GNU Privacy Guard
GNU Privacy Guard (GnuPG або GPG) — відкритий програмний засіб для шифрування та цифрового підписування даних, вільний аналог Pretty Good Privacy (PGP). GnuPG повністю сумісний із стандартами OpenPGP (RFC-4880 організації IETF) і S/MIME, і надає утиліти для шифрування даних, роботи з електронними підписами, управління ключами і доступу до публічних сховищ ключів.
| |
Логотип GNU Privacy Guard | |
Тип | криптографія |
---|---|
Автор(и) | Вернер Кох[1] |
Розробник | Проект GNU |
Стабільний випуск | 2.3.4 (20 грудня 2021 ) |
Репозиторій | dev.gnupg.org/source/gnupg.git |
Операційна система | багатоплатформний |
Мова програмування | C[2] |
Ліцензія | GNU General Public License version 3 |
Вебсайт | www.gnupg.org |
GNU Privacy Guard у Вікісховищі |
Сирцевий код GnuPG розповсюджується на умовах ліцензії GNU GPL версії 3, і є проектом Free Software Foundation.
Застосування GnuPG
GPG вже досяг рівня стабільного, готового до використання програмного забезпечення. Його часто включають до складу вільних операційних систем, таких як FreeBSD, OpenBSD, NetBSD та майже всіх дистрибутивів Лінукс. GPG також доступний в операційних системах сімейства Microsoft Windows.
Принцип дії
GPG зашифровує повідомлення використовуючи асиметричні алгоритми та згенеровані користувачем ключі. Отримані відкриті ключі можуть обмінюватись різноманітними шляхами, наприклад, через сервери ключів. Обмін відкритих ключів слід виконувати дуже уважно, аби уникнути підміни ідентичності відправника під час надсилання ключа. Також можливо додавати цифровий підпис до листів для того, щоб можна було підтвердити цілісність повідомлення та автентичність відправника.
В GPG не використовуються ні запатентовані, ні обмежені в інший спосіб алгоритми, включаючи алгоритм шифрування IDEA, який підтримувався в PGP майже з самого початку. Замість цього, використовуються інші, не запатентовані алгоритми, такі як CAST5, Triple DES, AES, Blowfish та Twofish. Але, все існує можливість використання алгоритму IDEA в GPG при завантаженні та установці відповідного розширення, однак, це може вимагати отримання ліцензії для деяких застосувань в деяких країнах, в яких IDEA запатентовано.
GPG є програмою з гібридним шифруванням, в тому сенсі, що для підвищення швидкості роботи використовуються симетричні алгоритми шифрування, та асиметричні алгоритми шифрування для полегшення процедури обміну ключами, як правило, використовуючи відкритий ключ отримувача повідомлення для шифрування ключа сеансу, який використовується лише один раз. Цей режим роботи є частиною стандарту OpenPGP, і використовувався в PGP, починаючи з його першої версії.
Сумісність з PGP
Поточні версії PGP сумісні з GPG та іншими системами що втілюють стандарт OpenPGP. Хоча деякі старі версії PGP також працюють із GPG, не всі можливості нових версій програмного забезпечення підтримуються в старих версіях. Тому слід знати про ці можливі несумісності та враховувати їх при обміні даними між різними програмами.
Уразливості
Efail
У травні 2018 року група дослідників з Європи поширили попередження про виявлені ними дві вразливості у поширених поштових клієнтах. Обидві вразливості можуть бути реалізовані за умови атаки «людина посередині» та якщо в поштовому клієнті увімкнено підтримку перегляду HTML. Перша уразливість, при цьому, дозволяє зловмиснику отримувати розшифрований шифротекст[3].
Efail не є вразливістю самої OpenPGP чи GPG, і натомість працює шляхом «обгортання» шифротексту тегами img
, в атрибут src
яких вклеюється сам шифротекст. Таким чином після дешифрування в поштовому клієнті, клієнт здійснює запит в мережу, який містить в URL розшифроване повідомлення.
Для поширення інформації про уразливості був створений вебсайт efail.de.
Див. також
- libgcrypt — бібліотека з реалізацією механізмів GnuPG
- Pretty Good Privacy
- Асиметричні алгоритми шифрування
- Криптосистема
- Enigmail — розширення для Mozilla Thunderbird яке дозволяє шифрувати та підписувати електронні листи.
Примітки
- Free Software Directory
- https://www.openhub.net/p/gnupg/analyses/latest/languages_summary
- DANNY O'BRIEN, GENNIE GEBHART (13 травня 2018). Attention PGP Users: New Vulnerabilities Require You To Take Action Now. EFF.
Посилання
- вебсайт GNU Privacy Guard
- GnuPG Keysigning Party HOWTO
- GnuPG's ElGamal signing keys compromised — повідомлення про злам ключів ElGamal GnuPG.
- Пояснення шифрування PGP/GPG на прикладі Mailvelope