For et stykke tid siden byggede jeg min første deb pakke med TheLastRipper. Sådan nogle pakker skal altid underskrives digitalt, derfor legede jeg lige lidt med GPG (GNU Privacy Guard). Men jeg fik ikke rigtigt offentliggjort min public key, så det hele var lidt nytteløst. I dag har jeg så endelig fået tid til at lege lidt med GPG.
Måske jeg skulle starte helt ved bunden, GPG og/eller PGP som er den kommercielle implementering, er et system til at digitalt underskrive og/eller kryptere ting. Det virker ved at man genererer et nøgle sæt. En offentlig nøgle og en private nøgle. Data der er krypteret med den private nøgle kan kun dekrypteres med den offentlige nøgle og omvendt. Dette kaldes asynkron kryptering. Hvis jeg så kryptere en besked med min private nøgle, kan den kun dekrypteres med min offentlige nøgle. På den måde kan man verificere signaturen (normalt kryptere man ikke hele beskeden, men kun en hashsum af den). Omvendt kan en anden person også kryptere en besked med min offentlige nøgle, hvorefter beskeden kun kan dekrypteres med min private nøgle. Hvilket sikre at det kun er mig der kan læse beskeden.
Når, men jeg startede med at installere SeaHorse, en grafisk brugerflade til GPG. Derefter var det forholdvist enkelt at genererer et nøgle sæt. Man kan også tilføje et billede af sig selv til signaturen. Problemet kom da jeg ville offentliggøre min offentlige nøgle, dette gør man ved at synkronisere sin(e) nøgle(r) med en offentlig nøgle server. Men jeg kunne ikke få SeaHorse til at synkronisere med nogle af serverne, jeg fandt også en bug rapport på dette på Gnome’s BugZilla. Løsningen var faktisk ret enkel, højre klik på din nøgle og vælg “export public key”, derefter skal man blot uploade filen til f.eks. keyserver.pgp.com. Så venter man et par timer og pludselig er alle keyservere i verden blevet synkroniseret.
Et lille tip, man kan installere et plugin til Firefox der hedder FireGPG. Så kan man verificere mail i Gmail, og alle andre hjemmesider hvor man skulle støde på nogle. Du kan f.eks. prøve om du kan verificere dette blog indlæg, du kan finde min offentlige nøgle på keyserver.pgp.com, bare søg efter jopsen@gmail.com. Du kan verificer min blog post med følgende .txt fil: Digital_signering_med_GPG.txt, du skal blot åbne filen i Firefox med FireGPG installeret: Marker alt, højre klik og vælg FireGPG > Verify. Hvis denne ikke vil verificere så tjek at du har importeret min offentlige signatur og at du benytte tegnsætningen: ISO-8859-15…