Научите пользоваться GPG, что я делаю не так.

POLUSUKA (PIDAR) BLABLA@BLABLA.COM

Поше не палится, ога

Научите пользоваться GPG, что я делаю не так

Пользуешься GPG.

Самый уродский свободный софт в мире. Я считаю, Вернеру Коху нужно выдать антипремию за усилия по саботажу популяризации криптографии.

Самый уродский свободный софт в мире. Я считаю, Вернеру Коху нужно выдать антипремию за усилия по саботажу популяризации криптографии.

На нассать. Лишь бы работало.

gpg: public key decryption failed: Operation cancelled
gpg: decryption failed: No secret key

Тебе же написало, что ключа нет такого. Что говорит gpg --list-keys ?

Чо делать-то...

man gpg

Ок, спасибо, действительно надо было попробовать буквально воспринимать буквы!

Заменить нечем.

Так а какого фига. –full-generate-key – это же генерация ПАР ключей всегда. Нафига оно могло сгенерировать публичный, но не генерировать приватный.

http://0x0.st/XVST.jpg

Какой из твоих юзкейсов не покрыт age?

Его просто никто не знает и ни у кого его нет. Юзкейсы с таким раскладом значения не имеют.

Не знаю.

Приватные ключи, если что, смотреть командой gpg --list-secret-keys

Проверь по шпаргалке.

Обрати внимание на версию.

Внимательнее gpg --help почитай. Ну и man за подробностями.

Либо, как вариант, можно использовать GPA(GNU Privacy Assistant) или KGPG. Там ключи мышкой натыкать можно.

Ок, секретных ключей у меня столько же, сколько приватных.

Так, ладно, тебе нужен интероп с PGP, а все юзкейсы, где ты контролируешь обе стороны — не нужны. Тогда переформулирую. Для чего ты используешь GPG?

Отчитываться перед тобой?

Не хочешь — не отчитывайся, я переживу и без знания, почему тебе дороги PGP и именно эта одна его реализация в частности.

Зашифровать строчку, отправить чуваку, у которого есть мой PUBLIC ключ. Принять от него ответ. Всё.

Ладно, в жопу. Бешеная тулза, почему она настолько тупая, что даже гугла не хватает, чтобы в ней разобраться без бутылки.

Выше я привёл две утилиты, где это делается в пару кликов. На самом деле таких дофига.

У ТС прям лыжи не едут

echo "HELLO WORLD" | gpg -aer ... | gpg
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
gpg: encrypted with rsa4096 key, ID 801813FDF19F24D1, created 2020-11-05
      "Mirror <...>"
HELLO WORLD

Так всегда бывает, когда вместо чтения документации, пытаются гуглить и копипастить команды в консоль, не пытаясь их осмыслить.

А чё там в трёх точках? Просто EMAIL@DOMAIN.COM ?

Ну типа того. Не хочу плейнтекстом поисковым ботам светить.

Альтернативы?

age

почему она настолько тупая, что даже гугла не хватает, чтобы в ней разобраться без бутылки

Хм…

Зашифровать строчку, отправить чуваку, у которого есть мой PUBLIC ключ. Принять от него ответ. Всё.

Это не так работает. Ты можешь зашифровть строчку и отправить её чуваку, PUBLIC ключ которого есть у тебя.

Так а какого фига. –full-generate-key – это же генерация ПАР ключей всегда. Нафига оно могло сгенерировать публичный, но не генерировать приватный.

А ты какие алгоритмы выбрал в ответе на первый вопрос?

Выберите тип ключа:
   (1) RSA and RSA
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (9) ECC (sign and encrypt) *default*
  (10) ECC (только для подписи)
  (14) Existing key from card
Ваш выбор? 

Если 3,4 или 10, то у тебя не будет шифрования, только подпись.

Это очередной NIH ? GPG я из каропки могу в почтовом клиенте использовать, а эту хрень отдельно синей изолентой прикручивать?
ЗЫ Вы в гуле работаете?

Какой из твоих юзкейсов не покрыт age?

Набрал команду|кликнул мышкой и робит. Намек на то, что эту хрень отдельно завозить нужно.

GPG неюзабельно. Его невозможно настроить. Никто не знает, как им пользоваться. Весь его смысл в концепции Web Of Trust, которая с треском провалилась. age простой как два рубля. И тем ценнен. Им можно пользоваться.

GPG неюзабельно.

Чем?

Его невозможно настроить.

Вы сломали мой мозг, что значит «Настроить GPG”?

Весь его смысл в концепции Web Of Trust, которая с треском провалилась

Когда он появился вэба было мало-мало и ни о каком Web Of Trust речи не шло, собстно как и сейчас. Вы путаете инструмент и его применение.

age простой как два рубля. И тем ценнен.

Как к почтовому клиенту прикрутите «за два рубля» приходите.

ЗЫ И таки на последний мой вопрос вы скромно промолчали. Будем считать это за положительный ответ.

Ок, спасибо, действительно надо было попробовать буквально воспринимать буквы!

Да ладно! Программа в выводе объясняет что пошло не так прямо буквально? Да нет, бред какой-то.

Фишка в том, что в случае GPG вывод сообщения «No secret key» может означать буквально всё что угодно (см. мой первый коммент).

GPG неюзабельно.

Чем?

Да хотябы контринтуитивностью использования. См. этот комментарий: Научите пользоваться GPG, что я делаю не так. (комментарий)

И таки вот это тоже правда:

Никто не знает, как им пользоваться.

От формального наличия поддержки в почтовом клиенте - толку около нуля потому что люди не могут разобраться с самими принципами использования gpg. Да и сам факт появления вот этой темы - тоже наглядное подтверждение неюзабельности.

В противовес этому - архив с паролем. Это очевидно и удобно. Отправить архив почтой,пароль сообщить по другому каналу. Несмотря на отсутствие поддержки архиваторов в почтовых клиентах - народ пересылает всякие относительно конфиденциальные документы именно так.

не могут разобраться с самими принципами использования gpg

Не могут понять криптографии с публичным ключем, gpg тут совершенно не при чём.

пароль сообщить по другому каналу.

Какому?

Не могут понять криптографии с публичным ключем

Мне тоже кажется странной эта идея. По всей видимости у тех кто ее придумал - был какой-то свой особый юзкейс в котором это решение было наилучшим. По факту же получилось что обычным пользователям,не специалистам по криптографии, это непонятно,неудобно и ненужно. Им удобнее запаковать в архив с паролем и присоединить его к письму. А любой непонятый на уровне идеи инструмент - с высокой вероятностью будет использован неправильно. И это еще хуже - когда человек думает что его переписка защищена,а на самом деле она легко вскрывается. По открытому каналу он бы просто не стал болтать лишнего.

пароль сообщить по другому каналу.

Какому?

Любому. Смска,звонок по телефону,да хоть бумажное письмо. Вероятность что кто-то перехватит и зашифрованный текст в email и смску одновременно - достаточно низка чтобы считать такую защиту относительно надежной для типичных околобытовых целей и даже некоторых рабочих ситуаций.

Ну и понятно что ничего особо сильно секретного вообще не рекомендуется пересылать по email и уж тем более через бесплатные ящики на общедоступных сервисах. Особо секретное можно только передавать на флэшке лично или через доверенное лицо. Для несколько менее секретного надо поднимать vpn/туннель.

А любой непонятый на уровне идеи инструмент - с высокой вероятностью будет использован неправильно.

А не надо ровнять технологии под идиотов.

достаточно низка чтобы считать такую защиту относительно надежной для типичных околобытовых целей и даже некоторых рабочих ситуаций.

А для нетипичных небытовых и рабочих ситуаций что делать предложишь?

Особо секретное можно только передавать на флэшке лично или через доверенное лицо

Долго, неудобно, ненадёжно, а иногда еще и опасно. Зато просто и понятно, любой дэбил справится!

Для несколько менее секретного надо поднимать vpn/туннель.

А тут опять криптография, пабкей, привкей, сессионный и т.д. с теми же самыми проблемами. Ой? И зачем всё это когда можно просто сказать gpg -aesr name?

А не надо ровнять технологии под идиотов.

Вот только именно этим активно занимаются не только в виндах,но и в линуксе,пытаясь сделать из него некое виндоподобие и называя это «готовностью для десктопа».

А для нетипичных небытовых и рабочих ситуаций что делать предложишь?

Обращаться к квалифицированным админам. Ну или самому становиться таковым если это по работе требуется. Но было бы странно требовать стать сисадмином от например музыканта или инженера-строителя - у них у всех есть свои задачи и глубоко вникать в систему и в криптографию им просто некогда. Им удобен вариант запаковать свои файлы в архив с паролем отправить его по почте,а пароль послать смской или сказать по телефону.

Особо секретное можно только передавать на флэшке лично или через доверенное лицо

Долго, неудобно, ненадёжно, а иногда еще и опасно.

Тем не менее там где работают с гостайной - с вами не согласны и именно что передают секретные сведения фельдъегерской связью. Сам не передавал ибо допуска не имею,но видел как это происходит.

Зато просто и понятно

Чем проще процедура тем меньше вероятность что при ее выполнении какой-нибудь «дэбил» накосячит. Люди не совершенны.

Для несколько менее секретного надо поднимать vpn/туннель.

А тут опять криптография, пабкей, привкей, сессионный и т.д. с теми же самыми проблемами.

Смысл туннеля в том что именно вы(ну или ваше доверенное лицо на той стороне) контролируете процесс передачи. А не какой-нибудь mail.ru или gmail.com как в случае использования электронной почты. Да,с ключами и обменом этими ключами всё равно придется разбираться,но хотябы из процесса передачи конфиденциальных данных исключается неопределенный круг лиц как в случае с почтой.

можно просто сказать gpg -aesr name

В том-то и дело что не «просто». Ну вот автор этой темы «просто сказал» - и получил фигвам. Потому как прежде чем просто сказать - надо еще разобраться с настройками. А потом еще объяснить своему корреспонденту как и чем это расшифровать. При том что распаковывать архив обычно уже умеют и архиватор обычно на машине есть. Если архив с паролем то архиватор просто выведет окошко куда его надо вбить.

Без чтения документации и приобретения в некоторой степени квалификации админа - с GPG никак. О чем тут и разговор - что для обычных пользователей GPG неудобно и поэтому они им не пользуются. Вот факт такой - не пользуются и всё. За очень редким исключением немногих фанатов криптографии.

В качестве аналогии представьте что для пользования электронной почтой от вас бы потребовалось изучить работу протокола smtp и настроить какой-нибудь sendmail. Собственно, когда-то лет 25 назад оно именно так в линуксе и было. Но потом появились простые в пользовании почтовые клиенты где технологические вопросы скрыты от пользователей за удобным интерфейсом. И поднимать на каждой линуксовой машине почтовый сервер стало не обязательно - абсолютное большинство как минимум бытовых пользователей пользуется общедоступными публичными почтовиками. Не скажу что такая централизация это сильно хорошо с технической точки зрения но явно хорошо с точки зрения пользовательского опыта. А вот столь же удобного способа отправить зашифрованное письмо - увы не появилось.

Я считаю, Вернеру Коху нужно выдать антипремию за усилия по саботажу популяризации криптографии.

Полностью поддерживаю это высказывание.

Шифрование производится публичным ключом получателя, а не приватным ключом отправителя. Приватным ключом отправителя производится подпись. Ведь смысл шифрования в том, чтобы сообщение мог расшифровать только получатель, а значит только владелец приватного ключа.

Если нужно, чтобы сообщение мог расшифровать не один лишь получатель, а оганиченный круг лиц (например, отправитель и два получателя), то используют такую схему:

• генерируют случайный симметричный ключ
• шифруют симметричным ключом сообщение
• шифруют симметричный ключ отдельно публичным ключом каждого лица из ограниченного круга
• создают контейнер из шифротекстов симметричного ключа и шифротекста сообщения

Так всегда бывает, когда вместо чтения документации, пытаются гуглить и копипастить команды в консоль, не пытаясь их осмыслить.

Давайте устоим срач, что перед тем как пользоваться gpg, пользователь должен выучить английский на уровне нейтива. Чтобы он все-таки был способен разобраться в хитросплетениях умозаключений Венера. А уже потом браться своими грязными руками за великое творение.

Тут вы путаете две разные задачи. Шифрование переписки и разовая отправка чего-то там в виде архива. Оба варианта используются, но для разных целей.

Шифрование переписки и разовая отправка чего-то там в виде архива. Оба варианта используются

Запароленные архивы и получал и отправлял многократно,и вокруг меня это многократно люди делали. А вот письма зашифрованные GPG не только не получал/отправлял но даже и не видел ни разу за тридцать лет чтобы кто-то это делал. Письма подписанные - раз несколько(меньше десятка) получал,но естественно не заморачивался проверкой этих подписей и никогда не видел чтобы кто-то проверял. Вот такая вот «популяризация криптографии».

Если нужно, чтобы сообщение мог расшифровать не один лишь получатель, а оганиченный круг лиц (например, отправитель и два получателя), то используют такую схему

Вы видели чтобы кто-то хоть раз такое использовал? Я за тридцать лет в российском IT - не видел ни разу. Вместо таких заморочек используют рассылку запароленных архивов.

Это схема, которая используется в S/MIME. Да, я отправлял и получал такую почту. Потому что этого требовал внутренний регламент организации. Без заморочек — поддержка S/MIME встроена в Outlook и Thunderbird.

Да, я отправлял и получал такую почту.

Вот теперь буду знать что и такое в реальности тоже бывает. На уровне «читал на форуме что бывает». Ну хотябы так.

Вот только именно этим активно занимаются не только в виндах,но и в линуксе,пытаясь сделать из него некое виндоподобие и называя это «готовностью для десктопа».

И что с того?

Обращаться к квалифицированным админам.

Это сейчас было «обычному человеку это не нужно по этому этого не должно быть», как это делают FAANG и аналогичные IT-вредители? Я точно на ЛОРе?

Тем не менее там где работают с гостайной - с вами не согласны и именно что передают секретные сведения фельдъегерской связью. Сам не передавал ибо допуска не имею,но видел как это происходит.

В госах сейчас активно внедряется ЭДО со всей этой самой криптографией, только отечественного пошиба. В высших эшелонах не знаю как. Выходи из деревни хоть иногда.

Да,с ключами и обменом этими ключами всё равно придется разбираться,но хотябы из процесса передачи конфиденциальных данных исключается неопределенный круг лиц как в случае с почтой.

Столько мороки и всё равно плейнтекстом. К гостайне тебя не зря не пускают :)

Если архив с паролем

Думай что говоришь вообще. Вместо одноразового обмена ключами лично или через доверенное лицо (WoT) ты предлагаешь каждый раз рисковать компрометацией, передавая пароль (!) плейнтекстом (!!) через неопределенный круг (!!!) недовренных лиц (!!!!). Бинго практически. А всё ради чего? Ради того чтобы тёте Глаше и бухгалтерше Маше не было «нипанятно(((»? А не дохрена им чести? Мне и моим корреспондентам понятно, так почему из-за какого-то быдла, которому это просто не нужно, gpg не должно быть у меня?

В том-то и дело что не «просто». Ну вот автор этой темы «просто сказал» - и получил фигвам.

ТС копипастит что попало не приходя в сознание. Вообще не аргумент, как и «тётя Глаша»

Без чтения документации

Без ПДД нельзя управлять автомобилем, а без чтения и соблюдения регламента ТО просто встанешь где-нибудь на трассе. И чо, автомобили ненужны?

Вот факт такой - не пользуются и всё

И чо? (в который раз уже)

В качестве аналогии представьте что для пользования электронной почтой от вас бы потребовалось изучить работу протокола smtp и настроить какой-нибудь sendmail

Для использрования GPG не требуется изучать формат и вообще что либо настраивать, не неси чушь.

абсолютное большинство как минимум бытовых пользователей пользуется общедоступными публичными почтовиками.

Опять апелляция к большинству. Зачем?

А вот столь же удобного способа отправить зашифрованное письмо - увы не появилось.

Потому что криптография - это сложно. Нельзя сделать сложную вещь простой по щелчку пальцев. Сколько не упрощай и сколько не строй идиотоустойчивых барьеров, всё равно будет требоваться четкое понимание приватные, публичные, сессионные ключи, что такое подписи и уровни доверия и т.д., потому что иначе всё редуцируется до зелёной галочки «секурно». Ещё раз, gpg сложный потому что криптография сложная. Можно сделать менее универсальный и более удобный в наиболее частых кейсах age, но на популярность криптографии среди «большинства», к которому ты неоднократно обращаешься, это не повлияет никак.

популяризации криптографии.

Чушь. Кому нужно сами находят и изучают подходящие им инструменты, а остальным просто неинтересно.

Я за тридцать лет в российском IT - не видел ни разу.

Лет 15 назад я лично совместно с безопасниками поднимал sks-сервер, помогал всем сотрудникам под все ОС настроить в клиентах шифрование. Переписка шла исключительно зашифрованная. Даже бухгалтера и секретарши довольно быстро освоили. Да, они не разбирались с консольными параметрами gpg, они использовали GUI почтовых клиентов, но для простой переписки этого достаточно.

Рассылка запарленных паролей - это фикция. Проще сразу в тырнет в открытом виде загрузить.

Я выше привёл примеры простых GUI для работы с которыми достаточно прочитать статью в педевикии.

И что с того?

Этот вопрос вы задайте тем кто считает что линукс для десктопа не готов потому что им пользуются сколько-то там процентов специалистов,способных изучить документацию, но не пользуются тётки из бухгалтерии и подростки-игроманы.

обычному человеку это не нужно по этому этого не должно быть», как это делают FAANG

Я не предлагал отобрать GPG у вас и ваших корреспондентов. Пользуйтесь если вам нужно и/или удобно. Но не заставляйте изучать сложный инструмент тех кому достаточно простого пароля в архиве.

Вместо одноразового обмена ключами лично или через доверенное лицо (WoT) ты предлагаешь каждый раз рисковать компрометацией, передавая пароль

О паролях можно договориться один раз,формируя их по какому-то известному только двум сторонам алгоритму. Видел в работе вариант «день недели + число месяца». Если не гостайна то вполне приемлимо. Да и просто один и тот же пароль,заменяемый по договоренности раз в какое-то время - тоже приемлим. Вы же не меняете пароль на вход в ваш комп каждый день.

А всё ради чего? Ради того чтобы тёте Глаше и бухгалтерше Маше не было «нипанятно(((»?

Да, чтобы меньше было шансов что Маша с Глашей накосячат при использовании какой-нибудь сложной криптографии. Например выложат в общий доступ приватный ключ вместо (или вместе) публичного. Случаи вполне реальные, даже в новостях проскакивали.

Мне и моим корреспондентам понятно, так почему из-за какого-то быдла, которому это просто не нужно, gpg не должно быть у меня?

Я нигде не говорил что не должно быть у вас. Я говорил о том,что gpg не подходит обычным юзерам без админской квалификации.

Для использрования GPG не требуется изучать формат

Формат изучать не надо,а вот как работает криптография изучать надо.

Нельзя сделать сложную вещь простой по щелчку пальцев

Спорное утверждение. Еще не так давно пользователю требовалось знание что такое config.sys и что в нем править чтобы запустилась его программа. Сейчас это не требуется. А до того были времена когда надо было знать и устройство железа. Сейчас абсолютное большинство прикладных программистов не ответит вам на вопрос что такое флаг переноса и зачем он в процессоре нужен. В их работе им это больше не требуется.

Да и ваш пример с автомобилями - раньше если глох мотор то водитель вооружался гаечными ключами и лез под капот. Теперь - звонит в сервис(в том числе и потому что знаний для ремонта теперь надо очень намного больше),а мотор чаще всего заранее предупреждает о своих проблемах лампочкой на приборной панели.

Опять апелляция к большинству. Зачем?

Ровно за тем же,зачем апеллируют к нему рассуждающие о [не]готовности линукса для десктопа. Я-то как раз с вами полностью согласен - эффективный инструмент для специалиста совершенно не обязан быть понятным каждому чайнику. Вон хоть осциллограф в качестве примера. И мне тоже не нравится то что делают «FAANG и аналогичные вредители». Но мне приходится общаться с людьми,которые очень хорошие специалисты в своих далёких от компьютеров областях но вот в компьютерах и криптографии - абсолютные чайники. Как пример - врач,которому надо переслать своему пациенту медицинскую документацию. Не гостайна конечно,но мало кто хочет выставлять это на всеобщее обозрение. Врач совсем не обязательно обладает админской квалификацией,как и пациент кстати. И им нужен именно простой способ сохранения пусть не секретности но всё же конфиденциальности общения. Вон при разговоре по мобильному телефону трафик шифруется но это не требует от абонентов знания криптографии. Того же хочется и от переписки через комп.

gpg сложный потому что криптография сложная. Можно сделать менее универсальный и более удобный в наиболее частых кейсах age, но на популярность криптографии среди «большинства», к которому ты неоднократно обращаешься, это не повлияет никак.

Еще раз сошлюсь на мобильную телефонию. Смогли же там сделать некоторую достаточную (хотя и вовсе не абсолютную) степень защищенности без необходимости знания сложной криптографии абонентами. Можно еще карточные терминалы в пример привести - пользователю достаточно знать какой стороной вставить карту и уметь набрать пин-код. И даже это пытаются упростить до бесконтактной оплаты. Конечно годовая статистика сумм хищения с карт впечатляет,но по всей видимости в обществе есть некоторый консенсус относительно соотношения [не]удобства и [не]безопасности.

Можно сделать менее универсальный и более удобный в наиболее частых кейсах age

Его надо бы не только сделать,но и встроить в популярные почтовые клиенты также как смогли же встроить в браузеры https со всем что к нему относится. И только тогда шифрование трафика в вебе стало распространенным явлением. А gpg оставить как продвинутый,эффективный, но соответственно и сложный инструмент для профессионалов как вы.