Формирование цифровой подписи
Для формирования цифровой подписи под каким-либо открытым ключом требуется в среде программы PGPkeys выполнить следующие действия:
1. для активизации функции подписывания ключа в главном окне программы PGPkeys щелчком выделить запись требуемого ключа и выдать команду Keys/Sign(подпись);
2. в появившемся окне "PGP Sign Key" ознакомиться с описанием подписываемого ключа, установить при необходимости флажок Allow Signature to be exported (предоставлять подпись для экспорта), задающий разрешение для последующего экспорта формируемой цифровой подписи вместе с заверяемым ключом, и нажать кнопку ОК;
3. в появившемся окне запроса пароля по доступу к закрытому ключу из верхнего раскрывающегося списка выбрать один из имеющихся у пользователя закрытых ключей, а в нижнее поле ввести пароль по доступу к выбранному ключу, нажав затем кнопку ОК.
В результате выполнения перечисленных действий выбранный открытый ключ будет подписан по указанному закрытому ключу.
Если ключ является импортированным и не полностью действительным (Invalid или Marginal), то его следует подписать по абсолютно действительному закрытому ключу и изменить уровень доверия к владельцу импортированного открытого ключа с помощью окна свойств.
Для изменения уровня доверия к владельцу открытого ключа необходимо выполнить следующие действия:
1. для вызова окна свойств какого-либо ключа необходимо в главном окне программы PGPkeys щелчком выделить запись требуемого ключа и выдать команду Keys/Key Properties(свойства ключа) – в результате появится окно свойств выбранного ключа, в заголовке которого будут приведены идентификатор и электронный адрес основного владельца ключа;
2. изменить уровень доверия к владельцу открытого ключа, перетащив мышью в соответствующее положение ползунок Untrusted – Trusted в окне свойств выбранного ключа:
крайнее левое положение – отсутствие доверия к владельцу соответствующего открытого ключа (Untrusted);
среднее положение – частичное доверие (Marginal);
крайнее правое положение – полное доверие (Complete).
Установка уровня доверия для владельцев недействительных ключей системой PGP не разрешается.
Для удаления ненужной цифровой подписи ключа требуется в главном окне программы PGPkeys в раскрытой записи соответствующего ключа щелчком выделить запись со значком карандаша, относящуюся к удаляемой подписи, и выдать команду Edit/Delete.
5.14. Добавление и изменение владельцев
асимметричных ключей
Изначально владельцем пары асимметричных ключей является пользователь, создавший эту пару. Владелец любой пары асимметричных ключей может добавить к атрибутам этой пары нового владельца или свой новый электронный адрес. Кроме того, он может изменить в атрибутах принадлежавшей ему пары ключей свой идентификатор и электронный адрес.
Для добавления к атрибутам своей пары ключей нового владельца или нового электронного адреса требуется выполнить следующие действия:
1. для активизации функции добавления в главном окне программы PGPkeys щелчком выделить запись требуемой пары ключей и выдать команду Keys/Add Name(добавить имя);
2. если добавляется новый владелец, то в появившемся окне "PGP New User Name" в полях New name(новое имя)и New email(новый электронный адрес)соответственнотребуется ввести идентификатор (имя) добавляемого владельца и его электронный адрес или новое имя имеющегося владельца и новый электронный адрес,нажав затем кнопку ОК;
3. в появившемся окне запроса пароля ввести пароль по доступу к закрытому ключу из выбранной пары и нажать затем кнопку ОК.
В результате в главном окне программы PGPkeys в раскрытой записи выбранной пары ключей появится новая подзапись со значком конверта, относящаяся к добавленному владельцу или новому адресу электронной почты.
Несмотря на то, что пара асимметричных ключей для всех ее владельцев является общей, цифровые подписи открытого ключа могут формироваться для каждого владельца отдельно и, соответственно, открытый ключ для каждого владельца может экспортироваться отдельно. Для этого необходимо перед активизацией функции формирования подписи указывать не запись со значком ключа, а ее подзапись со значком конверта, относящуюся к требуемому владельцу. Уровень же действительности пары ключей, а также уровень доверия к ее владельцам являются общими. При этом уровень действительности определяется на основе всех имеющихся цифровых подписей открытого ключа, независимо от того по отношению к какому владельцу они формировались.
Идентификаторы и адреса владельцев ключа могут быть удалены при наличии в атрибутах ключа более одного владельца. Удаление владельцев ключа возможно до тех пор, пока не останется описание одного владельца. Для удаления в атрибутах пары ключей ненужной записи с идентификатором и адресом владельца требуется в главном окне программы PGPkeys в раскрытой записи соответствующего ключа щелчком выделить удаляемую подзапись со значком конверта и выдать команду Edit/Delete.
При удалении в атрибутах пары ключей ненужной записи с идентификатором и адресом владельца следует иметь ввиду, что будут удалены не только идентификатор и соответствующий ему адрес, но и цифровые подписи открытого ключа, сформированные отдельно для владельца, запись о котором удаляется.
Сменить пароль по доступу к закрытому ключу можно с помощью кнопки Change Passphrase (изменить пароль) в окне свойств ключа. Для этого необходимо выполнить следующие действия:
1. в главном окне программы PGPkeys щелчком выделить запись требуемого ключа и выдать команду Keys/Key Properties(свойства ключа);
2. в появившемся окне свойств выбранного ключа нажать кнопку Change Passphrase (изменить пароль) и в появившемся окне ввести старый пароль и дважды новый;
3. по окончании задания установки смены пароля следует закрыть окно свойств ключа, нажав кнопку ОК, а для отмены задания установки смены пароля достаточно нажать кнопку Отмена.
5.15. Отзыв и удаление ключей, а также
наложение запрета на их использование
Запрет использования пары ключей и отзыв ее открытого ключа, чтобы им никто не мог воспользоваться, выполняется в том случае, если закрытый ключ имеющейся у пользователя пары асимметричных ключей скомпрометирован.
Для отзыва открытого ключа из имеющейся у пользователя скомпрометированной пары асимметричных ключей необходимо выполнить следующие действия:
1. для активизации функции отзыва в главном окне программы PGPkeys щелчком выделить запись требуемой пары ключей и выдать команду Keys/Revoke(отменить);
2. ознакомиться с содержанием уточняющего запроса, предупреждающего, что после распределения сертификата отзыва невозможно будет зашифровать данные по отозванному открытому ключу, и нажать кнопку Да;
3. в появившемся окне запроса пароля ввести пароль по доступу к закрытому ключу из выбранной пары, нажав затем кнопку ОК.
В результате будет наложен запрет на дальнейшее использование выбранной пары асимметричных ключей, а открытому ключу из этой пары добавится атрибут отозванного ключа. В главном окне программы PGPkeys запись, соответствующая паре с отозванным открытым ключом, символизируется изображением ключа, перечеркнутым красной линией.
После локального отзыва открытого ключа необходимо распространить сертификат отзыва среди тех пользователей, которые могут использовать отозванный ключ. Распространение сертификата отзыва выполняется аналогично распространению действующего открытого ключа. Пользователи, которые могут использовать отозванный ключ, должны добавить сертификат его отзыва к своим файлам ключей, что приведет к запрету использования открытого ключа, сертификат отзыва которого получен.
На использование импортированного открытого ключа или пары асимметричных ключей пользователь может наложить и временный запрет. Для наложения или снятия временного запрета следует в главном окне программы PGPkeys щелчком выделить запись требуемого ключа и выдать соответственно команду Keys/Disable(сделать неспособным)или Keys/Enable(дать право). После выдачи команды Disable ключ станет отображаться серым цветом и будет временно запрещен к использованию. Команда Enable отменяет действие команды Disable: ключ станет отображаться обычным цветом (желтым или синим) и будет разрешен к использованию.
Наложить запрет на использование выбранного ключа или выбранной пары асимметричных ключей можно также с помощью окна свойств ключей, сбросив флажок Enabled в нижней части соответствующего окна свойств. Соответственно установка данного флажка отменяет заданный запрет. Для пары асимметричных ключей флажок Enabledможно сбросить только в том случае, если сброшен флажок Implicit Trust (подразумеваемое доверие).
Если какой-либо ключ становится ненужным, то он может быть удален. Для удаления ненужного открытого ключа или пары асимметричных ключей требуется активизировать функцию удаления и ответить утвердительно на появившейся запрос. Для активизации функции удаления необходимо в главном окне PGPkeys щелчком выделить запись удаляемого ключа или пары ключей и выдать команду Edit/Delete.
После удаления выбранного ключа соответствующая ему запись в списке главного окна программы PGPkeys будет также удалена.
Для завершения работы программы PGPkeys следует щелкнуть по кнопке закрытия ее главного окна, или нажать комбинацию клавиш <Alt>+<F4>, или выполнить команду главного меню File/Exit.
Защита файлов ключей
Файлы ключей (secring.skr и pabring.pkr) следует резервировать. Резервирование файлов ключей предотвращает их потерю, а соответственно – потерю зашифрованных данных, ставших недоступными по причине отсутствия соответствующих закрытых ключей. Кроме того, потеря закрытых ключей приводит к невозможности формирования цифровой подписи сообщений. При этом, если открытые ключи можно восстановить, потратив на это дополнительное время, например, путем получения их с сервера ключей или непосредственно от других пользователей, то закрытые ключи, если они не были зарезервированы, восстановлению не принадлежат.
Резервировать файлы ключей необходимо после их каждого обновления программой PGPkeys – генерации и импортирования новых ключей, а также изменения свойств ключей.
Если в процессе работы PGPkeys осуществлялась генерация ключей, то при завершении этой программы появится окно запроса с тремя командными кнопками:
1. Save Backup Now –зарезервировать файлы ключей;
2. Don't save – игнорировать резервирование;
3. Cancel – отменить выход из программы PGPkeys.
При нажатии в окне запроса кнопки Save Backup Now пользователю будет представлена возможность выбора диска и каталога для резервного копирования файлов ключей. Резервирование целесообразно выполнять на диск или дискету, состояние которой будет независимо от состояния жесткого диска. После изменения свойств ключей или импортирования каких-либо открытых ключей резервирование файлов secring.skr и pabring.pkr, находящихся в каталоге расположения системы PGP, необходимо выполнять самостоятельно. Так как файлы ключей не занимают много места, выполнять их резервирование с помощью специализированного архиватора нет необходимости.