Gnu PGP pod Windows

1. stáhnout binárky GnuPGP a nainstalovat
2. stáhnout a nainstalovat GPGshell
3. překopírovat gpg.exe do nějakého adrseáře, kam vede cesta např. do c:\windows
4. spustit GPGconfig
   • Cesta k programu musí obsahovat cestu k gpg.exe - cesta je nalezená automaticky, program prohledává všechny adresáře do nichž vede cesta
   • HomeDir: cesta do adresáře, kde budou uloženy soubory s klíči
   • Lang: jazyk pro gpg.exe
5. výsledné okno
   

1. spustit GPGkeys.exe
2. ctrl+n pro vytvoření nového klíče
3. nyní něco málo teorie: Pro šifrování a podepisování GnuPGP používá DSA,RSA,ElGamal. Při definování úplně nového klíče se systém ptá, jaký klíč chcete vygenerovat a co tento klíč umí (šifrovat, podepisovat či obojí).
   Implicitní v tomto případě je DSA a ElGamal, který umí podepisovat i šifrovat. Někde jsem četl, že ElGamal obsahuje nějakou chybu, proto zvolíme volbu 2 - DSA - jen pro podpis. Klíč pro šifrování pak přidáme k tomuto klíči jako podklíč (bdue vysvětleno dále)
   • Délka platnosti: po jakou dobu bude tento klíč brán, že je platný. Doporučuje se klíč měnit každý rok.
   • Identifikace: zde stačí napsat jméno
   • Email: platná mailová adresa
   • Komentář: komentář ke klíči
   • pak už jen potvrdit údaje písmenem p+ENTER
4. nyní systém žádá heslo ke klíči, kdo toto heslo bude znát, ten může tímto klíšem šifrovat a podepisovat, takže ukardnutý privátní klíč je sám o sobě k ničemu, ale klíč s heslem už je skoro krádež identity (klíč se dá ale revokovat - viz dále)
5. pak už jen dojde ke generování klíče a vrácení zpět do programu GPGkeys.exe

Co to jsou vlastně podklíče?
Ke každému privátnímu klíče lze přidat libovolné množství podklíču ať pro podepisování tak pro šifrování. Vždy platí, že novější klíč pro podepisování či šifrování ruší klíč předchozí.

Protože při generování privátního klíče byla použita volba DSA klíč jen pro podepisování, je potřeba přidat klíč pro šifrování.

1. vybrat vygenerovaný klíč a 2x kliknout
2. jako příkaz zadat addkey. Bude ptořeba zadat heslo.
3. nyní je na výběr z více klíčů. Vybrat klíč umožňující šifrování dopručuji RSA (volba 6)
4. další položka kolika bitový má klíč být. Čím větší číslo, tím bezpečnější, ovšem šifrování pak trvá delší dobu. V současné době je vhodné použít 1024, paranoici ocení 2048 a větší
5. položku platnost už známe a proto zapsat 1y jako dobu platnosti klíče 1 rok. Pak potvrdit zobrazené datum, do kdy klíč platí
6. následuje vytvoření klíče
7. příkazem save uložíme klíč a okno se uzavře

Pro výměnu klíčů slouží servery (např. GPG.cz), na které se posílají veřejné části klíčů a odtud si jej pak mohou stáhnout ostatní uživatelé. Klíč nahraný na server z něj již nelze smazat, lze jej jen revokovat - zneplatnit.

Nyní máme vygenerovaný kompletní klíč a zbývá jediné. Vygenerovat si žádost pro případnou revokaci klíče. Revokovat klíč jde samozřejmě kdykoliv, ale pokud uživatel přijde o kompletní privátní klíč, nemá jak tuto revokaci vygenerovat, proto je dobré revokační žádnost vygenerovat hned a tuto žádost pak uschovat na jiném místě než je váš počítač.

1. vybrat v GPGkeys privátní klíč, který se má revokovat
2. ctrl+R - revokovat
3. vybrat místo a název revoakční žádosti
4. Vytvořit pro tento klíč revokační certifikát? (a/N) - ANO
5. Prosím vyberte důvod revokace:
0 = Důvod nebyl specifikován
1 = Klíč byl zkompromitován
2 = Klíč je nahrazen
3 = Klíč se již nepoužívá
Q = Zrušit
(Pravděpodobně zda chcete vybrat 1)
Vaše rozhodnutí?
6. dále je možno vložit krátký popis, povrdit, že důvod revokace je správný a nakonec zadat heslo klíče

K dokončení revokace jsou možné dva způsoby:

• vygenerovaný certifikát naimportovat (nabídka Klíče→Importovat) do klíče. Protože má koncovku .txt zřejmě nebude v dialogovém okně zobrazený, stačí pak změnit filtr nebo před tím žádost přejmenovat na .asc
• pokud je žádost přejmenována na .asc měla by být asociována s GPGkey a tak stačí tento soubor jen spustit