не указан pgp ключ что это значит hydra
Как настроить pgp на гидре
Двухфакторная аутентификация (2FA) — это дополнительная защита аккаунта при входе на какой-либо интернет-ресурс.
Как пользоваться 2FA на HYDRA?
На сайтах, которые заботятся о безопасности пользователей, вкладку «двухфакторная авторизация» (или «двухфакторная аутентификация») обычно можно найти в личном кабинете. Чтобы включить 2FA на площадке HYDRA, войдите в свою учётную запись и кликните на свой никнейм в правом верхнем углу.
После нажатия откроется страница личного кабинета «Мои настройки», где можно менять пароль, фотографию аватара, а также вводить свой публичный PGP-ключ.
Нас интересует следующая вкладка под названием «Двухфакторная аутентификация».
HYDRA предлагает 2 варианта управления 2FA: с помощью PGP-ключа (что такое PGP, читайте здесь) и с помощью специальных приложений (например, Authy или Google Autenticator).
Двухфакторная аутентификация через приложение — это по сути дополнительный одноразовый пароль, который постоянно меняется, а не только когда пользователь запрашивает вход на сайт.
Это означает, что помимо стандартного пароля, а также капчи, придётся ввести код, который придёт на смартфон или планшет, или отсканировать QR-код. Выбираем удобный способ и нажимаем «Включить».
1. 2FA с помощью PGP-ключа.
Чтобы использовать PGP-ключ, необходимо для начала ознакомиться с этой статьёй, а затем ввести свой публичный PGP-ключ на странице «Мои настройки».
Потом выбираем вкладку «Двухфакторная аутентификация», PGP-верификация и вводим свой PGP-ключ в ответ на запрос сайта.
Однако большинство пользователей предпочитает способ подтверждения через приложение
2. 2FA с помощью приложения.
После выбора аутентификации через приложение, сайт предлагает 2 варианта: сканировать QR-код или ввести код вручную. Выбранный способ ни на что не влияет, однако удобнее и быстрее воспользоваться QR-кодом.
Для начала сохраните отдельно ключ из скриншота выше, чтобы получить доступ к аккаунту, если смартфон будет потерян.
Далее, какой бы вариант мы ни выбрали, на этом этапе потребуется установленное приложение (в статье в качестве примера скриншот из приложения Google Autenticator).
Сразу после установки приложения на смартфон или планшет появляется выбор, каким способом добавить аккаунт:
Из приложения Google Autenticator
Для примера выбираем «Сканировать штрихкод». Сразу же открывается камера с рамкой, которую нужно наложить на QR-код на HYDRA. Нажимать ничего не требуется, аккаунт добавляется автоматически, как только рамка камеры совпадает с кодом.
Такая надпись появляется после успешного скана кода
Теперь осталось ввести цифры из приложения в пустое поле на странице HYDRA. Обратите внимание, что код меняется в режиме реального времени, поэтому проверьте его актуальность перед подтверждением ввода на сайте.
Теперь проверим, как это работает. Выходим с сайта и пробуем заново залогиниться. Вводим капчу, потом логин, пароль и ещё одну капчу, и видим требование ввести код:
Вводим код, который в данный момент актуален в приложении и нажимаем «Продолжить». Если код введён правильно, попадаем в свою учётную запись.
Итак, краткая инструкция:
Прелесть этой программы в том, что даже если злоумышленники похитили ваш логин и пароль, они всё равно не смогут авторизоваться от вашего имени без информации, которая есть только у вас при себе, к тому же набор цифр обновляется каждые несколько секунд (а значит код нельзя подсмотреть и запомнить). Также огромным плюсом является работа приложения без Интернета. Одно приложение может одновременно иметь несколько аккаунтов (значит, можно включать 2FA на нескольких сайтах, используя один и тот же смартфон).
Часто пользователи не используют эту необходимую для защиты программу из-за страха, что Google увидит аккаунты, но это не более чем заблуждение, поскольку коды привязаны только к устройству.
Плюсы PGP-верификации практически те же: код известен только вам и хранится в надёжном месте.
Кстати, у каждой приличной криптобиржи есть функция 2FA. Связанно это с тем, что сейчас хакеры обратили пристальное внимание на аккаунты владельцев криптовалют, и потребовалась простая и удобная дополнительная защита.
Мы рекомендуем всем пользоваться 2FA для работы с сайтом HYDRA и другими ресурсами, чтобы защитить и деньги, и приватные данные.
PGP / GPG шифрование
Защита своих данных от чужих глаз — в некоторых случаях может быть вопросом жизни и смерти, а полагаться в этом вопросе на других означает доверять им свои данные. Защитить от любопытных носов свою переписку своими же силами поможет GPG шифрование.
Я также могу вам посоветовать статью «Зашифрованная почта», в которой мы рассказывали как с помощью GPG шифрования зашифровать конфиденциальную переписку.
GPG шифрование
GPG (Gnu Privacy Guard) — это инструмент асимметричного шифрования. Если проще, он создает такое сообщение, которое может прочитать только тот, кому ты его написал. Он незаменим при передаче любой важной текстовой информации. Это могут быть письма электронной почты, личные сообщения на форумах, или даже на публичных открытых сервисах. Помимо шифрования он также предоставляет несколько других функций для обеспечения безопасности.
Всегда самым очевидным способом защитить свои коммуникации было шифрование. Раньше для этого применялось симметричное шифрование, требовавшее передачи ключей по надежному каналу. С развитием электронных коммуникаций, увеличением объема данных и возможностей прослушки надежная передача ключей стала трудной задачей.
История PGP / GPG шифрования
В 1970-ых были разработаны асимметричные алгоритмы, позволяющие безопасно, открыто и автоматизировано обмениваться ключами. Схемы таких алгоритмов позволяют двум сторонам обменяться открытыми ключами, используемыми для обозначения получателя сообщения, и при зашифровке использовать открытый ключ получателя одновременно с секретным ключом отправителя. Расшифровать сообщение можно только секретным ключом получателя, и при этом будет видно, что шифрование выполнял именно владелец открытого ключа, то есть отправитель. В такой схеме секретные ключи, используемые для расшифровки, не нужно передавать, поэтому они остаются в безопасности, а отправитель сообщения выявляется при расшифровке, что исключает подмену информации. Но подобное изобретение было доступно только военным и спец. службам.
Авторы алгоритма шифрования с открытым ключом, слева направо: Диффи, Хеллман, Меркль
В 1991 появился общедоступный инструмент асимметричного шифрования для личного использования — PGP, задавший стандарт, однако он был платным и являлся зарегистрированной товарной маркой.
В 1999 был создан GPG — свободный, бесплатный, открытый и полностью совместимый со стандартом аналог PGP. Именно GPG стал самым популярным и зрелым инструментом асимметричного шифрования.
Термины GPG шифрования
Прежде чем приступить к использованию GPG, нужно понять несколько главных особенностей этого инструмента. Первая и основная особенность — это понятие «ключи». Каждый пользователь создает себе свой личный ключ. Ключ пользователя состоит из двух частей
Публичный ключ (далее просто «ключ») представляет собой своего рода визитную карточку, которую пользователь раздает всем своим контактам, желающим переписываться с шифрованием.
Секретный ключ отвечает за процессы шифрования исходящих сообщений и расшифровки полученных. Его следует хранить в безопасном месте. Принято считать, что если кто-либо завладеет секретным ключом, то ключ можно считать скомпрометированным, а значит небезопасным. Этого следует избегать.
GPG4USB
Вторая особенность — ключи, основанные на разных алгоритмах совместимы между собой. Неважно, использует ли пользователь RSA или ELGamal, для шифрования не нужно забивать голову такими деталями. Это достигается за счет работы по упомянутому выше стандарту и через некоторые криптографические приемы. Это одно из главных преимуществ GPG. Достаточно знать нужные команды, и программа сделает все сама. В библиотеку входит большое количество асимметричных алгоритмов, симметричным шифров и односторонних хэш-функций. Разнообразие также является преимуществом, потому что позволяет создать одновременно и общие рекомендованные конфигурации, подходящие для большинства, и возможность тонкой настройки для более опытных пользователей.
Как установить GPG шифрование
Для начала работы нужно установить сам GPG. Пользователи Linux могут поставить его из любого пакетного менеджера, поискав там «gnupg», или собрать вручную. Пользователи Windows могут воспользоваться сильно устаревшим клиентом GPG4Win, который имеет несколько неприятных багов и больше функций, или портативным и более свежим клиентом GPG4USB, который имеет меньше функций, но намного проще и стабильнее. Кстати, мы уже писали о том как с помощью клиента GPG4USB зашифровать свою переписку.
GPG ключ
Независимо от операционной системы и клиента, после установки нужно будет создать свой ключ, введя в терминале или кликнув в клиенте соответствующую команду. Программа попросит определиться с алгоритмом шифрования. Обычно их два — это RSA и ELGamal (на самом деле три, если на Linux Вы отважились поставить экспериментальную ветку «modern» с криптографией на эллиптических кривых). Конкретных рекомендаций по алгоритмам нет, они разные и каждый выбирает себе схему по нраву.
• В качестве почты можно указать другие виды связи, например ID какого-либо сервиса или мессенджера (Tox, Jabber, BitMessage и т. д.), разделив знаком «@» сам идентификатор/адрес и название сервиса. Чаще всего содержание именно этого поля используется для идентификации владельца ключа.
• Имя выбирать по своему усмотрению. Например, часто используемый ник или вообще «Anonymous».
• Поле комментария заполнять не обязательно. Можно ввести дополнительный. адрес или свою должность. Комментарий будет виден другим пользователям.
После заполнения всех форм нужно ввести пароль. Его можно и пропустить, что не рекомендуется, так как это единственная мера безопасности, которая защитит секретную часть ключа в случае захвата файла с данным ключом злоумышленником. Также важно не забыть пароль, иначе работа с ключом будет более невозможна. При создании ключа нужно внимательно проверять корректность ввода всех полей — ошибки потом не исправить. Публичный ключ распространяется среди большого количества людей, поэтому среди пользователей не принято их часто менять — не у всех контактов может быть свежий ключ.
Каждый GPG-ключ уникален. Запоминать и сравнивать такие большие блоки ключей вручную невозможно, поэтому для этого существуют отпечатки ключей. Каждый отпечаток ключа тоже уникален, формируется из публичной части, предоставляя короткую уникальную строку для идентификации. В строке отпечатка содержится 40 символов с разделением на 4 символа пробелами. Важно знать, что последние 8 или 16 символов являются еще и ID ключа. При использовании команд из терминала надо будет указывать ID для работы. Отпечатки удобны для быстрого сравнения двух ключей, или короткого указателя нужного ключа при нехватке места.
Шифрование сообщений и файлов
Подписи в GPG
Подпись сообщений является удобным средством открытого публичного подтверждения авторства, потому что, как и в случае с шифрованием, только истинный обладатель ключа может подписать свое послание таким ключом и подделать подобную подпись невозможно. Отличается от шифрованных сообщений тем, что текст остается открытым, заключенным с двух сторон соответствующим заголовком, а снизу добавляется небольшой блок самой подписи, также кодированный символами. При попытке изменить хотя бы один символ открытого текста, подпись станет не действительной. Проверка подписей также выполняется при помощи GPG.
Функция Web of Trust
Еще одна функция GPG, которую стоит упомянуть — это Web of Trust. Она используется для подтверждения принадлежности публичного ключа конкретному человеку. Для этого знакомые друг с другом пользователи GPG обмениваются ключами при личной встрече.
Каждый из них сверяет отпечаток ключей и создает для каждого полученного ключа электронный сертификат, доказывающий достоверное соответствие между определенной персоной и публичным ключом.
Создание сертификата называется «подписывание ключей». Сам сертификат потом загружается на сервер ключей, и любой может его запросить. Подразумевается, что чем больше пользователей подписали ключ, тем выше к владельцу доверие.
Модель использования WoT предполагает, что пользователи всегда указывают в ключах свои реальные имена и все желающие установить сеть доверия могут физически встретиться для личного обмена ключами. Это делает подобную схему трудно выполнимой при анонимном общении.
При псевдонимном общении для обмена можно использовать каналы связи или сервисы с аутентификацией, которая будет подтверждать достоверность. В любом случае, сети доверия при анонимном или псевдонимном общении не такие стойкие, частично из-за отсутствия «крепкого набора», формирующего основную группу доверенных пользователей, частично из-за человеческого фактора. Решение о целесообразности подобной сети доверия лежит целиком на группе пользователей, желающих ее построить.
Зачем нужно шифрование
Зачем вообще нужно все это шифрование, если человек ничего не скрывает и не нарушает? Это один из самых часто задаваемых вопросов. На него есть несколько ответов. За последние годы возможность тотальной слежки за сетевой деятельностью миллионов пользователей стала уже вопросом не технической сложности, а ресурсов. Обладатели таких ресурсов — все спецслужбы мира и десятки крупных корпораций, с помощью таких программ как PRISM и XKeyscore могут собирать и хранить годами все письма электронной почты, SMS-сообщения и историю звонков.
Это нарушает конституционные права граждан на тайну переписки, однако влияние этих организаций такое сильное, что остановить неправомерный сбор информации невозможно. Использование GPG не снимет слежку с миллионов людей и не исправит магическим образом весь мир. Это всего лишь инструмент в руках человека. Инструмент, позволяющий сохранить письма и слова только для тех, кому они предназначены, и ни для кого больше. Это немного, но по крайне мере это возвращает право каждого человека на тайну переписки.
Вас может заинтересовать обзор расширения браузера для передачи зашифрованных файлов MiniLock
Если сбор данных и слежка кажутся слишком отдаленными, можно рассмотреть шифрование с еще более практичной стороны. Та же электронная почта в открытом виде проходит десятки промежуточных узлов. На каждом может быть сколько угодно уязвимостей и дыр безопасности, которые могут быть использованы кем угодно.
В мире, где цифровые коммуникации играют ключевую роль, шифрование — это элементарное правило безопасности, предотвращающее огромное количество проблем. Глупо не воспользоваться возможностью повысить безопасность, учитывая что программа распространяется бесплатно, и освоить ее можно достаточно быстро. А подробнее ознакомиться с командами можно в официальном руководстве.
GPG шифрование — это отличный инструмент для шифрования электронной почты и цифровых материалов.
User Rating: 4.08 ( 43 votes)
Менеджер паролей с GPG шифрованием: настройка PASS на iOS + Git
Наверняка многим из вас знакомы работы Филиппа Циммерманна, а в частности, самая известная из них — PGP (Pretty Good Privacy — Почти Полная Конфиденциальность), опубликованная в далеком 1991 году. Изначально PGP как пакет программного обеспечения предназначался для шифрования электронной почты и до сегодняшнего момента алгоритм(ы) шифрования, заложенные в PGP еще не были взломаны.
В этом году PGP исполняется 30 лет и в связи с этой знаменательной датой я с вашего позволения напишу свой опыт взаимодействия с PGP в качестве основы для менеджера паролей.
Небольшая ремарка: PGP был отжат корпоратами и стал проприетарным, а альтернативная версия с открытым исходным кодом стала носить имя GnuPG (сокр. GPG). Далее в этой статье буду пользоваться аббревиатурой GPG.
Каждый из вас наверняка пользуется менеджером паролей, а если не пользуется, то точно слышал об этом.
Если у вас нет менеджера паролей, то вы наверняка:
У меня все эти проблемы были, и, количество сервисов, на которых я регистрировался, разрослось до более чем 357. Я Осознал — надо что-то менять…
Начал задумываться о категоризации всего этого хозяйства.
Пароли у меня хранились в памяти, в сообщениях в черновиках, на обрывках бумажек, отрывных блокнотиках, листках формата А4, сложенных вдвое, на флешках в файлах *.txt и т.д.
▍У меня было несколько требований:
▍Что такое PASS
PASS — это небольшой bash-скрипт, созданный Джейсоном Доненфельдом, хранящий пароли в обычных текстовых файлах, зашифрованных с помощью GPG. Официальный сайт — www.passwordstore.org
Может хранить в зашифрованном виде не только логины/пароли, но и любую текстовую информацию.
Шифрование всей информации производится с помощью GPG, запросы паролей осуществляет gpg-agent, за контроль версий и поддержку удаленного репозитория отвечает Git, а сама утилита написана на языке bash. Таким образом, у вас есть возможности, за которые можно не беспокоиться. На самом деле, если вы хотите, вы можете получить доступ к репозиторию Git и файлам Gnupg напрямую, вообще не используя PASS.
▍Пререквизиты для GPG, PASS, Pass for iOS:
На официальном сайте PASS www.passwordstore.org есть множество клиентов под разные OS.
▍Пререквизиты для Gitea:
Для того, чтобы настроить и развернуть связку PASS и Git, я использовал Gitea (свободный аналог github, gitlab).
Для разворачивания Gitea достаточно будет самых минимальных требований, например можно взять тариф Старт Хит (240р/мес. на момент написания статьи) на ruvds.com. К тому же у них есть услуга — 3 дня VPS на тест бесплатно. Можно развернуть Gitea на одноплатниках, хоть на
RaspberryPi (2,3,4 версий), хоть на
Подробно останавливаться в этой статье на установке Gitea не будем, есть подробнейшая документация со всевозможными способами установки:
Документация Gitea — варианты установки
Привязку Gitea к собственному домену, установку SSL-сертификата в этой статье рассматривать не буду. Укажу лишь отличный бесплатный вариант, который я использовал:
Используемые данные Gitea в статье:
Gitea установлен на zil02.ml
, указанный при создании gpg связки ключей: gitlog@zil02.ml
▍Настройка, установка GPG (GnuPG):
На странице со списком свободных OS можно выбрать приглянувшуюся —
www.gnu.org/distros/free-distros.html#for-pc я установил Dragora как основную Linux систему. У вас это может быть любая OS на ядре Linux. Самая распространенная Ubuntu, но это не значит, что самая безопасная. В Ubuntu на уровне ядра есть проприетарные компоненты, которые противоречат философии свободного программного обеспечения.
Итак, открываем терминал. Обновим репозитории и установим gpg и gnupg:
Смотрим версию установленного GPG:
У меня версия gpg (GnuPG) 2.2.12
Для того чтобы посмотреть публичный и приватный ключи:
Убеждаемся, что ключей нет
Теперь давайте их создадим. Делается это командой:
Выбираем — 1 (default)
Ставим максимальную длину — 4096
Не ограничиваем валидность ключа временем: ставим 0
Подтверждаем свой выбор.
Далее Вас спросят придумать мастер-пароль
Это главный пароль для доступа в Вашей связке ключей! Делайте его максимально сложным и запомните, запишите в надежном месте.
Введя легкий пароль, вы увидите сообщение:
▍Установим менеджер паролей PASS
Посмотрим, где у нас лежит PASS (в /usr/bin/pass):
Проинициализируем хранилище паролей, всю связку ключей, созданных ранее с : gitlog@zil02.ml:
pass init gitlog@zil02.ml
Создалась директория /.password-store
Попробуем добавить любую информацию в наш менеджер паролей PASS из консоли, для лучшего понимания!
PASS использует для хранения каждого пароля к сервису отдельный файл. Это очень удобно!
Например, добавим пароль на :
pass insert /gmail.com
где — это папка, через ‘/’ gmail.com — текстовый файл с паролем.
Введем для примера пароль 1234
Создался зашифрованный бинарник gmail.com.gpg в директории /root/.password-store/
Для просмотра зашифрованного пароля вводим свой мастер-пароль от gpg ключа:
Проверим через редактор в WinCSP
Бинарник имеет нечитаемый вид в PASS есть возможность сохранять пароли в ASCII. В настройках Pass for iOS это Settings-> Advanced включить опцию «Encrypt in ASCII-Armored»
Тогда зашифрованные данные примут человеческий вид
▍Настройка Gitea:
Теперь нам нужно настроить Git (Gitea) на локальной машине, берем user и из настроек gitea выше:
git config —global user.name «gitlog» git config —global user. «gitlog@zil02.ml»
На всякий случай указываем правильный путь до gpg:
git config —global gpg.program gpg2
вместо «gpg2» у вас может быть просто «gpg»
И тестируем, подписываются ли наши сообщения:
echo «test» | gpg —clear
Если сообщения не подписываются, и возникает ошибка «gpg: ing failed: Inappropriate ioctl for device»
Добавляем первоначальный конфиг в /root/.gnupg/gpg.conf:
keyid-format 0xlong throw-keyids no-emit-version no-s
Теперь выбираем, каким ключом будут подписываться наши коммиты
git config —global user.ingkey 0x4B0659102A08305B git config —global commit.gpg true
Создадим git репозиторий
▍Настроим связку PASS-Gitea на локальной машине
Добавляем тот путь, который нам показал Gitea после установки Gitea (заменив дефолтный путь 127.0.0.1:22022 на имя домена):
pass git remote add origin https://zil02.ml/gitlog/habr_ruvds.git
Коммитим изменения. Для того чтобы закачать изменения, пользуемся стандартным методом.
Если все сделали правильно, должно получиться следующее:
Ура! Все изменения из нашего православного менеджера паролей PASS синхронизировались с нашим Gitea. (Все содержимое папки * /.password-store)
▍Установим Pass for iOS
Официальный сайт приложения — mssun.github.io/passforios
Экспортнем public и secret ключ и перенесем на iPhone:
Пропишем настройки git репозитория:
Детальные скриншоты с настройками
Обновим табу Passwords и увидим нашу папку с файлом gmail.com
Поздравляю Вас, мы справились на Отлично!
В этой пошаговой статье мы с Вами установили собственный git репозиторий, пакет GPG и менеджер паролей PASS на локальную систему (Linux) и на iPhone (Pass for iOS). Теперь мы можем создавать, изменять пароли с PC, айфона, синхронизировать изменения через git, использовать автозаполнение логинов-паролей на iPhone в браузерах для входа в различные онлайн сервисы.
Можем хранить любые данные помимо паролей.
Очень простой формат организации и хранения паролей дает нам достаточно широкие возможности:
Менеджер паролей PASS имеет большую поддержку со стороны сообщества. Есть бесшовная синхронизация через git между экземплярами PASS на компе, ноутах, телефонах. Существуют реализации программы для Android и iOS, плагины для веб-браузеров Chrome и Firefox, графические клиенты для Windows, Mac и Linux, расширения для Alfred, d, rofi и Emacs, скрипты для импорта паролей из других менеджеров паролей!
PASS покрывает возможность хранения всей базы паролей на своем сервере/локальном компьютере/флешке/диске.
Поддерживается возможность делать быстрый backup паролей. Вы вольны выбирать какой тип шифрования использовать для сокрытия ваших паролей и любой другой приватной информации!
Вы можете придумать и реализовать свою структуру хранения паролей с категоризацией!
В первую очередь этой статьей хотел вызвать интерес к открытому программному обеспечению и правильному хранению Вашей персональной информации! Хранить пароли в месте, защищенном от хитрого взора корпораций, считаю хорошей практикой!