ОМСКАЯ ГРУППА ПОЛЬЗОВАТЕЛЕЙ LINUX » GnuPG http://omsklug.com Свобода - это ответственность. Вот почему все её так боятся. Бернард Шоу Fri, 10 Nov 2017 17:30:02 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 День свободы программного обеспечения 2016 http://omsklug.com/2016/09/sfd2016/ http://omsklug.com/2016/09/sfd2016/#comments Mon, 12 Sep 2016 18:54:50 +0000 linuxmasterz http://omsklug.com/?p=2025 Software Freedom Day LogoЧто это такое?

День свободы программного обеспечения (Software Freedom Day, SFD, День СПО) — ежегодное всемирное мероприятие, посвященное свободному программному обеспечению и ПО с открытым исходным кодом. День свободы программного обеспечения — публичная образовательная инициатива, нацеленная на повышение уровня осведомленности о свободном программном обеспечении и его преимуществах, информирование о последних технологиях и тенденциях в свободном программном обеспечении.
Идея Дня свободы программного обеспечения появилась в 2004 году и первый раз такой день был проведен 28 августа того же года. В Омске он проводится с 2007 г. и обычно – группой пользователей Linux.

Что мы будем делать?

Мы просто устроим себе праздник и не будем напрягаться
Мы будем кулуарно свободно общаться на скучные темы про это наше IT, GNU/Linux, свободное программное обеспечение
Мы будем устанавливать и радоваться различным дистрибутивам свободных операционных систем: GNU/Linux-дистрибутивы, ReactOS, KolibriOS, Haiku
Мы будем раздавать случайным лицам методические материалы о свободном программном обеспечении
Мы проведём ещё более безудержную криптовечеринку, чем обычно.

Что мы не будем делать?

Мы не будем делать наши обычные доклады
Мы не будем делать вебтрансляцию мероприятия
Мы не будем никого регистрировать

Кому приходить?

Приходите, кому интересны:
Свободное программное обеспечение
Шифрование (PGP, LUKS, TrueCrypt), анонимность в интернете (Tor, i2p)
Сетевые технологии (виртуализация/контейнеризация через KVM, OpenVZ, LXC, Docker)
Вопросы лицензирования программного обеспечения
Реестр российского программного обеспечения

Что приносить с собой?

Ноутбуки, чтобы поставить туда свободные операционные системы
Носители компьютерной информации (флешки, диски и т.д.), чтобы скопировать свободное программное обеспечение
Аппаратное обеспечение, которое хотите подключить в свободных операционных системах, но не сумели или не успели это сделать

Когда и где?

Собираемся 17.09.2016 в 14.00 в Омске в кафе на 3½ этаже ТЦ «Омский» (над «Сытной площадью»), вот где-то здесь: https://www.openstreetmap.org/?mlat=54.97682&mlon=73.39135#map=19/54.99219/73.37326

 

]]>
http://omsklug.com/2016/09/sfd2016/feed/ 1
Crypto Install Fest 3 в Омске http://omsklug.com/2016/08/crypto-install-fest-3/ http://omsklug.com/2016/08/crypto-install-fest-3/#comments Wed, 10 Aug 2016 17:46:25 +0000 linuxmasterz http://omsklug.com/?p=2016 Когда и где?

2016-08-20T14:00+0600 OMST (двадцатого августа 2016 года в 14 часов дня по омскому времени) Омская группа пользователей Linux (#OmskLUG) проводит Crypto Install Fest (#CIF2016) в Омском ITLoft (г. Омск, ул. Учебная, 83, второй этаж, каб. 212).

Что будем делать и обсуждать в ходе мероприятия?

А будет несколько докладов и мастерклассов по защите вашей, никому не нужной, личной и иной информации:

  1. Личная кибербезопасность для самых маленьких (Станислав Емец)
  2. Безопасность в интернете
  3. Шифрование дома и на работе: LUKS, TrueCrypt (VeraCrypt и др.) (Алексей Тараканов)
  4. Проблемы хранения паролей (Антон Пацев)

После чего, с 16.00 часов будет трансляция с московского Crypto Install Fest (http://cif.pirate-party.ru/) с возможностью задать вопросы докладчикам.

Также будет криптовечеринка (#KSP, Key Signing Party). Что такое KSP? Вот: https://db.tt/86bW7biW

Для мастер-классов и других жестоких беспощадных экспериментов по созданию загрузочных и шифрованных разделов/флешек нужны от вас:

(a) ноутбук и/или (b) флешка.

Для участия в частной криптовечеринке для избранных:

(a) неплохо бы направить ваш публичный ключ PGP заранее на post@omsklug.com;
(b) не забыть документ, удостоверяющий личность;
(c) прийти самому лично.

Если желаете поучаствовать в качестве организаторов, то оставляйте комментарии на сайте http://www.omsklug.com , пишите на почту post@omsklug.com, забегайте в нашу jabber-конференцию: omsklug@conference.jabber.ru

Как безвозмедно и добровольно зарегистрироваться для участия?

Вот ссылка на форму регистрации:http://bit.ly/cif2016omsk

Если же проникнуть лично вам не удастся, то есть вариант посмотреть трансляцию мероприятия тут: http://www.omsklug.com/tv

]]>
http://omsklug.com/2016/08/crypto-install-fest-3/feed/ 1
Криптография с использованием ключей SSH http://omsklug.com/2015/09/ssh-crypto-pgp-for-poors/ http://omsklug.com/2015/09/ssh-crypto-pgp-for-poors/#comments Sun, 20 Sep 2015 16:18:42 +0000 Shroom http://omsklug.com/?p=1932 .local p {text-align: justify!important; text-justify: inter-word!important;} .local a {color: rgb(16, 8, 96)!important;} .local a:visited {color: Gray!important;} .local a:hover {text-decoration: underline; color: Blue!important;} .local code {font-family: Monospace,Courier!important;}

…или «PGP для бедных»

Внезапно за последнюю неделю у меня родилась вторая статья, имеющая отношение к криптографии и защите данных. Это несколько странно для меня, но вот поди ж ты, растащило на скрипты. Но если в прошлый раз речь шла о защите LUKS-разделов, то сейчас я вкратце расскажу, как можно что-нибудь зашифровать для конкретного человека, используя его открытый ключ ssh.

История вопроса

Итак, давным-давно, кажется в прошлую пятницу… Хотя нет. На самом деле в начале мая этого года… Так вот, именно в то время Родригес задался вопросом, можно ли в рамках концепции криптографии с открытым ключом использовать для шифрования ключи ssh. Они же по умолчаню есть практически всегда, чего не скажешь, например, о PGP/GnuPG. И, как оказалось, это возможно! В общем, академический интерес Родригеса был удовлетворён почти сразу же, а вот у меня до практческой реализации идеи руки дошли только сейчас.

Впрочем, для того, чтобы что-то зашифровать и подписать, ssh будет маловато: в любом случае нужно будет поставить дополнительно хотя бы openssl. Не будем спрашивать, почему бы не поставить GnuPG, раз уж в любом случае нужно что-то ставить. Лучше предположим, что шифровать будет какой-нибудь бездомный (в смысле, без ~ и с nologin) робот в автоматическом режиме, и специально для него генерить связку pgp-ключей будет, наверное, слишком жирно. Так что пусть удовлетворяется тем, что есть.

В чём суть

Так чем же удовлетворить себя несчастному одинокому роботу, если GnuPG не стоит, а шифровать хочется? Ответ очевиден: OpenSSL! Более конкретно — модуль rsautl, который позволяет шифровать небольшие клочки данных (в зависимости от типа пэддинга максимум будет составлять 214, 245 или 256 байтов) открытым RSA-ключом. Не нужно быть семи пядей во лбу, чтобы понять, что даже максмальные 256 байтов не пойдут ни в борщ, ни в красную армию. По той простой причине, что их слишком мало. Тем более, что та же openssl enc умеет шифровать симметричными алгоритмами, коих знает туеву хучу, практически ничем не ограниченные тонны информации. Так в чём же фишка?

Фишка, собственно, в асимметричности RSA. То есть, в данном случае не нужно никому передавать по защищённому каналу секрет для расшифровки. В наличии меется открытый ключ, который используется для шифрования и может быть известен неограниченному кругу лиц, а адресат расшифрует файл своим секретным закрытым ключом. Вернее, всё не совсем так. Даже совсем не так. Во-первых, открытым ключом никто сами данные шифровать не будет. Во-вторых, шифровать симметричным алгоритмом всё равно придётся. «Нувыпонели, да?» Это я сейчас пересказываю принцип работы PGP. В общем, те, кто понял, могут переходить прямо к следующему разделу, а всем остальным я предлагаю раскрыть тайну PGP.

А тут на самом деле всё просто. Берём байт 200 какого-нибудь случайного мусора, например, из /dev/random и говорим, что это наш «одноразовый сессионный ключ». Одноразовый, потому что он действительно будет использован только один раз, в данном конкретном случае. При этом его на самом деле никто не знает. То есть, он нигде не светится. Так вот. Берём этот ключ и шифруем на нём всё, что нам нужно. После этого начинается немного магии. Мы берём открытый ключ адресата и на нём шифруем сессионный ключ. Voilá! После этого можно подшить зашифрованный сессионный ключ к зашифрованным данным и отправлять это всё по любым каналам связи: всё равно никто ничего расшфровать не сможет.

На приёмной стороне происходит нечто подобное, но в обратном направлении. Сначала берём закрытый ключ адресата и расшифровываем им сессионный ключ. А после этого естественным образом сессионным ключом расшифровываем данные. Собственно, всё… Вся магия куда-то испарилась, как обычно… Ну а дабы окончательно разогнать остатки мистического огненного тумана, ниже даны команды для осуществления подобного безобразия дома. Для определённости условимся, что данные, подлежащие закрытию, находятся в файле data, сессионный ключ — в файле skey (да, да, я знаю, что так делать нельзя и всё такое, но это просто общая схема, в настоящем скрипте «всё по-другому»), а цифровая подпись — в файле signature. Также будем считать, что открытый ключ записан в файле rsa_key.pub, а закрытый — rsa_key.priv.

# Encryption:
openssl [здесь любимый алгоритм шифрования] -pass file:skey -in data -out data.encrypted
openssl rsautl -encrypt -pubin -inkey rsa_key.pub -in skey -out skey.encrypted
# Decryption
openssl rsautl -decrypt -inkey rsa_key.priv -in skey.encrypted -out skey
openssl [здесь любимый алгоритм шифрования] -d -pass file:skey -in data.encrypted -out data

Если хочется ещё и добавить цифровую подпись, это можно сделать таким образом:

openssl [здесь любмый хзш] -sign [ЗАКРЫТЫЙ ключ ОТПРАВИТЕЛЯ] -out signature -binary data

Проверять, соответственно, так:

openssl [здесь любмый хзш] -verify [ОТКРЫТЫЙ ключ ОТПРАВИТЕЛЯ] -signature signature data

Кстати, обратите внимание на то, что для шифрования используются ключи адресата, а для подписи — отправителя.

Собственно, скрипт

Реализация указанной идеи с помощью костылей shell и openssl повлекла за собой некоторое количество ограничений, о которых необходимо сказать сразу же. Из самого названия модуля rsautl легко можно сделать вывод, что использоваться будут только RSA-ключи. Это не самый удобный вариант, поскольку ssh-keygen умеет генерить не только RSA, но и DSA, а также ключи на основе эллиптических кривых, как, например, ECDSA и ED25519. И этот факт нужно учитывать, если всё-таки захочется шифровать файлы столь извращённым способом. В отношении подписи ограничения не столь суровы: не поддержвается только ED25519.

А собственно скрипт находится в репе на гитхабе. Ничего сверхъестественного, всё достаточно прозрачно и понятно. Если что-то всё-таки непонятно, можно запустить эту штуку с ключом --help, почитать ReadMe или, в конце концов, заглянуть в исходный код. Собственно, ради этого он и находится в свободном доступе.

Всем спасибо, все свободны!


P.S.: В любом случае помните, что использованиие подобных костылей и велосипедов в области криптографии может когда-то серьёзно повредить вашему здоровью. В прямом смысле.

]]>
http://omsklug.com/2015/09/ssh-crypto-pgp-for-poors/feed/ 0