GNU Privacy Guard
GNU Privacy Guard (GnuPG або GPG) — відкритий програмний засіб для шифрування та цифрового підписування даних, вільний аналог Pretty Good Privacy (PGP). GnuPG повністю сумісний із стандартами OpenPGP (RFC-4880 організації IETF) і S/MIME, і надає утиліти для шифрування даних, роботи з електронними підписами, управління ключами і доступу до публічних сховищ ключів.
Тип | криптографія |
---|---|
Автор | Вернер Кох[1] |
Розробник | Проект GNU |
Стабільний випуск | 2.3.4 (20 грудня 2021 ) |
Операційна система | багатоплатформний |
Мова програмування | C[2] |
Ліцензія | GNU General Public License version 3 |
Онлайн-документація | gnupg.org/documentation/manuals/gnupg/ |
Репозиторій | dev.gnupg.org/source/gnupg.git |
Вебсайт | www.gnupg.org |
Початковий код GnuPG розповсюджується на умовах ліцензії GNU GPL версії 3, і є проектом Free Software Foundation.
Застосування GnuPG
ред.GPG вже досяг рівня стабільного, готового до використання програмного забезпечення. Його часто включають до складу вільних операційних систем, таких як FreeBSD, OpenBSD, NetBSD та майже всіх дистрибутивів Лінукс. GPG також доступний в операційних системах сімейства Microsoft Windows.
Принцип дії
ред.GPG зашифровує повідомлення, використовуючи асиметричні алгоритми та згенеровані користувачем ключі. Отримані відкриті ключі можуть обмінюватись різноманітними шляхами, наприклад, через сервери ключів. Обмін відкритих ключів слід виконувати дуже уважно, аби уникнути підміни ідентичності відправника під час надсилання ключа. Також можливо додавати цифровий підпис до листів для того, щоб можна було підтвердити цілісність повідомлення та автентичність відправника.
В GPG не використовуються ні запатентовані, ні обмежені в інший спосіб алгоритми, включаючи алгоритм шифрування IDEA, який підтримувався в PGP майже з самого початку. Замість цього, використовуються інші, не запатентовані алгоритми, такі як CAST5, Triple DES, AES, Blowfish та Twofish. Але, все ще існує можливість використання алгоритму IDEA в GPG при завантаженні та установці відповідного розширення, однак, це може вимагати отримання ліцензії для деяких застосувань в деяких країнах, в яких IDEA запатентовано.
GPG є програмою з гібридним шифруванням, в тому сенсі, що для підвищення швидкості роботи використовуються симетричні алгоритми шифрування, та асиметричні алгоритми шифрування для полегшення процедури обміну ключами, як правило, використовуючи відкритий ключ отримувача повідомлення для шифрування ключа сеансу, який використовується лише один раз. Цей режим роботи є частиною стандарту OpenPGP, і використовувався в PGP, починаючи з його першої версії.
Сумісність з PGP
ред.Поточні версії PGP сумісні з GPG та іншими системами, що втілюють стандарт OpenPGP. Хоча, деякі старі версії PGP також працюють із GPG, не всі можливості нових версій програмного забезпечення підтримуються в старих версіях. Тому слід знати про ці можливі несумісності та враховувати їх при обміні даними між різними програмами.
Уразливості
ред.Efail
ред.У травні 2018 року група дослідників з Європи поширили попередження про виявлені ними дві вразливості у поширених поштових клієнтах. Обидві вразливості можуть бути реалізовані за умови атаки «людина посередині» та якщо в поштовому клієнті увімкнено підтримку перегляду HTML. Перша уразливість, при цьому, дозволяє зловмиснику отримувати розшифрований шифротекст[3].
Efail не є вразливістю самої OpenPGP чи GPG, і натомість працює шляхом «обгортання» шифротексту тегами img
, в атрибут src
яких вклеюється сам шифротекст. Таким чином після дешифрування в поштовому клієнті, клієнт здійснює запит в мережу, який містить в URL розшифроване повідомлення.
Для поширення інформації про уразливості був створений вебсайт efail.de [Архівовано 14 травня 2018 у Wayback Machine.].
Див. також
ред.- libgcrypt — бібліотека з реалізацією механізмів GnuPG
- Pretty Good Privacy
- Асиметричні алгоритми шифрування
- Криптосистема
- Enigmail — розширення для Mozilla Thunderbird яке дозволяє шифрувати та підписувати електронні листи.
Примітки
ред.- ↑ Free Software Directory
- ↑ https://www.openhub.net/p/gnupg/analyses/latest/languages_summary
- ↑ DANNY O'BRIEN, GENNIE GEBHART (13 травня 2018). Attention PGP Users: New Vulnerabilities Require You To Take Action Now. EFF. Архів оригіналу за 15 травня 2018. Процитовано 15 травня 2018.
Посилання
ред.- вебсайт GNU Privacy Guard [Архівовано 6 січня 2019 у Wayback Machine.]
- GnuPG Keysigning Party HOWTO
- GnuPG's ElGamal signing keys compromised [Архівовано 18 березня 2004 у Wayback Machine.] — повідомлення про злам ключів ElGamal GnuPG.
- Пояснення шифрування PGP/GPG на прикладі Mailvelope
Це незавершена стаття про програмне забезпечення. Ви можете допомогти проєкту, виправивши або дописавши її. |
Це незавершена стаття з криптографії. Ви можете допомогти проєкту, виправивши або дописавши її. |