5 نصائح لتأمين مفتاح GPG الخاص بك في Linux
تعد مفاتيح GPG جزءًا حيويًا من التحقق من هويتك عبر الإنترنت. وعلى هذا النحو، فإن تأمينها من الجهات الفاعلة السيئة يضمن عدم تمكن أي شخص من انتحال شخصيتك في اتصالاتك مع الآخرين. نعرض لك هنا خمس نصائح بسيطة حول كيفية تأمين مفتاح GPG الخاص بك في Linux.
نصيحة: تعرف على كيفية إنشاء مفتاح GPG الخاص بك في Linux اليوم.
1. قم بإنشاء مفاتيح فرعية لكل وظيفة GPG
إحدى أسهل الطرق لتأمين مفتاح GPG الخاص بك في Linux هي إنشاء مفتاح فرعي منفصل لكل وظيفة رئيسية. المفاتيح الفرعية هي أجزاء إضافية من هوية التشفير المرفقة بمفتاحك الرئيسي الأساسي. وهذا يجعل من الصعب على الجهات الفاعلة السيئة الحصول على مفتاحك الخاص الأساسي نظرًا لأنك لا تستخدمه في الإجراءات الرئيسية الشائعة.
للقيام بذلك، افتح موجه مفتاح GPG لمفتاحك الأساسي:
gpg --expert --edit-key YOUR-GPG@EMAIL.ADDRESS
يجري change-usage
لتغيير القدرات الافتراضية لمفتاحك الأساسي.
اكتب “S”، ثم اضغط يدخل لتعطيل إمكانية التوقيع لمفتاحك الأساسي.
يجري addkey
لإنشاء المفتاح الفرعي الثاني لمفتاحك الأساسي.
حدد “8” في موجه الخوارزمية الرئيسية، ثم اضغط يدخل.
اكتب “=S” في المطالبة، ثم اضغط يدخل لتعيين قدرة المفتاح الفرعي على “تسجيل الدخول فقط”.
ملحوظة: يمكنك تغيير قيمة “=S” إلى “=E” أو “=A” لتعيين وظيفة المفتاح الفرعي إما للتشفير فقط أو للمصادقة فقط.
قم بتوفير “4096” في موجه حجم المفتاح، ثم اضغط يدخل لتعيين حجم مفتاح RSA الفرعي الخاص بك إلى 4096 بت.
قم بتعيين فترة صلاحية معقولة لمفتاحك الفرعي. في حالتي، سأقوم بتعيين مفتاحي الفرعي بحيث تنتهي صلاحيته بعد عام واحد.
أنشئ مفتاحك الفرعي الجديد عن طريق كتابة “y”، ثم الضغط عليه يدخل في رسالة التأكيد.
أعد تشغيل addkey
الأمر وإنشاء المفتاحين الفرعيين الآخرين لإمكانيات التشفير والمصادقة.
تأكد من أن مفتاح GPG الخاص بك يحتوي على مفتاح فرعي لكل إمكانية عن طريق تشغيل list
أمر فرعي.
في ملحوظة جانبية: هل أنت مستخدم ويندوز كذلك؟ تعرف على كيفية إعداد واستخدام GPG في Windows.
2. حدد تاريخ انتهاء صلاحية مفاتيحك
هناك طريقة أخرى سهلة لتأمين مفتاح GPG الخاص بك في Linux وهي إعطاء مفتاحك الأساسي والمفاتيح الفرعية تاريخ انتهاء الصلاحية. على الرغم من أن هذا لا يؤثر على قدرة المفتاح على التوقيع والتشفير والمصادقة، فإن تعيين واحد يمنح مستخدمي GPG الآخرين سببًا للتحقق دائمًا من صحة مفتاحك مقابل خادم مفاتيح.
ابدأ بفتح مفتاحك الأساسي داخل أداة GPG CLI:
gpg --edit-key YOUR-GPG@EMAIL.ADDRESS
اكتب “انتهاء الصلاحية”، ثم اضغط يدخل لتعديل تاريخ انتهاء صلاحية مفتاحك الأساسي. في حالتي، سأحدد انتهاء صلاحيتي بعد 10 سنوات.
قم بتوفير كلمة المرور لمفتاح GPG الخاص بك، ثم اضغط على يدخل للالتزام بتاريخ انتهاء الصلاحية الجديد.
قم بتشغيل الأوامر التالية لتحديد المفاتيح الفرعية الداخلية لمفتاح GPG الخاص بك:
يجري expire
، ثم قم بتوفير تاريخ انتهاء صلاحية المفاتيح الفرعية الخاصة بك. في معظم الحالات، يجب أن تنتهي صلاحية هذه المفاتيح قبل انتهاء صلاحية مفتاحك الأساسي. بالنسبة لي، سأحدد انتهاء صلاحيتها بعد ثمانية أشهر.
اكتب “حفظ”، ثم اضغط يدخل لتنفيذ تغييراتك على حلقة مفاتيح GPG الخاصة بك.
تأكد من أن المفتاح الخاص بك يحتوي على تواريخ انتهاء الصلاحية الصحيحة عن طريق تشغيل: gpg --list-keys
.
جيد ان تعلم: تعلم كيف يمكنك استخدام GPG مع واجهة المستخدم الرسومية مع GNU Kleopatra.
3. احفظ مفاتيح GPG الخاصة بك في مفتاح أمان
مفاتيح الأمان عبارة عن أجهزة صغيرة مصممة خصيصًا للاحتفاظ ببيانات المصادقة الخاصة. وفي هذا الصدد، يمكنك أيضًا استخدامها لتخزين مفاتيح GPG الخاصة بك دون المساس بأمانك العام.
ابدأ بتوصيل مفتاح الأمان الخاص بك بجهازك، ثم قم بتشغيل الأمر التالي للتحقق مما إذا كان GPG قد اكتشفه:
افتح موجه GPG على مفتاحك الأساسي، ثم قم بتشغيله list
لطباعة كافة التفاصيل الخاصة بك من المفاتيح الخاصة بك:
gpg --edit-key YOUR-GPG@EMAIL.ADDRESS
ابحث عن المفتاح الفرعي بقيمة الاستخدام “S” ثم قم بتشغيل المفتاح متبوعًا برقم الطلب الخاص به في قائمة المفاتيح الفرعية. على سبيل المثال، المفتاح الفرعي “S” الخاص بي هو المفتاح الأول في قائمتي لذا سأقوم بتشغيله key 1
.
انقل المفتاح الفرعي “S” إلى وحدة التخزين الداخلية لمفتاح الأمان:
حدد “1” في موجه النقل، وقم بتوفير كلمة المرور لمفتاح GPG الأساسي الخاص بك، ثم قم بتشغيل key
الأمر مرة أخرى لإلغاء تحديد المفتاح الفرعي الأول.
ابحث عن المفتاح الفرعي بقيمة الاستخدام “A” ثم قم بتشغيل الملف key
الأمر متبوعًا برقم فهرس المفتاح الفرعي.
انقل المفتاح الفرعي “A” إلى جهاز الأمان الخاص بك باستخدام keytocard
الأمر، حدد “3” في موجه النقل، ثم أعد تشغيل أمر المفتاح، وقم بإلغاء تحديد المفتاح الفرعي “A”.
ابحث عن المفتاح الفرعي بقيمة الاستخدام “E”، ثم حدده باستخدام key
يأمر.
انقل المفتاح الفرعي “E” إلى جهاز الأمان الخاص بك باستخدام أمر keytocard، ثم حدد “2” في المطالبة.
يجري save
، ثم اضغط يدخل لتنفيذ تغييراتك على حلقة مفاتيح GPG الخاصة بك.
وأخيرًا، تأكد من أنك قمت بتصدير المفاتيح الفرعية بشكل صحيح من جهازك عن طريق التشغيل gpg --list-secret-keys YOUR-GPG@EMAIL.ADDRESS
. سيؤدي القيام بذلك إلى طباعة رمز أكبر من (>) بجوار تسميات “ssb” الخاصة بمفاتيحك الفرعية.
4. قم بعمل نسخة احتياطية لمفتاحك الخاص الرئيسي على الورق
وبصرف النظر عن مفاتيح الأمان، يمكنك أيضًا تأمين مفتاح GPG الخاص بك في Linux عن طريق تصديره في ملف نصي قابل للطباعة. Paperkey عبارة عن أداة مساعدة بسيطة لسطر الأوامر تأخذ مفتاحك الخاص وتقسمه إلى وحدات البايت السرية الأساسية. يعد هذا مفيدًا إذا كنت تبحث عن طريقة للحفاظ على مفتاح GPG الخاص بك خارج الأجهزة الرقمية.
للبدء، قم بتثبيت Paperkey من مستودع حزم توزيعة Linux لديك:
sudo apt install paperkey
قم بتصدير الإصدار الثنائي لمفاتيحك الأساسية الخاصة والعامة:
gpg --export-secret-key --output secret.gpg YOUR-GPG@EMAIL.ADDRESS gpg --export --output public.gpg YOUR-GPG@EMAIL.ADDRESS
قم بتحويل مفتاحك الثنائي الخاص إلى بياناته السرية الأساسية:
paperkey --secret-key secret.gpg --output core-secret.txt
تأكد من أنه يمكنك إعادة إنشاء مفتاحك الخاص الأساسي من النسخة الاحتياطية للمفتاح الورقي:
paperkey --pubring public.gpg --secrets core-secret.asc --output secret.gpg
افتح ملفك السري الأساسي باستخدام محرر النصوص الرسومية المفضل لديك. في حالتي، أستخدم محرر النصوص الافتراضي من جنوم.
انقر على قائمة الخيارات في الزاوية اليمنى العليا من النافذة، ثم حدد إدخال القائمة الفرعية “طباعة”.
جيد ان تعلم: تعرف على كيفية طباعة الملفات من الوحدة الطرفية باستخدام lp.
5. احذف مفتاحك الخاص الرئيسي من النظام
عندما تقوم بإنشاء مفتاح GPG جديد، يقوم جهاز الكمبيوتر الخاص بك بتخزين نسخة من المفاتيح العامة والخاصة داخل نظام الملفات الخاص بك. على الرغم من أن ذلك مناسب، إلا أنه قد يمثل مشكلة إذا كنت تستخدم جهاز كمبيوتر متصل بالشبكة أو جهاز كمبيوتر مشترك الوصول.
إحدى طرق حل هذه المشكلة هي حذف المفتاح الخاص لحلقة مفاتيح GPG الخاصة بك. سيضمن هذا عدم تمكن أي جهة ضارة من استخراج مفتاحك الخاص من جهاز الكمبيوتر الخاص بك للتوقيع على أي مفاتيح فرعية والمصادقة عليها.
ابدأ بعمل نسخة احتياطية من مفتاح GPG الأساسي الخاص والمفاتيح الفرعية:
gpg --export-secret-key --armor --output private.asc YOUR-GPG@EMAIL.ADDRESS gpg --export-secret-subkeys --armor --output sub-private.asc YOUR-GPG@EMAIL.ADDRESS
قم بتشفير مخرجات لوحة المفاتيح الخاصة الأساسية باستخدام التشفير المتماثل:
gpg --symmetric private.asc
قم بتوفير كلمة مرور قوية نسبيًا لبيانات المفتاح الخاص، ثم اضغط على يدخل.
قم بتخزين مفتاح GPG الخاص المشفر على جهاز تخزين خارجي.
قم بإزالة جميع بيانات المفتاح الخاص من زوج مفاتيح GPG الخاص بك:
gpg --delete-secret-key YOUR-GPG@EMAIL.ADDRESS
قم باستيراد كتلة المفتاح الفرعي السري مرة أخرى إلى زوج مفاتيح GPG الخاص بك:
gpg --import sub-private.asc
قم بتشغيل الأمر التالي للتحقق مما إذا كان مفتاحك الخاص الأساسي لا يزال موجودًا في نظامك:
gpg --list-secret-keys YOUR-GPG@EMAIL.ADDRESS
سيؤدي القيام بذلك إلى إظهار علامة الجنيه (#) بجانب علامة “sec” للمفتاح الأساسي. يشير ذلك إلى أن مفتاحك الخاص لم يعد موجودًا في حلقة مفاتيح GPG الخاصة بك بعد الآن.
إن تعلم كيفية تأمين مفتاح GPG الخاص بك باستخدام هذه النصائح البسيطة هو مجرد جزء واحد من استكشاف النظام البيئي الواسع لتشفير المفتاح العام. تعمق أكثر في هذا البرنامج عن طريق تسجيل الدخول إلى خوادم SSH باستخدام GPG.
حقوق الصورة: FlyD عبر Unsplash. جميع التعديلات ولقطات الشاشة بواسطة Ramces Red.
اشترك في نشرتنا الإخبارية!
يتم تسليم أحدث البرامج التعليمية لدينا مباشرة إلى صندوق البريد الوارد الخاص بك