Nl расшифровка: About us — NL International

Типы шифрования

Сегодня существует два основных способа шифрования.Первый вид шифрования, называемый симметричной криптографией или шифрованием с общим секретом, использовался с древних египетских времен. Эта форма шифрования использует секретный ключ, называемый общим секретом, для преобразования данных в неразборчивую тарабарщину. Человеку на другом конце нужен общий секрет (ключ), чтобы разблокировать алгоритм шифрования данных. Вы можете изменить ключ и изменить результаты шифрования. Это называется симметричной криптографией, потому что один и тот же ключ используется на обоих концах как для шифрования, так и для дешифрования (см. Рисунок 9.2).

Рисунок 9.2. Симметричная криптография

Проблема с этим методом заключается в том, что вам необходимо безопасно передать секретный ключ предполагаемому получателю. Если ваш противник перехватит ключ, он сможет прочитать сообщение. Были изобретены всевозможные системы, чтобы попытаться обойти эту базовую слабость, но факт остался фактом: вам все равно нужно было каким-то образом передать секретный ключ предполагаемому получателю, прежде чем вы сможете начать безопасную связь.

Революция в шифровании началась, когда Уитфилд Диффи, Мартин Хеллман и Ральф Меркл изобрели криптографию с открытым ключом.(На самом деле, есть некоторые споры о том, действительно ли британский государственный служащий Джеймс Эллис изобрел его раньше и держал в секрете, но Диффи, Хеллман и Меркл были первыми, кто опубликовал его в 1976 году.) Они пытались решить проблему возраста- старая проблема обмена ключами. Диффи интересовался, как два человека, желающие совершить финансовую транзакцию по электронной сети, могут сделать это безопасно. Здесь он думал далеко вперед, потому что в то время Интернет только зарождался, а электронной коммерции еще не существовало.Если у крупных правительств были проблемы с решением проблемы обмена ключами, как обычный человек мог с этим справиться? Он хотел создать систему, с помощью которой две стороны могли бы легко поддерживать защищенные разговоры и безопасные транзакции, не обмениваясь ключами каждый раз. Он знал, что если он сможет решить проблему обмена ключами, это станет огромным шагом вперед в криптографии.

Диффи стал партнером Мартина Хеллмана и Ральфа Меркла. На это у них ушло несколько лет, но, наконец, они придумали систему, называемую шифрованием с открытым ключом (PKE), также известную как асимметричная криптография.

Асимметричная криптография использует шифрование, которое разделяет ключ на два меньших ключа. Один из ключей обнародован, а другой хранится в секрете. Вы шифруете сообщение открытым ключом получателя. Затем получатель может расшифровать его своим закрытым ключом. И они могут сделать то же самое для вас, зашифровав сообщение вашим открытым ключом, чтобы вы могли расшифровать его своим закрытым ключом (см. Рисунок 9.3). Разница здесь в том, что вам не нужен чей-то закрытый ключ, чтобы отправить ему или ей защищенное сообщение.Вы используете его или ее открытый ключ, который необязательно хранить в безопасности (фактически, он может быть опубликован как номер телефона). Используя открытый ключ получателя, вы знаете, что только этот человек может зашифровать его, используя свой закрытый ключ. Эта система позволяет двум объектам безопасно обмениваться данными без предварительного обмена ключами.

Рисунок 9.3. Асимметричная криптография (открытый ключ)

Асимметричная криптография обычно реализуется с помощью односторонних функций.С математической точки зрения это функции, которые легко вычислить в одном направлении, но очень сложно вычислить в обратном. Это то, что позволяет вам публиковать свой открытый ключ, полученный из вашего закрытого ключа. Работать в обратном направлении и определить закрытый ключ очень сложно. Распространенной односторонней функцией, используемой сегодня, является факторизация больших простых чисел. Легко перемножить два простых числа и получить произведение. Однако определить, какая из многих возможностей является двумя факторами продукта, является одной из величайших математических задач.Если бы кто-нибудь изобрел метод простого вычисления множителей больших простых чисел, это могло бы сделать устаревшими большую часть шифрования с открытым ключом, используемого сегодня. К счастью, для этого приложения работают и другие односторонние функции, такие как вычисления на эллиптических кривых или вычисление обратных логарифмов для конечного поля.

Вскоре после выхода статьи Диффи, Хеллмана и Меркла другая группа из трех человек разработала практическое применение теории. Их система шифрования с открытым ключом была названа RSA в честь их имен: Рональд Ривест, Ади Шамир и Леонард Адлеман.Они создали компанию и начали лицензировать свою систему. Скорость внедрения была медленной, и их компания почти вышла из бизнеса, пока они не заключили сделку, чтобы воспользоваться преимуществами растущей сферы интернет-торговли с малоизвестной тогда компанией Netscape. Остальное уже история, а RSA в настоящее время является наиболее широко используемым алгоритмом шифрования с открытым ключом. В конце концов Диффи и Хеллман выпустили собственное практическое приложение, но оно может использоваться только для обмена ключами, тогда как RSA может выполнять аутентификацию и неотказ.

Шифрование с открытым ключом теперь стоит за каждым веб-сервером, который предлагает вам безопасную покупку. Ваша транзакция зашифрована без предоставления или получения секретного ключа, и все это происходит в фоновом режиме. Все, что мы знаем как пользователи, это то, что маленький символ блокировки SSL отображается в нашем браузере, и мы чувствуем себя в большей безопасности. Представьте себе влияние на интернет-торговлю, если каждый раз, когда вы хотели что-то купить в Интернете, вам приходилось придумывать секретный ключ, зашифровать сообщение, а затем каким-то образом передать этот ключ другой стороне.Очевидно, что электронная коммерция не могла бы существовать, как сегодня, без криптографии с открытым ключом.

Существует множество различных алгоритмов, протоколов и приложений шифрования, основанных на этих двух основных типах шифрования. В следующих разделах представлены некоторые из них.

Алгоритмы шифрования

Сегодня надежность шифрования обычно измеряется размером ключа. Независимо от того, насколько надежен алгоритм, зашифрованные данные могут подвергаться атакам методом грубой силы, в которых проверяются все возможные комбинации ключей.В конце концов шифрование может быть взломано. Для большинства современных шифров с приличной длиной ключа время взлома их грубой силой измеряется тысячелетиями. Однако нераскрытый недостаток в алгоритме, успехи компьютерных технологий или математических методов могут резко сократить это время.

Обычно считается, что длина ключа должна быть подходящей для обеспечения безопасности данных в течение разумного периода времени. Если предмет является очень актуальным, например, сообщения на поле боя или ежедневная информация о запасах, тогда вполне подойдет шифр, который защищает его в течение нескольких недель или месяцев.Однако такие вещи, как номер вашей кредитной карты или секреты национальной безопасности, должны храниться в безопасности в течение более длительного периода, фактически навсегда. Таким образом, использование более слабых алгоритмов шифрования или более коротких ключей для некоторых вещей — это нормально, если информация, полезная для постороннего лица, истекает за короткий промежуток времени.

Стандарт шифрования данных (DES)

DES — это исходный стандарт, который правительство США начало продвигать как для правительства, так и для бизнеса.Изначально считавшийся практически неразрушимым в 1970-х годах, увеличение мощности и снижение стоимости вычислений сделали его 56-битный ключ функционально устаревшим для высокочувствительной информации. Однако он по-прежнему используется во многих коммерческих продуктах и ​​считается приемлемым для приложений с низким уровнем безопасности. Он также используется в продуктах с более медленными процессорами, таких как смарт-карты и устройства, которые не могут обрабатывать ключи большего размера.

TripleDES

TripleDES, или 3DES, как его иногда называют, является более новой, улучшенной версией DES, и ее название подразумевает, что она делает.Он запускает DES трижды для данных в три этапа: шифрование, дешифрование и повторное шифрование. На самом деле это не дает трехкратного увеличения прочности шифра (потому что первый ключ шифрования используется дважды для шифрования данных, а затем второй ключ используется для шифрования результатов этого процесса), но он по-прежнему дает эффективный длина ключа составляет 168 бит, что достаточно для почти любого использования.

RC4, RC5 и RC6

Это алгоритм шифрования, разработанный Рональдом Ривестом, одним из разработчиков RSA, первого коммерческого приложения криптографии с открытым ключом.Со временем были внесены улучшения, чтобы сделать его сильнее и исправить незначительные проблемы. Текущая версия RC6 допускает размер ключа до 2040 бит и переменный размер блока до 128 бит.

AES

Когда правительство США осознало, что DES в конце концов истечет, оно начало поиск замены. Национальный институт стандартов и технологий (NIST), государственный орган по стандартизации, объявил открытый конкурс на новый алгоритм, который станет новым государственным стандартом.Было много конкурентов, включая RC6, Blowfish известного криптографа Брюса Шнайера и другие достойные алгоритмы. Они остановились на AES, который основан на алгоритме под названием Rijndael, разработанном двумя бельгийскими криптографами. Это важно, потому что они использовали открытый конкурс, чтобы выбрать стандарт. Кроме того, выбор алгоритма двумя неамериканскими разработчиками, не имеющими значительных коммерческих интересов, помог узаконить этот выбор во всем мире. AES быстро становится новым стандартом шифрования.Он предлагает до 256-битного ключа шифрования, что более чем достаточно для обозримого будущего. Обычно AES реализуется в 128- или 192-битном режиме из соображений производительности.

Приложения шифрования

Хеши

Хэши — это специальное использование односторонних функций для обеспечения аутентификации и проверки с использованием шифрования. Хеш-функция принимает файл и пропускает его через функцию, чтобы получить файл гораздо меньшего размера заданного размера.Хешируя файл, вы создаете его уникальный отпечаток. Это дает вам возможность убедиться, что файл никоим образом не был изменен. Хешируя подозрительный файл и сравнивая его с заведомо хорошим хешем, вы можете определить, были ли внесены какие-либо изменения. Маловероятно, что файл с другой структурой даст идентичный хеш. Даже изменение одного символа значительно меняет хеш. Вероятность того, что два разных файла создадут один и тот же хэш, бесконечно мала.

Хэши часто предоставляются в загруженных версиях программного обеспечения, чтобы убедиться, что вы получаете настоящую вещь.Это важно, особенно с программным обеспечением с открытым исходным кодом, где его могли довольно часто распространять или загружать с другого сайта. Официальный веб-сайт обычно публикует правильный хеш последней версии. Если они не совпадают, значит, вы знаете, что были внесены некоторые изменения, возможно, без разрешения или ведома разработчиков программного обеспечения. Самый популярный алгоритм хеширования называется MD5.

Цифровые сертификаты

Цифровые сертификаты — это «подпись» мира интернет-торговли.Они используют комбинацию типов шифрования для обеспечения аутентификации. Они доказывают, что то, с кем вы общаетесь, действительно является тем, кем они себя называют. Проще говоря, сертификат — это «свидетельство» того, откуда поступает информация. Сертификат содержит открытый ключ организации, зашифрованный либо ее закрытым ключом, либо закрытым ключом подписывающего органа. Использование подписи или центра сертификации считается более безопасным из двух. Если вы можете расшифровать сертификат с помощью их открытого ключа, тогда вы можете разумно предположить, что веб-сайт принадлежит этой организации.

Сертификаты обычно привязаны к определенному домену. Они могут быть выпущены центральной организацией, называемой центром сертификации (CA), или созданы и подписаны локально, как описано выше. Существует несколько таких организаций, крупнейшей из которых является VeriSign, компания, которая также управляет системой доменных имен. Они разрешили многим другим компаниям предлагать сертификаты, находящиеся в их ведении. Получить сертификат от VeriSign или одной из компаний, которые он авторизует, — все равно что за вас поручиться.Как правило, они не выдадут вам сертификат до тех пор, пока не проверит информацию, которую вы вводите в сертификат, по телефону или с помощью какой-либо бумажной документации, такой как корпоративный устав. После того, как они «удостоверят» вас, они возьмут эту информацию, включая URL-адреса, для которых вы собираетесь использовать сертификат, и «подпишут» ее цифровой подписью, зашифровав ее своим закрытым ключом. Затем этот сертификат может использовать веб-сервер или другая программа. Когда внешние пользователи получают некоторые данные, например веб-страницу с сервера, и к нему прикреплен сертификат, они могут использовать криптографию с открытым ключом, чтобы расшифровать сертификат и подтвердить вашу личность.Сертификаты чаще всего используются на веб-сайтах электронной коммерции, но их также можно использовать для любых форм связи. И SSH, и Nessus могут использовать сертификаты для аутентификации. VPN также могут использовать сертификаты для аутентификации вместо паролей.

Протоколы шифрования

IPsec

Хорошо известно, что изначально разработанный протокол IP не был очень безопасным. IP версии 4 (IPv4), которую большинство людей использует для IP-коммуникаций, не обеспечивает никакой аутентификации или конфиденциальности.Полезные данные пакета отправляются в открытом виде, и заголовки пакетов могут быть легко изменены, поскольку они не проверяются в месте назначения. Многие интернет-атаки основываются на этой базовой небезопасности в интернет-инфраструктуре. Новый стандарт IP, названный IPv6, был разработан для обеспечения аутентификации и конфиденциальности с помощью шифрования. Он также расширил пространство IP-адресов за счет использования 128-битного адреса вместо 32-битного, используемого в настоящее время, и улучшил ряд других вещей.

Для полной реализации стандарта IPv6 потребовалось бы широкомасштабное обновление оборудования, поэтому развертывание IPv6 было довольно медленным.Однако была разработана реализация защиты IP, названная IPsec, которая не потребует серьезных изменений в схеме адресации. Поставщики оборудования ухватились за это, и IPsec постепенно стал де-факто стандартом для создания интернет-сетей VPN.

IPsec — это не конкретный алгоритм шифрования, а скорее структура для шифрования и проверки пакетов в рамках протокола IP. IPsec может использовать разные алгоритмы и может быть реализован полностью или частично. Комбинация криптографии с открытым и закрытым ключами используется для шифрования содержимого пакета, а хэши также добавляют аутентификацию.Эта функция называется заголовком аутентификации (AH). При использовании AH хэш создается из заголовка IP и передается по нему. Когда пакет прибывает в пункт назначения, для каждого заголовка создается новый хэш. Если он не совпадает с отправленным, значит, вы знаете, что заголовок каким-то образом был изменен при передаче. Это обеспечивает высокий уровень уверенности в том, что пакет пришел именно оттуда, где указано. Вы можете выбрать шифрование полезной нагрузки пакета, но не выполнять AH, так как это может снизить пропускную способность. AH также может запутаться в некоторых средах с NAT или брандмауэрами.Также есть два разных режима работы, в которых вы можете запускать IPsec: туннельный или транспортный.

В туннельном режиме весь заголовок пакета и все данные инкапсулируются и зашифровываются, помещаются в другой пакет и пересылаются на центральный процессор VPN. Конечные точки расшифровывают пакеты, а затем пересылают их на правильный IP-адрес. Преимущество этого метода в том, что посторонние даже не могут сказать, каков конечный пункт назначения зашифрованного пакета. Еще одно преимущество состоит в том, что VPN можно контролировать и администрировать из нескольких центральных точек.Обратной стороной является то, что для туннелирования требуется выделенное оборудование на обоих концах.

В транспортном режиме шифруются только полезные данные пакета; заголовки отправляются без изменений. Это немного упрощает развертывание и требует меньше инфраструктуры. Вы все еще можете выполнить AH при использовании транспортного режима и проверить исходный адрес пакетов

Протокол туннелирования точка-точка (PPTP)

PPTP — это стандарт, разработанный Microsoft, 3Com и другими крупными компаниями для обеспечения шифрования.Microsoft добавила его в Windows 98 и более поздние версии. Это сделало его вероятным кандидатом на роль основного стандарта широко распространенной технологии шифрования. Однако в PPTP были обнаружены некоторые серьезные недостатки, которые ограничили его принятие. Когда Microsoft объединила IPsec с Windows 2000, это казалось молчаливым признанием того, что IPsec стал новым стандартом шифрования. Однако PPTP по-прежнему является полезным и недорогим протоколом для настройки VPN между старыми ПК с Windows.

Протокол туннелирования второго уровня (L2TP)

Это еще один отраслевой протокол, одобренный Microsoft и Cisco.Хотя он часто используется в устройствах аппаратного шифрования, его использование в программном обеспечении относительно ограничено.

Уровень защищенных сокетов (SSL)

Этот протокол был разработан специально для использования в Интернете, хотя его можно использовать практически для любого типа TCP-коммуникаций. Netscape изначально разработала его для своего браузера, чтобы стимулировать электронную коммерцию. SSL обеспечивает шифрование данных, аутентификацию на обоих концах и целостность сообщений с использованием сертификатов. В большинстве случаев SSL используется при подключении к веб-серверу, чтобы мы знали, что информация, которую мы отправляем, защищается в процессе.Большинство людей даже не догадываются, что SSL работает в фоновом режиме. Обычно он проверяет подлинность только на одном конце, на стороне сервера, поскольку у большинства конечных пользователей нет сертификатов.

Приложения шифрования

Фил Циммерман — программист, активно занимающийся правами человека. Он был обеспокоен тем, что растущее использование компьютеров и сетей связи облегчит органам государственной безопасности репрессивных режимов перехват и сбор информации о диссидентах.Фил хотел написать какое-то программное обеспечение, которое помогло бы этим людям сохранить конфиденциальность своей информации и защитить их от жестоких режимов, которые ими правили. Это программное обеспечение могло буквально спасать жизни людей. Он также не полностью доверял своему собственному правительству, чтобы не наблюдать за его личными данными, когда они передавались по взаимосвязанным сетям. Он знал, как легко будет правительству создать системы для поиска определенных ключевых слов в каждой строке каждого электронного письма. Он хотел дать людям возможность защитить и гарантировать их конституционное право на неприкосновенность частной жизни.

Он назвал свою программу Pretty Good Privacy (PGP), поскольку считал, что она достаточно хорошо справляется с защитой данных от спецслужб небольших стран. Однако агентство по информационной безопасности США, NSA, не считало этого иначе. Циммерман находился под следствием за нарушение федеральных законов об экспорте боеприпасов, разрешив скачивать его программное обеспечение из страны.

Изначально он намеревался основать компанию по продаже своей инновации. Однако, когда правительство пришло после него, он свободно распространял программное обеспечение через Интернет, чтобы обеспечить его широкое распространение.Впоследствии он основал компанию по продаже коммерческих версий программного обеспечения, но в Интернете есть реализации PGP с открытым исходным кодом. Некоторые из них более популярны, чем другие, а некоторые предназначены для нишевых приложений, таких как шифрование электронной почты. В следующем разделе рассматривается официальная бесплатная версия PGP Corporation, а также полная версия с открытым исходным кодом. Вы можете найти список всех реализаций PGP на www.cypherspace.org/openpgp/.

MIT поддерживает официальную бесплатную версию PGP. Поскольку он лицензирован Филом Циммерманом и PGP Corporation, вы можете быть достаточно уверены в его целостности и действительности.Обратной стороной бесплатного программного обеспечения PGP является то, что оно лицензировано только для личного использования, поэтому вы можете использовать его для своей личной электронной почты или в образовательных целях, если вы студент. Если вы собираетесь использовать эту версию PGP, убедитесь, что вы внимательно прочитали лицензию и поняли ее. Хотя эта версия PGP является бесплатным и с открытым исходным кодом, существуют значительные ограничения на то, для чего вы можете ее использовать. Помните, что открытый исходный код не всегда означает бесплатный. Если вы хотите получить лучшее из обоих миров, как самую последнюю версию, так и простоту использования и поддержки, вам следует подумать о покупке полной лицензии у PGP Corporation.Он стоит около 125 долларов на одного пользователя и имеет скидку на оптовые покупки. Если вы не можете или не хотите платить, то следующий инструмент, GnuPG, который представляет собой полностью бесплатную реализацию PGP, может вас заинтересовать

Официальный PGP от PGP Corporation действительно имеет несколько отличных функций.

• Встроенный клиент VPN, IPsec 3DES VPN, который можно использовать для безопасного взаимодействия с любым пользователем PGP 8.0 или более поздней версии.

• Возможность создавать самодешифруемые архивы для отправки сообщений PGP кому-либо, у кого не загружено программное обеспечение PGP.

• Удаление удаленных файлов, то есть возможность безвозвратно удалить файл путем многократной перезаписи данных на диске.

• Очистка свободного места — это та же концепция, что и очистка удаленных файлов, но для свободного места на диске, которое может содержать следы старых данных.

• Встроенная поддержка командной строки для тех, кто знаком с командами старого стиля.

• Подключаемые модули для основных программ электронной почты, включая Outlook, Eudora и Claris Emailer (только платная версия).

• Поддержка прокси, которая полезна для пользователей, находящихся за брандмауэром прокси (только для платной версии).

• PGPDisk, который позволяет вам зашифровать весь том или подобъем вашего диска, чтобы шифрование и дешифрование ваших данных происходило автоматически (только в платной версии).

Прежде чем вы установите и начнете использовать PGP, вы должны немного понять, как он работает и каковы его принципы. Этот раздел не предназначен для того, чтобы дать вам подробное обучение и понимание криптографии или PGP; вы можете обратиться к множеству книг по этим предметам.Но вы должны выйти из этой главы, имея возможность шифровать и расшифровывать сообщения с помощью PGP.

Внимание:

Если вы реализуете PGP неправильно, он не сможет обеспечить практически никакой защиты. Вы также можете безвозвратно потерять свои данные, если не будете осторожны с ключами дешифрования (см. Врезку «Не теряйте ключи !!»).

PGP считается гибридной криптосистемой, что означает, что она использует комбинацию симметричного и асимметричного шифрования для выполнения своей функции.Шифрование с открытым ключом требует гораздо большей вычислительной мощности, чем шифрование с общим секретом, потому что шифрование с открытым ключом обычно использует сложную математику, включающую простые числа. PGP использует только шифрование с открытым ключом для создания сеансового ключа, который затем используется для шифрования всего сообщения с использованием традиционной симметричной криптографии. Большинство криптосистем с открытым ключом используют этот метод для повышения производительности.

Вместо того, чтобы вводить весь свой закрытый ключ каждый раз, когда вы используете PGP, что может занять некоторое время и быть очень подверженным ошибкам, ваш закрытый ключ хранится на вашем жестком диске в зашифрованном виде.Чтобы разблокировать ключ, вы вводите парольную фразу каждый раз, когда используете PGP. Это похоже на пароль, только обычно он длиннее и состоит из нескольких слов, желательно с цифрами и буквами. Эту парольную фразу очень важно запомнить, потому что, если вы когда-нибудь потеряете или забудете ее, вы не сможете восстановить данные, зашифрованные с помощью PGP.

Установка PGP и создание пары открытого / закрытого ключей

1. Сначала загрузите файл программы PGP с веб-сайта.
2. Щелкните этот самораспаковывающийся zip-файл, и процесс установки начнется автоматически.
3. У вас есть возможность приобрести полную лицензию или оценить продукт. Нажмите «Купить сейчас», если хотите получить полную версию, разрешенную для коммерческого использования. В противном случае нажмите «Позже», чтобы использовать бесплатную версию.
4. Затем программа установки проведет вас через процесс создания пары открытого / закрытого ключей. Этот процесс очень важен, поскольку он является основой защиты, которую обеспечивает PGP.
5. Программа запросит у вас ваше имя, организацию и адрес электронной почты.

   Вам не нужно вводить адрес электронной почты, но если вы этого не сделаете, ваш открытый ключ не будет связан с вашим адресом электронной почты на сервере ключей, и это может быть сложно для тех, кто пытается чтобы отправить вам зашифрованное PGP сообщение, чтобы найти ваш открытый ключ, если у них его еще нет.

6. Далее программа запрашивает ваш пароль.

   Это то, что позволяет вам использовать ключи на вашем диске. Не вводите здесь обычный пароль, например, одно слово или набор букв.Это серьезно снизит безопасность ваших ключей. Используйте серию слов, состоящую из букв и цифр. Это облегчит запоминание, но убедитесь, что вы используете что-то сложное. Хорошим примером сложной парольной фразы с числами, прописными и строчными буквами и символами является один + один = два.

   Примечание:

   Не используйте этот пример, и нет … это не мой личный пароль.

   После ввода пароля загрузится остальная часть программы, и установка будет завершена.

Если вы хотите удалить PGP со своего компьютера, вы должны использовать предусмотренную функцию удаления. Простое удаление файлов не будет работать должным образом, поскольку PGP вносит значительные изменения в ваш реестр и другие основные настройки Windows.

Использование PGP

Доступ к PGP осуществляется из меню «Программы» в разделе «Пуск». Есть несколько доступных опций, включая PGPMail и документацию.Бесплатная версия PGP имеет отличную документацию, в том числе более 70 страниц введения в криптографию. Это хороший учебник для новичков в криптографии. PGP также имеет огромное руководство пользователя.

Когда вы запускаете PGPMail, на вашем экране отображается небольшая панель инструментов. Это можно свести к минимуму до небольшого значка на панели задач, когда вы его не используете. Этот простой интерфейс предлагает несколько вариантов: PGPKeys, Шифровать, Подписать, Зашифровать и подписать, Расшифровать / Проверить, Очистить и Очистить FreeSpace. Далее рассматриваются конкретные функции каждого элемента.

PGPKeys

Раздел PGPKeys используется для управления как своими собственными общедоступными, так и закрытыми ключами, а также открытыми ключами других пользователей, с которыми вы хотите общаться (см. Рисунок 9.4). Программа PGP создает два каталога для ключей на вашем диске. Эти каталоги называются связками ключей, поскольку они содержат все ключи, необходимые для использования PGP, как открытые, так и частные. Публикация файлов в вашем основном каталоге PGP содержит ваш открытый ключ, а также ключи других людей, которым вы хотите отправить зашифрованные файлы.Секретный файл содержит ваш закрытый ключ, обычно в зашифрованном виде. Обычно он содержит только один закрытый ключ, но вы можете поддерживать более одного закрытого ключа. Например, вы можете использовать один для деловой электронной почты, а другой — для личной переписки. Просто помните, что элементы, зашифрованные с помощью определенного открытого ключа, нельзя расшифровать ничем, кроме этого конкретного совпадающего закрытого ключа.

Рисунок 9.4. PGPKeys Экран

Здесь вы также можете создать новые пары ключей и отозвать пары ключей, которые вы больше не используете.Вы можете загрузить свой открытый ключ на один из нескольких серверов открытых ключей. Это позволяет тому, кто никогда с вами не разговаривал, найти ваш ключ на сервере открытых ключей и отправить вам сообщение PGP. Многие люди, использующие PGP, имеют обыкновение помещать свой открытый ключ в строку подписи в своих электронных письмах, чтобы корреспонденты могли легко отправить им сообщение, зашифрованное с помощью PGP.

Еще один способ помочь проверить легитимность ключа человека — подписать его ключами других людей. Это способ проверки того, что чей-то открытый ключ соответствует этому человеку.Вы должны подписывать открытые ключи только тех людей, которых вы лично хорошо знаете и которые подтвердили правильность ключа. Вы также должны попросить своих друзей и соратников подписать ваши ключи. Этот круг подписания ключей создает неиерархическую модель доверия, называемую сетью доверия. Эта модель хороша тем, что для ее работы не нужен центральный орган. Дополнительные сведения о том, как работает эта сеть доверия, см. В разделе GnuPG далее в этой главе.

Чтобы добавить ключи других пользователей в свою связку открытых ключей, вы можете либо импортировать их непосредственно из файла, либо выполнить поиск на серверах открытых ключей.Выбрав «Поиск» в меню «Серверы» или щелкнув значок увеличительного стекла и введя часть имени или идентифицирующий текст, вы можете увидеть, какие ключи на серверах открытых ключей соответствуют вашему запросу. Перетащите соответствующий выбор из результатов на главный экран PGPKey, и открытый ключ этого человека будет доступен для использования в ваших сообщениях PGP. Вы также можете просмотреть конкретные свойства любого ключа, включая подписавших этот ключ, размер ключа (в битах) и метод (обычно DH для Diffie-Hellman).Наконец, вы можете импортировать или экспортировать свои связки ключей, если вы переместили компьютеры или вам нужно восстановить данные из резервной копии.

Зашифровать

Функция шифрования довольно проста. Во-первых, диалоговое окно позволяет вам выбрать файл для шифрования. После выбора файла PGP предложит вам выбрать открытый ключ получателя из вашей связки ключей. Если у вас его еще нет, выполните поиск на серверах открытых ключей, как описано выше, и добавьте его в свой список. Выберите открытый ключ предполагаемого получателя и перетащите ключ из поля сверху вниз в список получателей.

Флажки в нижнем левом углу имеют несколько важных опций (см. Рисунок 9.5). Один из самых важных — Wipe Original. Щелкните здесь, если вы шифруете этот файл, чтобы сохранить его на жестком диске. В противном случае PGP просто создаст новый зашифрованный файл и оставит исходный текст в том же каталоге для просмотра. Однако помните, что если вы сделаете это и потеряете свои ключи, этот файл исчезнет навсегда.

Рисунок 9.5. Экран опции шифрования PGP

Другой важный параметр — обычное шифрование.Если вы выберете это, шифрование с открытым ключом использоваться не будет. Вместо этого будет использоваться стандартное шифрование с общим секретом, и вам нужно будет выбрать парольную фразу для шифрования данных. Затем эту парольную фразу необходимо будет безопасно передать предполагаемой стороне на другом конце. Этот метод сводит на нет основное преимущество PGP, но он может быть необходим, если у вас нет открытого ключа получателя. Если у получателя нет программного обеспечения PGP, выберите вариант файла архива с саморасшифровкой. Это создает файл, который расшифровывает себя, когда человек, получающий файл, щелкает по нему.Конечно, ваш получатель все равно должен будет знать парольную фразу, которую вы использовали для создания файла.

Знак

Функция «Подписать» позволяет вам подписывать файл своим открытым ключом, тем самым позволяя кому-либо убедиться, что он не изменился с момента его подписания. При этом используется хеш-функция, чтобы обобщить файл в формате дайджеста, а затем зашифровать его своим закрытым ключом. Это противоположно обычному шифрованию с открытым ключом. Получатель может взять подпись и попытаться расшифровать ее с помощью вашего открытого ключа.Если хеши совпадают, значит, он знает, что содержимое не изменилось с тех пор, как вы его подписали. Это полезная функция, если вас больше беспокоит целостность файла, чем конфиденциальность информации. Примером может служить длительный контракт, который был сильно отредактирован. Вы можете подписать его цифровой подписью и быть уверенным, что никто не сможет его изменить после того, как вы его посмотрите. Подписание также может использоваться для обеспечения того, что известно как неотказ, то есть, если вы подписываете документ, можно доказать, что вы это сделали, если только кто-то не завладел вашими личными ключами.Это похоже на действительность вашей физической подписи, за исключением того, что возможность подделать цифровую подпись значительно сложнее, чем традиционная подпись.

Шифрование и подпись

Эта функция выполняет обе функции шифрования и подписи, описанные выше, обеспечивая строгую конфиденциальность, целостность и невозможность отказа.

Расшифровать / проверить

Вы используете функцию расшифровки / проверки, чтобы отменить процесс шифрования PGP. После того, как вы выберете файл для расшифровки, вам будет предложено ввести парольную фразу, чтобы использовать ваш закрытый ключ на вашем диске.Если он введен правильно, вам будет предложено ввести новое имя файла для его расшифровки. Вы также можете использовать эту функцию, чтобы проверить действительность подписи.

Протрите

Функция Wipe безвозвратно удаляет файл с жесткого диска. Этот процесс гораздо более окончательный, чем функция удаления Windows. Проблема с Windows (и большинством операционных систем) заключается в том, что она фактически не удаляет данные с вашего жесткого диска при удалении файла, а просто удаляет список файлов в индексе файловой системы.Данные все еще лежат на пластинах диска. Его можно просмотреть с помощью низкоуровневого редактора дисков или восстановить с помощью доступных утилит, таких как Norton или DD (DD демонстрируется в главе 11). Функция Wipe фактически перезаписывает данные на диске несколько раз случайными нулями и единицами. По умолчанию для этого действия установлено три раза, что подходит для большинства случаев. Вы можете увеличить это значение как минимум до десяти, если вы используете это для высокочувствительных данных, поскольку специалисты по восстановлению данных могут фактически восстановить данные, даже если они были перезаписаны несколько раз.Вы можете увеличить количество проходов до 28 раз, после чего даже АНБ не сможет вернуть файл. Обратите внимание, что если вы удаляете большие файлы с большим количеством проходов, ваш диск на некоторое время будет вращаться. Это очень интенсивное использование диска.

Очистка Freespace

Freespace Wipe выполняет ту же функцию, что и функция Wipe, но на свободном месте на диске. Вам следует делать это время от времени, потому что старые файлы, которые вы удалили, но не стерли, могут все еще существовать.Кроме того, программы регулярно создают временные файлы, которые могут содержать копии конфиденциальных данных. Они удаляются операционной системой, когда вы закрываете программу, но они все еще существуют на вашем диске. Freespace Wipe очищает весь жесткий диск. Вы также можете запланировать эту функцию для регулярной автоматической очистки жесткого диска.

Опции PGP

Есть ряд глобальных опций, которые вы можете установить в PGP. В главном меню PGPKeys в разделе File выберите Edit, чтобы отобразить диалоговое окно PGP Options (см. Рисунок 9.6). В Таблице 9.1 перечислены вкладки и дан обзор каждой из них.

Рисунок 9.6. Диалоговое окно параметров PGP

Это должно дать вам достаточно информации, чтобы начать работу с PGP и защитить ваши файлы и сообщения. Опять же, это краткий обзор продукта PGP. Пожалуйста, прочтите обширную документацию, если вы намерены быть активным пользователем PGP. Если вам нужны дополнительные функции или коммерческое использование, рассмотрите возможность обновления до коммерческой версии.

Если вы не хотите соглашаться со всеми ограничениями бесплатной лицензии PGP, но хотите использовать PGP, есть другой вариант, GNU-версия PGP, которая описывается далее.

GNU Privacy Guard (GnuPG) основан на стандарте OpenPGP и является ответом на коммерческие и ограничительные версии бесплатных лицензий PGP.Конечно, как и в случае с большинством вещей от GNU, название — игра слов (это противоположность PGP). Большой плюс версии GNU в том, что вы можете использовать ее для любого приложения, личного или коммерческого. Кроме того, поскольку его лицензия — GPL, вы можете расширить ее или применить к любому приложению, которое вам нравится. Обратной стороной является то, что это инструмент командной строки, поэтому он не имеет некоторых хороших дополнений, которые предлагает коммерческая версия PGP. Если стоимость является проблемой, и вы не против научиться пользоваться командами, то GnuPG для вас.Однако небольшое предупреждение: GnuPG, вероятно, не лучший выбор для нетехнических пользователей, если вы не добавите свой собственный интерфейс или несколько удобных сценариев (их несколько доступно в Интернете).

Установка GnuPG

Многие текущие версии Linux и BSD поставляются с уже установленным GPG, поэтому вы можете проверить, есть ли он у вас, набрав gpg —version в командной строке. Если вы получили список информации о программе, вы можете пропустить этот раздел и начать использовать GnuPG.

1. Распакуйте его и затем введите обычные команды компиляции:

   
   ./configure
   
   делать
   
   сделать установку
   
    

   Программа создает структуру каталогов в вашем пользовательском каталоге в /.gnupg, где будут храниться ваши ключи и другая информация.

2. (Необязательно) Введите команду make clean после установки GnuPG, чтобы избавиться от любых двоичных файлов или временных файлов, созданных в процессе настройки.

Создание пар ключей

После того, как вы установили программу, первое, что вам нужно сделать, это создать пару открытого и закрытого ключей. Если у вас уже есть ключ и вы хотите импортировать его в эту систему, используйте команду:

gpg --import путь / имя файла

 

, где вы заменяете путь / имя файла на путь и файл к вашим ключам. Вы должны делать отдельные заявления для своих связок открытых и закрытых ключей.Формат файла связки ключей обычно pubring.pkr и secring.skr.

В противном случае выполните эту процедуру.

1. Введите gpg —gen-key. Это запустит процесс и предложит вам несколько элементов.
2. GnuPG спрашивает размер ваших ключей в битах. Значение по умолчанию — 1024, что обычно считается достаточным для надежной криптографии с открытым ключом. Вы можете увеличить его до 2048 для большей безопасности.
3. Как правило, вы никогда не хотите, чтобы срок действия ваших ключей истек, но если у вас есть особый случай, когда вы будете использовать этот ключ только в течение ограниченного времени, вы можете установить, когда он должен истечь.
4. GnuPG запросит ваше имя и адрес электронной почты. Это важно, потому что именно так ваш открытый ключ будет индексироваться на серверах открытых ключей.
5. Наконец, GnuPG запрашивает пароль. Пароли должны быть достаточно длинными и сложными, но при этом их легко запомнить. (См. Описание парольных фраз ранее в этой главе в разделе PGP.) После того как вы дважды введете парольную фразу, GnuPG сгенерирует ваши ключи. Это может занять минуту. Во время этого процесса вы должны немного двигать мышью. GnuPG принимает случайные сигналы от клавиатуры и мыши для генерации энтропии для своего генератора случайных чисел.

   Примечание:

   Еще раз, как и в случае с PGP или любым другим надежным продуктом для шифрования, храните резервные копии ваших пар ключей в надежном месте и не теряйте их, иначе ваши зашифрованные данные будут потеряны навсегда.

Создание сертификата отзыва

После создания ключей вы также можете создать сертификат отзыва.Это используется, если вы потеряете свои ключи или если кто-то получит доступ к вашему закрытому ключу. Затем вы можете использовать этот сертификат для отзыва вашего ключа с серверов открытых ключей. Вы по-прежнему можете расшифровывать полученные сообщения, используя старый открытый ключ (при условии, что вы его не потеряли), но никто больше не сможет зашифровать сообщения с помощью плохих открытых ключей.

Чтобы создать сертификат отзыва, введите:

Отмена вывода gpg.asc gen-revoke user

 

, где вы заменяете пользователя уникальной фразой этого пользователя в своей связке секретных ключей. В результате будет создан файл revoke.asc. Вы должны удалить его со своего жесткого диска и хранить в надежном месте. Вы не хотите оставлять его там же, где находится ваш закрытый ключ, поскольку теория заключается в том, что если кто-то имеет доступ к материалам вашего закрытого ключа, он также может помешать вам его отозвать.

Публикация вашего открытого ключа

Вы захотите разместить свой открытый ключ на сервере ключей, чтобы люди могли легко найти ваш открытый ключ для отправки вам сообщений.Для этого используйте эту команду:

gpg keyserver server send-key user

 

, где вы заменяете сервер именем сервера открытых ключей, а пользователя — адресом электронной почты ключа, который хотите опубликовать. Вы можете использовать любой общедоступный сервер ключей PGP, поскольку все они регулярно синхронизируются. Вы можете выбрать любой из них, и ваш открытый ключ будет распространяться по серверам. Есть много серверов открытых ключей, в том числе:

• certserver.pgp.com

• pgp.mit.edu

• usa.keyserver.net

Шифрование файлов с помощью GnuPG

Чтобы зашифровать файл, используйте команду —encrypt. Формат следующий:

gpg --output file.gpg --encrypt --recipient

  [email protected]

  file.doc [Все в одной строке]

 

, где вы заменяете file.gpg на полученное имя файла, которое вы хотите, friend @ example.com с адресом электронной почты пользователя, которому вы его отправляете, и file.doc с файлом, который вы хотите зашифровать. Обратите внимание, что для этого у вас должен быть открытый ключ получателя на вашей связке ключей.

Вы также можете использовать GnuPG для шифрования файлов с помощью простой симметричной криптографии. Вы можете использовать это для локальных файлов, которые хотите защитить, или для кого-то, для кого у вас нет открытого ключа. Для этого используйте команду —symmetric в таком формате:

gpg - выходной файл.gpg --symmetric file.doc

 

, где вы заменяете file.gpg на нужный выходной файл и file.doc на имя файла, который вы хотите зашифровать.

Расшифровка файлов

Чтобы использовать GnuPG для расшифровки полученных файлов, используйте следующую команду:

gpg --output file.doc --decrypt file.gpg

 

где file.doc — это имя файла, который вы хотите, и файл.gpg — это зашифрованный файл. У вас должен быть закрытый ключ для пользователя, для которого он был зашифрован на вашем секретном кольце. Вам будет предложено ввести парольную фразу, и как только вы введете ее правильно, GnuPG создаст расшифрованный файл.

Подписание файлов

Как упоминалось ранее, еще одно использование GnuPG и PGP — это подписание документов для проверки их целостности. Вы можете сделать это, введя следующую команду:

gpg --output подписан.doc --sign unsigned.doc

 

Замените signed.doc полученным выходным именем файла, а unsigned.doc файлом, который вы хотите подписать. Эта команда подписывает и шифрует документ и создает выходной файл signed.doc. Когда он будет расшифрован, GnuPG также проверит документ. Вы можете проверить файл с помощью следующей команды:

gpg --verify signed.doc

 

, где signed.doc — зашифрованный файл, который нужно проверить.Вы также можете создавать подписи отдельно от файла, если хотите, чтобы пользователи без GnuPG могли получить к ним доступ, но все же хотите включить подпись. Для этого есть две команды. Команда

gpg --clearsign file.doc

 

создает текстовое приложение к файлу с подписью. Если вы не хотите изменять файл, вы можете создать отдельный файл подписи с помощью команды

gpg --output sig.doc --detached-sig file.doc

 

Модель доверия PGP / GnuPG

Как упоминалось ранее, вместо использования иерархической системы доверия, такой как цифровые сертификаты и их центральный центр сертификации, PGP и GnuPG используют модель сети доверия. Подписывая ключи людей, которых вы знаете, вы можете убедиться, что их ключи заслуживают доверия. А если они подписывают ключи других людей, которых вы не знаете напрямую, вы создаете цепочку доверия. Модель основана на идее «любой ваш друг — мой друг».»Допустим, эта модель не работает идеально; кто-то далеко в цепочке доверия может оказаться плохим яблоком и на какое-то время отделаться от неприятностей. Но идея этой системы заключается в том, что она распространяется органически и не требует никаких инфраструктуру. Из-за этого ее нельзя легко демонтировать или использовать в больших масштабах. Вы можете создать эту сеть доверия, подписав ключи людей и попросив их подписать ваши. В примере на рис. 9.7 Тони может безоговорочно доверять ключам Джейн, Джо, Джона и Евы, даже если он не знает их напрямую.

Рисунок 9.7. Модель Web of Trust

Подписание ключей и управление доверительными отношениями ключей

В GnuPG вы подписываете ключи и управляете доверием ключей, переходя в режим редактирования ключей с помощью следующей команды:

gpg --edit-key [email protected]

 

, где [email protected] совпадает с адресом электронной почты ключа, который вы хотите подписать или которым вы хотите управлять, и должен быть одним из ключей в вашем открытом кольце.Он распечатывает основную информацию о ключе. В этом режиме введите fpr, чтобы распечатать отпечаток этого ключа. Как и у людей, отпечаток ключа — это конкретный идентификатор этого ключа. Убедитесь, что это ключ человека, сравнив его или с ней по телефону или другим способом. Вы также можете проверить, кто еще подписал этот ключ, набрав check. Это напечатает список других лиц, подписавших этот ключ, и может помочь вам определить действительность ключа.

Когда вы уверены, что это ключ человека, введите знак.Это подписывает ключ этого человека, чтобы любой, кто смотрит на него, знал, что вы ему или ей доверяете. В этом режиме вы также можете редактировать уровни доверия для различных ключей в вашем кольце. Войдите в этот режим из режима редактирования ключа, набрав trust. Появится следующее меню.

1 = Не знаю

2 = Я НЕ доверяю

3 = Я мало доверяю

4 = Я полностью доверяю

s = Пожалуйста, покажите мне больше информации

m = Назад в главное меню

Выберите один из предметов, и этот ключ будет отмечен вами как таковой.Это еще один способ сообщить себе и другим, каким пользователям вы доверяете наивысший уровень, а каким вы почти не знакомы.

Это должно дать вам хорошее представление о мире PGP и GnuPG. Опять же, эта глава не предназначена быть исчерпывающим источником по ним, и вам следует обратиться к их соответствующим веб-сайтам и другим перечисленным источникам, чтобы читать дальше об этих революционных программах.

PGP и GnuPG отлично подходят для шифрования файлов.Однако что, если вы хотите зашифровать все сообщения между двумя точками? PGP не подходит для этой функции (недавно включенный клиент VPN с коммерческой версией не выдерживает). Далее обсуждается инструмент с открытым исходным кодом для создания этих постоянных соединений, где все шифруется на лету.

Большинство файловых и коммуникационных утилит, используемых сегодня в Интернете, восходят к тем временам, когда Интернет был небольшим и безопасным местом.Одним из наиболее распространенных инструментов, помимо веб-браузера, является Telnet. Эта утилита используется для удаленного терминального доступа ко всем типам серверов, маршрутизаторов, межсетевых экранов и других устройств. Большим недостатком Telnet является то, что он передает свои данные в открытом виде, поэтому, если вы используете Telnet для входа в систему через Интернет, кто-то может перехватить ваш трафик, включая ваши пароли. Вы можете подумать, что найти свой пароль в потоке данных — это все равно что найти иголку в стоге сена, но хакеры написали программы, которые запускаются поверх снифферов для поиска общих условий входа и каталогизации результатов.Это также верно и для других удаленных инструментов, таких как FTP, TFTP и RCP.

SSH решает эту проблему, используя как открытый ключ, так и симметричную криптографию для шифрования сеанса, начиная с первого нажатия клавиши. Таким образом, все, что слышит ваше соединение, — это случайный шум. SSH не только обеспечивает конфиденциальность ваших данных за счет шифрования, но также обеспечивает надежную аутентификацию, которая предотвращает спуфинг и другие атаки типа идентификации. Это достигается с помощью цифровых сертификатов для аутентификации пользователей.Не путайте SSH с SSL, стандартом веб-шифрования. Хотя они оба делают одно и то же, SSH работает с любым протоколом, тогда как SSL в первую очередь предназначен для веб-коммуникаций.

SSH также включает SCP, который является безопасной заменой RCP, инструмента удаленного копирования и SFTP, безопасной замены FTP. SSH также можно использовать для туннелирования других протоколов, таких как HTTP и SMTP, между машинами. Некоторые приложения обсуждаются в конце этого раздела. Использование этого набора программ вместо их старых аналогов гарантирует, что ваши удаленные сообщения с серверами не будут прочитаны.Отказ от использования Telnet и FTP в вашей сети может быть трудным, но чем чаще вы это делаете, тем в большей безопасности вы будете.

Для использования SSH у вас должен быть запущен SSH-сервер на машине, к которой вы хотите подключиться, и SSH-клиент на машине, к которой вы подключаетесь. Обычные клиенты FTP и Telnet не подключаются к SSH-серверу. Клиент встроен в большинство современных операционных систем Linux, хотя вам, возможно, придется выбрать этот параметр при установке ОС. (См. Главу 2 для получения информации о клиенте SSH.) Сервер SSH обычно не является обязательным, и вы должны выбрать его при установке ОС. Чтобы определить, установлен ли он уже, введите ps и посмотрите, запущен ли процесс sshd. Если нет, вам нужно будет установить сервер, чтобы разрешить подключение к вашему компьютеру через SSH.

1. Сначала загрузите и распакуйте пакет с веб-сайта или компакт-диска книги.
2. Выполните обычные команды компиляции Linux:

   
   /.configure
   
   делать
   
   сделать установку
   
    

   Это создает и устанавливает программы SSH. Бинарные файлы и связанные библиотеки будут расположены в / usr / local / bin (в системе Mandrake Linux другие дистрибутивы могут отличаться). Системные демоны находятся в / usr / local / sbin, а файлы конфигурации — в / usr / local / etc / ssh или / etc / ssh, в зависимости от вашей установки.

   Вы можете выбрать альтернативный путь установки, используя

   
   --prefix = путь к файлу
   
    

   где путь к файлу заменяется желаемым альтернативным местоположением.

3. После установки OpenSSH проверьте файл конфигурации, расположенный в / etc / ssh, чтобы убедиться, что он соответствует параметрам вашей системы. Файл конфигурации для серверной части — sshd_config. Вы можете использовать текстовый редактор, такой как vi или EMACS, чтобы внести свои изменения. Вот несколько пунктов, которые нужно проверить:

   • Порт:

     Порт, на котором SSH прослушивает входящие соединения. По умолчанию это 22. Если вы измените это, людям, пытающимся подключиться к вам, придется вручную изменить номер порта на своих клиентах SSH.

   • Протоколы:

     Это сообщает серверу, какие протоколы SSH принимать. По умолчанию принимаются соединения типа SSh2 и SSh3. Для немного большей безопасности вы можете изменить это, чтобы принимать только SSh3, но это предотвратит подключение некоторых старых клиентов.

   • Hostkey:

     Это дает расположение ключей, используемых для генерации основанной на ключах аутентификации пользователя при подключении к отдельному компьютеру. Это не то же самое, что ключи сервера, которые генерируются при установке.

4. Прежде чем вы сможете использовать SSH-сервер, вы должны сгенерировать его различные ключи. Вы делаете это, набирая следующую команду:

   
   ssh make-host-key
   
    

   Вы получите примерно такой ответ.

   
   Создание пары ключей открытого и закрытого типа RSA.
   
   Введите файл, в котором нужно сохранить ключ (/home/me/.ssh/id_rsa):
   
   
   
   Создан каталог '/ home / me /.ssh '.
   
   
   
   Введите кодовую фразу (пусто, если кодовая фраза отсутствует):
   
   
   
   Введите ту же парольную фразу еще раз:
   
   
   
   Ваш идентификатор был сохранен в
   
   /home/me/.ssh/id_rsa.
   
   Ваш открытый ключ был сохранен в
   
   /home/me/.ssh/id_rsa.pub.
   
   Отпечаток ключа: f6: 41: 99: d8: a5: d1: fb: e7: 93: 86: 7e: e6: 4f: 01: d9: 5b.
   
    

   Отпечаток пальца обеспечивает уникальный идентификатор для ключей вашего сервера.

5. Теперь вы можете запустить SSH-сервер из командной строки, набрав sshd &.

   Это запускает sshd, демон сервера, в фоновом режиме и постоянно прослушивает соединения. Если вы хотите, чтобы sshd запускался автоматически при перезагрузке (что предпочтительно), поместите эту строку в конец файла rc.local в вашем каталоге /etc/rc.d/ (в Mandrake Linux или в соответствующем файле запуска). файл для вашего раздачи).

Помните, что для подключения к вашему серверу через SSH вам необходимо запустить совместимую версию SSH на стороне клиента. Инструкции по установке и использованию клиента SSH приведены в главе 2.

Перенаправление портов с помощью OpenSSH

Хотя SSH был в первую очередь предназначен для взаимодействия с командной строкой, подобного Telnet, его также можно использовать для установки безопасного туннеля между двумя машинами для любого приложения. Вы можете создать безопасное соединение между двумя серверами с помощью встроенной возможности перенаправления портов в SSH. Чтобы это работало, у вас должен быть запущен SSH на обоих концах соединения. Вы можете работать с любой службой на любом порту с помощью следующего оператора, выпущенного на стороне клиента.

ssh -L локальный_порт: локальный_хост: удаленный_порт имя_удаленного_хоста

  N &

 

где заменить:

• local_port со случайным портом с большим номером, выбранным вами для создания нового зашифрованного соединения

• local_host с вашим локальным компьютером

• remote_port с портом службы, которую вы хотите туннелировать на удаленном конце

• имя_удаленного_хоста с IP-адресом или именем хоста сервера на другом конце соединения.

Параметр -L указывает SSH прослушивать локальный_порт на локальном_узле и перенаправлять любые подключения к удаленному_порту на удаленном_узле.Параметр -N указывает SSH не пытаться войти в систему, просто чтобы соединение оставалось открытым для перенаправленного трафика. & Запускает задачу в фоновом режиме, поэтому она будет работать как системный процесс, и вы можете делать другие вещи на машине. Если компьютер перезагружается, вам придется ввести команду еще раз, если вы не укажете ее в сценарии запуска.

При использовании этого метода вам не требуется вход в систему на удаленном конце, чтобы установить зашифрованное соединение с удаленным сервером. Вам потребуются соответствующие учетные данные для всего, что вы хотите делать через перенаправленный порт, если они требуются.

Ниже приведены два примера, показывающие, как это работает.

Пример 1: Создание зашифрованного соединения электронной почты с OpenSSH

Обычно электронная почта отправляется через порт 25 в незашифрованном виде. Допустим, вы хотите вместо этого зашифровать это соединение. Для этого можно использовать SSH для настройки зашифрованного туннеля для любого трафика, привязанного к трафику порта 25 на вашем почтовом сервере. Используя указанный выше формат и предполагая, что ваш почтовый сервер имеет IP-адрес 192.168.1.2 правильная команда будет:

ssh L 5000: localhost: 25 192.168.1.2 N &

 

Это настраивает порт 5000 на вашем локальном компьютере как порт, который будет туннелировать почтовый порт (25) на ваш удаленный почтовый сервер. Поэтому, если вы настроили свой почтовый клиент для подключения к localhost: 5000 вместо почтового порта по умолчанию, SSH будет автоматически перенаправлять трафик на порт 25 вашего почтового сервера, используя SSH для его шифрования. Теперь вы можете получать и отправлять почту на этот аппарат, не беспокоясь о том, что ваша почта будет прочитана по сети.

Пример 2: Создание безопасного веб-соединения

Что делать, если вы хотите подключить свой веб-сервер для безопасной транзакции? Если сервер не настроен для использования SSL, вы все равно можете использовать SSH для безопасного туннелирования вашего веб-трафика на сервер. Если ваш веб-сервер расположен по адресу 192.168.1.3, командная строка выглядит следующим образом:

ssh L 5000: localhost: 80 192.168.1.3 N &

 

Теперь вы можете подключиться, введя localhost: 5000 в своем веб-браузере, и вы действительно будете перенаправлены через безопасный туннель на порт (80) на удаленной машине.Вы можете переадресовать несколько разных портов на одном компьютере. Например:

ssh L 5000: локальный: 5000: 25 L 5001: локальный: 80

  192.168.1.2 С &

 

будет перенаправлять весь трафик на порт 5000 локально на почтовый порт на 192.168.1.2, а весь трафик на порт 5001 на порт 80 на удаленной машине. Конечно, в этом примере предполагается, что у вас есть учетная запись электронной почты на удаленном сервере.

Как видите, SSH отлично подходит для создания безопасного соединения между двумя машинами практически для любого протокола.Однако что, если вы хотите зашифровать весь трафик, независимо от порта или службы? В этом случае создание виртуальной частной сети имеет больше смысла.