Meletakkan ‘Pretty Good’ di PGP

Privacy Pretty Good (PGP) adalah program penyulitan yang terpercaya dan teruji nombor satu. Ia boleh digunakan untuk menyulitkan teks, fail, e-mel, atau seluruh cakera.

Ia diwujudkan pada tahun 1991 oleh Phil Zimmermann dan dibebaskan sebagai standard terbuka yang dipanggil OpenPGP pada tahun 1997. Terdapat juga pelaksanaan PGP, yang dikeluarkan di bawah lesen GPL yang dipanggil GNU Privacy Guard (GPG) sejak tahun 1999.

Zimmermann adalah aktivis anti-nuklear yang diketahui pada tahun 80-an dan 90-an yang mahukan cara untuk menyimpan fail dan maklumat di luar jangkauan kerajaan. Zimmerman membuat PGP dan mengeluarkan perisian percuma untuk semua orang, dan memasukkan kod sumber dalam setiap pembebasan.

Pada awal tahun 90-an, perisian penyulitan masih diklasifikasikan sebagai senjata ketenteraan dan eksportnya dilarang sama sekali. Untuk menandingi peraturan-peraturan ini Zimmermann mencetak kod sumber dalam buku-buku, kemudian diedarkan ke seluruh dunia. Rasional adalah bahawa walaupun munition dikawal ketat, teks itu dilindungi oleh Pindaan Pertama. A.S. menyiasat Zimmermann selama tiga tahun tetapi menjatuhkan semua tuduhan pada tahun 1996.

PGP adalah sistem pseudonymous. Penggunaan utama adalah untuk menjaga kandungan data anda secara peribadi dan memastikan kesahihan semua komunikasi dan fail. Apabila digunakan bersama-sama dengan perisian seperti Tor, ia dapat meningkatkan ketidaktahuan. Walau bagaimanapun, ciri penandatanganan PGP itu bertentangan dengan tepat untuk menjadikan anda tanpa nama, ia digunakan untuk membuktikan secara digital anda menulis pernyataan atau menyemak fail.

Oleh kerana piawaian terbuka ini, telah menjadi mungkin untuk mencipta pelbagai perisian untuk semua peranti yang boleh berinteraksi dengan yang lain.

Di PGP, setiap pengguna perlu membuat kunci awam dan kunci peribadi. Kekunci persendirian kekal pada komputer pengguna, dan kunci awam boleh dimuat naik dengan selamat ke web atau diberikan kepada pengguna lain. Ia tidak perlu disambungkan ke identiti sebenar atau alamat e-mel anda, tetapi berhati-hati diperlukan, supaya tidak mencampur kunci!

Katakan anda menerima kunci awam Alice, anda boleh menggunakannya untuk membuat fail atau teks yang hanya boleh dibaca oleh Alice. Anda juga boleh mengesahkan tanda tangan Alice, untuk mengesahkan fail benar-benar berasal dari dia, atau dia benar-benar membuat kenyataan umum yang dikaitkan dengannya.

Sebaliknya, jika anda mempunyai kunci peribadi Alice, anda boleh menggunakannya untuk mengakses fail yang hanya bertujuan untuknya. Anda juga boleh menggunakannya untuk menandatangani fail dan pernyataan sebagai Alice. Inilah sebabnya mengapa anda perlu menyimpan kunci persendirian peribadi, dan mengapa ia boleh berbahaya jika komputer anda dikompromi. Sekiranya seseorang mendapat akses ke komputer anda, mereka juga boleh mendapat akses ke kunci peribadi anda.

Walaupun matematik di belakang PGP dianggap peluru, terdapat banyak eksploitasi yang mungkin. Isu terbesar adalah cara terbaik untuk mengesahkan kunci awam. Oleh kerana sesiapa sahaja boleh memuat naik dan mengedarkan kunci di bawah sebarang nama, beberapa pengesahan diperlukan untuk memastikan bahawa kunci yang anda gunakan sebenarnya adalah milik orang yang anda anggap ia milik.

PGP cuba menyelesaikannya dengan apa yang mereka panggil ‘Web of Trust’. Idea ini adalah bahawa walaupun anda mungkin tidak bertemu orang yang anda berinteraksi, mungkin sahabat anda yang dipercayai. Atau sahabat sahabat anda yang dipercayai, dan sebagainya. Untuk mencipta rantai kepercayaan ini, setiap pengguna akan menandatangani kunci rakan mereka. Walau bagaimanapun, proses ini boleh mendedahkan maklumat yang peribadi dan kompromi, dan agak proses yang memenatkan. Akibatnya, web amanah tidak digunakan cukup untuk menjadikannya berguna.

Persediaan

Untuk menyediakan PGP pada peranti anda, anda perlu memasang program dan membuat kunci PGP anda. Terdapat banyak program untuk keperluan yang berlainan, tetapi kami hanya akan memberi tumpuan kepada yang paling berguna.

Mac

Mac OS X: GPGTools https://gpgtools.org/

iOS

iOS: iPGMail https://ipgmail.com/

Windows

Windows: GPG4Win https://gpg4win.org/

Android

Android: Projek Penjaga https://guardianproject.info/code/gnupg/

Linux

Ubuntu: Seahorse https://wiki.gnome.org/Apps/Seahorse/
Ubuntu: Enigmail https://www.enigmail.net/home/index.php

Buat kunci anda dan sandarkannya

Untuk menggunakan PGP, anda perlu membuat kunci PGP. Program PGP yang anda pilih akan meminta nama dan alamat e-mel. Walaupun tidak kira identiti yang anda pilih, lebih mudah untuk mengintegrasikan PGP ke dalam program mel anda jika anda menggunakan alamat e-mel yang anda miliki.

ExpressVPN mengesyorkan menetapkan tarikh luput pada kunci anda, untuk sekitar 2-3 tahun pada masa akan datang. Anda sentiasa boleh menukar tarikh ini, selagi anda tidak kehilangan akses ke kunci PGP anda.

ExpressVPN juga mencadangkan membuat kunci dengan saiz maksimum (sekurang-kurangnya 2048 bit) dan menetapkan kata laluan yang panjang dan rumit (yang anda boleh menjana dengan penjana kata laluan rawak kami).

Jika anda kehilangan kata laluan, anda juga akan kehilangan akses ke kunci PGP anda dan tidak akan dapat mendekripsi sebarang fail yang berkaitan dengannya. Pastikan anda menyokongnya dengan baik, dan jika anda tidak mempercayai diri anda untuk mengingati kata laluan, kembali semula secara berasingan. Anda boleh menyimpannya dalam pengurus kata laluan anda, atau hanya menuliskannya dan menyimpannya di tempat yang selamat.

Anda kini mempunyai kunci PGP anda! Tahniah! Anda kini boleh memuat naiknya ke pelayan awam supaya orang dapat melihat anda menggunakan PGP dan mereka boleh mencari kunci anda.

Sijil pembatalan

Langkah seterusnya adalah untuk mencipta sijil pembatalan. Jangan bimbang untuk memastikan sijil pembatalan anda selamat. Sebenarnya, anda mahu menyimpannya secepat mungkin! Hantar kepada diri anda sebagai lampiran e-mel, letakkannya dalam direktori Dropbox anda, dan simpan pada pemacu standard anda. Sekiranya anda kehilangan kunci peribadi anda, lupa kata laluan anda, atau lebih buruk, jika orang lain mendapat akses kepadanya, anda boleh membatalkan kunci dengan sijil pembatalan. Membatalkan kunci peribadi akan memastikan orang lain tidak akan menghantar lebih banyak fail kepada anda dengan kunci itu. Ini juga menghalang dua kunci yang sah anda terapung di sekitar, satu lagi sumber kekeliruan.

Sandaran

Mencadangkan kekunci anda lebih rumit. Anda mahu sandaran anda secukupnya. Semoga tidak perlu bimbang terlalu banyak tentang hal itu dapat diakses.

Sentiasa pastikan untuk membuat sandaran kunci PGP dan kata laluannya secara berasingan. Sebagai contoh, anda boleh memilih untuk menyimpan kata laluan anda dalam pengurus kata laluan dan menyimpan kunci pada tong USB di peti deposit selamat atau peti simpanan bank anda.

Jika anda telah menyediakan sandaran automatik untuk data biasa anda, anda boleh menyimpannya bersama-sama, tetapi pastikan ia disulitkan dengan betul!

Keselamatan dan aksesibiliti sering berkonflik. Semakin banyak kunci anda boleh diakses oleh anda, lebih banyak juga akan dapat diakses oleh orang lain. Fikirkan tentang keutamaan risiko anda apabila membuat keputusan mengenai kerumitan kata laluan dan lokasi backup anda. Seseorang yang di jalankan dari kerajaan autoritarian harus meletakkan lebih banyak usaha untuk keamanan mereka daripada seorang warganegara biasa yang hanya ingin menegakkan hak mereka untuk privasi secara online.

Dapatkan kekunci

Anda perlu menerima kunci PGP awam kenalan anda sebelum anda boleh menghantar mesej yang disulitkan atau mengesahkan fail anda, dan anda juga perlu menerbitkan milik anda.

Anda boleh memuat naik kunci PGP anda ke pelayan utama, yang mungkin merupakan tempat yang paling mudah untuk kenalan anda untuk menerimanya. Anda juga boleh menjadi tuan rumah di laman web anda, pautan ke dalam bio twitter anda, atau gunakan perkhidmatan berdedikasi seperti keybase.io. Anda juga boleh memuat naik kunci PGP anda ke halaman Facebook anda.

Kunci PGP boleh dikenal pasti dengan ID pengguna (nama atau alamat e-mel), ID utama (seperti 0x0BACE776), dan cap jari (seperti 509E 7B97 D266 A283 DC10 5E6F 57ED 72A2 0BAC E776). Walaupun ID kunci dan cap jari kedua-duanya dikira dari kunci PGP itu sendiri, keyID agak terlalu singkat untuk mengenal pasti kunci secara unik, jadi cap jari lebih disukai. Kenapa tidak mencetaknya di kad perniagaan anda untuk menguatkan identiti dan status dalam talian anda sebagai individu yang menyedari privasi, bijak?

Menyulitkan fail

Untuk menyulitkan fail, anda memerlukan kunci awam orang yang anda mahu menghantar fail yang disulitkan. Anda juga boleh memilih kunci awam anda sendiri, atau menggunakan pelbagai kunci PGP yang berbeza.

Anda boleh menggunakan PGP untuk mudah menyimpan dompet Bitcoin anda pada batang USB. Kelebihannya berleluasa dan anda tidak perlu risau tentang siapa yang mempunyai akses kepada tong USB, atau sama ada ia mungkin disalin tanpa pengetahuan anda. Anda juga tidak perlu mengingat kata laluan atau menyampaikan kata laluan kepada penerima yang dimaksudkan dengan fail, yang sering mustahil tanpa saluran yang dienkripsi.

Perisian moden memudahkan anda menyulitkan dan menyahsulitkan fail. Seringkali, ia semudah klik kanan pada fail yang dipersoalkan. Pilih kunci, dan proses itu akan membuat fail .gpg atau .pgp yang selamat dihantar melalui internet, disimpan pada unit storan luaran, atau menyimpan dalam awan.

Log fail

Sesiapa sahaja boleh menyulitkan fail dan menghantarnya kepada anda dan walaupun fail itu berasal dari alamat e-mel kenalan anda, tidak ada jaminan bahawa fail itu benar-benar telah dihantar oleh mereka. PGP menawarkan pilihan untuk menandatangani fail, yang membuktikan tanpa keraguan bahawa fail itu berasal dari kenalan anda.

Anda boleh memilih untuk menyulitkan dan menandatangani fail, hanya untuk menyulitkannya, atau hanya log masuk. Anda boleh menggunakan ciri ini untuk menandatangani penyata awam atau menandatangani keluaran perisian. Ia sangat umum di kalangan projek perisian sumber terbuka untuk menandatangani mana-mana kod dan program.

Sekiranya perisian tidak ditandatangani, ia akan menjadi sangat sukar untuk mengesahkan keasliannya, kerana penyerang boleh memperkenalkan backdoors ke perisian tanpa pengetahuan pemaju.

Fail-fail tandatangan ini biasanya mempunyai nama yang sama seperti fail yang mereka perwakilan, ditambah dengan akhir .asc atau .sig.

Dalam sesetengah perisian anda boleh mengesahkan tandatangan dengan hanya mengklik dua kali pada fail tandatangan, atau menjalankan perintah gpg -verify file.sig

Anda perlu mempunyai kunci PGP penandatangan untuk mengesahkan tandatangan.

Walaupun tidak mungkin penyerang mengubah fail yang disulitkan tanpa mengetahui pemilik, mungkin masih sangat berharga bagi penyerang untuk mengetahui siapa yang menyulitkan fail tersebut di tempat pertama. Orang yang tidak mahu dikenali tidak perlu membuat kunci PGP yang baru untuk setiap kenalan mereka, yang boleh rumit dan rawan kesalahan. Dalam kes sedemikian mungkin lebih sesuai untuk menggunakan teknologi mesej terenkripsi seperti OTR, yang menawarkan penyulitan dan pengesahan yang boleh dipercayai.

Tandat dan menyulitkan teks

–BEGIN PERMAINAN PANDUAN PGP–

Hash: SHA1

Dengan PGP anda boleh menandatangani dan menyulitkan apa-apa sahaja. Dalam sesetengah perisian, sudah cukup untuk menulis sahaja teks anda dalam editor teks, kemudian menandatangani atau menyulitkannya dengan klik kanan.

Inilah tanda tangan PGP anda. Ia boleh disiarkan dalam ulasan Reddit, pos blog atau e-mel, untuk membuktikan bahawa ia benar-benar anda membuat komen:

–BEGIN PGP TANDATANGAN–

Versi: GnuPG v1

iQIcBAEBAgAGBQJWVXw0AAoJEIMuYyhAgNc6wKoP / AwSaInjpoSQKUBPukE + TY4vXWnoh1dCiOcLzCsbAz7IvLmtoILlGxfLwi0XUhAUQTKEAHxpWKbUTY / 5MNFA1UUscHSH4t + aCtlFxNk4mMCtZO7c3JPh91U1rgN1K9J5YE9flpk + P5F5fdEhF4iD05P67uf4 + t / k5cupD + pZv8pGnB + 5rpPPe7ODE5ptA3DyI3i8srrvKVkictxYub9RDknqYJAaE / xxFZ7 + mAZxM64gnN8Rwf + euDqdrf3PqiIUW6kcdvqJOyx7WZt + ows84kEze8AR3QhS1FBJfP3xAhsibBfy0sUSJopyl9kKIEDCcfGDf9Mthe3kzVUUayxz8AOrGC5ce6isg3YN4Nsi8K7idhPQyPgjBWtKWfuuYSUG + dPObVD + pFUkgOnrm07Qhp4ZVXKbuOnqf4swqc4vnW9C / 9ADwk2 / fat071fik8ohDzF9l4Cpm + iLj5w7Pv5iivvfe2oz0WCxnr6wj4XX5MsDTNOmMmObCWbnla + uYEJtDlbWse8XOq7q / DiMT9p + ZtHkSwrQ + 3TLNHxxJK7UJJFdlfZUZqC06LsSb2yEBh7rJytoN2PrpjB5H7Zx99DC5v + i1klr4hbrLeHtd + fVl1AGrMz + agcO6YQGpHJ0hhJXVrRruJjLJzOhJkzUU3o0rHeHRk69jKdAKpsOqABsunt5 = / QHs

–END PGP TANDATANGAN–

Menyulitkan e-mel

Apabila anda menulis e-mel peribadi, bukanlah idea yang baik untuk menulisnya dalam folder draf penyedia e-mel anda. Semua yang anda lakukan dalam folder itu akan disimpan selama-lamanya, dan anda tidak tahu siapa yang mempunyai akses kepadanya. Alternatif ialah menulis e-mel anda dalam notepad, menyulitkan teks kemudian tampal teks yang disulitkan ke dalam e-mel. Menulis e-mel dalam notepad boleh melelahkan dan menyalin dan menyekat versi yang disulitkan lebih lagi. Nasib baik, terdapat plugin untuk perisian mel seperti Thunderbird (Enigmail) dan Apple Mail (GPGTools) yang membuat proses penyahsulitan dan penyulitan lancar. Ia adalah perlindungan privasi yang sangat kuat terhadap musuh-musuh yang paling canggih.

Satu perkara hebat yang boleh anda lakukan dengan segera adalah memuat naik kunci PGP anda ke Facebook dan menerima semua kemas kini dan pemberitahuan dalam bentuk yang disulitkan. Ini amat berguna untuk maklumat sensitif keselamatan seperti menetapkan semula kata laluan. Menggunakan PGP di Facebook akan menghalang penggodam daripada merampas akaun Facebook anda melalui akaun e-mel anda.

Metadata dan Keselamatan

PGP direka untuk menyembunyikan kandungan fail dan mesej, tetapi ia tidak melindungi metadata anda. Metadata boleh memasukkan nama fail, saiz fail, pengepala e-mel, tarikh penciptaan, dan penerima. Seorang penggodam boleh belajar banyak dari pengetahuan itu, jadi penting untuk tetap berhati-hati tentang apa yang anda bagikan – walaupun ketika menggunakan PGP.

Ia juga mudah untuk sesiapa sahaja yang mempunyai fail yang disulitkan untuk melihat siapa yang disulitkan untuk, dan yang menandatanganinya. PGP tidak menawarkan kerahsiaan ke hadapan, jadi jika kunci anda dikompromi penyerang boleh mengakses semua fail yang disulitkan fail anda. Mereka boleh menyahsulit semuanya, berpotensi menjejaskan e-mel dan pemindahan fail tahun.

Inilah sebabnya mengapa anda perlu menyulitkan kekunci anda dengan kata laluan yang baik, gunakan kekunci berganda dalam pelbagai situasi, dan kerap menggantikan kunci PGP anda.

Ia juga penting untuk mengetahui bahawa PGP tidak menyulitkan nama-nama fail atau tajuk-tajuk e-mel. Oleh itu, berhati-hatilah dengan apa yang anda tulis di dalamnya!