רקע
GPG, ראשי תיבות של GNU Privacy Guard, היא דרך תקשורת בין שני אנשים באופן דיגיטלי בצורה מאובטחת. אם הגעתם לפה, אתם בוודאי יודעים שסקייפ, וואטסאפ וכו' נקובות ככברה וזה בלשון המעטה, כי למעשה הן שקופות לחלוטין עבור רשויות וגם האקרים.
התקשורת ב - GPG נעשית דרך תוכנה. בשיעור הזה נעבוד עם תוכנת PGA.
ההליך: אתם כותבים על הלוח (clipboard) באופן חפשי. לאחר מכן, התוכנה מצפינה את ההודעה ונותנת לכם אפשרות לבחור בנמען. הנמענים הם למעשה רשימה של מפתחות PGP. לכל משתמש יש מפתח מזהה PGP ייחודי. גם לכם. כך הרי אפשר לתקשר איתכם. חשוב לציין שמפתח ה - PGP הוא פתוח וציבורי ואנשים מפרסמים אותו. אין לכם בדרך כלל כל ענין להסתיר את מפתח ה - PGP, כי כך אפשר ליצור איתכם קשר. ההודעה עצמה תהיה כאמור מוצפנת ותיפתח רק על ידי מחזיק המפתח אליו היא יועדה.
בתחתית הרשומה אערוך דיון קצר על רמת הביטחון שבשימוש ב - GPG.
יאללה
מורידים את תוכנת PGA כאן. שימו לב כי היא תומכת רק בחלונות. אפשר להוריד כאן תוכנה למק. עשיתי זאת והיא מצוינת וקלה.
שימו לב לסמן (check) את התוכנה, מאחר שחלון ההורדה הדפולטי אינו כולל את PGA.
השלב הבא הוא ליצור את מפתח ה - PGP שלכם. לחצו על Key-->New Key.
שימו לב כי אין אימות של אף אחד מהנתונים. לא יישלח אליכם מייל אישור ולכן כדאי שתמציאו כתובת מייל פיקטיבית.
אל תבחרו בשם משתמש/כינוי בו אתם משתמשים בדרך כלל. נשמע טריוויאלי, אבל זו בין השאר היתה השיטה לקשור את מפעיל SilkROad אל האתר שלו.
במהלך יצירת המפתח, תתבקשו לספק שם למפתח עצמו (המזהה אותו בתוך התוכנה). כדי למנוע בלבול, מומלץ לתת את את הכינוי. ממילא מדובר בענין פנימי.
אז אל תתנו את המייל האמיתי שלכם וגם אל תבחרו במשהו עם gmail בתוכו כדי שלא יקושר למישהו אמיתי. יש להקפיד רק על סינטקס נכון (כלומר, עם @ ונקודה).
בסוף התהליך תתבקשו ליצור גיבוי למפתח שלכם. על פי הלומדה, מומלץ בהחלט לעשות זאת. במאמר מוסגר אוסיף כאן כי אם השמירה של הגיבוי היא בדרופבוקס או כל ענן אחר (דבר שרובנו עושים בהיסח הדעת), אז הלכה לעזאזל כל הפרטיות. תקנו אותי עם אני טועה (לא, אני לא טועה. מתברר שגם התוכנה מתריעה מפני הדבר הזה).
בסוף התהליך תתבקשו ליצור גיבוי למפתח שלכם. על פי הלומדה, מומלץ בהחלט לעשות זאת. במאמר מוסגר אוסיף כאן כי אם השמירה של הגיבוי היא בדרופבוקס או כל ענן אחר (דבר שרובנו עושים בהיסח הדעת), אז הלכה לעזאזל כל הפרטיות. תקנו אותי עם אני טועה (לא, אני לא טועה. מתברר שגם התוכנה מתריעה מפני הדבר הזה).
אתרו את גיבוי המפתח שלכם ופיתחו אותו ב - Notepad.
העתיקו את הכתוב במסמך ושלחו אותו למי שאתם רוצים לקבל הודעה ממנו.
לחלופין, בקשו כיתוב מפתח כזה ממי שאתם רוצים לשלוח אליו הודעה.
כך הכיתוב נראה:
יש בלומדה גם הסבר נרחב על ייבוא מפתח קיים. ברשותכם דלגתי עליו. תוכלו לקרוא אותו במקור.
שליחת הודעה
לכו אל תפריט Windows ובחרו ב - Clipboard.
כתבו את ההודעה באופן חופשי ולחצו על Encrypt.
לאחר הלחיצה על Encrypt, יעלה חלון שיכלול את מספר המפתח שלכם וכן את מספר המפתח אליו אתם שולחים (נמען ההודעה).
בתום תהליך ההצפנה (לאחר שבחרתם נמען), תעלה ההודעה המוצפנת שכתובה כג'יבריש צחה (ללא ניקוד).
העתיקו את הג'יבריש ושלחו אותו למי שצריך.
הוא או היא (וגם אתם, כאשר מקבלים הודעה), ידביק את הג'יבריש ב - Clipboard שלו ויבחר ב - Decrypt.
ההודעה תיפתח כטקסט רגיל, בהנחה שהמפתח שלו זהה למפתח אליו שלחתם (זה הרי כל העיקרון של ההצפנה: נמען בודד).
בהצלחה. דווחו לנו על הצלחות, תקלות והיתקעויות.
** הערה: לומדה נוספת מקצועית, אבל לא בטוח כמה מעודכנת, יש כאן.
מצד שני אני אוטו-דידאקט ומשתדל להיות יסודי בכתיבה.
מצד שלישי, אני מתייחס לעוד פרמטרים מעבר לרמת האבטחה שבקוד. למשל - ליכולת להסתיר דברים פיזית.
ועכשיו לדיון:
מפתח ה - PGP שלכם הוא ציבורי. כך ניתן לשלוח אליכם הודעה. בשוק הדארקנט The Marketplace למשל (TMP), מפתח PGP תקין הוא תנאי יסוד להצטרפות לאתר.
תוכלו למסור את מפתח ה - PGP שלכם ברשת האינטרנט הגלויה מבלי חשש, שהרי מעשה זה כשלעצמו הוא חוקי. אלא ששימו לב כי במעשה זה אתם קושרים את עצמכם לאותו מפתח.
נכון, זה לא סופי. תוכלו לטעון כי מישהו מפליל אתכם, אבל אם תכללו את המפתח בג'ימייל שלכם מתוך היסח הדעת, הקשירה שלו אליכם היא נצחית.
עדיין, עד כאן הכל בסדר: המפתח שייך לי, נו אז מה.
בואו נתקדם שלב בתרחישים:
1) שלחתם הודעה למחזיק מפתח אחר. עליכם לסמוך עליו. הוא יכול להיות מתחזה, לפענח את ההודעה שלכם, לקשור אותה אליכם באמצים שפורטו בסעיף הקודם ובינגו - אתם כספר הפתוח בפניו.
2) שלחתם הודעה למחזיק מפתח ואכן אפשר לסמוך עליו. אלא שהאיש נתפס. הלוכדים שלו שמו את ידם פיזית על המקום בו המפתח שמור (הוא ארוך מדי ואדם סביר לא זוכר אותו בכל פה). זה יכול להיות התקן USB או דיסק קשיח ואם הנמען שלכם ממש לא זהיר ושמר אותו בדרופבוקס או שירות ענן אחר, אפילו לא צריך לתפוס אותו פיזית.
מסקנה: אני חושב שלמרות ש - GPG נחשבת כדרך תקשורת בטוחה ואמינה (טורמייל נסגר והשרתים שלו בידי ה - FBI מאז ינואר 2014), כדאי להשקיע מחשבה לפני פרסום מפתח ה - PGP שלכם ולעשות זאת באופן בו קשה יהיה לקשור אותו אליכם. כי אסור לדעתי לסמוך על הנמען.
אשמח לתגובות והפרכות.
** הערה: לומדה נוספת מקצועית, אבל לא בטוח כמה מעודכנת, יש כאן.
האם זה בטוח?
אינני איש מקצוע בתחום האבטחה. זהו דבר שאחזור עליו בבלוג הזה מדי פעם, לא כהתנערות מאחריות אלא מתוך אתיקה. זה מצד אחד.מצד שני אני אוטו-דידאקט ומשתדל להיות יסודי בכתיבה.
מצד שלישי, אני מתייחס לעוד פרמטרים מעבר לרמת האבטחה שבקוד. למשל - ליכולת להסתיר דברים פיזית.
ועכשיו לדיון:
מפתח ה - PGP שלכם הוא ציבורי. כך ניתן לשלוח אליכם הודעה. בשוק הדארקנט The Marketplace למשל (TMP), מפתח PGP תקין הוא תנאי יסוד להצטרפות לאתר.
תוכלו למסור את מפתח ה - PGP שלכם ברשת האינטרנט הגלויה מבלי חשש, שהרי מעשה זה כשלעצמו הוא חוקי. אלא ששימו לב כי במעשה זה אתם קושרים את עצמכם לאותו מפתח.
נכון, זה לא סופי. תוכלו לטעון כי מישהו מפליל אתכם, אבל אם תכללו את המפתח בג'ימייל שלכם מתוך היסח הדעת, הקשירה שלו אליכם היא נצחית.
עדיין, עד כאן הכל בסדר: המפתח שייך לי, נו אז מה.
בואו נתקדם שלב בתרחישים:
1) שלחתם הודעה למחזיק מפתח אחר. עליכם לסמוך עליו. הוא יכול להיות מתחזה, לפענח את ההודעה שלכם, לקשור אותה אליכם באמצים שפורטו בסעיף הקודם ובינגו - אתם כספר הפתוח בפניו.
2) שלחתם הודעה למחזיק מפתח ואכן אפשר לסמוך עליו. אלא שהאיש נתפס. הלוכדים שלו שמו את ידם פיזית על המקום בו המפתח שמור (הוא ארוך מדי ואדם סביר לא זוכר אותו בכל פה). זה יכול להיות התקן USB או דיסק קשיח ואם הנמען שלכם ממש לא זהיר ושמר אותו בדרופבוקס או שירות ענן אחר, אפילו לא צריך לתפוס אותו פיזית.
מסקנה: אני חושב שלמרות ש - GPG נחשבת כדרך תקשורת בטוחה ואמינה (טורמייל נסגר והשרתים שלו בידי ה - FBI מאז ינואר 2014), כדאי להשקיע מחשבה לפני פרסום מפתח ה - PGP שלכם ולעשות זאת באופן בו קשה יהיה לקשור אותו אליכם. כי אסור לדעתי לסמוך על הנמען.
אשמח לתגובות והפרכות.
אין תגובות:
הוסף רשומת תגובה