GNU Privacy Guard

GNU Privacy Guard (GnuPG або GPG) відкритий програмний засіб для шифрування та цифрового підписування даних, вільний аналог Pretty Good Privacy (PGP). GnuPG повністю сумісний із стандартами OpenPGP (RFC-4880 організації IETF) і S/MIME, і надає утиліти для шифрування даних, роботи з електронними підписами, управління ключами і доступу до публічних сховищ ключів.

GNU Privacy Guard
Логотип GNU Privacy Guard
Тип криптографія
Автор(и) Вернер Кох[1]
Розробник Проект GNU
Стабільний випуск 2.3.4 (20 грудня 2021 (2021-12-20))
Репозиторій dev.gnupg.org/source/gnupg.git
Операційна система багатоплатформний
Мова програмування C[2]
Ліцензія GNU General Public License version 3
Вебсайт www.gnupg.org

 GNU Privacy Guard у Вікісховищі

Сирцевий код GnuPG розповсюджується на умовах ліцензії GNU GPL версії 3, і є проектом Free Software Foundation.

Застосування GnuPG

GPG вже досяг рівня стабільного, готового до використання програмного забезпечення. Його часто включають до складу вільних операційних систем, таких як FreeBSD, OpenBSD, NetBSD та майже всіх дистрибутивів Лінукс. GPG також доступний в операційних системах сімейства Microsoft Windows.

Принцип дії

GPG зашифровує повідомлення використовуючи асиметричні алгоритми та згенеровані користувачем ключі. Отримані відкриті ключі можуть обмінюватись різноманітними шляхами, наприклад, через сервери ключів. Обмін відкритих ключів слід виконувати дуже уважно, аби уникнути підміни ідентичності відправника під час надсилання ключа. Також можливо додавати цифровий підпис до листів для того, щоб можна було підтвердити цілісність повідомлення та автентичність відправника.

В GPG не використовуються ні запатентовані, ні обмежені в інший спосіб алгоритми, включаючи алгоритм шифрування IDEA, який підтримувався в PGP майже з самого початку. Замість цього, використовуються інші, не запатентовані алгоритми, такі як CAST5, Triple DES, AES, Blowfish та Twofish. Але, все існує можливість використання алгоритму IDEA в GPG при завантаженні та установці відповідного розширення, однак, це може вимагати отримання ліцензії для деяких застосувань в деяких країнах, в яких IDEA запатентовано.

GPG є програмою з гібридним шифруванням, в тому сенсі, що для підвищення швидкості роботи використовуються симетричні алгоритми шифрування, та асиметричні алгоритми шифрування для полегшення процедури обміну ключами, як правило, використовуючи відкритий ключ отримувача повідомлення для шифрування ключа сеансу, який використовується лише один раз. Цей режим роботи є частиною стандарту OpenPGP, і використовувався в PGP, починаючи з його першої версії.

Сумісність з PGP

Поточні версії PGP сумісні з GPG та іншими системами що втілюють стандарт OpenPGP. Хоча деякі старі версії PGP також працюють із GPG, не всі можливості нових версій програмного забезпечення підтримуються в старих версіях. Тому слід знати про ці можливі несумісності та враховувати їх при обміні даними між різними програмами.

Уразливості

Efail

У травні 2018 року група дослідників з Європи поширили попередження про виявлені ними дві вразливості у поширених поштових клієнтах. Обидві вразливості можуть бути реалізовані за умови атаки «людина посередині» та якщо в поштовому клієнті увімкнено підтримку перегляду HTML. Перша уразливість, при цьому, дозволяє зловмиснику отримувати розшифрований шифротекст[3].

Efail не є вразливістю самої OpenPGP чи GPG, і натомість працює шляхом «обгортання» шифротексту тегами img, в атрибут src яких вклеюється сам шифротекст. Таким чином після дешифрування в поштовому клієнті, клієнт здійснює запит в мережу, який містить в URL розшифроване повідомлення.

Для поширення інформації про уразливості був створений вебсайт efail.de.

Див. також

Примітки

Посилання


This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.