данных на существующем разделе ext4 без его переформатирования (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| Можно отметить два основных способа организации шифрования данных в уже существующей файловой системе Ext4, не требующие пересоздания раздела с переносом данных из резервной копии. Первый способ заключается в использовании встроенных в Ext4 возможностей по шифрованию отдельных каталогов, а второй в использовании команды "cryptsetup reencrypt" для прозрачного переноса ФС на новый шифрованный раздел LUKS. В любом случае создание полной резервной копии перед выполнением предложенных манипуляций обязательно.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Создание шифрованных образов виртуальных машин (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Включение ESNI и DNS over HTTPS в Firefox (доп. ссылка 1) |
[комментарии]
|
| Включения network.security.esni.enabled=true в about:config недостаточно для активации в Firefox TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Использование SystemTap для расшифровки локального HTTPS-трафика (доп. ссылка 1) |
[комментарии]
|
| В состав выпуска системы динамической трассировки SystemTap 3.3 [[https://sourceware.org/systemtap/examples/io/capture_ssl_master_secrets.stp добавлен]] скрипт capture_ssl_master_secrets.stp с примером захвата сессионных ключей SSL/TLS от приложений, использующих gnutls (libgnutls.so) или openssl (libssl.so), которые могут использоваться для организации расшифровки перехваченного трафика.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Использование USB-брелоков Yubikey для ключей GPG и SSH (доп. ссылка 1) |
[комментарии]
|
| Пример, как можно использовать USB-брелок Yubikey в качестве смарткарты для хранения GPG-ключей и ключей для аутентификации на SSH-серверах.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов |
[комментарии]
|
| Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Методы обнаружения ключей OpenPGP |
Автор: stargrave
[комментарии]
|
| Мы знаем email адрес человека и хотим с ним безопасно связаться. Как узнать его
публичный OpenPGP ключ?
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Отключение SSLv2 для защиты сервера от атаки DROWN (доп. ссылка 1) |
[комментарии]
|
| Отключаем SSLv2 для защиты от атаки [[https://www.opennet.dev/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент).
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Обфускация структуры полей в базе данных |
Автор: 赤熊
[комментарии]
|
| Хорошим примером защиты данных в разных базах является их шифрование. Для хранения паролей используют лишь хеш. А хеш, как известно, необратим. Нижепредложенный perl-скрипт хорош для огораживания структуры полей таблиц баз данных под управлением MySQL 5.x. Обфускация полей базы вкупе с шифрованием данных может минимизировать потери в случае эксплуатации sql-injection уязвимостей и утечки данных.
В качестве аргументов передаётся файл с SQL-дампом структуры БД и "соль" к хэшу. На выходе формируется файл с полями, заменёнными на нечитаемые наборы символов, что затрудняет определение суть хранимых в полях данных (если данные в БД хранятся в зашифрованном виде).
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Получение сертификата через общедоступный удостоверяющий центр LetsEncrypt (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| Удостоверяющий центр [[https://letsencrypt.org/ LetsEncrypt]] контролируется сообществом и позволяет любому желающему бесплатно получить TLS-сертификат для организации доступа через защищённое соединение к своему сайту. Для прохождения верификации перед получением сертификата достаточно продемонстрировать контроль над доменом через размещения файла с ключом на web-сервере или запуска специального автоматизированного крипта.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Настройка SSH для использования наиболее защищённых алгоритмов шифрования (доп. ссылка 1) |
[комментарии]
|
| В свете [[http://www.opennet.dev/opennews/art.shtml?num=41356 появления]] сведений об организации АНБ атак, направленных на получение контроля над SSH-соединениями, [[https://stribika.github.io/2015/01/04/secure-secure-shell.html подготовлено]] руководство с рекомендациями по усилению защищённости SSH. АНБ может получить контроль за SSH-соединением в случае использования уязвимых методов шифрования или в результате захвата приватных ключей. Ниже представлены советы по отключению потенциально проблемных алгоритмов и усилению защиты.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Добавление поддержки SSL в pgbouncer при помощи stunnel |
Автор: umask
[комментарии]
|
| Для быстрого старта pgbouncer c поддержкой SSL можно использовать вот такой конфигурационный файл stunnel:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Включение в Fedora и CentOS поддержки шифрования по эллиптическим кривым (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| По умолчанию в Fedora и CentOS пакет OpenSSL собран без поддержки криптографии по эллиптическим кривым (ECC, Elliptic Curve Crytography), так как реализация
потенциально [[https://lists.fedoraproject.org/pipermail/legal/2011-June/001661.html нарушает]] ряд [[http://en.wikipedia.org/wiki/ECC_patents патентов]]. В Debian и Ubuntu пакет openssl собран с поддержкой ECC.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Создание канала связи с использованием TLS-SRP из состава OpenSSL 1.0.1 (доп. ссылка 1) |
[комментарии]
|
| Для создания шифрованного канала связи с использованием вместо ключей шифрования обычных паролей, которые может запомнить человек, можно использовать протокол SRP (Secure Remote Password), поддержка которого появилась в OpenSSL 1.0.1.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Использование TRESOR для хранения ключей шифрования AES не в ОЗУ, а в регистрах CPU (доп. ссылка 1) |
[комментарии]
|
| При использовании зашифрованного раздела с конфиденциальной информацией, злоумышленник, имеющий физический доступ к компьютеру, может воспользоваться методом холодной перезагрузки (http://www.opennet.dev/opennews/art.shtml?num=17035) для получения ключей шифрования. Метод основан на способности оперативной памяти (DRAM) какое-то время сохранять информацию после отключения питания и отсутствия импульсов регенерации ее содержимого (при температуре -50 градусов данные сохраняются более 10 минут). После холодной перезагрузки или переключении чипа памяти на другое устройство память не обнуляется и данные старой рабочей сессии можно проанализировать. Особенно актуальная проблема для ноутбуков, которые часто не выключаются и лишь переводятся в ждущий режим, при котором ОЗУ не обесточивается. В простейшем случае, восстановить ключ из памяти можно используя утилиту msramdmp (http://www.mcgrewsecurity.com/tools/msramdmp/), перезагрузившись в LiveCD (например, можно использовать [[http://www.mcgrewsecurity.com/projects/msramdmp/msramdmp_cd.iso msramdmp_cd.iso]]).
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Перехват WEP и WPA ключей в беспроводной сети при помощи AIR Crack (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| Инструкция по подбору ключей шифрования в беспроводных сетях, базирующихся на механизме WEP, являющемся устаревшим, но продолжающем широко использоваться. Данная информация предназначена только для ознакомления и может быть использована исключительно в целях проверки надежности собственной сетевой инфраструктуры.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
IPSec туннель между Cisco и CentOS Linux |
Автор: PsV
[комментарии]
|
| Имеем:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Добавление сертификата в Chromium (доп. ссылка 1) (доп. ссылка 2) |
Автор: silverghost
[комментарии]
|
| После установки Chromium потребовалось импортировать сертификат для работы с
Webmoney Light. В документации к Chromium рекомендуют использовать команду:
certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n "WebMoney" -i ./wm.p12
Но такая команда выдает ошибку, по крайней мере в Ubuntu 10.04:
certutil: could not obtain certificate from file: security library: invalid arguments.
Решается эта проблема путем использования другой утилиты:
pk12util -d sql:$HOME/.pki/nssdb -i ./wm.p12
Вышеупомянутые утилиты входят в состав пакета libnss3-tools в Ubuntu/Debian,
nss-tools в Fedora/RHEL и mozilla-nss-tools в openSUSE.
|
|
|
|
|
Динамическое подключение шифрованных дисковых разделов |
Автор: simplexe
[комментарии]
|
| Задача: Обеспечить шифрование централизованного хранилища с хранением ключей шифрования на внешнем USB-носителе (воткнул ключ - работает, вытащил - не работает). Пакет truecrypt не подошел из-за особенностей его лицензии и отсутствия во многих дистрибутивах. Для шифрования было решено использовать dm-crypt, из двух фронтэндов cryptsetup и cryptmount был выбран первый.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Доступ к шифрованному файлу паролей (доп. ссылка 1) |
Автор: Вячеслав
[комментарии]
|
| В моей сети есть много устройств и служб, доступ к которым осуществляется посредством telnet. Обычно, устройства группируются по типу и зачастую имеют разные пароли. Запомнить десяток паролей, помимо личных, не всегда легко. Привычно хранить пароли внутри шифрованного раздела, хранилища TrueCrypt или шифрованного с помощью GPG файла. А пользователям Windows со своей SecureCRT, вообще, об этом думать не надо.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Хранение конфиденциальных данных в DropBox (доп. ссылка 1) |
Автор: silverghost
[обсудить]
|
| Для организации безопасного хранения и синхронизации приватных данных данных при помощи сервиса
DropBox (http://getdropbox.com) можно задействовать функцию шифрования каталогов.
Рекомендации подойдут и для сервиса Ubuntu One (http://one.ubuntu.com)
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Проверка SSL сертификата из командной строки (доп. ссылка 1) |
[комментарии]
|
| Предположим, что нам нужно проверить SSL сертификат сайта www.test.net
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Настройка работы шифрованного корневого раздела во FreeBSD (доп. ссылка 1) |
[комментарии]
|
| Устанавливаем систему стандартным образом в один минимальный корневой раздел, для дополнительных разделов
создаем фиктивные точки монтирования. Таблица разделов имеет примерно такой вид:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Создание шифрованного загрузочного LiveUSB c Debian GNU/Linux (доп. ссылка 1) |
[комментарии]
|
| Добавление Loop-AES шифрования к Debian Live.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Добавление SSL шифрования для не SSL сайта силами nginx (доп. ссылка 1) |
[комментарии]
|
| Ниже представлен пример настройки SSL-акселератора, выполненного средствами http-сервера nginx.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Создание шифрованного раздела в Linux (доп. ссылка 1) |
[комментарии]
|
| В CentOS 5.3 добавлена возможность создания шифрованных дисковых разделов на этапе установки.
Рассмотрим ручное создание шифрованного раздела /dev/sdb3 при помощи dm-crypt/LUKS.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Шифрование и просмотр видео (gpg, mplayer) |
Автор: borey
[комментарии]
|
| Озадачился такой проблемой.
Есть несколько видео клипов, которые я бы не хотел чтобы кто нибудь смог увидеть,
если украдут или взломают носитель. Частное видео. Но хотелось бы иметь удобный способ быстро его просмотреть.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Создание приватной шифрованной директории в Ubuntu 8.10 (доп. ссылка 1) |
[комментарии]
|
| В Ubuntu 8.10 появилась возможность создания в домашней директории пользователя каталога,
для хранения приватных данных, хранимых в зашифрованном виде (для шифрования используется eCryptfs).
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Как вытащить из SSL сервиса серверный сертификат (доп. ссылка 1) |
Автор: Александр Герасёв
[комментарии]
|
| Команда для того, чтобы вытащить из ssl-enabled сервиса серверный сертификат:
openssl s_client -connect server:port -showcerts
|
|
|
|
|
Как зашифровать файл используя mcrypt или openssl (доп. ссылка 1) |
Автор: nixcraft
[комментарии]
|
| mcrypt (http://mcrypt.sourceforge.net)
Зашифровать:
mcrypt data.txt
Enter passphrase:
Расшифровать:
mcrypt -d data.txt.nc
Enter passphrase:
openssl (http://www.openssl.org)
Зашифровать:
openssl enc -aes-256-cbc -salt -in file.txt -out file.out
Enter aes-256-cbc encryption password:
Расшифровать:
openssl enc -d -aes-256-cbc -in file.out
Enter aes-256-cbc encryption password:
|
|
|
|
|
Шифрованный виртуальный диск под FreeBSD 5 (доп. ссылка 1) |
Автор: levsha
[комментарии]
|
| Предполагается что в полном распоряжении есть FreeBSD 5.X
Разборки "что ставить на сервер: 4.X или 5.X" не обсуждаются.
В случае использования FreeBSD 4.X необходимо вместо mdconfig использовать vnconfig
и вместо gbde использовать vncrypt.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Шифрованный swap в FreeBSD 6.0 |
Автор: neozoid
[комментарии]
|
| Добавить в /boot/loader.conf:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Аутентификация без пароля через USB Flash в Linux (доп. ссылка 1) |
[комментарии]
|
| Цель - организовать аутентификацию пользователя в Linux системе, не через ввод пароля,
а через вставку USB флэша или CDROM, содержащего DSA ключ.
1. Устанавливаем pam_usb (http://pamusb.sourceforge.net/);
2. В /etc/pam.d/login, /etc/pam.d/xdm и т.д. прописываем, в зависимости от режима:
2.1. Вход только при вставке Flash с ключем:
auth required pam_usb.so
#auth required pam_unix.so # комментируем строку.
2.2. Можем войти просто вставив Flash или набрав пароль:
auth sufficient pam_usb.so # ставим перед "auth required pam_unix.so"
2.3. Режим входа только при вставке Flash с ключем одновременно с вводом пароля:
auth required pam_usb.so # ставим перед "auth required pam_unix.so"
3. Монтируем Flash в /mnt/usb и генерируем для пользователя ключ:
usbadm keygen /mnt/usb логин 1024
|
|
|
|
|
popa3d + TLS/SSL (stunnel) на FreeBSD 5.4 |
Автор: Вотинцев Сергей А.
[комментарии]
|
| Установка stunnel:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Защищенный канал связи используя stunnel |
Автор: Wely
[комментарии]
|
| Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4.
Выбрал самый легкий путь для моих условий: поставить stunnel.
Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Шифрованная передача текста (openssl+nc) |
Автор: ZEDER
[обсудить]
|
| Передаём на хост .1 в порт 666 текст предварительно его зашифровав паролем "paSSw0rd":
echo ТЕКСТ | openssl des3 -salt -k paSSw0rd | nc 192.168.48.1 666
принимаем на порту 666 текст:
nc -l -p 666 | openssl des3 -d -k paSSw0rd
|
|
|
|
|
|
Генерация сертификатов для mod_ssl (доп. ссылка 1) |
Автор: Александр Елисеенко
[комментарии]
|
| В состав дистрибутива openssl входят скрипты CA.sh и CA.pl (/usr/local/openssl/misc)
создаем корневой сертификат
./CA.sh -newca
генерируем личный ключ и сертификационный запрос сервера
./CA.sh -newreq
и подписываем его своим корневым сертификатом.
./CA.sh -sign
переписываем ключ и сертификат сервера в служебный каталог Apache
cp newreq.pem /usr/local/etc/apache/sslkey/server.key
cp newcert.pem /usr/local/etc/apache/ssl.crt/server.crt
Файл корневого сертификата ./demoCA/cacert.pem необходимо
распространить по клиентским компьютерам.
|
|
|
|
|
Симметричное шифрование блока данных на Perl. |
[комментарии]
|
| use Crypt::Blowfish;
use Crypt::CBC;
my $cipher = new Crypt::CBC("Секретный ключ для шифрования",'Blowfish');
my $crypted_block = $cipher->encrypt_hex($text);
my $text = $cipher->decrypt_hex($crypted_block);
$cipher->finish();
|
|
|
|
|
Как настроить работу шифрованной файловой системы в Linux (доп. ссылка 1) |
[комментарии]
|
| 1. Устанавливаем патчи cryptoapi и cryptoloop http://www.kernel.org/pub/linux/kernel/crypto/
2. dd if=/dev/zero of=/usr/testfs bs=1M count=50
3. modprobe cryptoloop; modprobe cryptoapi; modprobe cipher-des
4. losetup -e des /dev/loop0 /usr/testfs
5. mkfs -t ext3 /dev/loop0
6. mount -t ext3 /dev/loop0 /mnt/testfs
|
|
|
|
|
Чем в perl лучше шифровать данные. |
[обсудить]
|
| Необратимое шифрование (хэш или fingerprint):
Модули (в порядке возрастания надежности) Digest::MD5, Digest::SHA1, Digest::HMAC_MD5, Digest::HMAC_SHA1
Пример: use Digest::SHA1 qw(sha1_base64);
$hash = sha1_base64("test");
Обратимое шифрование по ключу:
Модули: Crypt::DES, Crypt::HCE_SHA, Crypt::Blowfish + Crypt::CBC
Пример: use Crypt::Blowfish; use Crypt::CBC;
$cipher_handle = new Crypt::CBC($encrypt_key,'Blowfish');
$crypted_text = $cipher_handle->encrypt_hex($text);
$text = $cipher_handle->decrypt_hex($crypted_text);
Шифрование с использованием открытого ключа: Crypt::OpenPGP, Crypt::GPG , Crypt::PGP5.
|
|
|
|
|
Шифрование файла
|
[обсудить]
|
| pgp2.6>cat input| pgp -ef userid > output
pgp5.0>cat input| pgpe -f userid > output
gnupg>cat input| gpg -e -r userid > output
|
|
|
|
|
Расшифровка файла |
[обсудить]
|
| pgp2.6>cat encrypted_файл | pgp -f -z'пароль' > расшифрованный_файл
pgp5.0>cat encrypted_файл | pgpv -f -z'пароль' > расшифрованный_файл
gnupg>cat encrypted_файл | gpg --decrypt > расшифрованный_файл
|
|
|
|
|
Добавление чужого публичного ключа |
[обсудить]
|
| pgp2.6>pgp -ka <файл с ключом с удаленной машины>
pgp5.0>pgpk -a <файл с ключом с удаленной машины>
gnupg>gpg --import <файл куда будет записан ключ>
# Для pgupg необходимо заверить ключ:
gnupg>gpg --sign-key <имя ключа>
|
|
|
|
|
Экспортирование публичного ключа |
[обсудить]
|
| pgp2.6> pgp -akx <UserID> <файл куда будет записан ключ>
pgp5.0> pgpk -ax <UserID> <файл куда будет записан ключ>
gnupg> gpg --export -a <UserID> > <файл куда будет записан ключ>
|
|
|
|
|
Cоздание публичного и секретного ключей |
[обсудить]
|
| pgp2.6> pgp -kg
pgp5.0> pgpk -g
gnupg> gpg --gen-key
|
|
|
|
|
Заметки по использованию GPG |
[обсудить]
|
| --verify source-name.asc
Проверить по сигнатуре
--gen-key
Сгенерировать новый PGP ключ (--quick-random - быстрая но не безопасная генерация)
--gen-revoke uid
Сгенерировать сертификат на случай забытия пароля.
-s file
Создать сигнатуру для файла (-sa - в .asc формате)
-e -r user file
Зашифровать файл
-se -r encuser -u siguser
Шифрование и подпись зашифрованного
--export
Экспортировать публичные ключи
--import file
Импортировать публичный ключ
--edit-key user
Операции по редактированию keyring
--batch
Автоматическая обработка, без интерактивных диалогов
|
|
|
|
|
Использование HTTPS-сертификатов для шифрования и подписи произвольных данных (доп. ссылка 1) |
Автор: Dennis Yurichev
[комментарии]
|
| Созданные для HTTPS сертификаты вполне можно использовать для формирования цифровых подписей к произвольным данным, а также для шифрования по открытым ключам.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Шифрование архива данных используя openssl |
Автор: zeder
[комментарии]
|
| Шифрование:
dd if=./target.tgz | openssl des3 -salt -kfile ./key.file| dd of=./target.tgz.des3
Расшифровка:
dd if=./target.tgz.des3 | openssl des3 -d -kfile ./key.file| dd of=./target.tgz
|
|
|
|