Cara mencadangkan dan memulihkan kunci GPG di Linux

Fatmawati Ahmad zaenuri / Shutterstock.com

Privasi adalah topik yang semakin panas. Di Linux juga demikian gpg Perintah tersebut memungkinkan pengguna untuk mengenkripsi file menggunakan kriptografi kunci publik. Dalam hal ini, hilangnya kunci enkripsi akan menjadi bencana. Berikut cara mencadangkannya.

Penjaga Privasi OpenPGP dan GNU

Salah satu keuntungan file elektronik dibandingkan file kertas adalah Anda dapat mengenkripsi file elektronik sehingga hanya orang yang berwenang yang dapat mengaksesnya. Jika mereka jatuh ke tangan yang salah, tidak apa-apa. Hanya Anda dan penerima yang dituju yang dapat mengakses Isi dari file.

Standar OpenPGP menggambarkan sistem enkripsi yang disebut kriptografi kunci publik. Penerapan standar ini oleh Penjaga Privasi GNU menyebabkan ini gpgAlat baris perintah untuk enkripsi dan dekripsi sesuai standar.

Standar menggambarkan metode enkripsi dengan kunci publik. Meskipun disebut “kunci publik”, ada dua kunci yang terlibat. Setiap orang memiliki kunci publik dan kunci pribadi. Seperti namanya, kunci pribadi tidak dibagikan atau diberikan kepada pihak ketiga mana pun. Kunci publik dapat dibagikan dengan aman. Faktanya, kunci publik harus dibagikan agar sistem berfungsi.

Ketika file dienkripsi, kunci pribadi pengirim dan kunci publik penerima digunakan dalam proses enkripsi. File tersebut kemudian dapat dikirimkan ke penerima. Mereka menggunakan kunci pribadi dan kunci publik pengirim untuk mendekripsi file.

Kunci publik dan pribadi dihasilkan sebagai pasangan identik yang terkait dengan identitas tertentu. Bahkan jika Anda tidak berbagi materi sensitif dengan siapa pun, Anda dapat menggunakannya di komputer Anda untuk menambahkan lapisan perlindungan ekstra ke dokumen pribadi.

Enkripsi menggunakan algoritma dan fitur enkripsi terbaik. Anda tidak dapat mengakses file terenkripsi tanpa kunci publik dan pribadi yang benar. Dan jika Anda kehilangan kunci Anda, Anda juga akan kehilangannya. Membuat kunci baru tidak membantu. Untuk mendekripsi file Anda, Anda memerlukan kunci yang digunakan dalam proses enkripsi.

Tak perlu dikatakan, mencadangkan kunci Anda sangat penting, serta mengetahui cara mendapatkannya kembali. Bagaimana melakukan tugas-tugas ini.

.gnupg .panduan

Kunci Anda disimpan dalam direktori bernama “.gnupg” di direktori home Anda. Direktori ini juga menyimpan kunci publik dari semua orang yang mengirimi Anda file terenkripsi. Saat Anda mengimpor kunci publik, kunci tersebut ditambahkan ke file database yang diindeks di direktori tersebut.

Tentu saja, tidak ada yang disimpan dalam teks biasa di direktori ini. Saat membuat kunci GPG, Anda akan diminta memasukkan frasa sandi. Saya harap Anda ingat apa frasa sandi itu. Anda akan membutuhkannya. Tanpanya, entri dalam direktori “.gnugp” tidak dapat didekripsi.

Saat kita menggunakan ini tree Alat tampilan direktori Lihat struktur sub-direktori dan file ini. kamu akan menemukannya tree di repositori distribusi Anda jika Anda belum memilikinya di komputer Anda.

tree .gnupg

Isi dari pohon direktori adalah:

  • openpgp-revocs.d: Subdirektori ini berisi sertifikat pencabutan Anda. Anda akan membutuhkannya jika kunci pribadi Anda menjadi publik atau telah disusupi dengan cara lain. Sertifikat pencabutan Anda akan digunakan saat Anda mencabut kunci lama dan mengotorisasi yang baru.
  • Tombol Khusus- v1.d: Subdirektori ini menyimpan kunci pribadi Anda.
  • pubring.kbx: file terenkripsi. Ini berisi kunci publik, termasuk milik Anda, dan beberapa metadata tentangnya.
  • pubring.kbx ~: Ini adalah cadangan pubring.kbx. Itu diperbarui sebelum perubahan dilakukan pada pubring.kbx.
  • trustdb.gpg: Berisi hubungan kepercayaan yang Anda buat untuk kunci pribadi Anda dan untuk kunci publik orang lain yang Anda terima.

Anda harus tetap membuat cadangan direktori home Anda secara teratur dan sering, termasuk file dan folder tersembunyi. Ini tentu saja akan menyimpan direktori “.gnupg”.

Tapi mungkin Anda berpikir kunci GPG Anda cukup penting untuk memastikan mereka dicadangkan secara teratur, atau mungkin Anda ingin menyalin kunci Anda dari desktop ke laptop Anda sehingga Anda memilikinya di kedua perangkat. Lagi pula, Anda berada di kedua perangkat.

Pilih kunci untuk cadangan

kita bisa bertanya gpg Untuk memberi tahu kami apa kunci sistem GPG Anda. Kami menggunakannya --list-secret-keys pilihan dan --keyid-format LONG dan pilihan.

gpg --list-secret-keys --keyid-format LONG

Kami diberitahu bahwa GPG sedang melihat file /home/dave/.gnupg/pubring.kbx.

Tidak ada yang ditampilkan di layar adalah kunci rahasia Anda yang sebenarnya.

  • Baris ‘sec’ (rahasia) menampilkan jumlah bit sandi (4096 dalam contoh ini), ID kunci, tanggal pembuatan kunci, dan “[SC]. ‘S’ berarti kunci dapat digunakan untuk tanda tangan digital dan ‘C’ berarti dapat digunakan untuk sertifikat.
  • Baris berikutnya adalah kunci sidik jari.
  • Baris “uid” berisi ID pemilik kunci.
  • Baris “ssb” menunjukkan subkunci rahasia saat dibuat dan “E”. Huruf “E” menunjukkan bahwa itu dapat digunakan untuk enkripsi.

Jika Anda membuat beberapa pasangan kunci untuk digunakan dengan identitas yang berbeda, mereka juga akan dicantumkan. Hanya satu pasangan kunci yang harus disimpan untuk pengguna ini. Cadangan berisi semua kunci publik orang lain yang telah dikumpulkan dan ingin dipercaya oleh pemilik kunci tersebut.

Simpan ke komputer

Anda juga bisa bertanya gpg Untuk mencadangkan semua kunci untuk semua identitas atau untuk mencadangkan kunci yang terkait dengan satu identitas. Kami mencadangkan kunci pribadi, kunci rahasia, dan file basis data tepercaya.

Untuk mengamankan kunci publik, gunakan --export Mungkin. Kami juga akan menggunakannya --export-options backup dan pilihan. Ini memastikan bahwa semua metadata GPG disertakan sehingga file dapat diimpor dengan benar di komputer lain.

Kami juga menampilkan file output --output Mungkin. Jika tidak, output akan dikirim ke jendela terminal.

gpg --export --export-options backup --output public.gpg

Jika Anda hanya ingin mencadangkan kunci untuk satu identitas, tambahkan alamat email yang terkait dengan kunci ke baris perintah. Jika Anda tidak ingat alamat emailnya, gunakan itu --list-secret-keys kemungkinan seperti yang dijelaskan di atas.

gpg --export --export-options backup --output public.gpg [email protected]

Untuk mengamankan kunci pribadi kita, kita perlu menggunakan file --export-secret-keys dari pada --export Mungkin. Pastikan untuk menyimpannya ke file lain.

gpg --export-secret-keys --export-options backup --output private.gpg

Karena ini adalah kunci pribadi Anda, Anda harus mengautentikasi diri Anda ke GPG sebelum melanjutkan.

Perhatikan bahwa Anda Kata sandi Anda tidak diminta. Yang perlu Anda masukkan adalah kata sandi Anda menentukan kunci GPG Anda saat membuat. Dengan pengelola kata sandi yang baik, Anda dapat menyimpan informasi ini dalam catatan yang aman. Ini adalah tempat yang baik untuk menjaga mereka.

Jika frasa sandi diterima, ekspor akan dilakukan.

Untuk mengamankan hubungan kepercayaan Anda, kami perlu mengekspor pengaturan dari file trustdb.gpg Anda. Kami mengirim output ke file bernama trust.gpg. Ini adalah file teks. dapat ditampilkan dengan cat.

gpg --export-ownertrust > trust.gpg
cat trust.gpg

Ini adalah tiga file yang kami buat.

ls -hl *.gpg

Kami mentransfernya ke komputer lain dan memulihkannya. Ini mengidentifikasi kami di komputer ini dan memungkinkan kami untuk menggunakan kunci GPG yang ada.

Jika Anda tidak memindahkan kunci ke komputer lain dan hanya mencadangkannya karena Anda ingin memastikan dua kali lipat bahwa kunci tersebut aman, salin ke media lain dan simpan di tempat yang aman. Bahkan jika mereka jatuh ke tangan yang salah, kunci publik Anda tetap publik, jadi tidak ada salahnya. Tanpa kata sandi Anda, kunci pribadi Anda tidak dapat diambil. Dengan demikian, simpan cadangan Anda dengan aman dan rahasia.

Kami menyalin file ke komputer Manjaro 21.

ls *.gpg

Secara default, Manjaro menggunakan cangkang 21 Z, zsh, sehingga terlihat berbeda. Tapi tidak apa-apa, itu tidak akan mempengaruhi apa pun. Apa yang kami lakukan adalah sebuah tema gpg Program dan bukan shell.

Untuk mengimpor kunci kami, kami perlu menggunakan file --import Mungkin.

gpg --import public.gpg

Detail penting ditampilkan selama impor. File trustdb.gpg juga dibuat untuk kita. Mengimpor kunci pribadi sama mudahnya. Kami menggunakan ini --import lagi.

gpg --import private.gpg

Kita akan diminta untuk memasukkan kata sandi.

Ketik di bidang Passphrase, tekan tombol Tab dan tekan Enter.

Detail tentang kunci yang diimpor akan ditampilkan. Dalam kasus kami, kami hanya memiliki satu kunci.

Untuk mengimpor basis data kepercayaan kami, masukkan:

gpg --import-ownertrust trust.gpg

Kami dapat memverifikasi bahwa semuanya diimpor dengan benar menggunakan file --list-secret-keys lagi.

gpg --list-secret-keys --keyid-format LONG

Ini memberi kita hasil yang sama yang kita lihat sebelumnya di mesin Ubuntu kita.

Lindungi privasi Anda

Pastikan kunci GPG Anda aman dengan mencadangkannya. Jika Anda mengalami kerusakan komputer atau hanya meningkatkan ke model yang lebih baru, pastikan Anda tahu cara mentransfer kunci Anda ke mesin baru.

terkait: Cara mencadangkan sistem Linux Anda dengan rsync

Baca Juga!

Apa itu ERS? Apa yang menghubungi DevOps?

Shutterstock.com/Blackboard SRE adalah singkatan dari Site Reliability Engineering. Ini didasarkan pada prinsip-prinsip DevOps untuk menyediakan …