tohle jsem psal pro nekoho, dam to sem, treba se to muze nekomu k necemu hodit, i kdyz pochybuju...
Pravidlo: v klici by mel byt email, s kterym jej budes pouzivat, pokud bys pouzival Thunderbird+enigmail [nejakou obdobu - claws email atd] navod na nastaveni a praci s... tady:
http://overdrive.a-nihil.net/crypto-email.html
Doporucuju Ti nainsallovat thunderbird a enigmail, asi nejlepsi univerzalni GUI, ale rucne muzes takhle:
Vygenerovani klice [generuj co nejvetsi RSA]:
=============================================
gpg --gen-key
gpg --export -a ALICE@brmlab.cz > public.key
gpg --export-secret-key -a ALICE@brmlab.cz > private.key
revokacni klic - kdyz Tvuj verejny klic prestane byt z nejakeho duvodu pouzitelny, timhle jej zrusis:
gpg --gen-revoke ALICE@brmlab.cz > my_revocation.key
---
public key samozrejme shareujes, soukromy dobre schovas [ZALOHUJ!!!], revokacni certifikat schovat [ZALOHUJ!!!]
------
import neciho klice na svuj keyring:
gpg --import public.key
-------------
vylistovani klicu, ktery mas:
gpg --list-keys
-------------
klic na keyringu by mel byt podepsany, aby Ti jej nekdo nemoh zmenit, tady muzes delat i jine veci s klicem [menit jeho parametry]:
gpg --edit-key ALICE@brmlab.cz
SHARE VEREJNEHO KLICE NA KEYSERVERY:
=====================================
poslani klice na keyserver
gpg --keyserver pool.sks-keyservers.net --send-key ALICE@brmlab.cz
vytahnuti neciho klice z keyserveru
gpg --keyserver pool.sks-keyservers.net --recv-key overdrive@brmlab.cz
revokace nefunkcniho klice:
gpg --import my_revocation.key
gpg --keyserver pool.sks-keyservers.net --send-keys ALICE@brmlab.cz
POUZITI:
========
zasifrovat a podepsat soubor pro overdrive [jeho klic musis mit na klicence]
gpg -se -r overdrive@brmlab.cz -d INPUT_FILE -o OUTPUT_FILE
rozsifrovani a overeni podpisu
gpg [-o OUTPUT_FILE] SIGNED_ENCRYPTED_FILE
vic najdes uz snadno, kdyz je potreba, tohle je uplnej zaklad v commandline...
LOGIKA:
=======
Funguje to v zasade takhle:
napises email a chces jej poslat -> enigmail pouzije GnuPG -> to se
podiva do databaze klicu, jestli mas svuj soukromy a verejny klic
---> kdyz chces podepsat, vezme Tvuj soukromy klic a nejakym algoritmem
udela kontrolni soucet toho, co je napsano -> ten kdo pak chce overit,
ze je to spravne, musi si importovat Tvuj verejny klic a pomoci neho,
enigmail pozna, ze to co jsi podepsal, je opravdu spravne
---> kdyz chces zasifrovat -> musis mit verejny klic prijemce ->
enigmail jej vezme a pomoci nej zasifruje text -> prijemce vezme svuj
soukromy klic [druha cast toho verejneho, ktera se nezverejnuje] a
otevre email, zasifrovany tebou
snadne, ne?
klic
+===
|
+- verejny --- umistuje se viditelne a dostupne na net
|
+- soukromy --- schova si majitel
|
+- revokacni certifikat --- schova si majitel, slouzi ke zruseni
verejnych klicu na serverech
podepisovani
+===========
|
+- odesilatel - soukromym klicem vytvori hash souboru, ktery posila
|
+- prijemnce - verejnym klicem odesilatele overi, ze soubor byl vytvoren
patricnymsoukromym klicem
sifrovani
+========
|
+- odesilatel - zasifruje verejnym klicem prijemce
|
+- prijemce - pouzije soukromy klic a otevre jim zasifrovany soubor
Jeste jsou tam takove drobnosti:
- aby Ti nekdo nemoh zmenit klice, ktere jsi si importoval do klicenky,
tak klice se po importu podepisuji Tvojim soukromym klicem, potazmo svuj
soukromy klic si hned po vytvoreni podeises timhle klicem. GnuGP potazmo
Enigmail kontroluje 2 veci: klice na klicence jsou podepsane, klic
obsahuje emailovou adresu, na ktery jej pouzivas: tedy, posilam-li ja
email z tpetru@gmail.com, tak v mem klici musi byt klic pro tenhle
email, poslu-li email z t.petru@gmail.com, tak ten klic uz nebude
fungovat. To je logicke, aby nekdo neoh pouzit muj klic na jiny email, zejo.
Zda se to trosku slozite, ale neni, kdyz tohle nechces chapat, staci,
kdyz si prectes muj navod a hotovo.