GNU Privacy Guard

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
GNU Privacy Guard
Gnupg logo.svg
GNU Health digital signatures.png
Логотип GNU Privacy Guard
Тип криптографія
Автор(и) Вернер Кох
Розробник Проект GNU
Стабільний випуск 2.1.21 (15 травня 2017; 494 дні тому)
Репозиторій git.gnupg.org/cgi-bin/gitweb.cgi
Операційна система багатоплатформний
Написано на C
Ліцензія GNU General Public License version 3
www.gnupg.org

GNU Privacy Guard у Вікісховищі?

GNU Privacy Guard (GnuPG або GPG) — відкритий програмний засіб для шифрування та цифрового підписування даних, вільний аналог Pretty Good Privacy (PGP). GnuPG повністю сумісний із стандартами OpenPGP (RFC-4880 організації IETF) і S/MIME, і надає утиліти для шифрування даних, роботи з електронними підписами, управління ключами і доступу до публічних сховищ ключів.

Сирцевий код GnuPG розповсюджується на умовах ліцензії GNU GPL версії 3, і є проектом Free Software Foundation.

Застосування GnuPG[ред. | ред. код]

GPG вже досяг рівня стабільного, готового до використання програмного забезпечення. Його часто включають до складу вільних операційних систем, таких як FreeBSD, OpenBSD, NetBSD та майже всіх дистрибутивів Лінукс. GPG також доступний в операційних системах сімейства Microsoft Windows.

Принцип дії[ред. | ред. код]

GPG зашифровує повідомлення використовуючи асиметричні алгоритми та згенеровані користувачем ключі. Отримані відкриті ключі можуть обмінюватись різноманітними шляхами, наприклад, через сервери ключів. Обмін відкритих ключів слід виконувати дуже уважно, аби уникнути підміни ідентичності відправника під час надсилання ключа. Також можливо додавати цифровий підпис до листів для того, щоб можна було підтвердити цілісність повідомлення та автентичність відправника.

В GPG не використовуються ні запатентовані, ні обмежені в інший спосіб алгоритми, включаючи алгоритм шифрування IDEA, який підтримувався в PGP майже з самого початку. Замість цього, використовуються інші, не запатентовані алгоритми, такі як CAST5, Triple DES, AES, Blowfish та Twofish. Але, все існує можливість використання алгоритму IDEA в GPG при завантаженні та установці відповідного розширення, однак, це може вимагати отримання ліцензії для деяких застосувань в деяких країнах, в яких IDEA запатентовано.

GPG є програмою з гібридним шифруванням, в тому сенсі, що для підвищення швидкості роботи використовуються симетричні алгоритми шифрування, та асиметричні алгоритми шифрування для полегшення процедури обміну ключами, як правило, використовуючи відкритий ключ отримувача повідомлення для шифрування ключа сеансу, який використовується лише один раз. Цей режим роботи є частиною стандарту OpenPGP, і використовувався в PGP, починаючи з його першої версії.

Сумісність з PGP[ред. | ред. код]

Поточні версії PGP сумісні з GPG та іншими системами що втілюють стандарт OpenPGP. Хоча деякі старі версії PGP також працюють із GPG, не всі можливості нових версій програмного забезпечення підтримуються в старих версіях. Тому слід знати про ці можливі несумісності та враховувати їх при обміні даними між різними програмами.

Уразливості[ред. | ред. код]

Efail[ред. | ред. код]

У травні 2018 року група дослідників з Європи поширили попередження про виявлені ними дві вразливості у поширених поштових клієнтах. Обидві вразливості можуть бути реалізовані за умови атаки «людина посередині» та якщо в поштовому клієнті увімкнено підтримку перегляду HTML. Перша уразливість, при цьому, дозволяє зловмиснику отримувати розшифрований шифротекст[1].

Efail не є вразливістю самої OpenPGP чи GPG, і натомість працює шляхом «обгортання» шифротексту тегами img, в атрибут src яких вклеюється сам шифротекст. Таким чином після дешифрування в поштовому клієнті, клієнт здійснює запит в мережу, який містить в URL розшифроване повідомлення.

Для поширення інформації про уразливості був створений веб-сайт efail.de.

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. DANNY O'BRIEN, GENNIE GEBHART (2018-05-13). Attention PGP Users: New Vulnerabilities Require You To Take Action Now. EFF. 

Посилання[ред. | ред. код]