Генерация асимметричных ключей

В системе PGP, начиная с пятой версии, поддерживается два типа асимметричных ключей: ключи RSA, ключи DH/DSS.

Ключи RSA получили свое название исходя из названия криптосистемы RSA, используемой для генерации ключей данного типа.

Генерируемая с помощью PGP пара ключей типа RSA содержит закрытый и открытый ключи, которые могут использоваться как для цифровой подписи, так и для криптографического закрытия данных. Ключи RSA являются традиционными ключами для криптосистемы.

Ключи DH/DSS – это ключи нового типа, которые базируются на последних достижениях в области криптографии. Название ключей этого типа исходит из названий областей их приложения – стандарта цифровой подписи DSS и подхода Диффи-Хелмана (DH), положенного в основу криптосистемы асимметричного шифрования Эль-Гамаля.

С помощью PGP генерируется набор ключей DH/DSS, который с точки зрения пользователя содержит одну пару ключей – закрытый и открытый. На самом деле генерируется две пары ключей – одна пара ключей для криптографического закрытия информации по Эль-Гамалю (временных ключей), а другая пара ключей для формирования и проверки цифровой подписи по стандарту DSS. Таким образом, один с точки зрения пользователя закрытый асимметричный ключ DH/DSS включает два ключа – закрытый ключ DH, для расшифровывания асимметрично зашифрованной информации (асимметрично зашифрованных временных ключей симметричного шифрования) и закрытый ключ DSS для формирования цифровой подписи. Соответственно один с позиции пользователя открытый ключ DH/DSS также включает два ключа – открытый ключ DH для асимметричного зашифровывания информации (временных ключей симметричного шифрования) и открытый ключ DSS для проверки цифровой подписи. Таким образом, пара ключей DH/DSS – это набор из двух закрытых и соответствующих им двух открытых асимметричных ключей. В дальнейшем, говоря об открытом или закрытом ключе DH/DSS, будем подразумевать соответственно два открытых или два закрытых ключа DH/DSS, входящих в один набор.

Порядок генерации ключей в системе PGP

Генерация ключей в системе PGP выполняется с помощью программы PGPkeys. Генерируемые пользователем пары ключей распределяются программой PGPkeys по двум файлам в каталоге расположения системы PGP – файлу закрытых ключей secring.skr и файлу открытых ключей pabring.pkr. Закрытые ключи в файле secring.skr хранятся в симметрично зашифрованном виде. В качестве ключа симметричного шифрования для каждого асимметричного закрытого ключа используется пароль, задаваемый пользователем при генерации соответствующей пары ключей. В файл открытых ключей pabring.pkr помещаются не только генерируемые пользователем открытые ключи, но и также все импортируемые открытые ключи.

Для генерации ключей необходимо:

1. запустить программу PGPkeys либо командой PGPkeys, выбираемой из динамического меню, либо щелчком на соответствующей инструментальной кнопке панели инструментов программы PGPmail для вызова указанной программы;

2. запустить Мастер генерации ключей с помощью команды Keys/New Key, вызываемой из основного меню главного окна программы PGPkeys.

Мастер генерации ключей позволяет пользователю сгенерировать любую пару ключей (пару ключей RSA или DH/DSS).

После активизации Мастера генерации ключей (подпрограммы PGP Key Generation Wizard) для генерации ключей пользователь может воспользоваться двумя способами. Первый способ позволяет сгенерировать только ключи типа DH/DSS, а второй способ – ключи типа DH/DSS и RSA.

Первый способ

1. Ознакомиться с содержимым появившегося информационного окна подпрограммы PGP Key Generation Wizard, описывающим назначение пары асимметричных ключей, и нажать кнопку Далее.

2. При появлении окна запроса сведений о владельце генерируемой пары ключей в поле Full name необходимо ввести свой идентификатор (имя), а в поле Email address – свой электронный адрес, выбрав затем кнопку Далее.

3. В поля Passphrase (пароль) и Confirmation (подтверждение) появившегося окна дважды ввести пароль для последующего доступа к генерируемому закрытому ключу. Флажок Hide Typing (скрыть символы) в данном окне задает режим отображения на экране набираемого на клавиатуре пароля. По умолчанию этот флажок установлен и блокирует отображение вводимых символов пароля. Чем длиннее и нетривиальнее пароль, тем меньше шансов у злоумышленника при подборе пароля. Длина пароля должна быть более семи символов. В противном случае при нажатии кнопки Далее появится окно с предупреждением о повышенной вероятности подбора пароля. Повторное нажатие кнопки Далее приведет к игнорированию предупреждения. Для смены пароля следует нажатием кнопки Назад вернуться в предыдущее окно, а затем обратно войти в данное окно.

4. Далее начинается процесс генерации пары ключей. Если PGP не располагает достаточным для генерации ключей количеством случайных данных (количество символов пароля меньше восьми символов), то перед процессом генерации пары ключей к введенному паролю случайным образом добавляется недостающее количество символов, необходимое для создания уникальной пары ключей. Генерация случайных символов отображается в окне заполнением полосы индикации, а процесс генерации ключей сопровождается отображением в нижней части окна сообщения "Generating...", по окончании которого необходимо нажать кнопку Далее.

5. Окончание генерации ключей сопровождается отображением в нижней части окна сообщения "Complete" (завершение) и подтверждается нажатием кнопки Готово.

Второй способ

1. В информационном окне подпрограммы PGP Key Generation Wizard нажать кнопку Expert.

2. В появившемся окне вводятся сведения о владельце генерируемой пары ключей (идентификатор и электронный адрес), выбирается тип генерируемой пары ключей (DH/DSS или RSA), определяется их длина ( от 1024 до 4096 бит ) и срок действительности ( без ограниченного срока действия (Key Expiration never) или явное задание даты окончания срока действия пары ключей), затем требуется нажать кнопку Далее.

3. В следующем окне задается пароль и его подтверждение для последующего доступа к генерируемому закрытому ключу. Далее повторяются действия из первого способа.

После нажатия кнопки Готово в обоих случаях осуществляется возврат к главному окну программы PGPkeys, в котором появляется новая запись о сгенерированной паре ключей.

Сгенерированный закрытый ключ будет зашифрован симметричным способом по указанному пользователем паролю и занесен в файл закрытых ключей secring.skr каталога размещения системы PGP. Сгенерированный открытый ключ автоматически подписывается по соответствующему ему закрытому ключу и заносится в файл открытых ключей pabring.pkr этого же каталога. В файл открытых ключей помещаются также все импортируемые открытые ключи.

Пара ключей DH/DSS в главном окне PGPkeys обозначается в виде значка с двумя ключами желтого цвета, а пара ключей RSA – в виде значка с двумя ключами синего (серого) цвета. Значок с одним ключом (желтый или синий) обозначает открытый ключ (DH/DSS или RSA), для которого отсутствует соответствующий ему закрытый ключ (импортируемый открытый ключ).

Если для сгенерированной пары ключей был задан срок ее действия, то по истечении этого срока пара ключей в файле открытых ключей автоматически будет помечена знаком "часы" и открытый ключ нельзя будет использовать для зашифровывания данных, а закрытый ключ – для формирования цифровой подписи. Однако просроченные ключи могут применяться для расшифровывания информации и проверки цифровой подписи.

Если компьютер подключен к сети Internet, то по окончании генерации ключей система PGP предлагает по умолчанию отправить сгенерированный открытый ключ на общедоступный сервер ключей путем установки в последнем окне флажка Send my key to the default server now.

Внимание: данную услугу системы необходимо проигнорировать, данный флажок не устанавливать!
5.8.Обмен открытыми ключами

С помощью системы PGP пользователи могут обмениваться своими открытыми ключами как непосредственно друг с другом (прямой обмен), так и через общедоступный сервер открытых ключей.

 

Удобство прямого обмена открытыми ключами связано с возможностью системы PGP представлять открытые ключи в виде блоков текста. Блок текста, задающий открытый ключ, каждый пользователь может непосредственно передать другому пользователю одним из двух способов:

1. включение открытого ключа в отдельный файл и передача файла с открытым ключом (передача файлом);

2. пересылка ключа по электронной почте путем его включения в почтовое сообщение или как вложенный в сообщение файл (пересылка по электронной почте).