The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Шифрование, PGP

   Корень / Безопасность / Шифрование, PGP

----* Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
 
Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе
MITM-атаки могут контролировать трафик сервера, рекомендовано использовать
DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и
какая именно учётная запись в этом удостоверяющем центре авторизированы на
выдачу сертификата для домена.

CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат,
используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:

для привязки домена example.com к удостоверяющему центру letsencrypt.org:

   example.com. IN CAA 0 issue "letsencrypt.org"

для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890

   example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"

DNS-сервер должен быть размещён на отдельном сервере, не подверженном
MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать
протокол DNSSEC, который помешает атакующим подменить  DNS-ответы с записью CAA.

Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический
мониторинг  отсутствия подмены сертификатов, и подключиться к сервисам
мониторинга CT-логов (Certificate Transparency, отражают выданные
удостоверяющими центрами сертификаты) или вручную отслеживать появление
незапрошенных сертификатов в CT-логах (https://crt.sh/). Также  рекомендовано
выбирать размещённых в разных странах операторов хостинга, регистрации домена,
DNS и удостоверяющих центров.
 
----* Перевод шифрованного раздела на LUKS2 и более надёжную функцию формирования ключа (доп. ссылка 1)   [комментарии]
  В шифрованных разделах LUKS1 в качестве функции формирования ключа (KDF, Key Derivation Function) на основе заданного пользователем пароля применяется функция PBKDF2, не обеспечивающая должную стойкость от подбора с использованием GPU. В LUKS2 в качестве KDF появилась возможность использования гибридной хэш-функции [[https://en.wikipedia.org/wiki/Argon2 argon2id]], которая помимо потребления вычислительных ресурсов, затрудняет распараллеливание и требует значительного объёма памяти.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрование данных на существующем разделе ext4 без его переформатирования (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  Можно отметить два основных способа организации шифрования данных в уже существующей файловой системе Ext4, не требующие пересоздания раздела с переносом данных из резервной копии. Первый способ заключается в использовании встроенных в Ext4 возможностей по шифрованию отдельных каталогов, а второй в использовании команды "cryptsetup reencrypt" для прозрачного переноса ФС на новый шифрованный раздел LUKS. В любом случае создание полной резервной копии перед выполнением предложенных манипуляций обязательно.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание шифрованных образов виртуальных машин (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Включение ESNI и DNS over HTTPS в Firefox (доп. ссылка 1)   [комментарии]
  Включения network.security.esni.enabled=true в about:config недостаточно для активации в Firefox TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование SystemTap для расшифровки локального HTTPS-трафика  (доп. ссылка 1)   [комментарии]
  В состав выпуска системы динамической трассировки SystemTap 3.3 [[https://sourceware.org/systemtap/examples/io/capture_ssl_master_secrets.stp добавлен]] скрипт capture_ssl_master_secrets.stp с примером захвата сессионных ключей SSL/TLS от приложений, использующих gnutls (libgnutls.so) или openssl (libssl.so), которые могут использоваться для организации расшифровки перехваченного трафика.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование USB-брелоков Yubikey для ключей GPG и SSH (доп. ссылка 1)   [комментарии]
  Пример, как можно использовать USB-брелок Yubikey в качестве смарткарты для хранения GPG-ключей и ключей для аутентификации на SSH-серверах.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов   [комментарии]
  Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA ([[https://tools.ietf.org/html/rfc6844 RFC-6844]], Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, который имеет полномочия для генерации сертификатов для указанного домена. При наличии CAA-записи все остальные удостоверяющие центры обязаны блокировать выдачу сертификатов от своего имени для данного домена и информировать его владельца о попытках компрометации.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Методы обнаружения ключей OpenPGP   Автор: stargrave  [комментарии]
  Мы знаем email адрес человека и хотим с ним безопасно связаться. Как узнать его публичный OpenPGP ключ?
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Отключение SSLv2 для защиты сервера от атаки DROWN (доп. ссылка 1)   [комментарии]
  Отключаем SSLv2 для защиты от атаки [[https://www.opennet.dev/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Обфускация структуры полей в базе данных   Автор: 赤熊  [комментарии]
  Хорошим примером защиты данных в разных базах является их шифрование. Для хранения паролей используют лишь хеш. А хеш, как известно, необратим. Нижепредложенный perl-скрипт хорош для огораживания структуры полей таблиц баз данных под управлением MySQL 5.x. Обфускация полей базы вкупе с шифрованием данных может минимизировать потери в случае эксплуатации sql-injection уязвимостей и утечки данных. В качестве аргументов передаётся файл с SQL-дампом структуры БД и "соль" к хэшу. На выходе формируется файл с полями, заменёнными на нечитаемые наборы символов, что затрудняет определение суть хранимых в полях данных (если данные в БД хранятся в зашифрованном виде).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Получение сертификата через общедоступный удостоверяющий центр LetsEncrypt (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  Удостоверяющий центр [[https://letsencrypt.org/ LetsEncrypt]] контролируется сообществом и позволяет любому желающему бесплатно получить TLS-сертификат для организации доступа через защищённое соединение к своему сайту. Для прохождения верификации перед получением сертификата достаточно продемонстрировать контроль над доменом через размещения файла с ключом на web-сервере или запуска специального автоматизированного крипта.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка SSH для использования наиболее защищённых алгоритмов шифрования (доп. ссылка 1)   [комментарии]
  В свете [[http://www.opennet.dev/opennews/art.shtml?num=41356 появления]] сведений об организации АНБ атак, направленных на получение контроля над SSH-соединениями, [[https://stribika.github.io/2015/01/04/secure-secure-shell.html подготовлено]] руководство с рекомендациями по усилению защищённости SSH. АНБ может получить контроль за SSH-соединением в случае использования уязвимых методов шифрования или в результате захвата приватных ключей. Ниже представлены советы по отключению потенциально проблемных алгоритмов и усилению защиты.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Добавление поддержки SSL в pgbouncer при помощи stunnel   Автор: umask  [комментарии]
  Для быстрого старта pgbouncer c поддержкой SSL можно использовать вот такой конфигурационный файл stunnel:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Включение в Fedora и CentOS поддержки шифрования по эллиптическим кривым (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  По умолчанию в Fedora и CentOS пакет OpenSSL собран без поддержки криптографии по эллиптическим кривым (ECC, Elliptic Curve Crytography), так как реализация потенциально [[https://lists.fedoraproject.org/pipermail/legal/2011-June/001661.html нарушает]] ряд [[http://en.wikipedia.org/wiki/ECC_patents патентов]]. В Debian и Ubuntu пакет openssl собран с поддержкой ECC.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание канала связи с использованием TLS-SRP из состава OpenSSL 1.0.1 (доп. ссылка 1)   [комментарии]
  Для создания шифрованного канала связи с использованием вместо ключей шифрования обычных паролей, которые может запомнить человек, можно использовать протокол SRP (Secure Remote Password), поддержка которого появилась в OpenSSL 1.0.1.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Использование TRESOR для хранения ключей шифрования AES не в ОЗУ, а в регистрах CPU (доп. ссылка 1)   [комментарии]
  При использовании зашифрованного раздела с конфиденциальной информацией, злоумышленник, имеющий физический доступ к компьютеру, может воспользоваться методом холодной перезагрузки (http://www.opennet.dev/opennews/art.shtml?num=17035) для получения ключей шифрования. Метод основан на способности оперативной памяти (DRAM) какое-то время сохранять информацию после отключения питания и отсутствия импульсов регенерации ее содержимого (при температуре -50 градусов данные сохраняются более 10 минут). После холодной перезагрузки или переключении чипа памяти на другое устройство память не обнуляется и данные старой рабочей сессии можно проанализировать. Особенно актуальная проблема для ноутбуков, которые часто не выключаются и лишь переводятся в ждущий режим, при котором ОЗУ не обесточивается. В простейшем случае, восстановить ключ из памяти можно используя утилиту msramdmp (http://www.mcgrewsecurity.com/tools/msramdmp/), перезагрузившись в LiveCD (например, можно использовать [[http://www.mcgrewsecurity.com/projects/msramdmp/msramdmp_cd.iso msramdmp_cd.iso]]).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Перехват WEP и WPA ключей в беспроводной сети при помощи AIR Crack  (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
  Инструкция по подбору ключей шифрования в беспроводных сетях, базирующихся на механизме WEP, являющемся устаревшим, но продолжающем широко использоваться. Данная информация предназначена только для ознакомления и может быть использована исключительно в целях проверки надежности собственной сетевой инфраструктуры.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* IPSec туннель между Cisco и CentOS Linux   Автор: PsV  [комментарии]
  Имеем:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Добавление сертификата в Chromium (доп. ссылка 1) (доп. ссылка 2)   Автор: silverghost  [комментарии]
 
После установки Chromium потребовалось импортировать сертификат для работы с
Webmoney Light. В документации к Chromium рекомендуют использовать команду:

   certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n "WebMoney" -i ./wm.p12

Но такая команда выдает ошибку, по крайней мере в Ubuntu 10.04:

   certutil: could not obtain certificate from file: security library: invalid arguments.

Решается эта проблема путем использования другой утилиты:

   pk12util -d sql:$HOME/.pki/nssdb -i ./wm.p12

Вышеупомянутые утилиты входят в состав пакета libnss3-tools в Ubuntu/Debian,
nss-tools в Fedora/RHEL и mozilla-nss-tools в openSUSE.
 
----* Динамическое подключение шифрованных дисковых разделов   Автор: simplexe  [комментарии]
  Задача: Обеспечить шифрование централизованного хранилища с хранением ключей шифрования на внешнем USB-носителе (воткнул ключ - работает, вытащил - не работает). Пакет truecrypt не подошел из-за особенностей его лицензии и отсутствия во многих дистрибутивах. Для шифрования было решено использовать dm-crypt, из двух фронтэндов cryptsetup и cryptmount был выбран первый.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Доступ к шифрованному файлу паролей (доп. ссылка 1)   Автор: Вячеслав  [комментарии]
  В моей сети есть много устройств и служб, доступ к которым осуществляется посредством telnet. Обычно, устройства группируются по типу и зачастую имеют разные пароли. Запомнить десяток паролей, помимо личных, не всегда легко. Привычно хранить пароли внутри шифрованного раздела, хранилища TrueCrypt или шифрованного с помощью GPG файла. А пользователям Windows со своей SecureCRT, вообще, об этом думать не надо.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Хранение конфиденциальных данных в DropBox (доп. ссылка 1)   Автор: silverghost  [обсудить]
  Для организации безопасного хранения и синхронизации приватных данных данных при помощи сервиса DropBox (http://getdropbox.com) можно задействовать функцию шифрования каталогов. Рекомендации подойдут и для сервиса Ubuntu One (http://one.ubuntu.com)
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Проверка SSL сертификата из командной строки (доп. ссылка 1)   [комментарии]
  Предположим, что нам нужно проверить SSL сертификат сайта www.test.net
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка работы шифрованного корневого раздела во FreeBSD (доп. ссылка 1)   [комментарии]
  Устанавливаем систему стандартным образом в один минимальный корневой раздел, для дополнительных разделов создаем фиктивные точки монтирования. Таблица разделов имеет примерно такой вид:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание шифрованного загрузочного LiveUSB c Debian GNU/Linux (доп. ссылка 1)   [комментарии]
  Добавление Loop-AES шифрования к Debian Live.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Добавление SSL шифрования для не SSL сайта силами nginx (доп. ссылка 1)   [комментарии]
  Ниже представлен пример настройки SSL-акселератора, выполненного средствами http-сервера nginx.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание шифрованного раздела в Linux (доп. ссылка 1)   [комментарии]
  В CentOS 5.3 добавлена возможность создания шифрованных дисковых разделов на этапе установки. Рассмотрим ручное создание шифрованного раздела /dev/sdb3 при помощи dm-crypt/LUKS.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрование и просмотр видео (gpg, mplayer)   Автор: borey  [комментарии]
  Озадачился такой проблемой. Есть несколько видео клипов, которые я бы не хотел чтобы кто нибудь смог увидеть, если украдут или взломают носитель. Частное видео. Но хотелось бы иметь удобный способ быстро его просмотреть.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Создание приватной шифрованной директории в Ubuntu 8.10 (доп. ссылка 1)   [комментарии]
  В Ubuntu 8.10 появилась возможность создания в домашней директории пользователя каталога, для хранения приватных данных, хранимых в зашифрованном виде (для шифрования используется eCryptfs).
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Как вытащить из SSL сервиса серверный сертификат (доп. ссылка 1)   Автор: Александр Герасёв  [комментарии]
 
Команда для того, чтобы вытащить из ssl-enabled сервиса серверный сертификат:

   openssl s_client -connect server:port -showcerts
 
----* Как зашифровать файл используя mcrypt или openssl (доп. ссылка 1)   Автор: nixcraft  [комментарии]
 
mcrypt (http://mcrypt.sourceforge.net)

Зашифровать:
   mcrypt data.txt
      Enter passphrase:
Расшифровать:
   mcrypt -d data.txt.nc
      Enter passphrase:

openssl (http://www.openssl.org)

Зашифровать:
   openssl enc -aes-256-cbc -salt -in file.txt -out file.out
      Enter aes-256-cbc encryption password:
Расшифровать:
   openssl enc -d -aes-256-cbc -in file.out
      Enter aes-256-cbc encryption password:
 
----* Шифрованный виртуальный диск под FreeBSD 5 (доп. ссылка 1)   Автор: levsha  [комментарии]
  Предполагается что в полном распоряжении есть FreeBSD 5.X Разборки "что ставить на сервер: 4.X или 5.X" не обсуждаются. В случае использования FreeBSD 4.X необходимо вместо mdconfig использовать vnconfig и вместо gbde использовать vncrypt.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрованный swap в FreeBSD 6.0   Автор: neozoid  [комментарии]
  Добавить в /boot/loader.conf:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Аутентификация без пароля через USB Flash в Linux (доп. ссылка 1)   [комментарии]
 
Цель - организовать аутентификацию пользователя в Linux системе, не через ввод пароля, 
а через вставку USB флэша или CDROM, содержащего DSA ключ.

1. Устанавливаем  pam_usb (http://pamusb.sourceforge.net/);

2. В /etc/pam.d/login, /etc/pam.d/xdm и т.д. прописываем, в зависимости от режима:
   2.1. Вход только при вставке Flash с ключем:
      auth       required        pam_usb.so
      #auth required pam_unix.so # комментируем строку.

   2.2. Можем войти просто вставив Flash или набрав пароль:
      auth       sufficient      pam_usb.so # ставим перед "auth required pam_unix.so"

   2.3. Режим входа только при вставке Flash с ключем одновременно с вводом пароля:
      auth       required        pam_usb.so # ставим перед "auth required pam_unix.so"

3. Монтируем Flash в /mnt/usb и генерируем для пользователя ключ:
   usbadm keygen /mnt/usb логин 1024
 
----* popa3d + TLS/SSL (stunnel) на FreeBSD 5.4   Автор: Вотинцев Сергей А.  [комментарии]
  Установка stunnel:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Защищенный канал связи используя stunnel   Автор: Wely  [комментарии]
  Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4. Выбрал самый легкий путь для моих условий: поставить stunnel. Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрованная передача текста (openssl+nc)   Автор: ZEDER  [обсудить]
 
Передаём на хост .1 в порт 666 текст предварительно его зашифровав паролем "paSSw0rd":
   echo ТЕКСТ | openssl des3 -salt -k paSSw0rd | nc 192.168.48.1 666

принимаем на порту 666 текст:
   nc -l -p 666 | openssl des3 -d -k paSSw0rd
 
----* Шифрование файлов используя loopback устройство под Debian Linux (доп. ссылка 1)   [комментарии]
  Установка пакетов:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Генерация сертификатов для mod_ssl (доп. ссылка 1)   Автор: Александр Елисеенко  [комментарии]
 
В состав дистрибутива openssl входят скрипты CA.sh и CA.pl (/usr/local/openssl/misc)
создаем корневой сертификат
	./CA.sh -newca
генерируем личный ключ и сертификационный запрос сервера
	./CA.sh -newreq
и подписываем его своим корневым сертификатом.
	./CA.sh -sign
переписываем ключ и сертификат сервера в служебный каталог Apache
	cp newreq.pem   /usr/local/etc/apache/sslkey/server.key
	cp newcert.pem  /usr/local/etc/apache/ssl.crt/server.crt
Файл корневого сертификата ./demoCA/cacert.pem необходимо 
распространить по клиентским компьютерам.
 
----* Симметричное шифрование блока данных на Perl.   [комментарии]
 
use Crypt::Blowfish;
use Crypt::CBC;
my $cipher = new Crypt::CBC("Секретный ключ для шифрования",'Blowfish');
my $crypted_block = $cipher->encrypt_hex($text);
my $text = $cipher->decrypt_hex($crypted_block);
$cipher->finish();
 
----* Как настроить работу шифрованной файловой системы в Linux (доп. ссылка 1)   [комментарии]
 
1. Устанавливаем патчи cryptoapi и cryptoloop http://www.kernel.org/pub/linux/kernel/crypto/
2. dd if=/dev/zero of=/usr/testfs bs=1M count=50
3. modprobe cryptoloop; modprobe cryptoapi; modprobe cipher-des
4. losetup -e des /dev/loop0 /usr/testfs
5. mkfs -t ext3 /dev/loop0
6. mount -t ext3 /dev/loop0 /mnt/testfs
 
----* Чем в perl лучше шифровать данные.   [обсудить]
 
Необратимое шифрование (хэш или fingerprint):
  Модули (в порядке возрастания надежности) Digest::MD5, Digest::SHA1, Digest::HMAC_MD5, Digest::HMAC_SHA1
  Пример: use Digest::SHA1 qw(sha1_base64); 
          $hash = sha1_base64("test");

Обратимое шифрование по ключу:
  Модули: Crypt::DES, Crypt::HCE_SHA, Crypt::Blowfish + Crypt::CBC
  Пример: use Crypt::Blowfish; use Crypt::CBC;
          $cipher_handle = new Crypt::CBC($encrypt_key,'Blowfish');
          $crypted_text = $cipher_handle->encrypt_hex($text);
          $text = $cipher_handle->decrypt_hex($crypted_text);

Шифрование с использованием открытого ключа: Crypt::OpenPGP, Crypt::GPG , Crypt::PGP5.
 
----* Шифрование файла   [обсудить]
 
pgp2.6>cat input| pgp -ef userid > output
pgp5.0>cat input| pgpe -f userid > output
gnupg>cat input| gpg -e -r userid > output
 
----* Расшифровка файла   [обсудить]
 
pgp2.6>cat encrypted_файл | pgp -f -z'пароль' > расшифрованный_файл
pgp5.0>cat encrypted_файл | pgpv -f -z'пароль' > расшифрованный_файл
gnupg>cat encrypted_файл | gpg --decrypt > расшифрованный_файл
 
----* Добавление чужого публичного ключа   [обсудить]
 
pgp2.6>pgp -ka <файл с ключом с удаленной машины>
pgp5.0>pgpk -a <файл с ключом с удаленной машины>
gnupg>gpg --import <файл куда будет записан ключ>
# Для pgupg необходимо заверить ключ:
gnupg>gpg --sign-key <имя ключа>
 
----* Экспортирование публичного ключа   [обсудить]
 
pgp2.6> pgp -akx <UserID> <файл куда будет записан ключ>
pgp5.0> pgpk -ax <UserID> <файл куда будет записан ключ>
gnupg> gpg --export -a <UserID> > <файл куда будет записан ключ>
 
----* Cоздание публичного и секретного ключей   [обсудить]
 
	pgp2.6> pgp -kg
	pgp5.0> pgpk -g
	gnupg> gpg --gen-key
 
----* Заметки по использованию GPG   [обсудить]
 
--verify source-name.asc
	Проверить по сигнатуре
--gen-key
	Сгенерировать новый PGP ключ (--quick-random - быстрая но не безопасная генерация)
--gen-revoke uid
	Сгенерировать сертификат на случай забытия пароля.
-s file
	Создать сигнатуру для файла (-sa - в .asc формате)
-e -r user file
	Зашифровать файл
-se -r encuser -u siguser
	Шифрование и подпись зашифрованного
--export
	Экспортировать публичные ключи
--import file
	Импортировать публичный ключ
--edit-key user
	Операции по редактированию keyring
--batch
	Автоматическая обработка, без интерактивных диалогов
 
----* Использование HTTPS-сертификатов для шифрования и подписи произвольных данных (доп. ссылка 1)   Автор: Dennis Yurichev  [комментарии]
  Созданные для HTTPS сертификаты вполне можно использовать для формирования цифровых подписей к произвольным данным, а также для шифрования по открытым ключам.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Шифрование архива данных используя openssl   Автор: zeder  [комментарии]
 
Шифрование:

   dd if=./target.tgz | openssl des3 -salt -kfile ./key.file| dd of=./target.tgz.des3

Расшифровка:

   dd if=./target.tgz.des3 | openssl des3 -d -kfile ./key.file| dd of=./target.tgz
 

 Версия для печати





Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру