একাধিক সিস্টেমে জিপিজি কীগুলি পরিচালনা করবেন?


103

আমি GnuPG ব্যবহার করার ক্ষেত্রে নতুন এবং এটি কীভাবে সেরা ব্যবহার করা যায় তা বোঝার চেষ্টা করছি। আমি নোটেকনিকাল লোকের জন্য জিপিজি / পিজিপি এর সংক্ষিপ্ত, সহজে বোঝার ব্যাখ্যাটি পর্যালোচনা করেছি ? , তবে বেশিরভাগ গাইড একক মেশিনের দৃষ্টিকোণ দিয়ে পিজিপি ব্যাখ্যা করে।

আমি তিনটি কম্পিউটিং ডিভাইসে GnuPG ব্যবহার করতে চাই: একটি লিনাক্স পিসি, একটি লিনাক্স ল্যাপটপ এবং একটি অ্যান্ড্রয়েড ফোন।

মৌলিক ব্যবহারের ক্ষেত্রে আইএমএপি পরিষেবা দ্বারা পরিচালিত ইমেলটিকে এনক্রিপ্ট / ডিক্রিপটিং করা হয়, সুতরাং ডিক্রিপশনের জন্য সমস্ত ডিভাইসগুলির জন্য একই ব্যক্তিগত কী প্রয়োজন।

আমার পছন্দগুলি হ'ল:

  1. প্রতিটি ডিভাইসে কীরিং-এ আমার সমস্ত কী অনুলিপি করুন এবং সুরক্ষার জন্য প্রধানত ব্যক্তিগত কী পাসওয়ার্ডের উপর নির্ভর করুন।

  2. আমার পরিচয় উপস্থাপনের জন্য একটি মাস্টার কী (--gen-key সহ) তৈরি করুন, তারপরে ইমেলগুলি এনক্রিপ্ট / ডিক্রিপ্ট করার জন্য এবং মাস্টার কীটির সাথে স্বাক্ষর করার জন্য একটি পৃথক ডিসপোজেবল কী (আবার --gen-key সহ) তৈরি করুন। প্রাক্তনটি কেবল আমার পিসিতে থাকে, পরেরটি প্রতিটি ডিভাইসে বিতরণ করা হয়। যতক্ষণ না আমার মোবাইল ডিভাইসগুলি আপোস করা না হয়, ততক্ষণ ডিসপোজেবল কীটি বৈধ থাকবে।

আমি অত্যধিক ভৌতিক হয়ে থাকতে পারি এবং এটি হওয়ার চেয়ে জটিলটিকে আরও জটিল করে তুলতে পারি তবে দয়া করে আমাকে রসিকতা করুন। আমি আপনার সমস্ত ডিম এক ঝুড়িতে না রাখার বিষয়ে বিশ্বাস করি।

মাস্টার কীটি আমার ডিজিটাল পরিচয় বলে মনে করা হচ্ছে। সেই পরিচয়টিকে ঘিরে বিশ্বাস স্থাপনে প্রচুর প্রচেষ্টা ব্যয় করা হবে এবং আমি অযত্ন থেকে আমার চাবি হারানোর চেয়ে আমার প্যারানোয়ার অসুবিধায় ভুগছি এবং একটি নতুন মাস্টার কীটির আশেপাশে বিশ্বাস গড়ে তুলতে হবে (সম্ভবত এটি আমার মতো খারাপ নয়) মনে করি, কিন্তু আমি এই নতুন am)

আমি আমার পিসির চেয়ে আমার ল্যাপটপ বা ফোনটি হারাতে পারে। যদি ক্ষতি == আপস করে তবে আমি আমার মাস্টার কী-জোয়ারের চেয়ে ডিসপোজযোগ্য কী-জোড় (যা আমি প্রত্যাহার করতে পারি) হারাতে চাই। আমি সর্বদা নতুন ডিসপোজেবল কীতে আমার মাস্টার কী এর ভরসাকে দিতে পারি।

সত্যিই দীর্ঘ প্রশ্নের জন্য দুঃখিত। :-)

টি এল; ডিআর

একাধিক ডিভাইস জুড়ে আমার মাস্টার ব্যক্তিগত কী সংরক্ষণ করার জন্য একটি পাসওয়ার্ড কি যথেষ্ট সুরক্ষা ?

# 2 বিকল্পের জন্য আমার পরিকল্পনা কি সম্ভব? আমি কিছু ভুল পেয়েছি বা এটি উন্নত করা যেতে পারে?

বিকল্প # 2 যদি একটি খারাপ ধারণা হয় তবে একাধিক ডিভাইস জুড়ে একক ব্যবহারকারীর জন্য GnuPG ব্যবহার করার সময় সেরা অনুশীলনগুলি কী?

উত্তর:


59

ঠিক আছে, এটি কিছুটা বিব্রতকর। আমি এক সপ্তাহ ধরে এই সমস্যাটি সনাক্ত করার চেষ্টা করে ঘন্টা কাটিয়েছি এবং উত্তরটি সাবকিদের সাথে থাকা বলে মনে হচ্ছে - এটি একটি বিষয় যা GnuPG ম্যানুয়াল এবং এফএকিউর উপরের দিকে তাকিয়ে।

সাবকি কী কী এবং কেন --gen-key এর পরিবর্তে সেগুলি ব্যবহার করা যেতে পারে তা নিয়ে গবেষণা করার সময় আমি এই রত্নটিতে হোঁচট খেয়েছি: http://wiki.debian.org/subkeys

ডেবিয়ানের উইকি সাবকিজ সহ একটি মাস্টার কী ব্যবহার করে বিকল্প # 2 (ওপি দেখুন) কীভাবে প্রয়োগ করতে হবে তা ব্যাখ্যা করে এবং ব্যাকআপ মিডিয়ামে (উদাহরণস্বরূপ ফ্ল্যাশ ড্রাইভ) সংরক্ষণ করার পরে কোনও সিস্টেম থেকে মাস্টার কী কীভাবে সরিয়ে ফেলা যায় তা আরও ব্যাখ্যা করে। সাবকিগুলি তারপরে প্রতিটি ডিভাইসে আমার কীরিংগুলির মধ্যে বিতরণ করা যায়।

পেশাদাররা:

  1. মাস্টার কী সুরক্ষিত করতে মূলত পাসওয়ার্ডের উপর নির্ভর করে না,

  2. যদি কোনও সিস্টেমের সাথে আপোস করা হয় তবে মাস্টার কীটি তত্ক্ষণাত উপলভ্য হবে না (যদি না আমি বোকামি দিয়ে আমার ফ্ল্যাশ ড্রাইভটি প্লাগ ইন না রেখে বা বলেনি ড্রাইভকে আপোসড সিস্টেমে সংযুক্ত না করি),

  3. এটি দেবিয়ান উন্নয়ন দল বাস্তবায়িত একটি অনুশীলন।

  4. GnuPG এর সাবকি বৈশিষ্ট্য ব্যবহার করে। আপনার কীরিংয়ের উপর একগুচ্ছ আলগা কী থাকার চেয়ে কিছুটা বেশি সংগঠিত বলে মনে হচ্ছে, হ্যাঁ?

দেবিয়ান সাবকি উইকি থেকে প্রাসঙ্গিক অংশ

  1. আপনার বিদ্যমান GnuPG ফাইলগুলির ব্যাকআপ নিন (OME HOME / .gnupg)। তাদের সুরক্ষিত রাখুন। নিম্নলিখিত পদক্ষেপগুলির সময় যদি কিছু ভুল হয়ে যায়, তবে কোনও পরিচিত ভাল জায়গায় ফিরে যাওয়ার জন্য আপনার এটির প্রয়োজন হতে পারে। (দ্রষ্টব্য: umask 077 ব্যাকআপের জন্য সীমাবদ্ধ অনুমতিগুলির ফলাফল করবে))

    • umask 077; tar -cf $HOME/gnupg-backup.tar -C $HOME .gnupg
  2. স্বাক্ষর করার জন্য একটি নতুন সাবকি তৈরি করুন।

    • আপনার মূল আইডি সন্ধান করুন: gpg --list-keys yourname
    • gpg --edit-key YOURMASTERKEYID
    • gpg>প্রম্পট:addkey
    • এটি আপনার পাসফ্রেজের জন্য জিজ্ঞাসা করে, এটিকে টাইপ করুন।
    • "আরএসএ (কেবলমাত্র সাইন ইন)" কী প্রকারটি চয়ন করুন।
    • 4096 (বা 2048) বিট কী আকার চয়ন করা বুদ্ধিমানের কাজ হবে।
    • একটি মেয়াদ উত্তীর্ণের তারিখটি চয়ন করুন (আপনি মাস্টার কীগুলির চেয়ে আপনার সাবকিগুলিকে আরও ঘন ঘন ঘোরান, বা কোনও মেয়াদ ছাড়াই মাস্টার কী-র জীবনকাল ধরে রাখতে পারেন)।
    • GnuPG (শেষ পর্যন্ত) একটি কী তৈরি করবে, তবে এটি করার জন্য আপনাকে এন্ট্রোপির জন্য অপেক্ষা করতে হতে পারে।
    • কীটি সংরক্ষণ করুন: save
  3. আপনি এটির পুনরাবৃত্তি করতে পারেন এবং আপনার পছন্দ হলে একটি "আরএসএ (কেবলমাত্র এনক্রিপ্ট)" সাব কী তৈরি করতে পারেন।

  4. এখন $HOME/.gnupgআপনার ইউএসবি ড্রাইভে অনুলিপি করুন ।

  5. এখানে জটিল অংশ আসে। আপনাকে প্রাইভেট মাস্টার কী সরিয়ে ফেলতে হবে এবং দুর্ভাগ্যক্রমে GnuPG এটি করার জন্য কোনও সুবিধাজনক উপায় সরবরাহ করে না। আমাদের সাবকি রফতানি করতে হবে, ব্যক্তিগত কী সরিয়ে ফেলতে হবে এবং সাবকিটিকে আবার আমদানি করতে হবে।

    • সাবকিগুলি রফতানি করুন: gpg --export-secret-subkeys YOURMASTERKEYID >secret-subkeys( কোন সাবকিগুলি রফতানি করতে হবে তা চয়ন করতে, প্রত্যেকে বিস্মৃত চিহ্ন সহ অনুসরণ করা সাবকি আইডি নির্দিষ্ট করুন gpg --export-secret-subkeys SUBKEYID! [SUBKEYID! ..]:)
    • আপনার মাস্টার সিক্রেট কীটি সরান: gpg --delete-secret-key YOURMASTERKEYID
    • সাবকিগুলি ফেরত আমদানি করুন: gpg --import secret-subkeys
    • যাচাই করুন যা আপনার ব্যক্তিগত কী-এর পরিবর্তে gpg -Kএকটি প্রদর্শন করে । তার মানে গোপন কীটি আসলে সেখানে নেই। (এর আউটপুটে একটি ডামি ওপেনজিপি প্যাকেটের উপস্থিতিও দেখুন )।sec#secgpg --export-secret-key YOURMASTERKEYID | gpg --list-packets
    • বৈকল্পিকভাবে, পাসফ্রেজ subkeys রক্ষা পরিবর্তন করুন: gpg --edit-key YOURMASTERKEYID passwd। (দ্রষ্টব্য যে ব্যাকআপে প্রাইভেট কী উপাদান, প্রাইভেট মাস্টার কী সহ, পুরানো পাসফ্রেজ দ্বারা সুরক্ষিত থাকবে))

আপনার কম্পিউটার এখন সাধারণ ব্যবহারের জন্য প্রস্তুত।

যখন আপনাকে মাস্টার কীগুলি ব্যবহার করতে হবে, এনক্রিপ্ট করা ইউএসবি ড্রাইভটি মাউন্ট করুন এবং GNUPGHOME পরিবেশের পরিবর্তনশীল সেট করুন:

export GNUPGHOME=/media/something
gpg -K

অথবা --home কমান্ড-লাইন আর্গুমেন্ট ব্যবহার করুন:

gpg --home=/media/something -K

পরবর্তী কমান্ডটি এখন আপনার ব্যক্তিগত কী তালিকাভুক্ত করবে secএবং না করে sec#

সমস্ত মেশিনের জন্য একক একক সাবকি মেশিন প্রতি একাধিক সাবকি

ডেবিয়ান সাবকি উইকি থেকে অংশ। মূলত মন্তব্যে উল্লিখিত। [প্যারাফ্রেসিং] এবং জোর আমার।

একজনকে মেশিনে একটি করে সাবকি প্রলুব্ধ করতে পারে যাতে আপনাকে কেবল সেই মেশিনের সম্ভাব্য আপোসড সাবকি বদলাতে হবে। সমস্ত মেশিনে একটি একক সাবকি ব্যবহারের ক্ষেত্রে, সমস্ত মেশিনে এটির বিনিময় করা দরকার [যখন সেই একক সাবকি বা আপোশ করার আশংকা করা হয়]।

তবে এটি কেবল সাবকিগুলিতে স্বাক্ষর করার জন্য কাজ করে । আপনার যদি একাধিক এনক্রিপশন সাবকি থাকে তবে gpg কেবলমাত্র অতি সাম্প্রতিক এনক্রিপশন সাবকির জন্য এনক্রিপ্ট করতে বলা হয় এবং সমস্ত পরিচিত এবং বাতিল হওয়া এনক্রিপশন সাবকিগুলির জন্য নয়।


5
ভাল প্রশ্নোত্তর, কিন্তু এএফআইএকি এই সেটআপটিতে এখনও একটি সমস্যা আছে ... এটি স্বাক্ষর করার জন্য দুর্দান্ত তবে আপনি যদি আপনার বিভিন্ন ডিভাইসের মধ্যে একই এনকো কীটি ভাগ করতে চান না তবে এনক্রিপশনের জন্য নয়, কারণ যখন কেউ আপনাকে একটি এনক্রিপ্টেড প্রাপক করে তোলে বার্তা, জিপিজি ডিফল্টরূপে সর্বশেষতম প্রত্যাহারকৃত এনকি কী উত্পন্ন হয়নি। ইউআইডি (বাড়ি বা কাজ ইত্যাদি) এর উপর নির্ভর করে প্রেরকদের একটি নির্দিষ্ট এনক সাবকি ব্যবহার করতে বাধ্য করা সম্ভব নয়।
কুর্জেডমেটাল

2
সম্ভবত এটি একটি সমস্যা। আমার সবচেয়ে বড় উদ্বেগ হ'ল আমি আমার মাস্টার কী (যা কেবলমাত্র লক্ষণ) এর আশেপাশে তৈরি করা বিশ্বাসের ওয়েবটি হারাতে চাই। অবশ্যই আমি এনক্রিপ্ট হওয়া বার্তাগুলি পড়তে ব্যবহার করি এমন সমস্ত ডিভাইসে অবশ্যই এনক্রিপশন সাবকি উপস্থিত থাকতে হবে exist যদি আমার এনক্রিপশন কীটি সর্বদা আপস করা হয়, তবে পুনরুদ্ধার প্রক্রিয়াটি কেবল আমারই জড়িত; আমার মাস্টার স্বাক্ষরকরণ কীটি হারিয়ে যাওয়ার এবং নতুন কীতে স্বাক্ষর করতে আমার বিশ্বাসের ওয়েবকে জিজ্ঞাসা করতে / বোঝাতে তার বিপরীতে। আমি আমার ভল্টে এনক্রিপশন সাবকি স্থানান্তরিত করতে চাইনি।
জাস্টিন সি

9

ব্যর্থতার একক পয়েন্টও (মাস্টার কী এবং বিশেষত পাসওয়ার্ড সহ ) পছন্দ করেন না এমন কেউ হিসাবে , আমি এইভাবেই এটি করব। এটি ডিভাইসগুলিকে বিশ্বাসের ওয়েবের মাধ্যমে পরিচালনা করার অনুমতি দেয়, যখন এখনও বিকেন্দ্রীভূত পরিচয় দেয়।

আমি জানি না এর জন্য ইতিমধ্যে একটি বিদ্যমান সিস্টেম আছে কিনা, তবে আমি মনে করি এটি সম্ভবত একটি ক্রোন জব এবং বাশের কয়েকটি লাইনের সাথে একসাথে স্ক্রাবলড হতে পারে।

এই সিস্টেমে আপনার দুটি কিপাইর ক্লাস রয়েছে: ডিভাইস কীপেইস এবং টাইমফ্রেম কীপেইস । প্রতিটি ডিভাইসে ব্যবহারকারীর জন্য একটি ডিভাইস কিপায়ার তৈরি করা হয় এবং তার জীবনকালে সেই ডিভাইসে থাকে। একটি সময়সীমার কী জুটি রুটিন অন্তর একটি কেন্দ্রীয় সার্ভার দ্বারা উৎপন্ন হয় (মাসিক, দৈনিক, ঘনঘন - কিভাবে ভীতু আপনি হতে চান উপর নির্ভর করে)। সর্বজনীন কীটি সর্বজনীনভাবে ঘোষণা করা হয়েছে (সার্ভারটিতে স্বাক্ষর করার জন্য তার নিজস্ব ডিভাইস কী রয়েছে) এবং এই কীটিতে অ্যাক্সেস থাকা বোঝাতে প্রতিটি ডিভাইসের পাবলিক কী দিয়ে এনক্রিপ্ট করা ব্যক্তিগত কী সরবরাহ করা হয়। (এই বিতরণটি যথাসম্ভব ব্যক্তিগত হওয়া উচিত, যেমন ডিভাইসগুলি সরাসরি সার্ভারের সাথে সংযোগ স্থাপন করা))

বার্তাগুলি সই করার জন্য, আপনি যেই ডিভাইস থেকে বার্তা পাঠাচ্ছেন তার ডিভাইস কী ব্যবহার করবেন। যদি কেউ আপনাকে একটি বার্তা প্রেরণ করতে চায় তবে তারা এটি আপনার বর্তমান সার্বজনীন সময়সীমার কী দিয়ে স্বাক্ষর করতে পারে। (তাদের কাছে ঘোষণাপত্র রাখার জন্য একটি স্বয়ংক্রিয় সিস্টেম থাকা উচিত)) এরপরে আপনি কোনও ডিভাইস থেকে তাদের বার্তাটি পড়তে পারেন read

পুরানো এনক্রিপ্ট করা বার্তাগুলি পড়ার জন্য, উপযুক্ত কৌশল অনুসারে প্রতিটি ডিভাইসে পুরানো টাইমফ্রেম কী-পেয়ারগুলি ব্যাক আপ করা হয় (টাইমফ্রেম-কি-পেয়ার-উত্পাদক সার্ভার সহ, যদি আপনি চান - আবার আপনার প্যারানিয়া স্তরের উপর নির্ভর করে), যেখানে আপনার অন্য সেট রয়েছে পুরানো কীগুলি সুরক্ষিত পাসওয়ার্ড-সুরক্ষিত কীপাইয়ারগুলির (যদিও আপনাকে মনে রাখতে স্বাচ্ছন্দ্য বোধ হয় এমন সময়ে অনেকগুলি পাসওয়ার্ড সহ)।

যদি কোনও ডিভাইস চুরি হয়ে যায় বা অন্যথায় আপস করা হয়, তবে আপনি নিজের পরিচয় যাচাই করার জন্য সর্বজনীন-স্বাক্ষরিত বার্তা তৈরি করতে আপনার আর একটি প্রকাশ্য-বিশ্বাসযোগ্য ডিভাইস ব্যবহার করতে পারেন (যে কোনও উপায়ে যেমন, উদাহরণস্বরূপ আপনি জনসাধারণের সাথে মিলিত হবেন এবং / অথবা বা কোনও বিশ্বস্ত বন্ধু থাকার কারণে আপনাকে ব্যক্তিগতভাবে যাচাই করা যায়) এবং আপস করা ডিভাইস কী এবং এতে অ্যাক্সেস থাকা কোনও টাইমফ্রেম কীগুলি প্রত্যাহার করে। কীটি প্রত্যাহার করার সময়, আপনি বিশ্বস্ত ডিভাইসের সার্ভারের তালিকা (একটি পাসওয়ার্ড এবং আপনার বিশ্বস্ত ডিভাইস কী সহ) থেকে চুরি হওয়া ডিভাইসটিও সরিয়ে দিন।

সদ্য ঘোষিত ডিভাইস কীগুলিতে বিশ্বাসের নীতিটি বর্তমান বিশ্বাস নীতিগুলির মতো কিছু অনুসরণ করা উচিত- আমি বিশ্বাস করি যে উত্সাহিত সার্ভার, একটি মোবাইল ডিভাইস এবং একটি বড়-ভারী ডিভাইসকে বিশ্বাস করা একটি উপযুক্ত নীতি, কারণ এটি চুরি / অনুপ্রবেশ করা কঠিন believe ব্যবহারকারীর নোটিশের আগে একটি কনসেন্টেড হিস্টে কোনও ব্যবহারকারীর ফোন, একটি ডেস্কটপ পিসি এবং ভিপিএস।

যদি আপনার সার্ভার আপোস করা হয় তবে আপনি কেবল অন্য যে কোনও আপসড ডিভাইসটির জন্য বর্ণিত একই পদ্ধতিটি (এটি সম্ভবত একটি নতুন ডিভাইস যুক্ত করার মতো শক্তিশালী নীতিমালার সাহায্যে) প্রত্যাহার করে নিন এবং পুনরায় সুরক্ষিত বা সম্পূর্ণ নতুন সার্ভার ব্যবহার করুন (একটি দিয়ে নতুন ডিভাইস কিপায়ার) এগিয়ে যাচ্ছে।


প্রত্যাহার বিভাগটি লিখিত হিসাবে কিছুটা মেঘলা - কোনও ডিভাইস প্রত্যাহার করা অন্য যে কোনও ডিভাইস থেকে ঘোষণার মাধ্যমে সম্ভব হওয়া উচিত (যাতে কেউ আপনার ল্যাপটপটি চুরি করে এবং আপনার ফোনটি সরাসরি সার্ভারের সাথে যোগাযোগ করতে না পারে তবে ব্যর্থ হয় না), তবে সম্ভব নয় একটি চোর দ্বারা সম্পন্ন করা উচিত (যাতে ডিভাইসগুলির প্রত্যাহারের জন্য পাসওয়ার্ড-সুরক্ষিত কী থাকা উচিত)। বিরোধী প্রতিবেদনের ক্ষেত্রে তৃতীয় পক্ষের ম্যানুয়াল যাচাইকরণ করা না হওয়া পর্যন্ত সমস্ত কীগুলি অস্থায়ীভাবে অবিশ্বস্ত হওয়া উচিত।
স্টুয়ার্ট পি। বেন্টলে

প্রকৃতপক্ষে, নিয়মিত ভিত্তিতে ম্যানুয়ালি আপডেট হওয়া (প্রতিস্থাপন) একটি শক্তিশালী পাবলিক পাসওয়ার্ড ব্যবহার করে, কীগুলি প্রত্যাহার করার জন্য আরেকটি প্রক্রিয়া করার পরামর্শ দেওয়া যেতে পারে- এইভাবে, আপনি কোনও ডিভাইসের উপর নির্ভর না করে কীটি প্রত্যাহার করতে পারেন (বলুন আপনি আছেন) কেবলমাত্র আপনার ফোন দিয়ে এবং কারওাই এটি চুরি করে), যতক্ষণ আপনি পাসওয়ার্ডটি গোপন রাখেন।
স্টুয়ার্ট পি। বেন্টলে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.