একাধিক সিস্টেমে জিপিজি কীগুলি পরিচালনা করবেন?

আমি GnuPG ব্যবহার করার ক্ষেত্রে নতুন এবং এটি কীভাবে সেরা ব্যবহার করা যায় তা বোঝার চেষ্টা করছি। আমি নোটেকনিকাল লোকের জন্য জিপিজি / পিজিপি এর সংক্ষিপ্ত, সহজে বোঝার ব্যাখ্যাটি পর্যালোচনা করেছি ? , তবে বেশিরভাগ গাইড একক মেশিনের দৃষ্টিকোণ দিয়ে পিজিপি ব্যাখ্যা করে।

আমি তিনটি কম্পিউটিং ডিভাইসে GnuPG ব্যবহার করতে চাই: একটি লিনাক্স পিসি, একটি লিনাক্স ল্যাপটপ এবং একটি অ্যান্ড্রয়েড ফোন।

মৌলিক ব্যবহারের ক্ষেত্রে আইএমএপি পরিষেবা দ্বারা পরিচালিত ইমেলটিকে এনক্রিপ্ট / ডিক্রিপটিং করা হয়, সুতরাং ডিক্রিপশনের জন্য সমস্ত ডিভাইসগুলির জন্য একই ব্যক্তিগত কী প্রয়োজন।

আমার পছন্দগুলি হ'ল:

1. প্রতিটি ডিভাইসে কীরিং-এ আমার সমস্ত কী অনুলিপি করুন এবং সুরক্ষার জন্য প্রধানত ব্যক্তিগত কী পাসওয়ার্ডের উপর নির্ভর করুন।

2. আমার পরিচয় উপস্থাপনের জন্য একটি মাস্টার কী (--gen-key সহ) তৈরি করুন, তারপরে ইমেলগুলি এনক্রিপ্ট / ডিক্রিপ্ট করার জন্য এবং মাস্টার কীটির সাথে স্বাক্ষর করার জন্য একটি পৃথক ডিসপোজেবল কী (আবার --gen-key সহ) তৈরি করুন। প্রাক্তনটি কেবল আমার পিসিতে থাকে, পরেরটি প্রতিটি ডিভাইসে বিতরণ করা হয়। যতক্ষণ না আমার মোবাইল ডিভাইসগুলি আপোস করা না হয়, ততক্ষণ ডিসপোজেবল কীটি বৈধ থাকবে।

আমি অত্যধিক ভৌতিক হয়ে থাকতে পারি এবং এটি হওয়ার চেয়ে জটিলটিকে আরও জটিল করে তুলতে পারি তবে দয়া করে আমাকে রসিকতা করুন। আমি আপনার সমস্ত ডিম এক ঝুড়িতে না রাখার বিষয়ে বিশ্বাস করি।

মাস্টার কীটি আমার ডিজিটাল পরিচয় বলে মনে করা হচ্ছে। সেই পরিচয়টিকে ঘিরে বিশ্বাস স্থাপনে প্রচুর প্রচেষ্টা ব্যয় করা হবে এবং আমি অযত্ন থেকে আমার চাবি হারানোর চেয়ে আমার প্যারানোয়ার অসুবিধায় ভুগছি এবং একটি নতুন মাস্টার কীটির আশেপাশে বিশ্বাস গড়ে তুলতে হবে (সম্ভবত এটি আমার মতো খারাপ নয়) মনে করি, কিন্তু আমি এই নতুন am) ।

আমি আমার পিসির চেয়ে আমার ল্যাপটপ বা ফোনটি হারাতে পারে। যদি ক্ষতি == আপস করে তবে আমি আমার মাস্টার কী-জোয়ারের চেয়ে ডিসপোজযোগ্য কী-জোড় (যা আমি প্রত্যাহার করতে পারি) হারাতে চাই। আমি সর্বদা নতুন ডিসপোজেবল কীতে আমার মাস্টার কী এর ভরসাকে দিতে পারি।

সত্যিই দীর্ঘ প্রশ্নের জন্য দুঃখিত। :-)

টি এল; ডিআর

একাধিক ডিভাইস জুড়ে আমার মাস্টার ব্যক্তিগত কী সংরক্ষণ করার জন্য একটি পাসওয়ার্ড কি যথেষ্ট সুরক্ষা ?

# 2 বিকল্পের জন্য আমার পরিকল্পনা কি সম্ভব? আমি কিছু ভুল পেয়েছি বা এটি উন্নত করা যেতে পারে?

বিকল্প # 2 যদি একটি খারাপ ধারণা হয় তবে একাধিক ডিভাইস জুড়ে একক ব্যবহারকারীর জন্য GnuPG ব্যবহার করার সময় সেরা অনুশীলনগুলি কী?

ঠিক আছে, এটি কিছুটা বিব্রতকর। আমি এক সপ্তাহ ধরে এই সমস্যাটি সনাক্ত করার চেষ্টা করে ঘন্টা কাটিয়েছি এবং উত্তরটি সাবকিদের সাথে থাকা বলে মনে হচ্ছে - এটি একটি বিষয় যা GnuPG ম্যানুয়াল এবং এফএকিউর উপরের দিকে তাকিয়ে।

সাবকি কী কী এবং কেন --gen-key এর পরিবর্তে সেগুলি ব্যবহার করা যেতে পারে তা নিয়ে গবেষণা করার সময় আমি এই রত্নটিতে হোঁচট খেয়েছি: http://wiki.debian.org/subkeys ।

ডেবিয়ানের উইকি সাবকিজ সহ একটি মাস্টার কী ব্যবহার করে বিকল্প # 2 (ওপি দেখুন) কীভাবে প্রয়োগ করতে হবে তা ব্যাখ্যা করে এবং ব্যাকআপ মিডিয়ামে (উদাহরণস্বরূপ ফ্ল্যাশ ড্রাইভ) সংরক্ষণ করার পরে কোনও সিস্টেম থেকে মাস্টার কী কীভাবে সরিয়ে ফেলা যায় তা আরও ব্যাখ্যা করে। সাবকিগুলি তারপরে প্রতিটি ডিভাইসে আমার কীরিংগুলির মধ্যে বিতরণ করা যায়।

পেশাদাররা:

1. মাস্টার কী সুরক্ষিত করতে মূলত পাসওয়ার্ডের উপর নির্ভর করে না,

2. যদি কোনও সিস্টেমের সাথে আপোস করা হয় তবে মাস্টার কীটি তত্ক্ষণাত উপলভ্য হবে না (যদি না আমি বোকামি দিয়ে আমার ফ্ল্যাশ ড্রাইভটি প্লাগ ইন না রেখে বা বলেনি ড্রাইভকে আপোসড সিস্টেমে সংযুক্ত না করি),

3. এটি দেবিয়ান উন্নয়ন দল বাস্তবায়িত একটি অনুশীলন।

4. GnuPG এর সাবকি বৈশিষ্ট্য ব্যবহার করে। আপনার কীরিংয়ের উপর একগুচ্ছ আলগা কী থাকার চেয়ে কিছুটা বেশি সংগঠিত বলে মনে হচ্ছে, হ্যাঁ?

দেবিয়ান সাবকি উইকি থেকে প্রাসঙ্গিক অংশ

1. আপনার বিদ্যমান GnuPG ফাইলগুলির ব্যাকআপ নিন (OME HOME / .gnupg)। তাদের সুরক্ষিত রাখুন। নিম্নলিখিত পদক্ষেপগুলির সময় যদি কিছু ভুল হয়ে যায়, তবে কোনও পরিচিত ভাল জায়গায় ফিরে যাওয়ার জন্য আপনার এটির প্রয়োজন হতে পারে। (দ্রষ্টব্য: umask 077 ব্যাকআপের জন্য সীমাবদ্ধ অনুমতিগুলির ফলাফল করবে))

   • umask 077; tar -cf $HOME/gnupg-backup.tar -C $HOME .gnupg

2. স্বাক্ষর করার জন্য একটি নতুন সাবকি তৈরি করুন।

   • আপনার মূল আইডি সন্ধান করুন: gpg --list-keys yourname
   • gpg --edit-key YOURMASTERKEYID
   • এ gpg>প্রম্পট:addkey
   • এটি আপনার পাসফ্রেজের জন্য জিজ্ঞাসা করে, এটিকে টাইপ করুন।
   • "আরএসএ (কেবলমাত্র সাইন ইন)" কী প্রকারটি চয়ন করুন।
   • 4096 (বা 2048) বিট কী আকার চয়ন করা বুদ্ধিমানের কাজ হবে।
   • একটি মেয়াদ উত্তীর্ণের তারিখটি চয়ন করুন (আপনি মাস্টার কীগুলির চেয়ে আপনার সাবকিগুলিকে আরও ঘন ঘন ঘোরান, বা কোনও মেয়াদ ছাড়াই মাস্টার কী-র জীবনকাল ধরে রাখতে পারেন)।
   • GnuPG (শেষ পর্যন্ত) একটি কী তৈরি করবে, তবে এটি করার জন্য আপনাকে এন্ট্রোপির জন্য অপেক্ষা করতে হতে পারে।
   • কীটি সংরক্ষণ করুন: save

3. আপনি এটির পুনরাবৃত্তি করতে পারেন এবং আপনার পছন্দ হলে একটি "আরএসএ (কেবলমাত্র এনক্রিপ্ট)" সাব কী তৈরি করতে পারেন।

4. এখন $HOME/.gnupgআপনার ইউএসবি ড্রাইভে অনুলিপি করুন ।

5. এখানে জটিল অংশ আসে। আপনাকে প্রাইভেট মাস্টার কী সরিয়ে ফেলতে হবে এবং দুর্ভাগ্যক্রমে GnuPG এটি করার জন্য কোনও সুবিধাজনক উপায় সরবরাহ করে না। আমাদের সাবকি রফতানি করতে হবে, ব্যক্তিগত কী সরিয়ে ফেলতে হবে এবং সাবকিটিকে আবার আমদানি করতে হবে।

   • সাবকিগুলি রফতানি করুন: gpg --export-secret-subkeys YOURMASTERKEYID >secret-subkeys( কোন সাবকিগুলি রফতানি করতে হবে তা চয়ন করতে, প্রত্যেকে বিস্মৃত চিহ্ন সহ অনুসরণ করা সাবকি আইডি নির্দিষ্ট করুন gpg --export-secret-subkeys SUBKEYID! [SUBKEYID! ..]:)
   • আপনার মাস্টার সিক্রেট কীটি সরান: gpg --delete-secret-key YOURMASTERKEYID
   • সাবকিগুলি ফেরত আমদানি করুন: gpg --import secret-subkeys
   • যাচাই করুন যা আপনার ব্যক্তিগত কী-এর পরিবর্তে gpg -Kএকটি প্রদর্শন করে । তার মানে গোপন কীটি আসলে সেখানে নেই। (এর আউটপুটে একটি ডামি ওপেনজিপি প্যাকেটের উপস্থিতিও দেখুন )।sec#secgpg --export-secret-key YOURMASTERKEYID | gpg --list-packets
   • বৈকল্পিকভাবে, পাসফ্রেজ subkeys রক্ষা পরিবর্তন করুন: gpg --edit-key YOURMASTERKEYID passwd। (দ্রষ্টব্য যে ব্যাকআপে প্রাইভেট কী উপাদান, প্রাইভেট মাস্টার কী সহ, পুরানো পাসফ্রেজ দ্বারা সুরক্ষিত থাকবে))

আপনার কম্পিউটার এখন সাধারণ ব্যবহারের জন্য প্রস্তুত।

যখন আপনাকে মাস্টার কীগুলি ব্যবহার করতে হবে, এনক্রিপ্ট করা ইউএসবি ড্রাইভটি মাউন্ট করুন এবং GNUPGHOME পরিবেশের পরিবর্তনশীল সেট করুন:

export GNUPGHOME=/media/something
gpg -K

অথবা --home কমান্ড-লাইন আর্গুমেন্ট ব্যবহার করুন:

gpg --home=/media/something -K

পরবর্তী কমান্ডটি এখন আপনার ব্যক্তিগত কী তালিকাভুক্ত করবে secএবং না করে sec#।

সমস্ত মেশিনের জন্য একক একক সাবকি মেশিন প্রতি একাধিক সাবকি

ডেবিয়ান সাবকি উইকি থেকে অংশ। মূলত মন্তব্যে উল্লিখিত। [প্যারাফ্রেসিং] এবং জোর আমার।

একজনকে মেশিনে একটি করে সাবকি প্রলুব্ধ করতে পারে যাতে আপনাকে কেবল সেই মেশিনের সম্ভাব্য আপোসড সাবকি বদলাতে হবে। সমস্ত মেশিনে একটি একক সাবকি ব্যবহারের ক্ষেত্রে, সমস্ত মেশিনে এটির বিনিময় করা দরকার [যখন সেই একক সাবকি বা আপোশ করার আশংকা করা হয়]।

তবে এটি কেবল সাবকিগুলিতে স্বাক্ষর করার জন্য কাজ করে । আপনার যদি একাধিক এনক্রিপশন সাবকি থাকে তবে gpg কেবলমাত্র অতি সাম্প্রতিক এনক্রিপশন সাবকির জন্য এনক্রিপ্ট করতে বলা হয় এবং সমস্ত পরিচিত এবং বাতিল হওয়া এনক্রিপশন সাবকিগুলির জন্য নয়।

ব্যর্থতার একক পয়েন্টও (মাস্টার কী এবং বিশেষত পাসওয়ার্ড সহ ) পছন্দ করেন না এমন কেউ হিসাবে , আমি এইভাবেই এটি করব। এটি ডিভাইসগুলিকে বিশ্বাসের ওয়েবের মাধ্যমে পরিচালনা করার অনুমতি দেয়, যখন এখনও বিকেন্দ্রীভূত পরিচয় দেয়।

আমি জানি না এর জন্য ইতিমধ্যে একটি বিদ্যমান সিস্টেম আছে কিনা, তবে আমি মনে করি এটি সম্ভবত একটি ক্রোন জব এবং বাশের কয়েকটি লাইনের সাথে একসাথে স্ক্রাবলড হতে পারে।

এই সিস্টেমে আপনার দুটি কিপাইর ক্লাস রয়েছে: ডিভাইস কীপেইস এবং টাইমফ্রেম কীপেইস । প্রতিটি ডিভাইসে ব্যবহারকারীর জন্য একটি ডিভাইস কিপায়ার তৈরি করা হয় এবং তার জীবনকালে সেই ডিভাইসে থাকে। একটি সময়সীমার কী জুটি রুটিন অন্তর একটি কেন্দ্রীয় সার্ভার দ্বারা উৎপন্ন হয় (মাসিক, দৈনিক, ঘনঘন - কিভাবে ভীতু আপনি হতে চান উপর নির্ভর করে)। সর্বজনীন কীটি সর্বজনীনভাবে ঘোষণা করা হয়েছে (সার্ভারটিতে স্বাক্ষর করার জন্য তার নিজস্ব ডিভাইস কী রয়েছে) এবং এই কীটিতে অ্যাক্সেস থাকা বোঝাতে প্রতিটি ডিভাইসের পাবলিক কী দিয়ে এনক্রিপ্ট করা ব্যক্তিগত কী সরবরাহ করা হয়। (এই বিতরণটি যথাসম্ভব ব্যক্তিগত হওয়া উচিত, যেমন ডিভাইসগুলি সরাসরি সার্ভারের সাথে সংযোগ স্থাপন করা))

বার্তাগুলি সই করার জন্য, আপনি যেই ডিভাইস থেকে বার্তা পাঠাচ্ছেন তার ডিভাইস কী ব্যবহার করবেন। যদি কেউ আপনাকে একটি বার্তা প্রেরণ করতে চায় তবে তারা এটি আপনার বর্তমান সার্বজনীন সময়সীমার কী দিয়ে স্বাক্ষর করতে পারে। (তাদের কাছে ঘোষণাপত্র রাখার জন্য একটি স্বয়ংক্রিয় সিস্টেম থাকা উচিত)) এরপরে আপনি কোনও ডিভাইস থেকে তাদের বার্তাটি পড়তে পারেন read

পুরানো এনক্রিপ্ট করা বার্তাগুলি পড়ার জন্য, উপযুক্ত কৌশল অনুসারে প্রতিটি ডিভাইসে পুরানো টাইমফ্রেম কী-পেয়ারগুলি ব্যাক আপ করা হয় (টাইমফ্রেম-কি-পেয়ার-উত্পাদক সার্ভার সহ, যদি আপনি চান - আবার আপনার প্যারানিয়া স্তরের উপর নির্ভর করে), যেখানে আপনার অন্য সেট রয়েছে পুরানো কীগুলি সুরক্ষিত পাসওয়ার্ড-সুরক্ষিত কীপাইয়ারগুলির (যদিও আপনাকে মনে রাখতে স্বাচ্ছন্দ্য বোধ হয় এমন সময়ে অনেকগুলি পাসওয়ার্ড সহ)।

যদি কোনও ডিভাইস চুরি হয়ে যায় বা অন্যথায় আপস করা হয়, তবে আপনি নিজের পরিচয় যাচাই করার জন্য সর্বজনীন-স্বাক্ষরিত বার্তা তৈরি করতে আপনার আর একটি প্রকাশ্য-বিশ্বাসযোগ্য ডিভাইস ব্যবহার করতে পারেন (যে কোনও উপায়ে যেমন, উদাহরণস্বরূপ আপনি জনসাধারণের সাথে মিলিত হবেন এবং / অথবা বা কোনও বিশ্বস্ত বন্ধু থাকার কারণে আপনাকে ব্যক্তিগতভাবে যাচাই করা যায়) এবং আপস করা ডিভাইস কী এবং এতে অ্যাক্সেস থাকা কোনও টাইমফ্রেম কীগুলি প্রত্যাহার করে। কীটি প্রত্যাহার করার সময়, আপনি বিশ্বস্ত ডিভাইসের সার্ভারের তালিকা (একটি পাসওয়ার্ড এবং আপনার বিশ্বস্ত ডিভাইস কী সহ) থেকে চুরি হওয়া ডিভাইসটিও সরিয়ে দিন।

সদ্য ঘোষিত ডিভাইস কীগুলিতে বিশ্বাসের নীতিটি বর্তমান বিশ্বাস নীতিগুলির মতো কিছু অনুসরণ করা উচিত- আমি বিশ্বাস করি যে উত্সাহিত সার্ভার, একটি মোবাইল ডিভাইস এবং একটি বড়-ভারী ডিভাইসকে বিশ্বাস করা একটি উপযুক্ত নীতি, কারণ এটি চুরি / অনুপ্রবেশ করা কঠিন believe ব্যবহারকারীর নোটিশের আগে একটি কনসেন্টেড হিস্টে কোনও ব্যবহারকারীর ফোন, একটি ডেস্কটপ পিসি এবং ভিপিএস।

যদি আপনার সার্ভার আপোস করা হয় তবে আপনি কেবল অন্য যে কোনও আপসড ডিভাইসটির জন্য বর্ণিত একই পদ্ধতিটি (এটি সম্ভবত একটি নতুন ডিভাইস যুক্ত করার মতো শক্তিশালী নীতিমালার সাহায্যে) প্রত্যাহার করে নিন এবং পুনরায় সুরক্ষিত বা সম্পূর্ণ নতুন সার্ভার ব্যবহার করুন (একটি দিয়ে নতুন ডিভাইস কিপায়ার) এগিয়ে যাচ্ছে।