http://www.zago.eti.br/gpg.txt Tutorial, dicas, comandos e FAQ pra assinar e-mail digitalmente com gpg. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux veja também neste diretório (site) FAQ pgp.txt md5.txt bittorrent.txt Usando o CL9 instalado pelo CD updt1, tem o kgpg, todo em ambiente gráfico, em portugues, muito mais fácil e intuitivo. O kgpg envia a chave para os servidores: hkp://blackhole.pca.dfm.de hkp://pgp.mit.edu As anotações neste documento foram tentativas de criar e usar a chave gpg via linha de comando, foram varias tentativas, não consegui usar corretamente, sempre tem alguma mensagem de erro e no final não funciona. ******************************************************** Sites relacionados: http://www.gnupg.org/ The GNU Privacy Guard GnuPG is a complete and free replacement for PGP. Because it does not use the patented IDEA algorithm, it can be used without any restrictions. GnuPG is a RFC2440 (OpenPGP) compliant application. http://www.gnupg.org/faq.html FAQ e tuturial do GnuPG (em inglês) http://focalinux.cipsga.org.br/guia/avancado/ch-d-cripto.htm 20.5 Usando pgp (gpg)para criptografia de arquivos tutorial bem explicativo. http://www.cipsga.org.br/sections.php?op=listarticles&secid=1 Procure no Menu princial por apostilas depois procure por GNU Privacy Guard tem um excelente documento em português (PDF,SWD,HTML e TXT) http://www.cipsga.org.br/sections.php?op=viewarticle&artid=14 ******************************************************** Esteganografia - Lendo o que os olhos não conseguem ler Ramo da criptologia que consiste, não em fazer com que uma mensagem seja ininteligível, mas em camuflá-la, mascarando a sua presença. Contrário a criptografia, que procura esconder a informação da mensagem, a esteganografia procura esconder a existência da mensagem. http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5203 ******************************************************** RESUMO DE COMANDOS Ajuda - no CL9 está em português. $ gpg --help Criar uma chave de encriptação: $ gpg --gen-key $ gpg --export $ gpg --export > arquivochave Imprimir a chave: $ gpg --fingerprint Encriptar arquivo: $ gpg -e Decriptar arquivo: $ gpg -d > remover (excluir) uma chave $ gpg --delete-key info-chave Listar todas as chaves publicas: gpg --list-public-keys Listar todas as chaves gpg --list-key Exportar uma chave. gpg --export 7B834E1C ******************************************************** CL9 instalado com CD updadtes1 perfil "estação de trabalho" conferindo a instalação: # rpm -qa gnupg gnupg-1.2.1-19780U90_1cl Pra enviar e receber chaves vai precisar instalar também os plugins, execute como root: apt-get install gnupg* apt-get install gpa Instale também o kgpg pra usar com kmail no KDE. apt-get install kgpg* Veja novamente os pacotes instalados pra confirmar se os plugins foram instalados. # rpm -aq |grep gnupg gnupg-doc-1.2.1-19780U90_1cl gnupg-1.2.1-19780U90_1cl gnupg-keyserver-plugins-1.2.1-19780U90_1cl [root@zago root]# rpm -aq |grep gpa gpa-0.4.3-15064cl Para criar uma chave, digite gpg --gen-key e responda as perguntas na tela, neste texto tem a copia de todas as mensagens exibidas durante este processo, a frase secreta foi substituida, todos os demais dados e comandos estão no texto abaixo passo a passo: [zago@mail zago]$ gpg --gen-key gpg (GnuPG) 1.2.1; Copyright (C) 2002 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações Por favor selecione o tipo de chave desejado: (1) DSA e ElGamal (padrão) (2) DSA (apenas assinatura) (5) RSA (apenas assinatura) Sua opção? 5 Que tamanho de chave você quer? (1024) O tamanho de chave pedido é 1024 bits Por favor especifique por quanto tempo a chave deve ser válida. 0 = chave não expira = chave expira em n dias w = chave expira em n semanas m = chave expira em n meses y = chave expira em n anos A chave é valida por? (0) A Key não expira nunca Está correto (s/n)? s Você precisa de um identificador de usuário para identificar sua chave; o programa constrói o identificador a partir do Nome Completo, Comentário e Endereço Eletrônico desta forma: "Heinrich Heine (Der Dichter) " Nome completo: Antonio Francisco Zago Endereço de correio eletrônico: zagolinux@uol.com.br Comentário: FAQ Linux Você selecionou este identificador de usuário: "Antonio Francisco Zago (FAQ Linux) " Muda (N)ome, (C)omentário, (E)ndereço ou (O)k/(S)air? O Você precisa de uma frase secreta para proteger sua chave. Precisamos gerar muitos bytes aleatórios. É uma boa idéia realizar outra atividade (digitar no teclado, mover o mouse, usar os discos) durante a geração dos números primos; isso dá ao gerador de números aleatórios uma chance melhor de conseguir entropia suficiente. .+++++ ..+++++ gpg: nenhum porta-chaves secreto com permissões de escrita encontrado: eof A geração de chaves falhou: eof Reiniciei o processo ( gpg --gen-key) e obtive este resultado: Muda (N)ome, (C)omentário, (E)ndereço ou (O)k/(S)air? O Você precisa de uma frase secreta para proteger sua chave. a frase secreta não foi repetida corretamente; tente outra vez. Precisamos gerar muitos bytes aleatórios. É uma boa idéia realizar outra atividade (digitar no teclado, mover o mouse, usar os discos) durante a geração dos números primos; isso dá ao gerador de números aleatórios uma chance melhor de conseguir entropia suficiente. .+++++ ......+++++ gpg: /home/zago/.gnupg/trustdb.gpg: banco de dados de confiabilidade criado chaves pública e privada criadas e assinadas. chave marcada como de confiança absoluta pub 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) Impressão da chave = 04E3 CAAC F1F9 9419 B1D7 C429 3610 2BCF 7B83 4E1C RESULTADO DA CHAVE DE 2048 ------------------ /home/zago/.gnupg/trustdb.gpg: banco de dados de confiabilidade criado chaves pública e privada criadas e assinadas. chave marcada como de confiança absoluta pub 1024D/229CAB24 2004-03-10 Antonio Francisco Zago (FAQ da Linux-br) Impressão da chave = 5EB0 012C 57E2 7E5A 32C4 D73A C3ED 6CD2 229C AB24 sub 2048g/9F39B972 2004-03-10 -------------- Note que esta chave não pode ser usada para criptografia. Você pode usar o comando "--edit-key" para gerar uma chave secundária para esse fim. [zago@asus33 zago]$ gpg --list-public-keys gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações /home/zago/.gnupg/pubring.gpg ----------------------------- pub 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) $ gpg --edit-key 7B834E1C gpg (GnuPG) 1.2.1; Copyright (C) 2002 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações Chave secreta disponível. gpg: a verificar a base de dados de confiança gpg: a verificar à profundidade 0 assinado=0 ot(-/q/n/m/f/u)=0/0/0/0/0/1 pub 1024R/7B834E1C criada: 2003-10-27 expira: never confiança: u/u (1). Antonio Francisco Zago (FAQ Linux) Comando> help = exibe a lista de comandos quit = sai. save = grava e sai. Tentei enviar pro servidor, não deu mensagem de erro, quando tentei pegar a chave no servidor a resposta é que não tem nenhuma chave, executei os proximos passos. gpg --edit-key 7B834E1C ******************************************************** ENVIAR A CHAVE. Servidores de Chave http://www.keyserver.net http://wwwkeys.eu.pgp.net http://www.es.net/hypertext/pgp http://pgp.zdv.uni-Mainz.de/keyserver http://pgp.yashy.com Acessando o primeiro link via brownser tem opção para colar a chave, portanto precisa exportar a chave para fazer isto, não utilizei este recurso e não sei se funciona. [zago@mail guiaz]$ gpg --export 7B834E1C $ gpg --export 7B834E1C gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações ¿VKH"Co3uÍ;à"0üM)´9Antonio Francisco Zago (FAQ Linux) ²?>: GBf5ð--corta-- exibe muitos caratectes e simbolos. MAIS INFORAMÇÕES SOBRE A CHAVE: Você descobre seu id assim: Obs. obtive o mesmo resultado com: $ gpg --list-keys $ gpg --list-keys zago gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações pub 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) ^^^^^^^^ a CHAVE é 7B834E1C Agora pode enviar a sua chave pública pro servidor, na linha de comando abaixo, substitua SEUID pelo identificado como no exemplo acima: gpg --send-keys --keyserver pgp.mit.edu SEUID veja o resultado, quando enviei minha chave: $ gpg --send-keys --keyserver pgp.mit.edu 7B834E1C gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações gpgkeys: WARNING: this is an *experimental* HKP interface! Pra confirmar se enviou a chave, como outro usuário, execute: gpg --keyserver pgp.mit.edu --recv-keys 229CAB24 $ gpg --keyserver pgp.mit.edu --recv-keys 7B834E1C $ gpg --keyserver pgp.mit.edu --recv-keys 229CAB24 gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações gpgkeys: WARNING: this is an *experimental* HKP interface! gpg: a chave 229CAB24 foi criada 7915 segundos no futuro (viagem no tempo ou problema no relógio) gpg: chave 229CAB24: auto-assinatura inválida do utilizador "Antonio Francisco Zago (FAQ da Linux-br) " gpg: a chave 229CAB24 foi criada 7915 segundos no futuro (viagem no tempo ou problema no relógio) gpg: chave 229CAB24: ligação de subchave inválida gpg: chave 229CAB24: sem IDs de usuários válidos gpg: isto pode ser causado por falta de auto-assinatura gpg: Número total processado: 1 gpg: sem IDs de usuários: 1 ******************************************************** informações sobre a chave: [zago@mail zago]$ gpg --list-public-keys gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações /home/zago/.gnupg/pubring.gpg ----------------------------- pub 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) [zago@mail zago]$ gpg --list-key gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações /home/zago/.gnupg/pubring.gpg ----------------------------- pub 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) [zago@mail zago]$ gpg --list-sigs gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações /home/zago/.gnupg/pubring.gpg ----------------------------- pub 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) sig 3 7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) sig 98C26577 2003-09-12 Antonio Francisco Zago (FAQ Linux) [zago@mail zago]$ gpg --list-secret-keys gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações /home/zago/.gnupg/secring.gpg ----------------------------- sec 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) ******************************************************** IMPRESSÃO DA CHAVE [zago@mail zago]$ gpg --fingerprint 7B834E1C gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações pub 1024R/7B834E1C 2003-10-27 Antonio Francisco Zago (FAQ Linux) Impressão da chave = 04E3 CAAC F1F9 9419 B1D7 C429 3610 2BCF 7B83 4E1C ******************************************************** RECEBER MENSAGEM ASSINADA DIGITALMENTE. No CL9 - EVOLUTION, as mensagens assinadas digitalmente aparecem um cadeado no rodapé destas mensagens, quando voce não tem no seu chaveiro a chave deste remetente, ao dar um duplo click sobre o cadeado aparece: Esta mensagem está assinada digitalmente mas não é possível estabelecer sua autenticidade. gpg: cabeçalho de armadura: Version: GnuPG v1.2.3 (GNU/Linux) gpg: Assinatura feita em Ter 28 Out 2003 21:39:13 BRT usando DSA, ID da chave 6EF45358 gpg: Impossível verificar assinatura: chave pública não encontrada Para pegar a chave no servidor, execute: gpg --keyserver pgp.mit.edu --recv-keys [ID-DO-REMETENTE] $ gpg --keyserver pgp.mit.edu --recv-keys 6504952E gpg: AVISO: a utilizar memória insegura! gpg: por favor veja http://www.gnupg.org/faq.html para mais informações gpgkeys: WARNING: this is an *experimental* HKP interface! gpg: chave 6504952E: "Ricardo Yassuo Igarashi " não modificada gpg: Número total processado: 1 gpg: não modificados: 1 Agora click no cadeado que aparece a identificação do dono da chave, serve pra identificar a autenticidade da mensagem. No Evolution do CL9 quando recebo mensagens da Linux-br, as mensagens criptografadas pelo gpg não exibe o texto, somente o rodapé da mensagem mas sem o conteúdo, o recurso é mandar exibir os fontes das mensagens, click em outra mensgem e depois na mensagem criptografada pra ler a mensagem, fiz alguns testes enviando a mensagem pra outra conta e tentei abrir no kmail, pra minha surpresa tinha sumido o conteúdo da mensagem, nem mesmo tentando ler o fonte do e-mail pelo Kmail, não aparece nada. Como saber quem é quem, posso criar uma chave em nome de outra pessoa e enviar pro servidor, depois envio uma mensagem a voce em nome desta outra pessoa, e ainda com assinatura digital pra voce conferir, então como saber se a chave foi criada pela pessoa verdadeira ou falsa? Estou à procura da resposta..... ******************************************************** Pra elaborar este tutorial, criar a chave "gpg" contei com ajuda de Arnaldo Carvalho de Melo e Ricardo Igarashi que passou as seguintes instruções, foram adaptadas para incluir neste FAQ. 1) Instale o GnuPG. 2) Gere uma chave pública/privada. 3) Dê um "gpg --list-public-keys". Deve aparecer algo como: pub  1024D/4561232E 2001-09-11 Ricardo Yassuo Igarashi sub  1024g/123A1228 2001-09-11 O correspondente ao "4561232E" é o seu ID. 4) Envie a chave pública para o pgp.mit.edu: gpg --send-keys --keyserver pgp.mit.edu [seu ID] 5) Avise a quem vai lhe enviar arquivo criptografado que voce enviou a sua chave pública. 6) aguarde a resposta, quem vai lhe enviar arquivo criptografado, antes vai conferir e identifica-lo para depois enviar e-mail criptografado. ******************************************************** ******************************************************** ******************************************************** ******************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] Servidores de chave GPG/PGP Data:  Fri, 31 Oct 2003 02:59:13 -0200 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20031031.shtml -------------------------------------------------------------------- Treinamento PostgreSQL: Introdução ao Banco de Dados ** 10% de desconto para os assinantes da Dicas-L** Campinas: 06 e 07 de novembro http://www.dextra.com.br/servicos/treinamento/pg/pgintro.htm -------------------------------------------------------------------- Servidores de chave GPG/PGP =========================== Colaboração: Rodrigo Bernardo Pimentel Um modo comum de se disponibilizar sua chave pública GPG (ou PGP, mas vou usar só "GPG" daqui por diante) e de se localizar chaves alheias é a utilização de "servidores de chaves" (keyservers). Há dois servidores (ou grupos de servidores) bem conhecidos, wwwkeys.*.pgp.net e search.keyserver.net. Entretanto, ambos têm alguns problemas: o search.keyserver.net não é lá muito estável, consultas feitas diretamente pelo gpg freqüentemente dão erro ou não retornam todos os resultados da consulta. Servidores *.pgp.net (ou *.pgp.com) também têm seu histórico de falhas, especialmente de sincronização (em particular, com o search.keyserver.net). Além disso, o servidor utilizado pelo search.keyserver.net (na web, http://www.keyserver.net) é não-livre (o código é fechado) e nem mesmo consegui achar informações sobre licensa ou disponibilidade de código do servidor em http://www.pgp.net . Dito tudo isso, estou usando os servidores SKS (http://www.nongnu.org/sks/): são bem rápidos, confiáveis (pelo menos até agora) e software livre (GPL). Dois dos servidores disponíveis são keyserver.bu.edu e sks.keyserver.penguin.de (mas há mais uma série de servidores interligados). Além disso, os servidores SKS sincronizam com os servidores *.pgp.net e search.keyserver.net (embora, se você precisa de sincronização rápida com esses servidores, pode ser uma boa idéia mandar a chave explicitamente para eles). Por fim, pra quem ainda não sabe, utilizar um servidor de chaves é bem simples. Para enviar sua chave pública, você faz: gpg --keyserver keyserver.bu.edu --send-key 0x00000000 em que 0x00000000 é o KeyId da sua chave pública, ou você também pode indicar a chave a ser enviada por parte da identificação, como o e-mail que consta na chave. Para procurar chaves, você pode fazer: gpg --keyserver keyserver.bu.edu --search-key torvalds Se usar este exemplo, você vai ver que há mais de uma resposta (6, na verdade). O gpg te dá a opção de ver a "próxima leva" de resposta (que não existe, nesse caso, porque são poucas respostas), sair ("quit") ou, se você digitar um número correspondente a uma das respostas, adiciona a chave à sua coleção de chaves públicas. Alternativamente, se você sabe que o id da chave do Linus Torvalds é 0x449FA3AB, você pode fazer: gpg --keyserver keyserver.bu.edu --recv-keys 0x449FA3AB Finalmente, pra não precisar ficar escrevendo "--keyserver keyserver.bu.edu" o tempo todo, você pode colocar, no seu ~/.gnupg/gpg.conf (criando-o, se ele não existir), keyserver keyserver.bu.edu E pronto, agora basta fazer "gpg --send-key 0x00000000" etc. Mais informações em http://www.gnupg.org e http://www.nongnu.org/sks/ . rbp -- Rodrigo Bernardo Pimentel http://isnomore.net GPG KeyId: <0x0DB14978> Set phasers on "annoy"! -------------------------------------------------------------------- Simpósio Internacional ISTEC/IEEE em Educação Continuada Avançada: Políticas e Tendências em Formação Continuada em Engenharia 21 e 22 de outubro de 2003 - Unicamp http://rau-tu.ccuec.unicamp.br/ace -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 22879 assinantes. Todas as mensagens da Dicas-L ficam armazenadas em http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ******************************************************** De:  Ricardo Igarashi Para:  Linux-BR Assunto:  (linux-br)GnuPG: o que ele =?iso-8859-1?q?est=E1?=reclamando? Data:  Sat, 22 Nov 2003 23:40:26 -0200 Senhores, instalei o GnuPG do Snapchot da Conectiva, e no final ele deu a seguinte mensagem: [iga@figaro iga]$ sudo rpm -Uv gnupg-* Preparando os pacotes para a instalação... gnupg-keyserver-plugins-1.2.3-34549cl gnupg-1.2.3-34549cl gpg: AVISO: dono pouco seguro em configuration file "/home/iga/.gnupg/gpg.conf" Dono pouco seguro? Vamos dar uma olhada... [iga@figaro iga]$ l |grep .gnupg drwx------    2 iga      iga          4096 Nov 19 01:03 .gnupg/ [iga@figaro .gnupg]$ l total 68 drwx------    2 iga      iga          4096 Nov 22 23:38 ./ drwx------  157 iga      iga          8192 Nov 22 23:27 ../ -rw-------    1 iga      iga          7774 Mai 30 00:09 gpg.conf Bom, tanto o diretório .gnupg como o arquivo gpg.conf estão com direito de leitura e escrita só para o usuário. O que tem de inseguro nisso? PS. Não vale dizer que EU sou o motivo da insegurança :P -- Ricardo Yassuo Igarashi E-mail: iga@that.com.br Linux HP: http://web.that.com.br/iga De:  Jorge Godoy Para:  Ricardo Igarashi Cc:  Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Sun, 23 Nov 2003 10:15:00 -0200 Ricardo Igarashi writes: > instalei o GnuPG do Snapchot da Conectiva, e no final ele deu a seguinte > mensagem: Cadastre no Bugzilla o erro de tradução abaixo. Há metade da mensagem em inglês e metade em português. A Conectiva vai querer corrigir isso antes de lançar o produto para o mercado. > [iga@figaro iga]$ sudo rpm -Uv gnupg-* > Preparando os pacotes para a instalação... > gnupg-keyserver-plugins-1.2.3-34549cl > gnupg-1.2.3-34549cl > gpg: AVISO: dono pouco seguro em configuration file > "/home/iga/.gnupg/gpg.conf" > > Dono pouco seguro? Vamos dar uma olhada... Espere! Isso foi na instalação. O que é checado ali? Qual o comando executado pelo script de instalação para verificar o problema? Parece que é executado algo com o gpg... > [iga@figaro iga]$ l |grep .gnupg > drwx------    2 iga      iga          4096 Nov 19 01:03 .gnupg/ E o que é exibido para o diretório atual? E para todos os diretórios acima deste? Lembre-se que é possível ir navegando e alterando subdiretórios... l / l /home l /home/iga l /home/iga/.gnupg l /home/iga/.gnupg/gpg.conf > Bom, tanto o diretório .gnupg como o arquivo gpg.conf estão com direito > de leitura e escrita só para o usuário. O que tem de inseguro nisso? O problema pode estar nos diretórios acima destes. Veja a seqüência de comandos acima para a verificação de permissões até o ponto indicado pelo software. > PS. Não vale dizer que EU sou o motivo da insegurança :P Isso você já sabe ;-)) Abraços, -- Godoy.      ******************************************************** De:  Jorge Godoy Para:  Ricardo Igarashi Cc:  Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Mon, 24 Nov 2003 07:38:06 -0200 Ricardo Igarashi writes: > Humm, quem está rodando o gpg após a instalação? O próprio post está. Você não viu acima ele importando a chave da Conectiva para o chaveiro do root? Repliquei abaixo... > %{_bindir}/gpg -q --import %{_datadir}/%{name}/conectiva-gpg.asc > /dev/ > drwxr-xr-x    6 root     root         4096 Jun 19 23:04 home/ > > drwx------  157 iga      iga          8192 Nov 23 00:11 iga/ > > drwx------    2 iga      iga          4096 Nov 22 23:42 .gnupg/ > > -rw-------    1 iga      iga          7774 Mai 30 00:09 gpg.conf > > Não vai me dizer que a permissão do /home tem que ser 700 :) Não é preciso. O importante é não haver permissão de escrita. [root@wintermute povray-3.5]# l -d / /home /home/godoy /home/godoy/.gnupg drwxr-xr-x   24 root     root         4096 Nov 23 14:08 // drwxr-xr-x    8 root     root          224 Out  9 11:47 /home/ drwx---r-x  100 godoy    godoy        8464 Nov 24 07:35 /home/godoy/ drwx------    4 godoy    godoy         552 Nov 23 22:19 /home/godoy/.gnupg/ [root@wintermute povray-3.5]# > Só eu acesso o /home/iga, e o /home/iga/.gnupg. Mais seguro do que isso, > só se colocar permissão 000 ;) Em se tratando de você, é uma boa idéia ;-)) Aliás, para todo o /home/iga... ;-) -- Godoy.     ******************************************************** De:  Ricardo Igarashi Para:  Jorge Godoy Cc:  Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Sun, 23 Nov 2003 22:47:45 -0200 On Sun, 23 Nov 2003 10:15:00 -0200 Jorge Godoy wrote: > Ricardo Igarashi writes: > > > instalei o GnuPG do Snapchot da Conectiva, e no final ele deu a > > seguinte mensagem: > > Cadastre no Bugzilla o erro de tradução abaixo. Há metade da mensagem > em inglês e metade em português. A Conectiva vai querer corrigir isso > antes de lançar o produto para o mercado. > > > [iga@figaro iga]$ sudo rpm -Uv gnupg-* > > Preparando os pacotes para a instalação... > > gnupg-keyserver-plugins-1.2.3-34549cl > > gnupg-1.2.3-34549cl > > gpg: AVISO: dono pouco seguro em configuration file > > "/home/iga/.gnupg/gpg.conf" > > > > Dono pouco seguro? Vamos dar uma olhada... > > Espere! Isso foi na instalação. O que é checado ali? Qual o comando > executado pelo script de instalação para verificar o problema? Parece > que é executado algo com o gpg... Vamos ver o que diz o SPEC... %post if [ -f %{_datadir}/%{name}/conectiva-gpg.asc ]; then         if [ ! -d /root/.gnupg ] ; then                 mkdir -m 700 /root/.gnupg         fi         # only errors will be reported         %{_bindir}/gpg -q --import %{_datadir}/%{name}/conectiva-gpg.asc > /dev/ null fi exit 0 Humm, quem está rodando o gpg após a instalação? > > [iga@figaro iga]$ l |grep .gnupg > > drwx------    2 iga      iga          4096 Nov 19 01:03 .gnupg/ > > E o que é exibido para o diretório atual? E para todos os diretórios > acima deste? Lembre-se que é possível ir navegando e alterando > subdiretórios... > > l / > l /home > l /home/iga > l /home/iga/.gnupg > l /home/iga/.gnupg/gpg.conf drwxr-xr-x    6 root     root         4096 Jun 19 23:04 home/ drwx------  157 iga      iga          8192 Nov 23 00:11 iga/ drwx------    2 iga      iga          4096 Nov 22 23:42 .gnupg/ -rw-------    1 iga      iga          7774 Mai 30 00:09 gpg.conf Não vai me dizer que a permissão do /home tem que ser 700 :) > > Bom, tanto o diretório .gnupg como o arquivo gpg.conf estão com > > direito de leitura e escrita só para o usuário. O que tem de > > inseguro nisso? > > O problema pode estar nos diretórios acima destes. Veja a seqüência de > comandos acima para a verificação de permissões até o ponto indicado > pelo software. Só eu acesso o /home/iga, e o /home/iga/.gnupg. Mais seguro do que isso, só se colocar permissão 000 ;) -- Ricardo Yassuo Igarashi E-mail: iga@that.com.br Linux HP: http://web.that.com.br/iga ******************************************************** De:  Ricardo Igarashi Para:  Jorge Godoy , Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Mon, 24 Nov 2003 23:36:03 -0200 On Mon, 24 Nov 2003 07:38:06 -0200 Jorge Godoy wrote: > Ricardo Igarashi writes: > > > Humm, quem está rodando o gpg após a instalação? > > O próprio post está. Você não viu acima ele importando a chave da > Conectiva para o chaveiro do root? Repliquei abaixo... > > > %{_bindir}/gpg -q --import %{_datadir}/%{name}/conectiva-gpg.asc > > > /dev/ OK, me expressei mal. Realmente o gpg está rodando, mas não como meu usuário. Ou ele está checando o .gnupg de todos os usuários?   > > Não vai me dizer que a permissão do /home tem que ser 700 :) > > Não é preciso. O importante é não haver permissão de escrita. Talvez esteja um pouco paranóico :)   [cut] > > Só eu acesso o /home/iga, e o /home/iga/.gnupg. Mais seguro do que > > isso, só se colocar permissão 000 ;) > > Em se tratando de você, é uma boa idéia ;-)) > > Aliás, para todo o /home/iga... ;-)   Considerando que o maior furo de segurança que existe é aquele entre o teclado e a cadeira, pode ser uma boa idéia ;) -- Ricardo Yassuo Igarashi E-mail: iga@that.com.br Linux HP: http://web.that.com.br/iga ******************************************************** De:  Jorge Godoy Para:  Ricardo Igarashi Cc:  Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Tue, 25 Nov 2003 10:20:42 -0200 Ricardo Igarashi writes: > OK, me expressei mal. Realmente o gpg está rodando, mas não como meu > usuário. Ou ele está checando o .gnupg de todos os usuários? Não sei o que ele checa, mas duvido que sejam os diretórios de todos os usuários. Tens que verificar como fica para o shell (bash) a identificação do usuário quando se usa o sudo. Mande-o imprimir $UID e $EUID. Acho que aí está o problema: [godoy@wintermute ~]$ echo $UID 500 [godoy@wintermute ~]$ echo $EUID 500 [godoy@wintermute ~]$ sudo echo $EUID 500 [godoy@wintermute ~]$ sudo echo $UID 500 > Considerando que o maior furo de segurança que existe é aquele entre o > teclado e a cadeira, pode ser uma boa idéia ;) :-)) Não é preciso eliminar esta falha, OK? Só retirar as permissões de acesso é suficiente... Se eliminares, perderíamos alguém para aporrinhar na bobagens... -- Godoy.     ******************************************************** De:  Ricardo Igarashi Para:  Jorge Godoy , Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Wed, 26 Nov 2003 00:19:14 -0200 On Tue, 25 Nov 2003 10:20:42 -0200 Jorge Godoy wrote: > > OK, me expressei mal. Realmente o gpg está rodando, mas não como meu > > usuário. Ou ele está checando o .gnupg de todos os usuários? > > Não sei o que ele checa, mas duvido que sejam os diretórios de todos > os usuários. > > Tens que verificar como fica para o shell (bash) a identificação do > usuário quando se usa o sudo. Mande-o imprimir $UID e $EUID. Acho que > aí está o problema: [cut] OK, mudando de usuário com um "su -" e instalando o GnuPG, a mensagem não apareceu. Thanks. Mas ainda fica a dúvida do por que o arquivo estaria inseguro... -- Ricardo Yassuo Igarashi E-mail: iga@that.com.br Linux HP: http://web.that.com.br/iga ******************************************************** De:  Jorge Godoy Para:  Ricardo Igarashi Cc:  Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Wed, 26 Nov 2003 06:23:49 -0200 Ricardo Igarashi writes: > OK, mudando de usuário com um "su -" e instalando o GnuPG, a mensagem > não apareceu. Thanks. > > Mas ainda fica a dúvida do por que o arquivo estaria inseguro... Meu chute seria um usuário (UID ) acessando configurações e informações de outro (UID 0) e tendo permissões para isso (devido ao sudo). Sds, -- Godoy.     ******************************************************** De:  Ricardo Igarashi Para:  Jorge Godoy , Linux-BR Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Wed, 26 Nov 2003 23:00:57 -0200 On Wed, 26 Nov 2003 06:23:49 -0200 Jorge Godoy wrote: > Ricardo Igarashi writes: > > > OK, mudando de usuário com um "su -" e instalando o GnuPG, a > > mensagem não apareceu. Thanks. > > > > Mas ainda fica a dúvida do por que o arquivo estaria inseguro... > > Meu chute seria um usuário (UID ) acessando configurações e > informações de outro (UID 0) e tendo permissões para isso (devido ao > sudo). Só palpitando: não seria o contrário? Ie, porque o root está mexendo nos arquivos do iga? Afinal, o /root/.gnupg não foi mexido... -- Ricardo Yassuo Igarashi E-mail: iga@that.com.br Linux HP: http://web.that.com.br/iga ******************************************************** De:  Ivan F. Martinez Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)GnuPG: o que ele estáreclamando? Data:  Sun, 30 Nov 2003 08:12:33 -0200 On Wed, 26 Nov 2003 00:19:14 -0200 Ricardo Igarashi wrote: RI> On Tue, 25 Nov 2003 10:20:42 -0200 RI> Jorge Godoy wrote: RI> RI> > > OK, me expressei mal. Realmente o gpg está rodando, mas não como RI> > > meu usuário. Ou ele está checando o .gnupg de todos os usuários? RI> > RI> > Não sei o que ele checa, mas duvido que sejam os diretórios de RI> > todos os usuários. RI> > RI> > Tens que verificar como fica para o shell (bash) a identificação RI> > do usuário quando se usa o sudo. Mande-o imprimir $UID e $EUID. RI> > Acho que aí está o problema: RI> RI> [cut] RI> RI> OK, mudando de usuário com um "su -" e instalando o GnuPG, a RI> mensagem não apareceu. Thanks. RI> RI> Mas ainda fica a dúvida do por que o arquivo estaria inseguro... RI> Ao executar com sudo ele não troca o HOME então qdo o gpg está sendo executado pelo usuario root ele acaba buscando a configuração no diretório do seu usuario. Direto do man do sudo :        -H  The -H (HOME) option sets the HOME environment variable to the            homedir of the target user (root by default) as specified in            passwd(5).  By default, sudo does not modify HOME. Portanto vc precisa do -H p/ que ele busque corretamente o HOME do root ao executar o comando. -- Ivan F. Martinez ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br, drfortes@superig.com.br Assunto:  Re: (linux-br)Ref.: OpenPGP Data:  Mon, 26 Jan 2004 19:10:47 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Fernando A Ribeiro Fortes wrote: >Alguém pode me explicar como criptografar meus e-mails através do > Kmail usado o gpg, já criei a chave, mais tudo o que consegui fazer > foi criar uma assinatura digital criptografada e não minhas mensagens > completas Para usar assinaturas OpenPGP tais como a desta mensagem minha: No KMail, vá a Preferências | Configurar KMail... Selecione Identidades, selecione a identidade que terá assinatura, depois vá à aba Avançado. Há um campo OpenPGP key. Clique em Modificar e selecione a sua chave na listagem que aparecer. Repita esse procedimento para cada identidade com assinatura. Para usar assinaturas PGP/MIME, que não passam na Linux-BR, você deverá primeiramente atualizar para o KMail 1.5 ou 1.6. Depois disso, você precisa instalar uma série de componentes na sua distribuição, incluindo os plugins de criptografia. Mais informações, creio que você poderá encontrar em http://kmail.kde.org/ - --   Thiago Macieira  -  Registered Linux user #65028    thiagom (AT) mail (dot) com     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ******************************************************** De:  Luciano França Rocha Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Synaptic e assinaturas gpg Data:  Wed, 24 Mar 2004 08:18:05 -0300 Em Domingo 21 Março 2004 05:37, Eduardo Vieira Mendes escreveu: > Olá pessoal > > Instalei o apt no meu SuSE 9 mas ele não quer instalar programas que não > contenham assinaturas gpg. > > Acho que é por algum parâmetro de segurança do SuSE (me corrijam se estiver > errado) e gostaria de saber como faço para poder instalar pacotes sem > assinaturas digitais pelo apt. > edita o arquivo /etc/apt/apt.conf.d/gpg-checker.conf e troca a linha GPG-Check de true para false // Make RPM::GPG-Check no; to disable gpg checking // It can still be used in combination with --checksig RPM::GPG-Check false; Scripts::PM::Pre:: gpg-checker.lua; ******************************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br Cc:  Linux BR Conectiva Assunto:  Re: (linux-br)Kmail + gnupg Data:  Wed, 24 Mar 2004 23:49:44 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Wednesday 24 March 2004 14:35, Tiago F Bianchini wrote: > Não estou conseguindo fazer essas figuras trabalharem juntas, o diabo do > KMail fica falando q inseri a frase-senha errada, mas eu nem cheguei a > informá-la. Onde se informa isso, ou como se faz para q ele "encontre" a > minha ? Se for conectiva: apt-get install pinentry-gtk Sds, - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ******************************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Kmail + gnupg Data:  Thu, 25 Mar 2004 10:21:22 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Thursday 25 March 2004 00:22, Helio Chissini de Castro wrote: > pinentry-qt também funciona, mas o importante é verificar se está com as > bibliotecas e newpg certos. Estavam certos aqui e só foi funcionar com o pinentry-gtk. Tanto no CL snapshot quanto no CL 9... Sobre o CL 9 não posso dizer as versões, mas eram as últimas liberadas para uso. - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ******************************************************** De:  Elias Andrade - Suporte técnico - Litoral On Line Para:  Tiago F Bianchini Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Kmail + gnupg Data:  Fri, 26 Mar 2004 15:36:30 -0300         Lembrando mais uma coisa,         Se vc nao lembra a passphrase... seria melhor remover o diretorio .gnupg e criar uma outra assinatura...         [esan@brown esan]$ gpg --gen-key         espero ter ajudado...         falol... --         Cara, nao sei se alguem ja respondeu oq q vou responder... mas la vai: vc criou a assinatura gnupg? Vc lembra de ter setado passphrase (frase secreta)?? Caso vc lembre da frase secreta, tente modifica-la com o comando: [esan@brown esan]$ gpg --edit-key esan onde "esan" eh o nome entre "()" que vc criou. Se nao lembra o nome que criou, use "gpg --list-key" para confirmar.         Espero que resolva... > Em Sex, 2004-03-26 às 08:52, Tiago F Bianchini escreveu: > > Desgraçadamente, estou com estes pacotes atualizados, usando um CL9 Snapshot, > > e não consegui fazer o diabo funcionar... talvez o problema esteja -- [ ]'s Elias Andrade - Analista de Suporte - Litoral On Line Home Page: http://www.lol.com.br ------------------------------------------------------------ Site pessoal: http://www.esan.cjb.net    |Slackware/Fedora Projeto Monesa: http://monesa-br.cjb.net |Linux User: 229468 ------------------------------------------------------------ Paranagua - PR - Brasil [<0>] "Nunca parta do principio de que voce  sabe mais que o seu concorrente." ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Cc:  Thiago dos Santos Guzella Assunto:  Re: (linux-br)gnupg: criar backup de chaves pessoais Data:  Thu, 13 May 2004 20:55:07 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Thiago dos Santos Guzella wrote: >Prezados colegas da lista, > >No gnupg, eu queria saber como criar um backup da minha chave publica > e privada. Sei que isso nao eh recomendavel, mas preciso fazer isso > pq vou transferir minhas coisas para um outro computador aqui em > casa. Eu tinha tentado simplesmente exportar as chaves publicas e > privadas pelo kgpg, e importei elas no outro computador ok, mas ai > elas passaram a ser mostradas como se nao fossem confiaveis... Como > faco para fazer uma copia das chaves para transferir para um outro > computador sem fazer com que elas sejam mostradas como nao > confiaveis??? Copie o ~/.gnupg/pubring.* e ~/.gnupg/secring.* Você deve ter exportado somente a chave pública. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Cc: Dr.Beco Assunto: Re: (linux-br)Esqueci a frase-senha do OpenPGP Data: Thu, 2 Mar 2006 19:06:21 +0100 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Dr.Beco wrote: >Oi pessoal, > >Criei uma assinatura para mim em março de 2005 e usei apenas uma vez > para enviar um projeto. Agora estou precisando utilizar a mesma > assinatura, mas não me lembro mais a famosa frase-senha. > >Tem como eu recuperar ela olhando algum arquivo específico? Não. Não faz nenhum sentido "recuperar" a senha de uma chave PGP. Ou você sabe a frase, ou não sabe. Se você usar um cluster de computadores tentando quebrar a senha, talvez eles consigam recuperá-la em menos de 10 anos. - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 2. Tó cennan his weorc gearu, ymbe se circolwyrde, wearð se cægbord and se leohtspeccabord, and þa mýs cómon lator. On þone dæg, he hine reste. ******************************************************** De: Renato S. Yamane Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Esqueci a frase-senha do OpenPGP Data: Thu, 02 Mar 2006 12:38:51 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Dr.Beco escreveu: > Criei uma assinatura para mim em março de 2005 e usei apenas uma vez para > enviar um projeto. Agora estou precisando utilizar a mesma assinatura, mas > não me lembro mais a famosa frase-senha. Você não conseguirá mais acessar esse arquivo. Se fosse fácil quebra-la bastaria qualquer um acessar o seu diretório /home/usuario/.gnupg copiar o arquivo secring.gpg e quebrar a frase-senha para ter acesso a todos os arquivos criptografados. Se isso fosse possível a criptografia com gpg seria um fiasco. Um abraço, Renato ******************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Cc: Dr.Beco Assunto: Re: (linux-br)Esqueci a frase-senha do OpenPGP Data: Fri, 3 Mar 2006 10:03:45 +0100 (06:03 BRT) Dr.Beco wrote: >Oi Renato, e Thiago, obrigado pela atenção. > >Só uma dúvida: esse arquivo está criptografado com a minha chave, não é > mesmo? Ou seja, eu não precisaria "quebrá-lo", pois eu tenho o direito > (e a chave?) para lê-lo corretamente... > >Ou será que estou misturando as coisas? Está. O conceito de chave pública envolve o fato de existirem duas chaves (uma pública e outra privada) que são complementares entre si. Não sei se no DSA é da mesma maneira, mas com o RSA o truque é o uso de números primos. Através de cálculos matemáticos que não lembro mais e usando o conceito de módulo (resto da divisão), é possível fazer com que o que foi criptografado com uma das chaves seja decriptografado pela outra. Além disso, a chave privada é gravada no arquivo secring protegida por outra senha e criptografada com outro algoritmo, de modo a proteger se, por acaso, alguém conseguir acesso à sua chave. Assim, para poder usá-la, é necessário conhecer a senha. É essa criptografia (simétrica) que você precisaria quebrar. A chave pública não é protegida por senha, de modo que qualquer um pode usá-la. >Sei que quebrar não tem jeito, mas não tem um método "limpo", ou eu > precisaria da senha de qualquer forma? Só tem um método: usar a massa cinzenta localizada entre os membros auditivos do seu corpo e lembrar a senha. -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 3. Ac seo woruld wearð geborod, swá se Scieppend cwæð "Gewurde Unix" and wundor fremede and him "Unix" genemned, þæt is se rihtendgesamnung. De: Renato S. Yamane Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Esqueci a frase-senha do OpenPGP Data: Fri, 03 Mar 2006 10:04:46 -0300 Dr.Beco escreveu: > Só uma dúvida: esse arquivo está criptografado com a minha chave, não é mesmo? > Ou seja, eu não precisaria "quebrá-lo", pois eu tenho o direito (e a chave?) > para lê-lo corretamente... Você tem o direito de ler um arquivo criptografado desde que tenha a chave privada e a senha :-) > Sei que quebrar não tem jeito, mas não tem um método "limpo", ou eu precisaria > da senha de qualquer forma? Você precisará da chave privada (que você tem) e da senha (que você NÃO tem). Imagine um servidor com 10 usuários, sendo que cada usuário possui um par de chaves (pública + privada) e a senha. Se fosse possível abrir um arquivo criptografado SEM a senha bastaria o usuário root acessar o diretório .gnupg de cada usuário, copiar a chave privada e sair descriptografando TODOS os arquivos. De que adianta a criptografia nesse caso? (In)felizmente você não conseguirá descriptografar o seu arquivo sem a senha. Um abraço, Renato ********************************************************