PGP на страже электронной корреспонденции

Светлана Шляхтина

Коротко о Pretty Good Privac

   Компоненты PGP

   Выпуски PGP

   Системные требования

   Где и как приобрести PGP

   Интернет-ресурсы PGP

Особенности работы с программой PGP

   Установка

   Настройка

   Запуск программы

   Работа с программой

      Как отправить зашифрованное сообщение с подписью

      Как прочитать полученное зашифрованное сообщение с подписью

      Если не удается прочитать зашифрованное сообщение

      Как отправить письмо с зашифрованным файлом

      Как расшифровать зашифрованные файлы

      Как установить ключ по умолчанию

      Как автоматизировать свою работу

 

Если вы хотите, чтобы ваши электронные письма не смог перехватить кто-нибудь другой и чтобы они доходили до адресатов в целости и сохранности, тогда письма придется шифровать. Иного надежного варианта обеспечить конфиденциальность электронной переписки, к сожалению, не существует, поскольку всю корреспонденцию без труда можно прочитать с сервера провайдера, да и прикрепленные файлы также не сложно извлечь из писем. Но дело не только в этом — одновременно с проблемой перехвата корреспонденции обострилась и проблема авторизации, ведь отправить документ от чужого имени не так уж сложно. Поэтому наряду с шифрованием данных необходимо подтверждение подлинности документов электронной подписью, посредством которой можно проверить, были ли письма отправлены номинальным отправителем и не претерпели ли они модификации в пути.

Шифровать можно по-разному. Первый приходящий в голову вариант — воспользоваться какой-либо системой шифрования с паролем (с закрытым ключом), а в простейшем варианте подойдет и архивирование с установкой пароля. Для расшифровки потребуется тот же ключ (пароль), который был использован для шифрования. Такая система вполне может подойти для закрытия личной информации на диске, но далеко не всегда удобна при шифровании писем. Причина в том, что пароль требуется передавать адресатам (а передать зачастую его приходится по электронной почте, ведь адресат может проживать в другом городе или даже стране), и пароль при передаче может быть перехвачен.

Помочь может система шифрования с открытым ключом, которая работает не с одним ключом, а c двумя — то, что зашифровано первым ключом (или секретным ключом — private key), может быть расшифровано только при помощи второго ключа (который называют публичным или открытым — public key). Секретный ключ известен только автору писем, а публичный доступен в Сети. Итак, ваши корреспонденты перед отправлением вам писем должны их зашифровать, используя ваш публичный ключ. Вам же для прочтения таких писем потребуется воспользоваться своим секретным ключом. В свою очередь, написав письма различным корреспондентам, вы должны зашифровать их с помощью их открытых ключей, прочитать которые корреспонденты смогут с помощью своих, известных только им, секретных ключей. Получается, что в случае использования системы с открытым ключом можно перехватить лишь публичный ключ, в то время как секретный ключ по Сети не передается и поэтому недоступен. Таким образом, схема с открытым ключом удачно решает проблему безопасной передачи самого ключа.

Одним из самых популярных криптографических решений для шифрования электронной почты с открытым ключом стала программа PGP (Pretty Good Privacy), ориентированная на массового пользователя и ставшая стандартом шифрования в Сети. Посредством PGP можно легко передавать и принимать любую информацию без опасения, что она станет достоянием третьих лиц. При этом программа шифрует не только текст, но и любые файлы.

Коротко о Pretty Good Privacy

Компоненты PGP

  • PGPdisk — шифрование данных на жестких дисках;
  • PGPkeys — доступ к таблице собственных ключей, а также открытых ключей корреспондентов;
  • PGPmail — шифрование и дешифрование данных;
  • PGPtray — шифрование и дешифрование данных в буфере обмена и управление основными приложениями PGP;
  • PGPAdmin — создание криптографической системы для организации;
  • PGP ICQ — шифрование текста сообщений ICQ;
  • PGP Net — реализация стека протоколов IPSec (Internet Protocol Security) и IKE (Internet Key Exchange).
В начало В начало

Выпуски PGP

До выходаы версии 8.0 PGP являлась свободно распространяемым программным обеспечением (последняя бесплатная версия 7.0.3), а теперь программа полностью стала коммерческой и существует в следующих выпусках:

  • PGP Personal 8.0 PGP Freeware — для некоммерческого использования; представляет собой бесплатную PGPmail (шифрование-дешифрование файлов и почты через буфер обмена, цифровая подпись). В бесплатной версии недоступны надстройки (plugins) к почтовым программам;
  • PGP 8.0 Personal Products — для некоммерческого использования; включает в себя компоненты PGPdisk и PGPmail для защиты файлов, дисков и почты;
  • PGP Desktop 8.0 — для коммерческого использования; позволяет интегрировать функции шифрования в основные офисные и почтовые программы;
  • PGP Enterprise 8.0 — для коммерческого использования; более мощное ПО, позволяющее администрировать работу пользователей с ключами и реализовать политику безопасности.
В начало В начало

Системные требования

Компьютер с процессором не ниже Pentium-166; 32 Мбайт ОЗУ; 32 Мбайт на жестком диске; операционные системы 9x/ME/NT/2000/XP или Mac OS X.

В начало В начало

Где и как приобрести PGP

Приобрести PGP 8.0 можно на одном из сайтов PGP Corporation: https://store.pgp.com/. Бесплатная версия PGP Personal 8.0 PGP Freeware доступна по адресу: http://www.pgp.com/. Предыдущие бесплатные версии PGP (PGP 6.5.3, PGP 6.5.8 и PGP 7.0.3) можно найти на самых разных сайтах Сети, в частности на сайте: http://www.pgpi.org/ и на сайте Массачусетского технологического института: http://web.mit.edu/network/pgp.html.

 

Цены на различные выпуски PGP 8.0 на сайте https://store.pgp.com/:

  • PGP Enterprise 8.0:
    • PGPM
  • Enterprise 8.0 — 125 долл.;
    • PGP Mobile Enterprise 8.0 — 155 долл.;
  • PGP Desktop 8.0:
    • PGP Desktop 8.0 — 80 долл.;
    • PGP
    • obile Desktop 8.0 — 110 долл.;
  • PGP 8.0 Personal Products:
    • PGP 8.0 Personal — 50 долл.;
    • PGP 8.0 Personal and Mobile — 70 долл.
В начало В начало

Интернет-ресурсы PGP

В Интернете можно найти огромное количество информации, связанной с PGP. В первую очередь следует заглянуть на сайты PGP Corporation: http://www.pgp.com/ и http://www.pgp.net/, а также на международный сервер PGP: http://www.pgpi.com/.

На последнем, в частности, есть русскоязычный перевод «Руководства пользователя PGP 5.0 для Windows» (http://www.pgpi.org/doc/guide/5.0/ru/).

В начало В начало

Особенности работы с программой PGP

Установка

Инсталляция программа PGP 8.0 мало чем отличается от аналогичных процедур по установке любого нового программного обеспечения. Перед установкой лучше закрыть все открытые приложения, а затем запустить файл PGP8.exe.

Как и при установке других приложений, потребуется согласиться со стандартным лицензионным соглашением компании-продавца; ответить на вопрос о существовании старых keyrings — брелоков-ключей (естественно, что если вы раньше не использовали PGP, то никаких старых брелоков у вас нет). После этого нужно выбрать папку для установки и необходимые на вашем компьютере компоненты (рис. 1), при этом отказ от лишних компонентов позволит несколько сэкономить место на жестком диске. Далее нужно будет согласиться с перезагрузкой компьютера, после чего значок-«замочек», соответствующий компоненту PGPtray, появится на панели задач в правом нижнем углу экрана.

В начало В начало

Настройка

Чтобы иметь возможность обмениваться секретными сообщениями с корреспондентами, также использующими PGP, необходимо сгенерировать пару ключей — открытый и секретный, которые будут использованы в дальнейшем для создания цифровой подписи. Для этого потребуется выбрать Пуск→Программы→PGP→PGPkeys и щелкнуть на кнопке Generate new keypair (создание новой пары ключей).

Затем следует щелкнуть на кнопке Expert для изменения параметров ключа Key type (тип ключа) — по умолчанию выбирается  ключ Diffie-Hellman/DSS, как самый быстрый и надежный. Однако если среди ваших корреспондентов есть пользователи более ранних версий, нежели PGP 5.0, придется использовать ключ RSA. Здесь же можно определить параметр Key size (длина открытого ключа). По умолчанию при использовании метода Diffie-Hellman/DSS выбирается 2048-разрядный ключ, и при современном развитии компьютерной техники этого более чем достаточно (рис. 2). Затем можно установить Key еxpiration — крайний срок, до которого создаваемые ключи могут быть использованы для кодирования и подписи, хотя предпочтительнее вариант по умолчанию, когда данный срок ничем не ограничен. В этом же окне нужно указать Full name (полное имя) и Email address (адрес электронной почты). Следует отметить, что по умолчанию выбирается оптимальный вариант параметров ключа, поэтому менять параметры нужно лишь в случае необходимости.

Если кнопку Expert не нажимали (а это значит, что Full name и Email address не были введены), то в следующем окне появится соответствующий запрос. Затем нужно будет дважды ввести ключевую фразу в окна Passphrase и Confirmation. Для удобства можно убрать галочку из окна Hide Typing, чтобы вводимая фраза отображалась на экране. Длина ключевой фразы не может быть меньше 8 символов. После генерации ключей появится окно вида (рис. 3).

Далее нужно закрыть окно PGPkeys, хотя это удастся сделать не сразу, так как программа предложит сохранить резервную копию файлов с ключами (pubring.pkr и secring.scr). Сохранять копии лучше на дискете, чтобы проблемы с жестким диском не привели к потере доступа к информации (рис. 4, 5).

Теперь вам следует отправить свой открытый ключ всем потенциальным получателям зашифрованной корреспонденции. Для этого необходимо пометить мышью строку с вашим ключом в окне PGPkeys и перетащить, удерживая левую клавишу мыши, строку с ключом в окно текстового сообщения почтовой программы, а затем разослать это письмо по адресам (рис. 6). Можно поступить и по-другому: выделить свой ключ в окне “PGPkeys”, выбрав из меню команды Keys→Export, сохранить ключ на диске в виде файла с расширением .asc. Полученный файл вы можете затем отправить своим корреспондентам как обычное приложение к письму.

Наконец, на последнем этапе настройки вам будет необходимо включить открытые ключи корреспондентов в свой брелок ключей, для чего потребуется воспользоваться пунктом меню Keys→Import. Однако предварительно файлы с чужими открытыми ключами должны быть каким-то образом получены, например по электронной почте, и сохранены на диске. После добавления ключей корреспондентов все они появятся в списке ключей в окне PGPkeys (рис. 7).

Затем ключи корреспондентов нужно подписать: следует выделить ключ в окне PGPkeys, нажать правую кнопку мыши, выбрать команду Sign, подсветить подписываемый ключ и в следующем окне ввести свою ключевую фразу. После этого рядом с ключом загорится вместо серой зеленая лампочка, свидетельствующая о том, что отныне с этим корреспондентом можно вести переписку (рис. 8).

Кроме того, если открытые ключи всех пользователей вашей компании хранятся на корпоративном сервере, нужно отправить свой ключ на сервер, на котором в этом случае можно найти и открытые ключи потенциальных корреспондентов. Чтобы отправить свой ключ на сервер компании вам достаточно будет щелкнуть на кнопке Send key to server в окне PGPkeys и выбрать адрес сервера. Для получения открытых ключей корреспондентов потребуется в том же окне щелкнуть на кнопке Open key search window и ввести слово для поиска (можно, например, искать адресатов, в имени которых присутствует слово «alex»).

Следует знать, где конкретно на вашем диске хранятся ключи PGP. Чтобы получить ответ на этот вопрос, нужно выбрать в PGPkeys пункт меню Edit→Options и далее закладку Files — в результате вы увидите полный путь к связкам открытых и закрытых ключей, который при необходимости можно изменить.

В начало В начало

Запуск программы

Существует четыре варианта запуска PGP на компьютере:

  • через Пуск→Программы→PGP. Таким образом можно получить доступ к основным ресурсам PGP: PGPdisk, PGPkeys, PGPmail и документации;
  • из панели задач, щелкнув левой или правой кнопками на значок замочка в правом нижнем углу рабочего экрана. Этот вариант удобен для шифрования/расшифрования данных в буфере обмена;
  • непосредственно из почтового клиента (например, MS Outlook, MS Outlook Express, Eudora и др.), что и предпочитают большинство пользователей.
  • в проводнике через строку PGP после правого клика на иконке файла или папки, что является самым быстрым вариантом вызова программы.
В начало В начало

Работа с программой

На деле функции PGP не ограничиваются только обеспечением конфиденциальности передаваемой по электронной почте информации. Возможности программы включают и создание защищенной и доступной только по паролю области на жестком диске, и шифрование текста сообщений ICQ, и создание криптографической системы в рамках организации, и пр. Однако тематика статьи ограничивает нас только рамками шифрования корреспонденции — на этом мы и остановимся более подробно.

В начало В начало

Как отправить зашифрованное сообщение с подписью

Действовать можно двумя путями: шифровать прямо из окна почтовой программы или через буфер обмена (в случае бесплатной версии 8.0 будет работать только этот вариант).

Рассмотрим вначале второй вариант — он хотя и менее удобен, но зато всегда работает. В этом случае нужно обычным образом напечатать текст письма (рис. 9), потом скопировать его в буфер обмена (например, Ctrl+C) и, активировав окно PGPtray щелчком по его значку-«замочку», выбрать Clipboard→Encrypt&Sign (рис. 10). При этом потребуется указать программе открытый ключ корреспондента для шифрования (рис. 11) и ввести свою ключевую фразу для формирования электронной подписи письма, а затем вставить в письмо на место обычного текста его зашифрованный аналог. В результате вы увидите примерно такой текст, как на рис. 12. Далее письмо отправляют обычным образом.

Однако, как уже было сказано выше, намного удобнее воспользоваться возможностью кодирования непосредственно из окна почтового клиента, с которым вы работаете, например MS Outlook. В этом случае письмо пишется обычным образом, а затем нужно выбрать команду PGP→Encrypt and Sign now (рис. 13). Теперь введите ключевую фразу — и текст письма зашифруется.

Теоретически можно шифровать сообщения без добавления подписи или только заверять текст письма своей электронной подписью. Последовательность действий в обоих этих случаях полностью совпадает с указанной выше за исключением того, что вместо команды Encrypt and Sign now нужно будет выбирать соответственно Encrypt (при шифровании) или Sign (при добавлении подписи).

В начало В начало

Как прочитать полученное зашифрованное сообщение с подписью

Прочитать зашифрованное письмо можно также двумя способами: из окна почтового клиента и через буфер обмена.

Если использовать буфер обмена, то, открыв письмо, следует скопировать в буфер обмена зашифрованный текст письма, активировав окно PGPtray, выбрать Clipboard→ Decrypt&Verify и ввести свою ключевую фразу. После этого в окне программы появится расшифрованный текст как на рис. 14.

Вариант расшифровки из почтового клиента удобнее и быстрее, поскольку для дешифрования потребуется лишь открыть письмо, выбрать из командного меню команду PGP→Decrypt/Verify и ввести свою ключевую фразу. В результате на экране зашифрованный текст сменится на его расшифрованный аналог (рис. 15).

Если в полученном письме были использованы только шифрование или только добавление подписи (это видно по тексту письма), то для получения исходной копии письма потребуется воспользоваться командами Decrypt или Verify соответственно (или Decrypt&Verify — результат будет тот же).

В начало В начало

Если не удается прочитать зашифрованное сообщение

Возможны две причины: либо вы неверно вводите свою ключевую фразу, либо автор письма при шифровании информации после выбора PGP→Clipboard→Encrypt&Sign сразу после появления окна Key Selection Dialog нажал на OK, не выбрав ваш ключ. Увы, во втором случае письмо прочитать вам не удастся.

В начало В начало

Как отправить письмо с зашифрованным файлом

Вначале нужно закодировать сам файл — кликнуть на нем в проводнике правой кнопкой мыши и выбрать PGP→Encrypt&Sign или, запустив PGPmail, щелкнуть на кнопке Encrypt&Sign и выбрать файл. При этом потребуется указать программе открытый ключ корреспондента для шифрования и ввести свою ключевую фразу для формирования электронной подписи письма. В результате в той же папке на диске появятся зашифрованные копии файлов, которые нужно будет вложить в письмо (кстати, при кодировании файлы предварительно сжимаются). Полученное письмо будет выглядеть примерно так, как на рис. 16. Затем следует отправить корреспонденцию обычным образом.

В начало В начало

Как расшифровать зашифрованные файлы

Открыв письмо, нужно сохранить полученные файлы на диске, а затем последовательно их расшифровать. Для расшифровки файла необходимо щелкнуть на нем в проводнике правой кнопкой мыши и выбрать PGP→Decrypt&Verify или, запустив PGPmail, щелкнуть на кнопке Decrypt&Verify и выбрать файл. Затем следует ввести свою ключевую фразу. После этого в той же папке (или в другой, если папку сменили в процессе дешифрования) появится декодированная копия файла.

В начало В начало

Как установить ключ по умолчанию

Бывают случаи, когда требуется использовать не один ключ, а несколько. Например, один — для общения по работе, а другой — для личной переписки. При этом, естественно, один из них должен использоваться по умолчанию.

Чтобы установить, допустим, первый ключ по умолчанию, необходимо подсветить его в окне PGPkeys и выбрать команду Keys→Set as Default Key.

В начало В начало

Как автоматизировать свою работу

К сожалению, использование любой программы шифрования, в том числе и PGP, значительно замедляет работу с корреспонденцией. В некоторой степени данный процесс можно ускорить, изменив ряд параметров программы, активировав окно PGPtray и выбрав команду Options. После этого на закладке Email нужно отметить галочками указанные на рис. 17 строки — это обеспечит автоматическое шифрование и подписывание писем при отправлении, а также их расшифровку при открытии.

Можно еще немного облегчить себе работу, установив кэширование ключевой фразы при расшифровке в течение указанного времени — вкладка General, опция Cache passphrases for. Это будет полезно при чтении огромного количества корреспонденции, так как в течение данного промежутка времени не придется каждый раз при открытии письма вводить ключевую фразу. Однако данный вариант не совсем надежен, поскольку на время кэширования ключевая фраза станет доступной для перехвата.

КомпьютерПресс 1'2003