[[:start]] --- [[:ostatní]] ---- ====== Gnu PGP pod Windows ====== ===== Instalace ===== - stáhnout [[ftp://ftp.gnupg.org/gcrypt/binary|binárky GnuPGP]] a nainstalovat - stáhnout a nainstalovat [[http://www.jumaros.de/rsoft/index.html|GPGshell]] - překopírovat ''gpg.exe'' do nějakého adrseáře, kam vede cesta např. do ''c:\windows'' - spustit ''GPGconfig'' * ''**Cesta k programu**'' musí obsahovat cestu k gpg.exe - cesta je nalezená automaticky, program prohledává všechny adresáře do nichž vede cesta * ''**HomeDir**'': cesta do adresáře, kde budou uloženy soubory s klíči * ''**Lang**'': jazyk pro gpg.exe - výsledné okno\\ {{ostatni:gnupgp01.gif}} ===== Generování nového klíče - jen pro podpis ===== - spustit ''**GPGkeys.exe**'' - **ctrl+n** pro vytvoření nového klíče - nyní něco málo teorie: Pro šifrování a podepisování GnuPGP používá **DSA**,**RSA**,**ElGamal**. Při definování úplně nového klíče se systém ptá, jaký klíč chcete vygenerovat a co tento klíč umí (šifrovat, podepisovat či obojí).\\ Implicitní v tomto případě je **DSA a ElGamal**, který umí podepisovat i šifrovat. Někde jsem četl, že ElGamal obsahuje nějakou chybu, proto zvolíme volbu 2 - **DSA - jen pro podpis**. Klíč pro šifrování pak přidáme k tomuto klíči jako //podklíč// (bdue vysvětleno dále) * ''**Délka platnosti**'': po jakou dobu bude tento klíč brán, že je platný. Doporučuje se klíč měnit každý rok. * ''**Identifikace**'': zde stačí napsat jméno * ''**Email**'': platná mailová adresa * ''**Komentář**'': komentář ke klíči * pak už jen potvrdit údaje písmenem **p**+ENTER - nyní systém žádá heslo ke klíči, kdo toto heslo bude znát, ten může tímto klíšem šifrovat a podepisovat, takže ukardnutý privátní klíč je sám o sobě k ničemu, ale klíč s heslem už je skoro krádež identity (klíč se dá ale revokovat - viz dále) - pak už jen dojde ke generování klíče a vrácení zpět do programu ''**GPGkeys.exe**'' ===== Generování podklíče - pro šifrování ===== **Co to jsou vlastně podklíče?**\\ Ke každému privátnímu klíče lze přidat libovolné množství podklíču ať pro podepisování tak pro šifrování. Vždy platí, že novější klíč pro podepisování či šifrování ruší klíč předchozí. Protože při generování privátního klíče byla použita volba DSA klíč jen pro podepisování, je potřeba přidat klíč pro šifrování. - vybrat vygenerovaný klíč a 2x kliknout - jako příkaz zadat ''**addkey**''. Bude ptořeba zadat heslo. - nyní je na výběr z více klíčů. Vybrat klíč umožňující šifrování dopručuji **RSA** (volba 6) - další položka kolika bitový má klíč být. Čím větší číslo, tím bezpečnější, ovšem šifrování pak trvá delší dobu. V současné době je vhodné použít 1024, paranoici ocení 2048 a větší - položku platnost už známe a proto zapsat **1y** jako dobu platnosti klíče 1 rok. Pak potvrdit zobrazené datum, do kdy klíč platí - následuje vytvoření klíče - příkazem ''**save**'' uložíme klíč a okno se uzavře ===== Výměna klíčů ===== Pro výměnu klíčů slouží servery (např. [[http://www.gpg.cz/|GPG.cz]]), na které se posílají veřejné části klíčů a odtud si jej pak mohou stáhnout ostatní uživatelé. Klíč nahraný na server z něj již nelze smazat, lze jej jen revokovat - zneplatnit. ===== Žádost pro zrušení klíče ===== Nyní máme vygenerovaný kompletní klíč a zbývá jediné. Vygenerovat si žádost pro případnou revokaci klíče. Revokovat klíč jde samozřejmě kdykoliv, ale pokud uživatel přijde o kompletní privátní klíč, nemá jak tuto revokaci vygenerovat, proto je dobré revokační žádnost vygenerovat hned a tuto žádost pak uschovat na jiném místě než je váš počítač. - vybrat v **GPGkeys** privátní klíč, který se má revokovat - **''ctrl+R''** - revokovat - vybrat místo a název revoakční žádosti - ''Vytvořit pro tento klíč revokační certifikát? (a/N)'' - ANO - ''Prosím vyberte důvod revokace:\\ 0 = Důvod nebyl specifikován\\ 1 = Klíč byl zkompromitován\\ 2 = Klíč je nahrazen\\ 3 = Klíč se již nepoužívá\\ Q = Zrušit\\ (Pravděpodobně zda chcete vybrat 1)\\ Vaše rozhodnutí?'' - dále je možno vložit krátký popis, povrdit, že důvod revokace je správný a nakonec zadat heslo klíče **K dokončení revokace jsou možné dva způsoby:** * vygenerovaný certifikát naimportovat (nabídka **Klíče->Importovat**) do klíče. Protože má koncovku **.txt** zřejmě nebude v dialogovém okně zobrazený, stačí pak změnit filtr nebo před tím žádost přejmenovat na **.asc** * pokud je žádost přejmenována na **.asc** měla by být asociována s **GPGkey** a tak stačí tento soubor jen spustit