V článku jsou vysvětleny základní příkazy potřebné pro používání programu GPG v prostředí příkazového řádku operačního systému Linux. Napsáním tohoto článku nechci nahrazovat manuálové stránky nebo snad kompletní dokumentaci programu GPG. Jsem praktik, sepisuji pro vás proto jen základní úkony, které každý administrátor Linuxu občas potřebuje. Dokumentace k programu GPG je natolik rozsáhlá, že nastudování těchto parametrů, a jejich opětovné vyhledávání po nějakém čase, kdy jsem již přesnou syntaxi příkazů zapomněl, mě samotného stála dost času. Snad vám tento článek čas ušetří.
Při praktickém používání programu GPG nejčastěji využíváme následující příkazy.
Pro získání veřejnho klíče z výchozího keyserveru:
$ gpg –recv-keys ID_klíče
Variantou je uvedení cílového keyserveru, v následujícím příkladu:
$ gpg –recv-keys ID_klíče –keyserver pgp.nai.com
Pro ověření podepsaného souboru použijeme příkaz:
$ gpg –verify soubor
Pro ověření detašované (ve vzláštním souboru) signatury použijeme:
$ gpg –verify signatura.asc
Výše uvedený příklad ověřuje signaturu v souboru signatura.asc souboru s názvem signatura. Pokud je název souboru jiný, použijte příkaz:
$ gpg –verify signatura.sig název_ověřovaného_souboru
Pokud potřebujete detašovanou signatu vytvořit, budete nejprve potřebovat mít vlastní pár veřejného a privátního klíče. Ten vygenerujete příkazem:
$ gpg –gen-key
Program vás poté interativně provede výberem typu klíče, výběrem jeho délky, zadáním vašich údajů, volitelně zadáním hesla pro ochranu privátního klíče a následně zahájí generování klíčů. Upozorňuji, že zvyšování délky klíče má významný dopad na dobu jejich generování a v menší míře i na jejich použití pro šifrování, dešifrování a ověřování signatur. Délka klíče 2048 bitů by měla být bezpečná po dobu desítek let, a to i proti bývalým zaměstnavatelům pana Snowdena. 🙂 Maximální délku 4096 bitů použijte, pokud chcete ještě větší jistotu nebo bezpečnost na dobu mnoha desítek let.
Níže uvedeným příkazem vytvoříte detašovanou binární signaturu soubor.sig. Využijete tuto možnost, pokud potřebujete podepsat binární instalační balíček.
$ gpg -sb soubor
Pro vylistování informace o veřejných klíčích a jejich otiscích vypíšete následujícím příkazem:
$ gpg –fingerprint část_indentifikátoru
Vyberete ten správný a zašifrování souboru výchozím klíčem pro příslušného uživatele provedete následovně:
$ gpg -r indentifikátor -e šifrovaný_soubor
Výsledkem bude šifrovaný_soubor.gpg, který bude obsahovat zašifrovanou verzi souboru šifrovany_soubor a zašifrovaný symetrický klíč relace veřejným klíčem příjemce.
Pokud chcete soubor šifrovat a zároveň podepsat, provedete to následovně:
$ gpg -r indentifikátor -se šifrovaný_soubor
Pro export klíče z programu GPG použijte:
$ gpg –export -a „Popiska klíče“ > vystup.txt
To je prozatím vše. Možná článek ještě rozšířím o další voby, až bude trochu více času.
Pokud chcete dostávat notifikace o nových článcích z tohoto blogu, registrujte se zde.