SKŁADNIA

pgp [opcje] plikpgp

pgp -e [opcje] plik użytkownik ...

OPIS

PGP (Pretty Good Privacy) jest pakietem szyfrowania kluczem publicznym, który pozwala chronić wiadomości E-mail i pliki danych. Pozwala ci on bezpiecznie komunikować się z ludźmi nigdy wcześniej nie poznanymi, bez żadnych bezpiecznych kanałów służących do wymiany kluczy. Jest on całkiem nieźle uposażony i szybki, z wymyślnym mechanizmem zarządzania kluczami, cyfrowymi podpisami, kompresją danych i o dobrym, ergonomicznym wyglądzie.

  Jeśli naprawdę chcesz się nauczyć w jaki sposób używać go właściwie to chyba najodpowiedniejszym będzie przeczytać pełną dokumentację dostarczaną razem z systemem, która jest bardzo szczegółowa. To jest podręcznik typu "szybki start"; jest to taki niekompletny niezbędnik, który zapozna cię z większością podstawowych założeń, włączając w to niektóre zagadnienia związane z kryptografią z wykorzystaniem kluczy publicznych.

Terminologia

id użytkownika: ciąg znaków ascii używany do zidentyfikowania użytkownika. Identyfikator użytkownika może wyglądać na przykład tak: "Paweł W. Siewca <[email protected]>"; proszę próbować trzymać się tego formatu. Kiedy podajesz identyfikator użytkownika do PGP to powinieneś wyspecyfikować jakiś unikatowy podciąg tekstowy (duże i małe litery traktowane są tak samo), np.: paweł, albo pws@xyz.

fraza kodująca: tajny ciąg używany do konwencjonalnego kodowania twojego prywatnego klucza. Ważne jest by była ona trzymana w sekrecie.

pęk kluczy: plik zawierający zbiór tajnych lub publicznych kluczy. Domyślne nazwy dla publicznych i tajnych pęków kluczy to odpowiednio "pubring.pgp" i "secring.pgp".

pancerz ascii: format określany mianem ascii radix 64 - PGP używa go do transmitowania wiadomości poprzez kanały takie jak E-mail; w zamyśle podobne do kodowania uuencode.

Krótkie omówienie poleceń

By ujrzeć krótki opis użycia komendy dla PGP napisz po prostu:
pgp -h

By zaszyfrować zwykły plik używając klucza publicznego odbiorcy:
pgp -e plik_tekstowy czyjś_id ...
      By podpisać zwykły plik używając swojego klucza prywatnego:
pgp -s plik_tekstowy [-u twój_id]
 

By podpisać zwykły plik twoim kluczem prywatnym, a potem zaszyfrować go używając publicznego klucza odbiorcy:
pgp -es plik_tekstowy czyjś_id ... [-u twój_id]
        By stworzyć odłączony od dokumentu certyfikat podpisu:
pgp -sb plik_tekstowy [-u twój_id]
       By zaszyfrować zwykły plik używając konwencjonalnego szyfrowania napisz:
pgp -c plik_tekstowy
       By rozszyfrować zakodowany plik lub sprawdzić wiarygodność podpisu cyfrowo podpisanego zbioru:
pgp zaszyfrowany_plik [-o plik_tekstowy]

By ujrzeć krótki opis poleceń PGP służących do zarządzania kluczami napisz:
pgp -k

By wygenerować swoją unikatową parę kluczy publiczny/prywatny:
pgp -kg
       By dodać do publicznego lub tajnego pęku kluczy klucz publiczny lub prywatny zawarty w pliku:
pgp -ka plik_klucza [pęk_kluczy]
       By usunąć klucz z publicznego pęku kluczy:
pgp -kr id_użytkownika [pęk_kluczy]

By wyłuskać (skopiować) klucz z twojego publicznego lub prywatnego pęku kluczy:
pgp -kx[a] id_użytkownika plik_klucza [pęk_kluczy]
       By przejrzeć zawartość twojego publicznego pęku kluczy:
pgp -kv[v] [id_użytkownika] [pęk_kluczy]
       By ujrzeć "odcisk palca" publicznego klucza, by móc zweryfikować go telefonicznie z właścicielem:
pgp -kvc [id_użytkownika] [pęk_kluczy]

By ujrzeć zawartość i sprawdzić podpisy uwiarygadniające swojego publicznego pęku kluczy:
pgp -kc [id_użytkownika] [pęk_kluczy]
       By zmodyfikować frazę kodującą lub dodać identyfikator użytkownika do klucza prywatnego:
pgp -ke id_użytkownika [pęk_kluczy]

By zmodyfikować poziom zaufania dla klucza publicznego:
pgp -ke id_użytkownika [pęk_kluczy]
       By usunąć klucz lub po prostu identyfikator użytkownika ze swojego pęku kluczy publicznych:
pgp -kr id_użytkownika [pęk_kluczy]

By podpisać i uwiarygodnić czyjś klucz publiczny przechowywany w pęku kluczy publicznych:
pgp -ks czyjś_id [-u twój_id] [pęk_kluczy]
       By usunąć wyszczególnione podpisy użytkownika z pęku kluczy:
pgp -krs id_użytkownika [pęk_kluczy]
       Opcje komendy, które mogą być użyte w kombinacji z innymi opcjami (czasem nawet literując ciekawe słowa):
       By wyprodukować zaszyfrowany zwykły plik w formacie ASCII radix-64, po prostu dodaj opcję -a podczas szyfrowania lub podpisywania wiadomości lub wyłuskiwania klucza:
pgp -sea plik_tekstowy czyjś_id
pgp -kxa id_użytkownika plik_klucza [pęk_kluczy]
       By wyczyścić zwykły plik zaraz po wytworzeniu pliku zaszyfrowanego dodaj po prostu opcję -w (wipe) podczas szyfrowania lub podpisywania wiadomości:
pgp -sew wiadomość.txt czyjś_id

By określić, że zwykły plik zawiera tekst ASCII, nie binaria i powinien być konwersowany do sposobu zapisu linii tekstu odbiorcy dodaj opcję -t (text) do innych opcji:
pgp -seat wiadomość.txt czyjś_id
       By przeglądnąć rozszyfrowane wyjście tekstu na ekranie (jak w Unixowej komendzie "more"), bez zapisywania do pliku, użyj opcji -m (more) podczas deszyfrowania:
pgp -m zaszyfrowany_plik
       By określić, że rozszyfrowany przez odbiorcę tekst będzie można tylko obejrzeć na ekranie, a nie zapisać do pliku zapodaj opcję -m
pgp -steam wiadomość.txt czyjś_id
       By przywrócić oryginalną nazwę pliku tekstowego podczas rozszyfrowywania wytypuj opcję -p
pgp -p zaszyfrowany_plik
       By użyć trybu filtrów w stylu Unixa, odczytywanie ze standardowego wejścia i zapis na standardowe wyjście podaj opcję -f
pgp -feast czyjś_id <plik_wejściowy >plik_wyjściowy
      

Plik Konfiguracyjny

PGP używa konfiguracyjnej bazy danych, która jest przechowywana w pliku "config.txt"; spójrz proszę w dokumentację po więcej szczegółów. Puste linie i linie zaczynające się od "#" to komentarze. Opcje przyjmują wartości liczbowe, logiczne, mogą też być ciągami tekstowymi. Wartości logiczne to "on" i "off". Opcje te mogą być także wyspecyfikowane w linii komend przy użyciu takiej składni jak np.: +armor=on. Słowa kluczowe mogą być połączone z unikatowymi przedrostkami. Słowa kluczowe nie są czułe na wielkość liter. "=on" jest domyślnie dodawane do opcji logicznych jeśli nic nie zostało podane.

Troszeczkę wyjaśnień:

MYNAME - Domyślny Identyfikator Użytkownika do Tworzenia Podpisów
       Wartość domyślna: MYNAME = ""
       Parametr konfiguracyjny MYNAME określa nam domyślny ID użytkownika, którego używamy przy wyborze klucza prywatnego podczas stwarzania podpisów. Gdy MYNAME jest nieokreślone, to używany jest zainstalowany przez ciebie i najczęściej używany klucz prywatny. Użytkownik może także przeciążyć to ustawienie poprzez podanie identyfikatora użytkownika w linii komend z opcją -u

TEXTMODE - Przyjęcie, że Szyfrowany Tekst jest Plikiem Tekstowym
       Wartość domyślna: TEXTMODE = off
       Parametr konfiguracyjny TEXTMODE jest odpowiednikiem opcji -t wydanej z linii poleceń. Jeśli jest włączony to sprawia, że PGP zakłada iż wprowadzane dane są czystym plikiem tekstowym, nie binarnym, i przekształca go do postaci "tekstu kanonicznego" przed szyfrowaniem. Tekst kanoniczny ma znak powrotu karetki i znak nowej linii na końcu każdej linii tekstu.

Tryb ten jest wyłączany automatycznie jeśli PGP wykryje, że zwykły plik zawiera binarne, 8-bitowe dane. Jest wobec tego bezpiecznym pozostawienie tej opcji włączonej przez cały czas.

ARMOR - Włącz Opancerzone Wyjście ASCII

Wartość domyślna: ARMOR = off

Parametr konfiguracyjny ARMOR jest odpowiednikiem opcji -a podanej w linii komend. Jeśli jest włączony to sprawia, że PGP emituje zaszyfrowany tekst lub klucze w formacie ASCII Radix-64 odpowiednim do przesyłania poprzez kanały poczty elektronicznej. Pliki wyjściowe są nazywane przy użyciu rozszerzenia ".asc".

Jeśli zamierzasz używać PGP głównie do poczty elektronicznej może być dobrym pomysłem by włączyć ten parametr.

ARMORLINES - Rozmiar Wieloczęściowych Plików Pancerza ASCII

Wartość domyślna: ARMORLINES = 720

Przy większych plikach pancernego ASCII, PGP podzieli je na pliki o nazwach ".asc1", ".asc2", ".asc3", itd. by nie zapychać programów przesyłających pocztę, co zaczyna się dziać zwykle przy około 50,000 bajtów. Ten parametr pozwala nam określić liczbę (64-bajtowych) linii jakie należy umieścić w każdym z plików. Jeśli ustawimy na 0, PGP nie będzie dzielić naszych plików z pancernym ASCII.

CLEARSIG - Włącz Czysto-Podpisane Wyjście

Wartość domyślna: CLEARSIG = on

Normalnie, wiadomość cyfrowo podpisana i ASCII-opancerzona jest nieczytelna, nawet gdy tekst nie jest szyfrowany. Zapobiega to niszczeniu zawartości przez programy obsługujące pocztę, lecz by zwyczajnie odczytać wiadomość wymagany jest PGP.

Jeśli włączymy CLEARSIG, to podczas podpisywania i uzbrajania-ASCII pliku tekstowego PGP używa odmiennego formatu, który załącza czysty tekst w formie czytelnej dla człowieka. Linie zaczynające się od "-" są cytowane za pomocą "- ". By współpracować z niektórymi najgłupszymi na świecie programami do obsługi poczty linie zaczynające się od "From" są także cytowane i w liniach usuwane są początkowe spacje. PGP usunie cytowanie jeśli użyjesz go do odszyfrowania wiadomości, lecz nie zostaną odzyskane początkowe spacje. Opcja ta jest jeszcze na tyle użyteczna by była domyślnie włączona.

ENCRYPTTOSELF - Dodaj MYNAME do Listy Odbiorców

Wartość domyślna: ENCRYPTTOSELF = off

Jeśli jest to włączone to MYNAME będzie dołączone do listy odbiorców każdej wiadomości, którą szyfrujesz kluczem publicznym. W takim wypadku MYNAME jest szukane w pęku kluczy publicznych, jest to potrzebne by jednoznacznie określić właściwy klucz.

LANGUAGE - Używany Język

Wartość domyślna: LANGUAGE = en

Jeśli chcesz używać odmiennego języka i jego tłumaczenie są w pliku language.txt, to ustawienie tej opcji sprawi, że wiadomości PGP będą się pojawiać w innym języku. Jeśli tłumaczenie dla wiadomości jest niedostępne to wiadomość ta pojawi się w języku angielskim.

Jeśli szukasz czegoś na temat zaopatrywania się w plik language.txt, to jego format powinien być dla ciebie oczywisty.

CHARSET - Zestaw Znaków

Wartość domyślna: CHARSET = noconv

PGP próbuje przetłumaczyć wszystkie wiadomości trybu tekstowego na alfabet ISO Latin-1, albo na alfabet KOI-8 dla cyrylicy. Ustawienie to wskazuje drugorzędny zestaw znaków, tak więc PGP może dokonać odpowiedniej translacji. Opcjami mogą być noconv, latin1 lub koi8, wskazujące, że nie jest potrzebna żadna translacja; cp850, wskazujące, że powinna być użyta strona kodowa IBM PC 850; ascii, wskazujące, że powinien być użyty minimalny podzestaw znaków ASCII; i alt_codes, wskazujące, że dla cyrylicy powinny być użyte alternatywne kody IBM PC.

KEEPBINARY - Zachowaj Pośrednik Plik .pgp

Wartość domyślna: KEEPBINARY = off

Jeśli włączymy KEEPBINARY, wtedy PGP wyprodukuje plik .pgp jako dodatek do pliku .asc jeśli włączone jest opancerzone ASCII.

TMP - Tymczasowy katalog plików

Wartość domyślna: TMP = ""

PGP tworzy pliki tymczasowe podczas rozszyfrowywania wiadomości. Jest to katalog, w którym są one przechowywane. Jeśli nie jest podany w pliku konfiguracyjnym to używana jest zmienna środowiskowa TMP, albo katalog bieżący. Dopomaga bezpieczeństwu jeśli nie jest katalog ten nie jest publicznie odczytywalny. Lokalny system plików też może być dobrym pomysłem.

COMPRESS - Kompresuj Tekst Przed Szyfrowaniem

Wartość domyślna: COMPRESS = on

PGP zwykle kompresuje plik zanim go zaszyfruje, więc będzie mniej do szyfrowania i wysyłany przez ciebie plik będzie mniejszy. Utrudnia to także analizę kryptograficzną. Opcja ta jest najczęściej wyłączana jedynie ze względów odpluskwiania.

PAGER - Wybierz Komendę Powłoki by Wyświetlać Wyjście Pagera

Wartość domyślna: PAGER = ""

Jeśli ustawione, PGP użyje podanego programu by przeglądać pliki kiedy podano opcję -m w linii komend. Domyślnie, PGP użyje prostego pagera wewnętrznego.

SHOWPASS - Wyświetlaj Frazę Kodującą Podczas Wprowadzania

Wartość domyślna: SHOWPASS = off

Jeśli ktoś nie jest w stanie wprowadzić długą frazę bez oglądania jej na ekranie, może żyć tej opcji, kosztem bezpieczeństwa oczywiście.

INTERACTIVE - Zapytaj Przed Dodaniem Każdego Klucza

Wartość domyślna: INTERACTIVE = off

Domyślnie, gdy podany plik zawiera nowe klucze, PGP spyta, czy chcesz je dodać do swojego pęku kluczy publicznych. Odkąd dodawanie kluczy wcale nie implikuje tego, że masz do nich zaufanie, dodawanie nowych jedynie marnuje miejsce. Jeśli ta opcja jest ustawiona PGP upewnia się w związku z dodaniem każdego klucza z pliku z kluczami.

VERBOSE - Poziom Szczegółowości Wydruku

Wartość domyślna: VERBOSE = 1

Gdy jest ustawione na 0 to PGP wypisuje tylko wiadomości, które są potrzebne, lub które wskazują jakiś błąd. Gdy ustawimy 2 to PGP wypisze nam znaczenie całej zawartości informacji "odpluskwiającej" o tym, co aktualnie jest wykonywane. Wartości większe niż 2 nie dają żadnych efektów.

PUBRING - Lokalizacja Publicznego Pęku Kluczy

Wartość domyślna: PUBRING = $PGPPATH/pubring.pgp

To jest nazwa ścieżkowa prowadząca do używanego pęku kluczy publicznych.

SECRING - Lokalizacja Prywatnego Pęku Kluczy

Wartość domyślna: SECRING = $PGPPATH/secring.pgp

To jest nazwa ścieżkowa prowadząca do używanego pęku kluczy prywatnych.

BAKRING - Kopia Zapasowa Prywatnego Pęku Kluczy

Wartość domyślna: BAKRING = ""

Jeśli jest ustawione, to podczas sprawdzania twojego pęku kluczy (pgp -kc), PGP porówna zwykły pęk kluczy prywatnych z podaną kopią zapasową, przechowywaną zazwyczaj na chronionym przed zapisem, wymiennym nośniku. Służy to ochronie przeciwko "hurtowym" modyfikacjom twoich pęków kluczy przy użyciu ataku bazującego na podszywaniu się.

RANDSEED - Plik z Zarodkiem Losowej Wartości

Wartość domyślna: RANDSEED = $PGPPATH/randseed.bin

Jest to ścieżka dostępu do pliku zawierającego zarodek losowości, którego PGP używa w swoim algorytmie generowania liczb losowych do wytwarzania kluczy sesji. Ten plik powinien być chroniony przed przypadkowym odkryciem, ponieważ jest częścią procesu, podczas którego PGP dąży do wielkich długości by użyć możliwie najlepszego dostępnego źródła losowości przy generowaniu kluczy sesji.

COMMENT - Komentarz Opancerzonego ASCII

Wartość domyślna: COMMENT = ""

Jeśli nie jest ciągiem pustym to wartość tej zmiennej jest umieszczana w nagłówkach plików opancerzonego ASCII, poprzedzona słowem "Comment: ".

LEGAL_KLUDGE - Niekompatybilność z PGP w wersji innej niż 2.6

Wartość domyślna: LEGAL_KLUDGE = on

Jeśli to ustawimy to PGP będzie generować klucze w nowym formacie, który nie może być odczytany przez wersję 5.2 i wcześniejsze.

Certyfikacja Klucza

PGP używa takiego systemu, że użytkownicy mogą specyfikować zaufanych użytkowników, którzy mogą podpisywać publiczne klucze innych ludzi. Jest ważne byś wiedział, jak ten mechanizm działa; pełen opis znajdziesz w dokumentacji.

Ważne: Dokumentacja opisuje także sposób w jaki generować i przesyłać certyfikat "kompromitacji klucza", który mówi czytającym, że twój klucz prywatny został skompromitowany (odkryty - przyp. tłum.). Jeśli twój klucz jest skompromitowany to przeczytaj proszę sekcję podręcznika dotyczącą certyfikatów kompromitacji i tego jak je tworzyć; im szybciej wyślesz certyfikat kompromitacji klucza, tym mniejszą "źli chłopcy" będą mieli sposobność by wysyłać podrobione wiadomości.

Ważne Wskazówki

PGP próbuje automatycznie kompresować twój plik wejściowy; zachodzi więc mały punkt w przed-kompresji wejścia do transmisji.

"Opancerzone ascii" PGP jest potrzebne tylko w przypadku, gdy dane transmitowane są na zewnątrz; przykładowo, jeśli wysyłasz klucz publiczny komuś innemu podpisując go z jakiegoś bliżej nieokreślonego powodu, po prostu "uzbrój" wychodzącą wiadomość; najlepiej podpisać binarną formę klucza.

Inne Języki

PGP jest łatwo konfigurowalne pod kątem różnych wersji językowych (komunikaty błędów i pomocy); zostało ono bowiem przetłumaczone na wiele innych nie-angielskich języków. Po więcej szczegółów przejrzyj w podręczniku opis pliku "language.txt".

PLIKI

*.pgp                          plik zaszyfrowany, podpis, czasem klucz
*.asc                          plik opancerzonego ascii
/usr/local/lib/config.txt      globalny plik konfiguracyjny
$PGPPATH/config.txt            plik konfiguracyjny użytkownika
$PGPPATH/pubring.pgp           publiczny pęk kluczy
$PGPPATH/secring.pgp           prywatny pęk kluczy
$PGPPATH/randseed.bin          plik z zarodkiem losowych liczb
/usr/local/lib/pgp/language.txt
$PGPPATH/language.txt          plik z obcojęzycznymi tłumaczeniami
/usr/local/lib/pgp/pgp.hlp
$PGPPATH/pgp/pgp.hlp           tekstowy plik pomocy
/usr/local/lib/pgp/pgpkey.hlp
$PGPPATH/pgp/pgpkey.hlp        tekstowy plik pomocy zarządzania kluczami

PRZESTROGI

Nie można przekreślać wagi ochrony klucza prywatnego. Każdy kto ma do niego dostęp może fałszować wiadomości pochodzące od ciebie lub czytać adresowaną do ciebie pocztę. Bądź bardzo ostrożny używając PGP na jakimkolwiek systemie wielodostępowym.

Autorzy PGP ufają, że jest to najbardziej bezpieczne oprogramowanie kryptograficzne dostępne publicznie, gdy używa się go zgodnie ze wskazówkami, a przecież każdy zawsze żąda by jego ulubiony system kryptograficzny był bezpieczny. Przeczytaj sekcję podręcznika zatytułowaną "Trusting Snake Oil" i sekcję "Vulnerabilities" by poznać różne sztuczki.

DIAGNOSTYKA

Najczęściej nie wymaga wyjaśnień.

USTERKI

PGP było oryginalnie napisane dla komputera PC i zachowuje się w związku z tym bardzo PCtowo. W szczególności jest to automatyczny wybór plików, rozszerzeń plików, i inne rzeczy całkiem obce środowiskom UNIXowym.

Ta strona man może wymagać odnowień by uwzględniała ostatnie ulepszenia.

AUTORZY

Oryginalnie napisane przez Philipa R. Zimmermanna. Potem rozszerzone przez tysiące innych ludzi.

OGRANICZENIA PRAWNE

PGP 2.6.3i jest wolnodostępne (freeware), i może być używane tylko w celach niekomercyjnych. Tej wersji PGP nie wolno używać na terytorium USA lecz można z powodzeniem użyć jej gdziekolwiek indziej na świecie. Użytkownicy ze Stanów Zjednoczonych powinni w zamian zdobyć kopię MIT PGP 2.6.2 albo zakupić komercyjną wersję 2.7.1 od ViaCrypt.

Po bardziej szczegółową informację dotyczącą licencjonowania PGP, rozpowszechniania, praw kopiowania, patentów, znaków handlowych, ograniczeń prawnych, oraz ograniczeń eksportowych, zapoznaj się z sekcją "Legal Issues" w podręczniku "PGP User's Guide, Volume II: Special Topics".

INFORMACJE O TŁUMACZENIU

Powyższe tłumaczenie pochodzi z nieistniejącego już Projektu Tłumaczenia Manuali i może nie być aktualne. W razie zauważenia różnic między powyższym opisem a rzeczywistym zachowaniem opisywanego programu lub funkcji, prosimy o zapoznanie się z oryginalną (angielską) wersją strony podręcznika.