Menempatkan ‘Pretty Pretty’ di PGP

Pretty Good Privacy (PGP) adalah program enkripsi nomor satu yang tepercaya dan teruji. Ini dapat digunakan untuk mengenkripsi teks, file, email, atau seluruh disk.

Itu dibuat pada tahun 1991 oleh Phil Zimmermann dan dirilis sebagai standar terbuka yang disebut OpenPGP pada tahun 1997. Ada juga implementasi PGP, dirilis di bawah lisensi GPL yang disebut GNU Privacy Guard (GPG) sejak 1999.

Zimmermann adalah seorang aktivis anti-nuklir yang dikenal pada tahun 80-an dan 90-an yang menginginkan cara untuk menyimpan file dan informasi di luar jangkauan pemerintah. Zimmerman menciptakan PGP dan merilis perangkat lunak gratis untuk semua orang, dan menyertakan kode sumber di setiap rilis.

Pada awal 90-an, perangkat lunak enkripsi masih diklasifikasikan sebagai amunisi militer dan ekspornya sangat dilarang. Untuk menentang peraturan ini, Zimmermann mencetak kode sumber dalam buku, lalu membagikannya ke seluruh dunia. Alasannya adalah bahwa sementara amunisi dikontrol dengan ketat, teks dilindungi oleh Amandemen Pertama. AS menyelidiki Zimmermann selama tiga tahun tetapi membatalkan semua tuduhan pada tahun 1996.

PGP adalah sistem pseudonim. Kegunaan utama adalah untuk menjaga konten data Anda pribadi dan memastikan keaslian semua komunikasi dan file. Ketika digunakan bersama dengan perangkat lunak seperti Tor, ini dapat sangat meningkatkan anonimitas. Namun, fitur penandatanganan PGP melakukan kebalikan dari membuat Anda tetap anonim, ini digunakan untuk membuktikan secara digital bahwa Anda menulis pernyataan atau meninjau file.

Karena standar terbuka ini, dimungkinkan untuk membuat berbagai perangkat lunak untuk semua perangkat yang dapat berinteraksi dengan perangkat lain.

Di PGP, setiap pengguna perlu membuat kunci publik dan kunci pribadi. Kunci pribadi tetap di komputer pengguna, dan kunci publik dapat diunggah dengan aman ke web atau diberikan kepada pengguna lain. Itu tidak perlu terhubung ke identitas asli atau alamat email Anda, tetapi hati-hati diperlukan, agar tidak mencampur kunci!

Katakanlah Anda menerima kunci publik Alice, Anda dapat menggunakannya untuk membuat file atau teks yang hanya dapat dibaca oleh Alice. Anda juga dapat memverifikasi tanda tangan Alice, untuk mengonfirmasi file yang benar-benar berasal darinya, atau bahwa dia benar-benar membuat pernyataan publik yang dikaitkan dengannya..

Di sisi lain, jika Anda memiliki kunci pribadi Alice, Anda dapat menggunakannya untuk mengakses file yang hanya diperuntukkan baginya. Anda juga dapat menggunakannya untuk menandatangani file dan pernyataan sebagai Alice. Inilah sebabnya mengapa Anda perlu merahasiakan kunci pribadi Anda, dan mengapa itu bisa berbahaya jika komputer Anda terganggu. Jika seseorang mendapatkan akses ke komputer Anda, mereka juga bisa mendapatkan akses ke kunci pribadi Anda.

Sementara matematika di balik PGP dianggap anti peluru, ada banyak kemungkinan eksploitasi. Masalah terbesar adalah cara terbaik untuk mengotentikasi kunci publik. Karena siapa pun dapat mengunggah dan mendistribusikan kunci dengan nama apa pun, beberapa verifikasi diperlukan untuk memastikan bahwa kunci yang Anda gunakan benar-benar milik orang yang Anda pikir itu milik.

PGP mencoba menyelesaikan ini dengan apa yang mereka sebut 'Web Kepercayaan'. Idenya adalah bahwa meskipun Anda mungkin belum bertemu orang yang berinteraksi dengan Anda, mungkin teman Anda yang tepercaya miliki. Atau teman tepercaya dari teman tepercaya Anda, dan sebagainya. Untuk menciptakan kembali rantai kepercayaan ini, setiap pengguna akan menandatangani kunci teman mereka. Namun, proses ini dapat mengungkapkan informasi pribadi dan kompromi, dan merupakan proses yang cukup melelahkan. Hasil dari, web kepercayaan tidak cukup digunakan untuk membuatnya berguna.

Mempersiapkan

Untuk mengatur PGP di perangkat Anda, Anda perlu menginstal program dan membuat kunci PGP Anda. Ada banyak program untuk kebutuhan yang berbeda, tetapi kami hanya akan fokus pada yang paling bermanfaat.

Mac

Mac OS X: GPGTools https://gpgtools.org/

iOS

iOS: iPGMail https://ipgmail.com/

Windows

Windows: GPG4Win https://gpg4win.org/

Android

Android: Guardian Project https://guardianproject.info/code/gnupg/

Linux

Ubuntu: Seahorse https://wiki.gnome.org/Apps/Seahorse/
Ubuntu: Enigmail https://www.enigmail.net/home/index.php

Buat kunci Anda dan buat cadangannya

Untuk menggunakan PGP Anda harus membuat kunci PGP. Program PGP yang Anda pilih akan meminta nama dan alamat email. Meskipun tidak masalah identitas mana yang Anda pilih, akan jauh lebih mudah untuk mengintegrasikan PGP ke dalam program surat Anda jika Anda menggunakan alamat email yang Anda miliki.

ExpressVPN merekomendasikan untuk menetapkan tanggal kedaluwarsa pada kunci Anda, selama sekitar 2-3 tahun di masa depan. Anda selalu dapat mengubah tanggal ini, selama Anda tidak kehilangan akses ke kunci PGP Anda.

ExpressVPN juga merekomendasikan membuat kunci dengan ukuran maksimum (setidaknya 2048 bit) dan menetapkan kata sandi yang panjang dan rumit (yang dapat Anda hasilkan dengan pembuat kata sandi acak kami).

Jika Anda kehilangan kata sandi, Anda juga akan kehilangan akses ke kunci PGP Anda dan tidak akan bisa mendekripsi file apa pun yang terkait dengannya. Pastikan untuk mencadangkannya dengan baik, dan jika Anda tidak percaya diri untuk mengingat kata sandi, buatlah cadangannya secara terpisah. Anda dapat menyimpannya di pengelola kata sandi, atau cukup tulis dan simpan di tempat yang aman.

Anda sekarang memiliki kunci PGP Anda! Selamat! Anda sekarang dapat mengunggahnya ke server publik sehingga orang dapat melihat Anda menggunakan PGP dan mereka dapat menemukan kunci Anda.

Sertifikat pencabutan

Langkah selanjutnya adalah membuat sertifikat pencabutan. Jangan khawatir tentang mengamankan sertifikat pencabutan Anda. Bahkan, Anda ingin menjaganya agar dapat diakses semaksimal mungkin! Kirim ke diri Anda sebagai lampiran email, letakkan di direktori Dropbox Anda, dan simpan di drive standar Anda. Jika Anda kehilangan kunci pribadi, lupa kata sandi, atau lebih buruk lagi, jika orang lain dapat mengaksesnya, Anda dapat mencabutnya dengan sertifikat pencabutan. Mencabut kunci pribadi akan memastikan orang lain tidak akan mengirim file lagi kepada Anda dengan kunci itu. Ini juga mencegah dua kunci valid Anda melayang-layang, sumber kebingungan lainnya.

Cadangkan

Mencadangkan kunci Anda lebih rumit. Anda ingin cadangan Anda seaman mungkin. Semoga tidak perlu terlalu khawatir tentang hal itu dapat diakses.

Selalu pastikan untuk membuat cadangan kunci PGP dan kata sandi secara terpisah. Misalnya, Anda dapat memilih untuk menyimpan kata sandi di pengelola kata sandi dan menyimpan kunci pada stik USB di brankas atau kotak setoran bank.

Jika Anda telah membuat cadangan otomatis untuk data biasa, Anda dapat menyimpannya bersama-sama, tetapi pastikan data tersebut dienkripsi dengan benar!

Keamanan dan aksesibilitas seringkali bertentangan. Semakin banyak kunci Anda dapat diakses oleh Anda, semakin banyak juga akan dapat diakses oleh orang lain. Pikirkan preferensi risiko Anda saat membuat keputusan tentang kompleksitas kata sandi dan lokasi cadangan Anda. Seseorang yang melarikan diri dari pemerintahan otoriter harus lebih berupaya menjaga keamanannya daripada warga negara biasa yang hanya ingin menegakkan hak mereka untuk privasi online.

Dapatkan kunci

Anda harus menerima kunci PGP publik dari kontak Anda sebelum Anda dapat mengirimnya pesan terenkripsi atau memverifikasi file Anda, dan Anda juga perlu mempublikasikan milik Anda.

Anda dapat mengunggah kunci PGP Anda ke server kunci, yang mungkin merupakan tempat yang paling nyaman bagi kontak Anda untuk menerimanya. Anda juga dapat meng-host-nya di situs web Anda, menautkannya di bio twitter Anda, atau menggunakan layanan khusus seperti keybase.io. Anda bahkan dapat mengunggah kunci PGP Anda ke halaman Facebook Anda.

Kunci PGP dapat diidentifikasi dengan ID pengguna (nama atau alamat email), ID kunci (seperti 0x0BACE776), dan sidik jari (seperti 509E 7B97 D266 A283 DC10 5E6F 57ED 72A2 0BAC E776). Sementara ID kunci dan sidik jari keduanya dihitung dari kunci PGP itu sendiri, keyID agak terlalu pendek untuk secara unik mengidentifikasi kunci, sehingga sidik jari lebih disukai. Mengapa tidak mencetaknya di kartu bisnis Anda untuk memperkuat identitas dan status online Anda sebagai individu yang sadar privasi dan cerdas?

Enkripsi file

Untuk mengenkripsi file, Anda memerlukan kunci publik dari orang yang ingin Anda kirimi file yang dienkripsi. Anda juga dapat memilih kunci publik Anda sendiri, atau menggunakan beberapa kunci PGP berbeda.

Anda bisa menggunakan PGP untuk menyimpan dompet Bitcoin Anda dengan nyaman di stik USB. Keuntungannya berlimpah dan Anda tidak perlu khawatir tentang siapa yang memiliki akses ke stik USB, atau apakah itu mungkin telah disalin tanpa sepengetahuan Anda. Anda juga tidak perlu mengingat kata sandi atau mengomunikasikan kata sandi kepada penerima file yang dituju, yang seringkali tidak mungkin dilakukan tanpa saluran terenkripsi..

Perangkat lunak modern memudahkan Anda untuk mengenkripsi dan mendekripsi file. Seringkali, sesederhana klik kanan pada file yang dimaksud. Pilih kunci, dan prosesnya akan membuat file .gpg atau .pgp yang dapat dengan aman dikirim melalui internet, disimpan pada unit penyimpanan eksternal, atau disimpan di cloud.

Tanda tangani file

Siapa saja dapat mengenkripsi file dan mengirimkannya kepada Anda dan bahkan jika file tersebut berasal dari alamat email kontak Anda, tidak ada jaminan bahwa file tersebut benar-benar dikirim oleh mereka. PGP menawarkan opsi untuk menandatangani file, yang membuktikan tanpa ragu bahwa file tersebut berasal dari kontak Anda.

Anda dapat memilih untuk mengenkripsi dan menandatangani file, hanya untuk mengenkripsi, atau hanya menandatanganinya. Anda dapat menggunakan fitur ini untuk menandatangani pernyataan publik atau untuk menandatangani rilis perangkat lunak. Sangat umum di antara proyek perangkat lunak sumber terbuka untuk menandatangani kode dan program apa pun.

Jika perangkat lunak itu tidak ditandatangani, akan sangat sulit untuk memverifikasi keasliannya, karena penyerang dapat memperkenalkan backdoors ke perangkat lunak tanpa sepengetahuan pengembang..

File tanda tangan ini biasanya memiliki nama yang sama dengan file yang diwakilinya, ditambah akhiran .asc atau .sig.

Dalam beberapa perangkat lunak Anda dapat memverifikasi tanda tangan dengan mengklik dua kali file tanda tangan, atau menjalankan perintah gpg –verify file.sig

Anda harus memiliki kunci PGP dari penanda tangan untuk memverifikasi tanda tangan.

Meskipun tidak mungkin bagi penyerang untuk mengubah file yang dienkripsi tanpa pemiliknya mengetahuinya, itu mungkin masih sangat berharga bagi penyerang untuk mengetahui siapa yang mengenkripsi file di tempat pertama. Orang yang mencari anonimitas perlu hati-hati membuat kunci PGP baru untuk setiap kontak mereka, yang bisa rumit dan rentan kesalahan. Dalam kasus seperti itu, mungkin lebih tepat untuk menggunakan teknologi pesan terenkripsi seperti OTR, yang menawarkan enkripsi dan otentikasi yang andal.

Tanda tangani dan enkripsi teks

—–MULAI PESAN TANDA TANGAN PGP—–

Hash: SHA1

Dengan PGP Anda dapat menandatangani dan mengenkripsi hampir semua hal. Dalam beberapa perangkat lunak, cukup cukup menulis teks Anda di editor teks, lalu masuk atau enkripsi dengan klik kanan.

Seperti inilah tanda tangan PGP Anda nantinya. Itu dapat diposting dalam komentar Reddit, posting blog atau email, untuk membuktikan bahwa Anda benar-benar membuat komentar:

—–MULAI TANDA TANGAN PGP—–

Versi: GnuPG v1

iQIcBAEBAgAGBQJWVXw0AAoJEIMuYyhAgNc6wKoP / AwSaInjpoSQKUBPukE + TY4vXWnoh1dCiOcLzCsbAz7IvLmtoILlGxfLwi0XUhAUQTKEAHxpWKbUTY / 5MNFA1UUscHSH4t + aCtlFxNk4mMCtZO7c3JPh91U1rgN1K9J5YE9flpk + P5F5fdEhF4iD05P67uf4 + t / k5cupD + pZv8pGnB + 5rpPPe7ODE5ptA3DyI3i8srrvKVkictxYub9RDknqYJAaE / xxFZ7 + mAZxM64gnN8Rwf + euDqdrf3PqiIUW6kcdvqJOyx7WZt + ows84kEze8AR3QhS1FBJfP3xAhsibBfy0sUSJopyl9kKIEDCcfGDf9Mthe3kzVUUayxz8AOrGC5ce6isg3YN4Nsi8K7idhPQyPgjBWtKWfuuYSUG + dPObVD + pFUkgOnrm07Qhp4ZVXKbuOnqf4swqc4vnW9C / 9ADwk2 / fat071fik8ohDzF9l4Cpm + iLj5w7Pv5iivvfe2oz0WCxnr6wj4XX5MsDTNOmMmObCWbnla + uYEJtDlbWse8XOq7q / DiMT9p + ZtHkSwrQ + 3TLNHxxJK7UJJFdlfZUZqC06LsSb2yEBh7rJytoN2PrpjB5H7Zx99DC5v + i1klr4hbrLeHtd + fVl1AGrMz + agcO6YQGpHJ0hhJXVrRruJjLJzOhJkzUU3o0rHeHRk69jKdAKpsOqABsunt5 = / QHs

—–END TANDA TANGAN PGP—–

Enkripsi email

Saat Anda menulis email pribadi, bukan ide yang baik untuk menuliskannya di folder konsep penyedia email Anda. Semua yang Anda lakukan di folder itu akan disimpan selamanya, dan Anda tidak tahu siapa yang memiliki akses ke folder itu. Alternatifnya adalah menulis email Anda di notepad, mengenkripsi teks lalu menempelkan teks yang dienkripsi ke dalam email. Menulis email di notepad bisa melelahkan dan menyalin serta menempelkan versi yang dienkripsi lebih dari itu. Untungnya, ada plugin untuk perangkat lunak surat seperti Thunderbird (Enigmail) dan Apple Mail (GPGTools) yang membuat proses dekripsi dan enkripsi menjadi lancar. Ini adalah perlindungan privasi yang sangat kuat terhadap musuh yang paling canggih sekalipun.

Satu hal hebat yang dapat Anda lakukan secara instan adalah mengunggah kunci PGP Anda ke Facebook dan menerima semua pembaruan dan pemberitahuan dalam bentuk terenkripsi. Ini sangat berguna untuk informasi sensitif keamanan seperti mengatur ulang kata sandi. Menggunakan PGP di Facebook akan mencegah peretas membajak akun Facebook Anda melalui akun email Anda.

Metadata dan Keamanan

PGP dirancang untuk menyembunyikan konten file dan pesan, tetapi tidak melindungi metadata Anda. Metadata dapat menyertakan nama file, ukuran file, tajuk email, tanggal pembuatan, dan penerima. Seorang peretas dapat belajar banyak dari pengetahuan seperti itu, jadi penting untuk tetap berhati-hati tentang apa yang Anda bagikan - bahkan ketika menggunakan PGP.

Juga mudah bagi siapa saja yang memiliki file terenkripsi untuk melihat siapa yang dienkripsi, dan siapa yang menandatanganinya. PGP tidak menawarkan kerahasiaan ke depan, jadi jika kunci Anda dikompromikan, penyerang dapat mengakses semua komunikasi file terenkripsi Anda. Mereka dapat mendekripsi segalanya, berpotensi membahayakan email dan transfer file bertahun-tahun.

Inilah sebabnya mengapa Anda harus mengenkripsi kunci Anda dengan kata sandi yang baik, menggunakan beberapa kunci dalam berbagai situasi, dan secara teratur mengganti kunci PGP Anda.

Penting juga untuk mengetahui bahwa PGP tidak mengenkripsi nama file atau header email. Jadi berhati-hatilah dengan apa yang Anda tulis di dalamnya!

Menempatkan ‘Pretty Pretty’ di PGP
admin Author
Sorry! The Author has not filled his profile.