GPG의 올바른 사용

GPG의 올바른 사용

저는 일반적인 암호화와 특히 GPG에 익숙하지 않습니다. 내 사용 사례는 개인 문서를 네트워크 드라이브에 저장하는 것입니다. 이러한 문서는 스캔본입니다(예: 졸업장, 서류). 를 사용하여 GPG 키를 생성한 gpg --gen-key다음 gpg -e -r <name> <file>. 기본적으로 원본 이름을 따서 이름이 붙고 접미사가 붙은 파일을 출력하는 것 같습니다. .gpg예를 diploma.jpg들어 가 됩니다 diploma.jpg.gpg.

문서 유형이 알려진 경우 알려진 일반 텍스트 공격에 대한 문이 열리는 것입니까?

또한 키를 백업하려면 어떤 단계를 거쳐야 합니까(종이에 인쇄...)?

답변1

나는 파일 이름과 처음 몇 바이트에 대한 가능한 지식에 대해 걱정하지 않을 것입니다. 하지만 그것이 불안하다면 다음을 고려해보세요.

  • aes 암호화와 함께 .7z 또는 .zip 컨테이너를 사용할 수 있습니다.
  • truecrypt와 같은 컨테이너 프로그램을 사용할 수 있습니다.

명심하세요:

  • gpg는 혼합 모드에서 파일을 암호화합니다. 즉, 비대칭 키를 사용하여 "세션 키"를 암호화한 다음 해당 세션 키를 사용하여 실제 데이터를 암호화합니다. 따라서 비대칭 키를 사용하여 자신만 관심 있는 항목을 암호화하면 실제로 아무 것도 얻을 수 없습니다. (기억: 비대칭 암호화는 데이터 양이 상대적으로 작을 때 키 교환과 같은 작업에만 유용합니다.)

  • 어쨌든 파일/컨테이너에 대한 암호를 기억하고 싶기 때문에 대칭 암호화를 사용하지 않을 이유가 없습니다.gpg --symmetric -e

당신은 자신을 이 주제에 대한 초보자라고 설명했으므로 gnupg-manual에서 이에 대해 조금 읽어 보십시오:

http://www.gnupg.org/gph/en/manual.html#CONCEPTS

답변2

GPG는 파일을 암호화하기 전에 압축하므로 파일 유형에 관계없이 일반 텍스트 공격 가능성이 줄어듭니다. 더욱이 드물게 메시지가 손상되는 경우도 발생합니다.~ 아니다해당 메시지 수신자 사이에 손상된 키가 있음을 나타냅니다.

후자의 이유는 GPG가 메시지와 파일을 암호화하는 프로세스와 관련이 있습니다. 먼저 콘텐츠는 일반적으로 zlib를 사용하여 압축됩니다. 그런 다음 압축된 데이터는 세션 키라고 하는 일회용 비밀번호를 사용하여 대칭적으로 암호화됩니다. 그런 다음 세션 키는 수신자의 공개 키로 비대칭적으로 암호화됩니다. 메시지가 해독되면 프로세스가 반대가 됩니다. 수신자는 비밀 키와 암호 문구를 사용하여 세션 키를 잠금 해제하고, GPG는 세션 키를 사용하여 대칭적으로 암호화된 데이터를 해독하고 최종적으로 압축을 풉니다.

단일 메시지에 대한 공격은 공개 키를 손상시키는 것보다 세션 키를 결정하는 결과를 가져올 가능성이 더 높습니다.

여전히 파일 형식을 숨기려면 다음을 수행하십시오.

gpg -ear $RECIPIENT_ID -o filename.asc filename.odt

암호 해독 시 원본 파일 이름을 복원하려면 다음을 수행하십시오.

gpg --use-embedded-filename filename.asc

GPG는 데이터를 재구성하는 데 필요한 기타 정보와 함께 대칭적으로 암호화된 데이터에 저장된 원본 파일 이름에 해독된 데이터를 기록합니다.

참고: 이메일 프로그램에서 암호문을 수동으로 해독하는 경우, 특히 Thunderbird 및 Enigmail을 사용하는 경우 위에 포함된 파일 이름 플래그를 사용하지 마십시오. Thunderbird 및 Enigmail을 포함한 많은 이메일 암호화 프로그램은 초안에서 원본 파일 이름을 할당하지 않으며 이러한 방식으로 암호를 해독하면 null 파일 이름에 데이터를 쓰려는 것과 같은 문제가 발생할 수 있습니다.

답변3

암호화된 파일이 보유하는 데이터 유형을 아는 AFAIK는 암호화가 데이터 유형에 관심이 없기 때문에 크래킹에 전혀 사용되지 않습니다. 암호화의 경우 전혀 의미가 없는 단순한 비트(숫자)입니다.

키에 관해 가장 안전한 방법은 마음에 접근할 수 없기 때문에 키를 기억하는 것입니다. ;)

답변4

질문의 두 번째 부분에 답변하려면:

또한 키를 백업하려면 어떤 단계를 거쳐야 합니까(종이에 인쇄...)?

먼저 해지 인증서에 대해 이야기해 보겠습니다. 마스터 키의 해지 인증서를 반드시 생성하고 백업해야 합니다. 많은 사람들이 종이 사본(ASCII Armored 또는 QR 코드)을 만들어 금고, 잠긴 방화 상자 또는 은행의 안전 금고와 같은 안전한 장소에 보관합니다. 마스터 키(인증 키)가 손상된 경우 해지 인증서가 장치에서 사라지거나 장치가 분실된 경우 등을 대비하여 이를 취소할 수 있는 백업이 제공됩니다.

해지인증서가 없다면 아래 명령어로 만들어주세요. "mykey"는 키의 이름이며 지문의 마지막 8자가 될 수 있습니다.

여기에 이미지 설명을 입력하세요

gpg --output revoke.asc --gen-revoke mykey

해지 인증서는 다음과 같으며 인쇄하기 쉽습니다. 하지만 조심해야 합니다. 인쇄하면 손상될 수 있습니다.

-----PGP 공개 키 블록 시작-----

설명: 해지 인증서입니다.

iQG2BCABCAAgFiEEiz1thFzdqmEJkNsdNgBokN1gxcwFAlsrcOsCHQAACgkQNgBo kN1gxczZ1Qv/aUNZgG0Sjasbu2sDMcX+rjEUNpIGUB6zjcTsPwpXfFo11aM3yefb k0FgMohA8HUwmN4ka+P31 jYuNuLNCqFdT8DKKuQk6XgKnX3NieahG/dFaVANXyHR .....................................이것은 단지 예시적인 해지 인증서입니다.................................................. ...... =4lcB

-----PGP 공개 키 블록 종료-----

이제 마스터 키 백업에 대해 설명합니다.

해결 방법 1: 마스터 키 백업은 전체 파일을 복사하는 것만큼 쉬울 수 있습니다. 해결 방법 2: 오프라인 마스터 키(C)를 보유하면 보안이 강화되며 위험 평가에 따라 수행할 가치가 있을 수 있습니다. 키를 저장하기 위해 노트북이나 넷북을 사용하는 경우 마스터 키를 오프라인으로 이동하는 것이 특히 좋습니다.

오프라인 마스터 키를 갖는 방법에는 두 가지가 있습니다. 어려운 방법그리고더 쉽고 어려운 방법.

마스터 키(C)에서 비밀 키를 제거하고 실행한 후

gpg2 -K

결과는 다음과 같아야 합니다.

여기에 이미지 설명을 입력하세요

주목하세요#옆에비서--이는 비밀 키가 더 이상 존재하지 않음을 나타냅니다.

관련 정보