Onni Hakala
- Full Stack Dev @ Geniem Oy - Wordpress Fan - Devops Enthusiast
Salausta kansalle:
GPG
Mitäs tällä saavutetaan?
$ echo "Moi Onni!" | gpg -a --encrypt --sign --recipient onni.hakala@geniem.com
-----BEGIN PGP MESSAGE-----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=4IJz
-----END PGP MESSAGE-----Voidaan muutaa 2 sanaa sivulliseksi koodia!!
GPG
-
End-to-End Suojaus
-
Digitaalinen allekirjoitus
-
Kryptistä matematiikkaa
-
Toimii myös SSH-avaimena
GPG
Varmennetut git commitit
GPG
Salattu sähköposti
GPG
Salattu sähköposti
GPG2SSH
Gpg avainparia voidaan käyttää myös avaimena ssh yhteyksiin.
GPG-agentin ajaminen on lähes yhtä helppoa kuin ssh-agentin.
GPG2SSH
$ ssh -v onni@remote
OpenSSH_7.2p2, OpenSSL 1.0.2h 3 May 2016
debug1: Reading configuration data /Users/onnimonni/.ssh/config
...
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: cardno:000604159505 <------HUOM!!!!
debug1: Server accepts key: pkalg ssh-rsa blen 407
debug1: Authentication succeeded (publickey).
Authenticated to example.com ([123.456.789.100]:22).
...
Welcome to Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-24-generic x86_64)
onni@remote:~$GPG2SSH
$ cat ~/.gnupg/gpg-agent.conf
# if on Mac OS X and GPG Suite is installed
# otherwise, look for `pinentry' on your system
pinentry-program /usr/local/MacGPG2/libexec/pinentry-mac.app/Contents/MacOS/pinentry-mac
# enables SSH support (ssh-agent)
enable-ssh-support
# default cache timeout for 12 hours
default-cache-ttl 43200
default-cache-ttl-ssh 43200
max-cache-ttl 43200
# allows use of `gpg-preset-passphrase`
allow-preset-passphrase
# Write socket and env file so that we can forward ssh
write-env-file
use-standard-socket
$ gpgconf --launch gpg-agentAsentaminen
Macille täytyy asentaa https://gpgtools.org
Lataa softa sivulta tai käytä homebrewiä
$ brew cask install gpgtoolsOS-X
Linux
$ apt-get install gpg2 scdaemon seahorse$ yum install gpg2 scdaemon seahorseAsentaminen
Windows
Asenna gpg4win
Paremmat ohjeet:
Keybase.io
Jotta voit lähettää/vastaanottaa viestejä salattuna tarvitset molempien osapuolien julkiset avaimet. Tätä varten kannattaa tsekkaa keybase.io
Eli bitit fyysiseen avaimeen
Fyysisen avaimen edut
-
Kone häviää?
-
Kovalevy kryptaamatta?
-
Ajoit vahingossa haittaohjelman?
-
Työntekijä irtisanoutuu?
-
Missähän kaikkialla meidän avaimet on?
Fyysisen avaimen edut
Yubikey on write only. Eli moduulin voi asettaa avaimen mutta sitä ei saa sen jälkeen sieltä enää pois.
Kun työntekijöiden avaimet on tiedossa niin niitä on huomattavasti helpompi auditoida.
Tarvittaessa avaimen hukkuessa ne voidaan kuitenkin poistaa helposti käytöstä.
Ketkä foliohatut näitä oikein käyttää?
&
Ja paljon muita: https://www.yubico.com/about/reference-customers/
Kiitos!
Better safe than sorry!
GPG avaimet
By Onni Hakala
GPG avaimet
Lyhyt esitys siitä miksi GPG avaimet yubikeyn kanssa on erittäin kova kombo.
