Forum Debian Users Gang

Oto podręczniki, można sporo na sieci znaleźć.
http://pl.wikibooks.org/wiki/GnuPG
http://linio.boo.pl/gnupg.html
http://matrix.umcs.lublin.pl/pusu/2001/referaty/GnuPG/GnuPG.htm

W mozilla-thunderbird do korzystania z gnupg służy rozszerzenie enigmail (także z polsą lokalizacją do zainstalowania) , w ustawieniach kont należy wybrać którym kluczem chcemy się posługiwać dla danego konta.

Klucze znajdują się w ktalogu ~/.gnupg

IE nie używam. :)

Czyli to co się dowiedziałem jest świetne do przekazywania korespondencji np. Obrony Cywilnej.
Teraz Cię Czadman drogi kolego pomęczę o kilka linków na taki temat:
Przypuśćmy że ktoś napisał maila do Sanepidu np. Ty. Chodzi o to żeby żeby odpowiedź do Ciebie była podpisana elektronicznie powiedzmy przez Dyrektora Stacji lub Powiatowego Inspektora Sanitarnego. I żebyś Ty nie miał wątpliwości że odpowiedź którą otrzymałeś jest właśnie od Sanepidu. Co więcej wiem że na własnym kompie można zrobić coś jak własne Centrum Certyfikacji - czyli samemu podpisać własne certyfikaty.
No i jak to wykorzystać w Mozilce.
Kupowanie oprogramowania z firmy Signet nie wchodzi w grę z uwagi na znikomą ilość korespondencji elektronicznej z obywatelami, a koszty są niebagatelne.

3. Spotkać się osobiście i potwierdzić autentyczność kluczy poprzez porównanie odcisku klucza przekazanego na spotkaniu i weryfikacją tożsamości osoby, od której otrzymujemy klucz, z odciskiem klucza otrzymanego np. przez email.

Bodzio, właśnie dlatego zasugerowałem Ci model podpisu certyfikatem podpisanym przez, z góry uznaną za zaufaną, instytucję.

Jak weryfikujesz podpis złożony przez gpg, musisz mieć bezpośrednią ścieżkę zaufania, prowadzącą do właściciela klucza, którym został złożony podpis.

Przykład:
Użytkownik A podpisał klucz użytkownikowi B, ten z kolei podpisał klucz użytkownikowi C. Zatem, gdy C wyśle podpisanego maila do A, to klucz C będzie uznany za zaufany (czyli rzeczywiście należący do C) tylko gdy A ufa B (tzn. A jest pewny, że B nie rozdaje podpisów na lewo i prawo i dokładnie weryfikuje tożsamość osoby, której klucz podpisuje).

Prostszy przykład:
Spotykam się z Czadmanem i podpisujemy sobie klucze. Oczywiście nie znamy się (poza forum oczywiście), więc żaden z nas nie wie czy drugi przestrzega procedury przy składaniu podpisu, więc każdy z nas w polu "trust" klucza drugiego ma wartość domyślną: "unknown". Czyli, jeśli Ty wyślesz mi podpisanego maila, to mój gpg uzna Twój klucz za zaufany i (jeśli podpis też będzie właściwy) to klient poczty będzie pewny, że mail pochodzi od Ciebie.
Jeśli natomiast wyślesz maila Czadmanowi, to klucz nie będzie już zaufany (bo Czadman nie wie, czy przestrzegałem procedury podpisując twój klucz). I lipa.

Możesz ustawić stopień zaufania do właściciela klucza, edytując jego klucz, np:

$ gpg --edit-key D86A66BA

I wydajesz polecenie:

> trust

http://www.thawte.com/secure-email/personal-email-certificates/index.html

Jeśli chodzi o weryfikację certyfikau, to sprawa jest prosta. Ty musisz zgłosić się do jakiegoś wolontariusza z prośbą o złożenie podpisu na twoim certyfikacie. Wtedy ów korespondent instaluje sobie certyfikak, np. firmy Thafte i to wystarczy. Jeśli masz swój certyfikat podpisany przez jakiegoś ochotnika (sam możesz stać się takowym po uzyskaniu wystarczającej liczby punktów), to od Ciebie to certyfikatu firmy prowadzi bezpośrednia ścieżka zaaufania. Pozostaje tylko kwestia bezpieczeństwa samego certyfikatu Thafte. Często w programach pocztowych / przeglądarkach internetowych wymagany certyfikat już jest.

Co do artykułu o którym Ci mówiłem, to pomyłka. :/ Jest na 36 stronie, a nie na początku.