Защита ваших ключей

Рис.10 Напоминание о создании резервной копии

После генерации пары ключей, разумно создать резервную копию и спрятать в надежное место на случай, если с оригиналом что-нибудь случится. Когда вы закрываете окно PGPkeys после генерации новой пары ключей, появляется подсказка, напоминающая о необходимости создания резервной копии.

Ваши наборы закрытых и открытых ключей хранятся в отдельных файлах-связках, которые вы можете копировать как любые другие файлы, в другую папку на жестком диске или на флоппи-диски. По умолчанию файлы со связками закрытых (secring.pkr) и открытых (pubring. skr) ключе хранятся в папке PGP, вместе с другими файлами этой программы, но вы можете сохранять резервные копии где угодно.

Когда вы сообщаете PGP, что хотите создать резервную копию своих ключей, появляется Окно выбора местоположения копии (Select Backup Destination), и вам нужно указать, где вы собираетесь сохранить файл.

Кроме создания резервной копии ваших ключей, вы должны позаботиться о правильном выборе места хранения оригинала вашего закрытого ключа. Хотя ваш закрытый ключ и защищен паролем, знать который должны только вы, остается вероятность того, что кто-либо узнает последний, и

сможет использовать ваш закрытый ключ для расшифровки направленной вам почты или для подделки вашей цифровой подписи. Например, кто-нибудь может подглядеть пароль, когда вы набираете его, перехватить его сетевыми средствами или даже детектируя электромагнитное излучение вашего компьютера.

Чтобы предотвратить доступ к закрытому ключу постороннему, которому стал известен ваш пароль, вы должны хранить закрытый ключ только на своем собственном компьютере. Если ваш компьютер включен в сеть, вы также должны убедиться, что путь к файлам со связками ключей не включен в протоколы системного резервного копирования. Учитывая легкость, с которой можно получить доступ к любому компьютеру в сегодняшних сетях, если вы работаете с чрезвычайно секретной информацией, вам, возможно, стоит сохранять закрытый ключ лишь на дискете, и вставлять ее (как старомодную "ключевую дискету") только на время, когда вы подписываете или расшифровываете частную почту.

В качестве еще одной меры предосторожности рассмотрите возможность придания другого имени файлу со связкой закрытых ключей и хранения его в иной папке, а не в папке по умолчанию ("PGP"), где его так легко найти. Для изменения местоположения связок ключей, используйте страничку Keys в диалоге Preferences программы PGPkeys.

Распространение вашего открытого ключа

После того, как вы сгенерировали пару ключей, открытый ключ нужно сделать доступным для других, чтобы они смогли шифровать направляемую вам почту и верифицировать вашу

цифровую подпись. Для распространения своего открытого ключа у вас есть ряд возможностей:

- отправьте копию своего открытого ключа на сервер открытых ключей;

- включите копию открытого ключа в почтовое сообщение;

- экспортируйте открытый ключ, или скопируйте его в текстовый файл.

Поскольку открытый ключ может быть представлен в виде блока текста, сделать его доступным посредством сервера ключей, включить в почтовое сообщение или экспортировать в текстовый файл в равной степени просто. Получатель может затем добавить ваш открытый ключ на свою связку самым удобным для него способом.

Открытие доступа к открытому ключу через сервер ключей

Возможно, наилучшим, долговременным и удобным способом открытия доступа к вашему открытому ключу является размещение его копии на сервере открытых ключей, где он станет доступным каждому. Копирование ключа на сервер позволяет другим отправлять вам шифрованную почту, не беспокоя вас предварительно просьбой прислать ключ. Это также освобождает пользователей PGP от необходимости хранить большое количество редко используемых копий открытых ключей.

Существует несколько серверов открытых ключей, один из которых поддерживается PGP, Inc., которые позволяют сделать ваш ключ доступным каждому. Неважно, на какой сервер вы первоначально отправляете свой ключ, так как большинство основных серверов связаны таким образом, что

однажды попавший в их сеть ключ становится известен всем остальным.

Различные серверы реализуют несколько отличающиеся варианты интерфейса для подгрузки новых открытых ключей, но в основном процедура остается одинаковой: вы должны скопировать текстовое представление своего открытого ключа и поместить его в должное место на сервере ключей. Однако, используя PGP 5.0, вы можете отправить свой открытый ключ на сервер автоматически сразу после генерации новой пары или в любое другое время, пользуясь программой PGPkeys.