GNU Privacy Guard

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
GNU Privacy Guard
Логотип GNU Privacy Guard
Типкриптографія
АвторВернер Кох[1]
РозробникПроект GNU
Стабільний випуск2.3.4 (20 грудня 2021; 2 роки тому (2021-12-20))
Операційна системабагатоплатформний
Мова програмуванняC[2]
ЛіцензіяGNU General Public License version 3
Онлайн-документаціяgnupg.org/documentation/manuals/gnupg/
Репозиторійdev.gnupg.org/source/gnupg.git
Вебсайтwww.gnupg.org

GNU Privacy Guard (GnuPG або GPG) — відкритий програмний засіб для шифрування та цифрового підписування даних, вільний аналог Pretty Good Privacy (PGP). GnuPG повністю сумісний із стандартами OpenPGP (RFC-4880 організації IETF) і S/MIME, і надає утиліти для шифрування даних, роботи з електронними підписами, управління ключами і доступу до публічних сховищ ключів.

Початковий код GnuPG розповсюджується на умовах ліцензії GNU GPL версії 3, і є проектом Free Software Foundation.

Застосування GnuPG

[ред. | ред. код]

GPG вже досяг рівня стабільного, готового до використання програмного забезпечення. Його часто включають до складу вільних операційних систем, таких як FreeBSD, OpenBSD, NetBSD та майже всіх дистрибутивів Лінукс. GPG також доступний в операційних системах сімейства Microsoft Windows.

Принцип дії

[ред. | ред. код]

GPG зашифровує повідомлення, використовуючи асиметричні алгоритми та згенеровані користувачем ключі. Отримані відкриті ключі можуть обмінюватись різноманітними шляхами, наприклад, через сервери ключів. Обмін відкритих ключів слід виконувати дуже уважно, аби уникнути підміни ідентичності відправника під час надсилання ключа. Також можливо додавати цифровий підпис до листів для того, щоб можна було підтвердити цілісність повідомлення та автентичність відправника.

В GPG не використовуються ні запатентовані, ні обмежені в інший спосіб алгоритми, включаючи алгоритм шифрування IDEA, який підтримувався в PGP майже з самого початку. Замість цього, використовуються інші, не запатентовані алгоритми, такі як CAST5, Triple DES, AES, Blowfish та Twofish. Але, все ще існує можливість використання алгоритму IDEA в GPG при завантаженні та установці відповідного розширення, однак, це може вимагати отримання ліцензії для деяких застосувань в деяких країнах, в яких IDEA запатентовано.

GPG є програмою з гібридним шифруванням, в тому сенсі, що для підвищення швидкості роботи використовуються симетричні алгоритми шифрування, та асиметричні алгоритми шифрування для полегшення процедури обміну ключами, як правило, використовуючи відкритий ключ отримувача повідомлення для шифрування ключа сеансу, який використовується лише один раз. Цей режим роботи є частиною стандарту OpenPGP, і використовувався в PGP, починаючи з його першої версії.

Сумісність з PGP

[ред. | ред. код]

Поточні версії PGP сумісні з GPG та іншими системами, що втілюють стандарт OpenPGP. Хоча, деякі старі версії PGP також працюють із GPG, не всі можливості нових версій програмного забезпечення підтримуються в старих версіях. Тому слід знати про ці можливі несумісності та враховувати їх при обміні даними між різними програмами.

Уразливості

[ред. | ред. код]

У травні 2018 року група дослідників з Європи поширили попередження про виявлені ними дві вразливості у поширених поштових клієнтах. Обидві вразливості можуть бути реалізовані за умови атаки «людина посередині» та якщо в поштовому клієнті увімкнено підтримку перегляду HTML. Перша уразливість, при цьому, дозволяє зловмиснику отримувати розшифрований шифротекст[3].

Efail не є вразливістю самої OpenPGP чи GPG, і натомість працює шляхом «обгортання» шифротексту тегами img, в атрибут src яких вклеюється сам шифротекст. Таким чином після дешифрування в поштовому клієнті, клієнт здійснює запит в мережу, який містить в URL розшифроване повідомлення.

Для поширення інформації про уразливості був створений вебсайт efail.de [Архівовано 14 травня 2018 у Wayback Machine.].

Див. також

[ред. | ред. код]

Примітки

[ред. | ред. код]
  1. Free Software Directory
  2. https://www.openhub.net/p/gnupg/analyses/latest/languages_summary
  3. DANNY O'BRIEN, GENNIE GEBHART (13 травня 2018). Attention PGP Users: New Vulnerabilities Require You To Take Action Now. EFF. Архів оригіналу за 15 травня 2018. Процитовано 15 травня 2018.

Посилання

[ред. | ред. код]