Privacy is een steeds populairder wordend onderwerp. Op Linux, de gpg Met de opdracht kunnen gebruikers bestanden coderen met behulp van cryptografie met openbare sleutels, in welk geval het verliezen van uw coderingssleutels catastrofaal zou zijn. Hier leest u hoe u een back-up kunt maken.
OpenPGP en GNU Privacy Guard
Een van de voordelen van elektronische bestanden ten opzichte van papieren kopieën is dat u elektronische bestanden kunt versleutelen zodat ze alleen toegankelijk zijn voor geautoriseerde personen. Als ze in verkeerde handen vallen, maakt het niet uit. Alleen jij en de beoogde ontvanger hebben toegang tot de inhoud van de bestanden.
De OpenPGP-standaard beschrijft een systeem van versleuteling dat openbare-sleutelversleuteling wordt genoemd. De GNU Privacy Guard-implementatie van die standaard resulteerde in: gpgeen command-line tool voor het versleutelen en ontsleutelen volgens de standaard.
De standaard schetst een versleutelingsschema met openbare sleutels. Hoewel het “public-key” wordt genoemd, zijn er twee sleutels bij betrokken. Elke persoon heeft een openbare sleutel en een privésleutel. Privésleutels, zoals de naam al doet vermoeden, worden nooit onthuld of doorgegeven aan iemand anders. Openbare sleutels kunnen veilig worden gedeeld. in feite moeten openbare sleutels worden gedeeld om het schema te laten werken.
Wanneer een bestand is versleuteld, worden de privésleutel van de afzender en de openbare sleutel van de ontvanger gebruikt in het coderingsproces. Het bestand kan vervolgens worden afgeleverd bij de ontvanger. Ze gebruiken hun privésleutel en de openbare sleutel van de afzender om het bestand te decoderen.
Openbare en privésleutels worden gegenereerd als een gekoppeld paar en gekoppeld aan een bepaalde identiteit. Zelfs als u geen gevoelig materiaal naar andere mensen verzendt, kunt u het op uw eigen computer gebruiken om een extra beschermingslaag aan privédocumenten toe te voegen.
De codering maakt gebruik van algoritmen en cryptografische functies van wereldklasse. Zonder de juiste openbare en privésleutels kunt u eenvoudigweg niet in versleutelde bestanden komen. En mocht u uw sleutels verliezen, dan geldt dat ook voor u. Nieuwe sleutels genereren helpt niet. Om uw bestanden te decoderen heeft u de sleutels nodig die bij het encryptieproces zijn gebruikt.
Onnodig te zeggen dat het maken van een back-up van uw sleutels van het grootste belang is, net als weten hoe u ze kunt herstellen. Hier leest u hoe u deze taken kunt uitvoeren.
De .gnupg-directory
Uw sleutels worden opgeslagen in een map met de naam “.gnupg” in uw thuismap. In deze map worden ook de openbare sleutels opgeslagen van iedereen die versleutelde bestanden naar u heeft verzonden. Wanneer u hun openbare sleutels importeert, worden ze toegevoegd aan een geïndexeerd databasebestand in die map.
Niets in deze map wordt natuurlijk in platte tekst opgeslagen. Wanneer u uw GPG-sleutels genereert, wordt u om een wachtwoordzin gevraagd. Hopelijk heb je onthouden wat die wachtwoordzin is. Je zult het nodig hebben. De vermeldingen in de map “.gnugp” kunnen niet worden gedecodeerd zonder.
Als we de gebruiken tree hulpprogramma om naar de map te kijken, zien we deze structuur van submappen en bestanden. Je zult vinden tree in de repositories van uw distributie als u deze nog niet op uw computer hebt staan.
tree .gnupg
De inhoud van de mappenboom is:
- openpgp-revocs.d: Deze submap bevat uw intrekkingscertificaat. U hebt dit nodig als uw privésleutel ooit algemeen bekend wordt of anderszins wordt gecompromitteerd. Uw intrekkingscertificaat wordt gebruikt bij het intrekken van uw oude sleutels en het overnemen van nieuwe sleutels.
- privé-sleutels-v1.d: In deze submap worden uw privésleutels opgeslagen.
- pubring.kbx: Een versleuteld bestand. Het bevat openbare sleutels, inclusief die van u, en enkele metadata daarover.
- pubring.kbx~: Dit is een reservekopie van “pubring.kbx.” Het wordt bijgewerkt net voordat wijzigingen worden aangebracht in ‘pubring.kbx’.
- trustdb.gpg: Dit bevat de vertrouwensrelaties die u hebt opgebouwd voor uw eigen sleutels en voor alle geaccepteerde openbare sleutels van andere mensen.
Je zou sowieso regelmatig en frequente back-ups moeten maken van je thuismap, inclusief de verborgen bestanden en mappen. Dat zal vanzelfsprekend een back-up maken van de map “.gnupg”.
Maar misschien denkt u dat uw GPG-sleutels belangrijk genoeg zijn om een periodieke eigen back-up te rechtvaardigen, of misschien wilt u uw sleutels van uw desktop naar uw laptop kopiëren, zodat u ze op beide machines hebt. Jij bent tenslotte jij op beide machines.
Bepalen van welke toetsen een back-up moet worden gemaakt
We kunnen het vragen gpg om ons te vertellen welke sleutels in uw GPG-systeem zitten. We gebruiken de --list-secret-keys opties en de --keyid-format LONG opties.
gpg --list-secret-keys --keyid-format LONG
Er is ons verteld dat GPG in het bestand “/home/dave/.gnupg/pubring.kbx” kijkt.
Niets van wat op het scherm verschijnt, is uw werkelijke geheime sleutel.
- De “sec” (geheime) regel toont het aantal bits in de codering (4096 in dit voorbeeld), de sleutel-ID, de datum waarop de sleutel is gemaakt en “[SC].” De “S” betekent dat de sleutel kan worden gebruikt voor digitale handtekeningen en de “C” betekent dat deze kan worden gebruikt voor certificering.
- De volgende regel is de sleutelvingerafdruk.
- De regel “uid” bevat de ID van de eigenaar van de sleutel.
- De regel “ssb” toont de geheime subsleutel, wanneer deze is gemaakt, en “E.” De “E” geeft aan dat het kan worden gebruikt voor codering.
Als u meerdere sleutelparen heeft gemaakt voor gebruik met verschillende identiteiten, worden deze ook weergegeven. Er is slechts één sleutelpaar om een back-up te maken voor deze gebruiker. De back-up bevat alle openbare sleutels van andere mensen die de eigenaar van deze sleutel heeft verzameld en heeft besloten te vertrouwen.
Ondersteunen
We kunnen ofwel vragen gpg om een back-up te maken van alle sleutels voor alle identiteiten, of om een back-up te maken van de sleutels die aan een enkele identiteit zijn gekoppeld. We maken een back-up van de privésleutel, de geheime sleutel en het vertrouwensdatabasebestand.
Gebruik de om een back-up te maken van de openbare sleutels --export keuze. We gaan ook de gebruiken --export-options backup opties. Dit zorgt ervoor dat alle GPG-specifieke metadata wordt opgenomen, zodat de bestanden correct op een andere computer kunnen worden geïmporteerd.
We specificeren een uitvoerbestand met de --output keuze. Als we dat niet deden, zou de uitvoer naar het terminalvenster worden gestuurd.
gpg --export --export-options backup --output public.gpg
Als u alleen een back-up van de sleutels voor één identiteit wilt maken, voegt u het e-mailadres dat aan de sleutels is gekoppeld toe aan de opdrachtregel. Als je niet meer weet welk e-mailadres het is, gebruik dan de --list-secret-keys optie, zoals hierboven beschreven.
gpg --export --export-options backup --output public.gpg dave@madeupdomain.com
Om een back-up van onze privésleutels te maken, moeten we de --export-secret-keys optie in plaats van de --export keuze. Zorg ervoor dat u deze opslaat in een ander bestand.
gpg --export-secret-keys --export-options backup --output private.gpg
Omdat dit uw privésleutel is, moet u zich verifiëren bij GPG voordat u verder kunt gaan.
Merk op dat je er wordt niet om uw wachtwoord gevraagd. Wat u moet invoeren is de wachtwoordzin die u hebt opgegeven toen u voor het eerst uw GPG-sleutels maakte. Met goede wachtwoordmanagers kunt u dergelijke informatie bewaren als veilige notities. Het is een goede plek om ze op te bergen.
Als de wachtwoordzin wordt geaccepteerd, vindt de export plaats.
Om een back-up van uw vertrouwensrelaties te maken, moeten we de instellingen van uw “trustdb.gpg”-bestand exporteren. We sturen de uitvoer naar een bestand met de naam “trust.gpg”. Dit is een tekstbestand. Het kan worden bekeken met behulp van cat.
gpg --export-ownertrust > trust.gpg
cat trust.gpg
Dit zijn de drie bestanden die we hebben gemaakt.
ls -hl *.gpg
We verplaatsen deze naar een andere computer en herstellen ze. Hiermee wordt onze identiteit op die machine vastgesteld en kunnen we onze bestaande GPG-sleutels gebruiken.
Als je de sleutels niet naar een andere computer verplaatst en je maakt er gewoon een back-up van omdat je er dubbel zeker van wilt zijn dat ze veilig zijn, kopieer ze dan naar een ander medium en bewaar ze veilig. Zelfs als ze in verkeerde handen vallen, is je openbare sleutel toch openbaar, dus daar is geen kwaad mogelijk. En zonder uw wachtwoordzin kan uw privésleutel niet worden hersteld. Maar toch, houd uw back-ups veilig en privé.
We hebben de bestanden gekopieerd naar een Manjaro 21-computer.
ls *.gpg
Standaard gebruikt Manjaro 21 de Z-shell, zsh, daarom ziet het er anders uit. Maar dit maakt niet uit, het heeft geen invloed. Wat we doen wordt geregeerd door de gpg programma, niet de shell.
Om onze sleutels te importeren, moeten we de --import keuze.
gpg --import public.gpg
De details van de sleutel worden weergegeven terwijl deze wordt geïmporteerd. Het bestand “trustdb.gpg” wordt ook voor ons aangemaakt. Het importeren van de privésleutel is net zo eenvoudig. Wij gebruiken de --import optie weer.
gpg --import private.gpg
We worden gevraagd de wachtwoordzin in te voeren.
Typ het in het veld “Wachtzin”, druk op de “Tab”-toets en druk op “Enter”.
De details van de geïmporteerde sleutels worden weergegeven. In ons geval hebben we maar één sleutel.
Om onze vertrouwensdatabase te importeren, typt u:
gpg --import-ownertrust trust.gpg
We kunnen controleren of alles correct is geïmporteerd met behulp van de --list-secret-keys optie nog een keer.
gpg --list-secret-keys --keyid-format LONG
Dit geeft ons precies dezelfde uitvoer die we eerder op onze Ubuntu-computer zagen.
Bescherm je privacy
Zorg ervoor dat uw GPG-sleutels veilig zijn door er een back-up van te maken. Als u een computerramp heeft of gewoon upgradet naar een nieuwer model, zorg er dan voor dat u weet hoe u uw sleutels naar de nieuwe machine kunt overbrengen.