Не получается настроить OpenVPN через NetworkManager (kubuntu 16.04)

KWallet — запоминалка паролей. Отключается в параметрах системы→учётная запись

Ясно, значит штука видать удобная? Подскажи что выбрать их 2х? GPG?

значит штука видать удобная?

Если у тебя миллион паролей к разным сервисам — да. Теоретически, она ещё может помочь от кейлоггеров (злоумышленник узнает пароль от бумажника запоминалки, а не от интернет-банка, например).

Подскажи что выбрать их 2х? GPG?

Если твои файлы могут утащить — бери GPG. В ином случае большой разницы, наверное, нет, по крайней мере я не могу представить ситуации, чтобы она была достаточно заметной

Если твои файлы могут утащить — бери GPG. В ином случае большой разницы, наверное, нет, по крайней мере я не могу представить ситуации, чтобы она была достаточно заметной

Я выбрал GPG и получил вот это. Что делать?

http://i97.fastpic.ru/big/2017/1123/dd/9c42952142a7dd1f26a52e939987b6dd.png

Надо открыть то ли KGpg, то ли Kleopatra (не помню, чем каждый из них занимается; вроде бы первый — ключами, а второй — сертификатами) и создать там себе пару ключей для шифрования файлов

Наверно все-таки KGPG?

https://www.kde.org/applications/utilities/kgpg/

https://www.kde.org/applications/utilities/kleopatra/

А Kleopatra не нужно? А то выше у меня вот такое сообщение выводилось.

Скопировать ваши сертификаты в /home/user/.local/share/networkmanagement/certificates/?

Какие-то сертификаты...

При установке KGpg спрашивают, запускать ли KGpg при каждом старте KDE? Оно всегда должно быть запущено, или для чего это? В каким случаях KGpg должен быть запущен?

Если честно, я занимался такими вещами один раз и давно, поэтому тупо не помню. Сейчас посмотрел — похоже, всё-таки kgpg. Запускать при загрузке необязательно совершенно

Объясни пожалуйста по созданию ключей.

http://i97.fastpic.ru/big/2017/1123/9f/24bf74d8a2b59a9556b65a9ddf0b999f.png

1) Графа «Реальное имя» - это что такое? Оно хочет чтобы я указал свое реальное имя? Зачем ему? О_о

Это если сделки электронные проводить, или какие-то услуги оказывать, типа ты какое-то официальное лицо, то надо указывать реальное имя, чтобы тебе могли доверять, да? А так можно указать любой ник?

2) Размер ключа - лучше максимум (4096)? Так мои пароли в KDE будут лучше защищены?

3) Алгоритм - есть просто «RSA», а есть «RSA и RSA» (как Джонсан и Джонсан прям). В чем разница?

Графа «Реальное имя»

Это на кого выдан сертификат. На криптофестах, например, принято показывать паспорт, чтобы заверить, что ты — это ты и ключи твои. Если ничего такого не планируешь, можешь реальные данные не вводить.

Размер ключа - лучше максимум (4096)?

Чем больше размер ключа, тем сложнее его подобрать и тем больше ресурсов компа потребуется, чтобы им пользоваться.

Так мои пароли в KDE будут лучше защищены?

В общем случае, да.

Алгоритм - есть просто «RSA», а есть «RSA и RSA» (как Джонсан и Джонсан прям). В чем разница?

Я помню, что можно было указывать разные алгоритмы для каких-то двух вещей, но вот для каких — не помню. Увы

Это на кого выдан сертификат. На криптофестах, например, принято показывать паспорт, чтобы заверить, что ты — это ты и ключи твои. Если ничего такого не планируешь, можешь реальные данные не вводить.

Не, я такие мероприятия не посещаю. Мой внутренний параноик говорит, что туда приходят всякие дяди из нехороших организаций, и берут на карандашик посетителей. Да и не моя это область. Электронной коммерцией тоже не занимаюсь.

Чем больше размер ключа, тем сложнее его подобрать и тем больше ресурсов компа потребуется, чтобы им пользоваться.

Понял, ставлю на максимум.

Я помню, что можно было указывать разные алгоритмы для каких-то двух вещей, но вот для каких — не помню. Увы

Все то я смог нагуглить по алгоритму «RSA + RSA» это вот эта ссылка.

https://lists.gnupg.org/pipermail/gnupg-devel/2009-May/025079.html

Но все-равно не понял для чего это надо. Ладно, выбрал «RSA и RSA». Создаю ключи...

Теперь требуется ввести пароль:

http://i98.fastpic.ru/big/2017/1123/89/cacdacb7887675f67d3a796080871289.png

Это ведь не системный пароль (пароль пользователя ubuntu), а надо придумать отдельный пароль для связки ключей?

Мой внутренний параноик говорит, что туда приходят всякие дяди из нехороших организаций, и берут на карандашик посетителей

Если что, сертификаты не имеют ничего общего с анонимностью, скорее наоборот: они позволяют убедиться, что ты это ты, а не левый Вася.

Это ведь не системный пароль (пароль пользователя ubuntu), а надо придумать отдельный пароль для связки ключей?

Да

Если что, сертификаты не имеют ничего общего с анонимностью, скорее наоборот: они позволяют убедиться, что ты это ты, а не левый Вася.

Это я понимаю, что сертификат удостоверяет личность. Я к тому что мне всегда казалось, что даже на мероприятия ИБшников и пентестеров приходят те самые нехорошие дядьки, и берут самых мозговитых на карандаш. Чего уж там говорить про всякие специфичные криптофесты, хакатоны и прочее... Может это мой задвиг конечно, но как по мне, лучше посмотреть видеолекцию на ютубе, если уж так тема интересна. Помню в США на криптофесты тайком пришел директор АНБ, но его быстро спалили. Читал про этот случай. Интересно, у нас такое бывает или нет.

У меня уже 10 минут создаются GPG-ключи - это нормально?

Последний раз я их давно создавал, так что не исключаю, что да. По идее, ты можешь немного ускорить процесс, поводя мышой и пожмякав по клаве, но это не точно

Все, сгенерился ключик.

А что такое «отпечаток ключа»? Это неполная версия ключа для каких-то нужд? У него ровно такая же длина, как у пароля, который я задал перед генерацией ключей. Это совпадение или нет?

Еще там есть «идентификатор ключа» - последние 8 символов от «отпечатка ключа». Его тоже может потребоваться где-то вводить?

Нажал «установить ключ по умолчанию».

Надо ли сохранять куда-то на листок или в txt-файл «отпечаток ключа»?

Установка GPG-ключа не помогла.

Я снова получаю это, когда выбираю в KWallet «Шифрование GPG».

http://i97.fastpic.ru/big/2017/1123/dd/9c42952142a7dd1f26a52e939987b6dd.png

Перезагружал ОС, снова добавил конфигурацию .ovpn в NetworkManager, и снова KWallet выдает эту ошибку при выборе шифрования GPG. Что может быть не так?

Пипец. Более того, после перезагрузки системы, KGpg вообще перестал стартовать.

Если запустить KGpg из консоли, вот че говорит.

QDBusConnection: session D-Bus connection created before QCoreApplication. Application may misbehave.
QDBusConnection: session D-Bus connection created before QCoreApplication. Application may misbehave.

Ну что за нахрен череда невезения какая-то... Делаю тривиальные вещи, и все ломается.

Я нашел этот баг 5-летней давности со статусов FIXED. Нихрена не FIXED. Что мне теперь делать люди, я не могу запустить KGpg.

https://bugs.kde.org/show_bug.cgi?id=297020

KGpg все-таки запускается, просто в трее прячется. Месседж выше не влияет на запуск,в се нормально.

Возвращаемся к ошибке KWallet при попытке добавить GPG-ключ.

http://i97.fastpic.ru/big/2017/1123/dd/9c42952142a7dd1f26a52e939987b6dd.png

Что делать? KWallet не видит мой GPG-ключ.

Написано KWallet отображает только ultimate-level trusted ключи, мой ключ при создании как раз получил статус «абсолютного» доверия.

Короче, KWallet не работает с GPG-ключами, хотя и предлагает такую опцию.

По моей проблеме инфы нашлось немного, и только на зарубежных Linux-сайтах.

https://forums.opensuse.org/showthread.php/520746-KWallet-quot-your-system-ha...

https://forums.fedoraforum.org/showthread.php?311650-KDE-wallet-and-gpg-key

https://www.reddit.com/r/kde/comments/5qyspf/trying_to_use_kwallet_unsuccessf...

Предложений было всего 2:

1) Забить на GPG и использовать Blowfish в KWallet.

2) И догадка, что KWallet ищет GPG-ключ не в той директории. И как поменять директорию или задать - неизвестно. Ведь такой возможности KWallet не дает.

И снова в багтрекере KDE бардак - этот баг висит несколько лет, народ жалуется, а статус UNCONFIRMED. Зашибись.

https://bugs.kde.org/show_bug.cgi?id=353960

Вобщем решения нет. Че делать - непонятно. KWallet, как оказалось, полезная штука, мне бы он очень пригодился, а шифрование хочется именно GPG.

Наконец, зашел в официальную документацию. Есть скриншоты добавления GPG-ключа, и скриншот ошибки (такой же, как я приводил выше), но не описана ситуация, когда GPG-ключ создан, а KWallet говорит, что его нет.

https://docs.kde.org/trunk5/en/kdeutils/kwallet5/kwallet5.pdf

Что делать?

На будущее: если хочешь, чтобы твой комментарий кто-то прочёл, не отвечай себе.

Что делать? KWallet не видит мой GPG-ключ

При создании ключа указывается, для чего он будет использоваться. Шифрование файлов там есть? Ну либо отключить бумажник. Если выполнить в консоли gpg2 -k, твои ключи видны?

А, ещё: попробуй создать ключ просто RSA

Если выполнить в консоли gpg2 -k, твои ключи видны?

Если ввести «gpg2 -k», то ничего не выводит.

Если ввести «gpg -k», то выводит такое:

user@virtualbox:~$ gpg -k
/home/user/.gnupg/pubring.gpg
------------------------------
pub   4096R/******** 2017-11-23
uid                  ****
sub   4096R/******** 2017-11-23

(*** закрасил ключи и uid.)

Очень странно, я ведь когда ставил KGpg, где-то видел что версия GPG в моей системе 2.2.1 (или вроде того), тогда как понять происходящее?

(*** закрасил ключи и uid.)

Зря, ключ -k показывает публичные ключи, их можно смело слать всем подряд.

Если ввести «gpg2 -k», то ничего не выводит

А если сделать вот так?

gpg --export | gpg2 --import
gpg --export-secret-keys | gpg2 --import

Подозреваю, что KGpg внутри использует где-то gpg, а где-то gpg2. Так как у тебя, походу, стоит две версии, то и ключи не выводятся. Какой дистрибутив?

А, ещё: попробуй создать ключ просто RSA

Нет, не помогло, не видит.

Зря, ключ -k показывает публичные ключи, их можно смело слать всем подряд.

Понял, буду знать, не обратил внимание на pub в названии файла.

А если сделать вот так?

gpg --export | gpg2 --import

gpg --export-secret-keys | gpg2 --import

Щас попробую.

Подозреваю, что KGpg внутри использует где-то gpg, а где-то gpg2. Так как у тебя, походу, стоит две версии, то и ключи не выводятся. Какой дистрибутив?

Kubuntu 16.04, настройки стандартные.

Ты прав, обе версии есть в системе.

user@virtualbox:~$ which gpg
/usr/bin/gpg
user@virtualbox:~$ which gpg2
/usr/bin/gpg2

То, что есть файлы, ещё ни о чём не говорит. А вот выхлоп gpg --version; gpg2 --version — говорит. Ещё можно сделать ls -lh $(which gpg) и убедиться, что это не симлинк на gpg2, как у меня

gpg --version

user@virtualbox:~$ gpg --version
gpg (GnuPG) 1.4.20
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH,
                                     AES, AES192, AES256, TWOFISH,
                                     CAMELLIA128, CAMELLIA192,
                                     CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512,
                       SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB,
                                 BZIP2

gpg2 --version

user@virtualbox:~$ gpg2 --version
gpg (GnuPG) 2.1.11
libgcrypt 1.6.5
Copyright (C) 2016 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH,
                    AES, AES192, AES256, TWOFISH, CAMELLIA128,
                    CAMELLIA192, CAMELLIA256
Хэш-функции: SHA1, RIPEMD160, SHA256, SHA384, SHA512,
             SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB,
                  BZIP2

1.4.20
2.1.11

Ну да

Значит попробовать то что ты писал - export/import?

Да. Либо дистрибутив обнови

Нифига не помогло. :(

user@virtualbox:~$ gpg --export | gpg2 --import
gpg: starting migration from earlier GnuPG versions
gpg: porting secret keys from '/home/user/.gnupg/secring.gpg' to gpg-agent
gpg: ключ ********: импортирован секретный ключ
gpg: ключ ********: импортирован секретный ключ
gpg: migration succeeded
gpg: ключ ********: "mykey1" не изменен
gpg: ключ ********: "mykey2" не изменен
gpg: Всего обработано: 2
gpg:              неизмененных: 2
gpg: marginals needed: 3  completes needed: 1  trust model: PGP
gpg: глубина: 0  достоверных:   2  подписанных:   0  доверие: 0-, 0q, 0n, 0m, 0f, 2u

user@virtualbox:~$ gpg --export-secret-keys | gpg2 --import
gpg: ключ ********: "mykey1" не изменен
gpg: ключ ********: импортирован секретный ключ
gpg: ключ ********: "mykey2" не изменен
gpg: ключ ********: импортирован секретный ключ
gpg: Всего обработано: 5
gpg:              неизмененных: 2
gpg:       прочитано секретных ключей: 5
gpg:  неизмененных секретных ключей: 3

После этого перезагрузился, и KWallet снова ничего не видит, вот бестолковая прога. Этот бумажник мне бы очень пригодился в быту, а шифрование Blowfish - от него сейчас все отказываются в пользу GPG. Но эта поделка не хочет работать с ним, не видит в упор. :(

Это интересно. Запусти kwallet из консоли и посмотри его выхлоп, может, там что будет

Если это /usr/bin/kwalletmanager5, то что-то ничего не показывает. Оно вызвало окно Wallet Manager, и на этом логи в консоль закончились. Когда добавлял VPN-консигурацию и появился диалог KWallet с предложением выбрать шифрование, то в той консоли ничего не писалось. Хотя может я что-то сделал не так.

Развернул чистую кубунту 16.04 на виртуалке, создал пару ключей, создал бумажник (по умолчанию один там уже был), выбрал GPG — ключ виден. Попробуй повторить

Извиняюсь, вот этот момент.

создал бумажник

Это надо делать отдельно в Wallet Manager? Может ли такое быть, что он не видит ключ, потому что у меня в окне Wallet Manager вообще пусто, т.е. нет ни одного бумажника?

Но с другой стороны, я так понимаю, что он бы создал мне его по ходу работы с VPN, если бы увидел и добавил GPG-ключ? Или тут надо сначала самому создать бумажник?

Завтра просмотрю этот момент. Если совсем плохо все будет, придется тоже поставить с нуля. Я не делал снепшоты, не думал что нарвусь на такой косяк. :)

создал бумажник

Это надо делать отдельно в Wallet Manager?

Нет, это просто для теста.

Может ли такое быть, что он не видит ключ, потому что у меня в окне Wallet Manager вообще пусто, т.е. нет ни одного бумажника?

Я, конечно, багтрекер не смотрел, но сомневаюсь, что дело в этом

Тогда сегодня подниму еще одну виртуалку с нуля, сделаю снепшот и буду думать.

создал бумажник (по умолчанию один там уже был), выбрал GPG — ключ виден.

А в какой программе ты вызвал диалог KWallet на выбор GPG-ключа? Просто неохота и на 2й виртуалке с VPN-ном заморачиваться.

KWalletManager, ЕМНИП

Я тут установил Kleopatra, при первом запуске выдало это.

http://i97.fastpic.ru/big/2017/1125/9e/f788c118066c7d138d45d2da59d77c9e.png

Соединение с Gpg-Agent - не доступно

Это может быть причиной того, что KWallet не видит мои GPG-ключи?

невозможно подключиться к GpgAgent: Сбой вызова соединения IPC

Предлагаемое исправление:

Проверьте, что gpg-agent запущен и установлена и обновлена переменная GPG_AGENT_INFO

А это как сделать, где посмотреть?

Сделал так.

user@virtualbox:~$ gpg-connect-agent /bye
gpg-connect-agent: агент gpg не работает - запускаем '/usr/bin/gpg-agent'
gpg-connect-agent: ожидаю подключения агента ... (5с)
gpg-connect-agent: соединение с агентом установлено

Kleopatra теперь показывает что все без ошибок.

Проверю теперь KWallet...

Нет, не помогло, KWallet не видит ключи, да что такое блин. :(

Интересно что Kleopatra видит GPG-ключи, а KWallet не видит.

Теперь на новой ВМке не могу сгенерить новый ключ. Реально генерится почти час, хотя на такой же ВМке до этого генерился 10 минут. Что происходит, непонятно...

Больше часа генерился ключ. Но главное создал в KWallet новый бумажник, добавил GPG-ключ - все получилось. Почему же не получалось на такой же виртуалке, теперь хрен поймешь. Есть одна догадка... но я не уверен.

Кстати, подскажи, там надо было указывать пароль для разблокировки ключа, давалось 3 попытки. Что стало бы после 3й неверной попытки ввода?

Вернулся к 1й многострадальной ВМке. Теперь там сломался запуск KGpg.

Не удалось запустить GnuPG.

Необходимо исправить ошибку GnuPG перед запуском KGpg.

И там же подробности об ошибке:

gpg: /home/user/.gnupg/gpg.conf:141: invalid optio

Что как-бы намекает что надо зайти в тот файл и проверить 141 строку. В 141 строке вот что:

log-file socket:///home/user/.gnupg/log-socket

Непонятно, это что, просто отсылка на лог-файл?

Попытался открыть файл log-socket, но его вообще невозможно ничем открыть. Я в тупике.