Теперь я понял, почему почти никто не шифрует свою почту

Автор оригинала: Cheapskate's Guide
  • Перевод


Шифрование электронной почты — трудная и болезненная процедура. Недавно я сам понял, насколько. Одна моя знакомая, очень продвинутая в сфере информационной безопасности, прислала мне свой открытый ключ PGP и попросила перейти на шифрование. Нет, она не из АНБ или ЦРУ, просто обычный человек, который заботится о своей конфиденциальности. Я никогда раньше не отправлял зашифрованные письма, но подумал: «Почему бы и нет?» Много лет я хотел это освоить, но не с кем было обмениваться шифрованными письмами.

Я начал с установки GnuPG на свой компьютер под Linux.

GnuPG похож на PGP в том, что использует открытые и закрытые ключи для шифрования и дешифрования, но поставляется открытым исходным кодом и идёт в комплекте со многими дистрибутивами Linux. Другая версия PGP с открытым исходным кодом — OpenPGP.

GnuPG для Windows под названием Gpg4win можно загрузить с официального сайта. Я выбрал общий метод шифрования и дешифрования сообщений, который не привязан ни к какому провайдеру электронной почты, потому что не хотел ограничивать себя возможностью шифрования только у одного провайдера. Кроме того, единственный способ убедиться, что даже почтовый провайдер не имеет доступа к вашим письмам — шифровать их самостоятельно. Наиболее полное руководство по GnuPG я нашёл на сайте How-To Geek.

Я импортировал открытый ключ своей знакомой с помощью этой команды:

gpg --import her_public_key_file.key

В этой команде her_public_key_file.key заменяется фактическим файлом открытого ключа. Затем проверил, что её ключ успешно импортирован:

gpg --list-keys

Появилось сообщение вроде этого:

pub 2048R/FFE7947D 2019-10-11 [expires: 2021-10-10]
uid her_email@her_email_provider.com
sub 2048R/AB48FEC2 2019-10-11

Это означает, что GnuPG распознаёт её открытый ключ как действительный и сохраняет его для последующего использования.

Затем подписал её открытый ключ:

gpg --sign-key her_email_address@email_provider.com

Подписание открытого ключа говорит GnuPG, что вы доверяете этому ключу, то есть он действительно пришёл от этого человека. Каждый открытый ключ должен быть подписан, прежде чем сообщения от владельца этого открытого ключа можно будет расшифровать. По-моему, этот шаг не имеет никакого смысла. Зачем вам импортировать ключ, если вы не считаете, что он пришёл от нужного человека?

Затем я попытался сгенерировать свои ключи:

gpg --output ~/temp.key --armor --export My Name 

Ну, после такой команды выскочило сообщение об ошибке, что обнаружен конец новой строки. Я подумал, что это может быть связано с пробелами в моём имени и между именем и адресом электронной почты, поэтому попробовал различные форматы. Примерно через час и множества неудачных попыток, некоторые из которых выглядели как успешные, но не были таковыми, я наконец нашёл правильную команду:

gpg --gen-key

Приведённая выше команда задаёт вам ряд вопросов. На первый я выбрал вариант «1», затем выбрал опцию 2048-битной длины ключей. Установил бессрочный срок действия ключей. В поле имени не указывал фамилию, но пробелы там тоже поддерживаются: можно указать и имя, и фамилию. Затем ввёл свой электронный адрес. Поле комментария оставил пустым. И, наконец, ввёл длинную парольную фразу. «Парольная фраза» — это просто синоним пароля. Я его записал там, где он не потеряется. На самом деле, я поместил его в файл, зашифрованный с помощью Truecrypt. Парольная фраза понадобится позже, чтобы зашифровать сообщения и в случае повторной установки GnuPG на жёсткий диск и повторного импорта ключей. И не забудьте сделать резервную копию самих ключей!

После создания ключей проверяем результат:

gpg --list-keys

Эта команда выдаёт примерно такой результат:

pub 2048R/FFE7947D 2019-10-11 [expires: 2021-10-10]
uid her_email@her_email_provider.com
sub 2048R/AB48FEC2 2019-10-11


pub 2048R/3A785D3F 2020-02-22
uid My Name
sub 2048R/A7B384FE 2020-02-22

Я дважды запускал генерацию ключей, потому что не был уверен, этот результат означает наличие пары открытого/закрытого ключей или только одного ключа. Каким-то образом я в конце концов понял, что создал две пары ключей, поэтому удалил вторую пару.

Затем я попытался экспортировать свой открытый ключ в файл. Открытый ключ нужно отправить каждому, кому вы отправляете зашифрованное письмо, чтобы он мог его расшифровать. Я не уверен, какую команду использовал, но она выдала текстовый файл, который начинается с -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1. Я отправил это письмо своей знакомой, и она ответила мне зашифрованным сообщением.

Я попытался расшифровать файл message.asc с её письмом:

gpg --decrypt message.asc > plain.txt

Но GnuPG выдал сообщение об ошибке, что не может найти секретный ключ:

gpg: encrypted with RSA key, ID XXXXXXXX
gpg: decryption failed: secret key not available

Но я видел свой секретный ключ. Я мог даже экспортировать его. Я знал, что он есть! Что тут сказать, иногда программисты пишут действительно ужасные сообщения об ошибках. К этому моменту я уже начал испытывать некоторое раздражение.

Я не знал, что сделал неправильно. Единственное, что я мог предположить, что я каким-то образом не смог правильно создать ключи. Либо так, либо я экспортировал не тот открытый ключ. Поэтому я решил начать всё сначала. Удалил свою пару ключей, сгенерировал новую пару ключей и экспортировал свой открытый ключ в файл с помощью такой команды:

gpg --output ~/my_public_gpg_key.key --armor --export My Name my-email@my-email-povider.com

Затем отправил знакомой новый открытый ключ. Параметр --armor указывает GnuPG создать файл открытого ключа в текстовом виде. Название файла — my_public_gpg_key.key.

Она опять зашифровала своё сообщение и отправила его мне. Когда я попытался расшифровать его, то опять увидел то же самое сообщение об ошибке:

gpg: encrypted with RSA key, ID XXXXXXXX
gpg: decryption failed: secret key not available

На этот раз я заметил, что идентификатор ключа соответствует моему старому открытому ключу, а не новому. Я решил, что она ошиблась, и попросил её попробовать еще раз с новым ключом. Затем, чтобы убедиться, что я не ошибся, я решил проверить, что ключ, которым я воспользовался, действительно был моим новым ключом. Новый ключ, который я послал, даже не был одним из моих открытых ключей! Это был её открытый ключ, который начинался с -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1! Каким-то образом я экспортировал её ключ с добавлением Version: GnuPG v1! Я это знаю, потому что у меня по-прежнему был файл с её ключом, который она мне прислала, и он начинается с -----BEGIN PGP PUBLIC KEY BLOCK-----. Там нет Version: GnuPG v1! И её открытый ключ совпадает с тем, который я ей послал.

Я повторно экспортировал свой открытый ключ с помощью той же команды, указанной выше. На этот раз я проверил, что это действительно мой ключ, прежде чем отправить его ей по электронной почте. Из справочных материалов по GnuPG в интернете я узнал, что сообщение об отсутствии секретного ключа может появиться, если люди используют разные версии GnuPG. Я упомянул об этом ей, когда отправил новый ключ по электронной почте.

Через несколько недель я получил ответное письмо. К этому времени я уже решил, что она сдалась. В течение последующих недель у меня были некоторые проблемы с компьютером, из-за которых пришлось переформатировать жёсткий диск. Поэтому пришлось заново установить GnuPG, повторно импортировать мои ключи и повторно импортировать её открытый ключ. К счастью, я сделал резервные копии! Затем я ответил на её последнее письмо другим письмом, которое зашифровал с помощью этой команды:

gpg --encrypt --sign --armor -r her-email@her-email-provider.com --passphrase my-pass-phrase my-msg.txt

Конечно, здесь не мой настоящий пароль, я заменил его на my-pass-phrase, а незашифрованное сообщение — на my-msg.txt. Был сгенерирован шифротекст, и его файл назывался my-msg.tx.gpg. Я не смог найти никакой информации, как самому расшифровать свой собственный шифротекст, поэтому пришлось отправить его ей, не зная, правильно ли я его зашифровал. Я знал только то, что он вроде был правильного размера. Через пару недель я получил от неё новое зашифрованное письмо на другую тему. Только тогда появилась уверенность, что я наконец достиг той точки, когда мы можем успешно общаться по зашифрованной электронной почте. Весь процесс от начала до конца занял больше месяца! Я всё ещё пытаюсь автоматизировать команды GnuPG, чтобы использовать их, не слишком сильно задумываясь о том, что я делаю.

Из этого опыта я понял, что зашифрованная электронная почта, хотя и является интересным упражнением, не очень практична. Если только вы не Эдвард Сноуден, за которым следит АНБ, вероятно, вряд ли вы сможете оправдать усилия на создание и использование зашифрованной почты. И если вы не Эдвард Сноуден с важными секретами, вряд ли кто-то захочет тратить силы на шифрование переписки с вами.

Шифрование и дешифровка электронной почты, как у меня с GnuPG, просто слишком утомительны. Поскольку я уже потратил на это слишком много усилий, то продолжу использовать её для общения со своей онлайн-знакомой. Но я бы не рекомендовал обычному человеку использовать GnuPG для шифрования электронной почты, если этого можно избежать. Понимаю, что на рынке есть более простые решения от конкретных почтовых провайдеров, таких как Protonmail, но большинство людей не захотят менять провайдера, чтобы воспользоваться ими. Нам всем нужен более простой способ отправки и получения зашифрованной почты без изменения почтового провайдера. GnuPG — не решение проблемы. Если вы знаете о более простом способе шифрования почты, пожалуйста, подумайте о том, чтобы оставить комментарий.

GlobalSign
Компания

Комментарии 85

    +5
    Хотя, казалось бы, Thunderbird + Enigmail. Один раз настроить и забыть
      0
      не всегда thunderbird хорошее решение.

      во-первых он плохо поддерживается и в последнее время там часто находят уязвимости о которых никто никуда не сообщает.

      во-вторых современные веб-сервисы почты плохо или вообще не поддерживают IMAP что затрудняет работу (gmail тот же отвратительно поддерживает IMAP).

      Можно конечно собрать свой, настроить сборку почты и так далее, но это уже доступно только людям, которые с одной стороны разбираются в технологиях, а с другой — им не лень.

      А мы же помним — безопасность работает хорошо когда работает хорошо у большинства.

      вот и получается что PGP как идея — хороша! но как реализация, увы.
        +1

        Мне thunderbird нравится.
        Не понимаю эту моду выпускать обновы каждую неделю — уже столько в жизни наловил багов из-за торопыжек-программистов, которые не тестят то, что кодят.
        Всё должно быть в меру.
        А идеального нет нигде.

          0
          мне тоже thundebird нравится. как я указал выше — проблема, как правило, в сервисах предоставляющих почту, а не в самом tb (хотя и там полно проблем, я бы предпочёл всё тоже самое, только в более легковесном варианте — уж слишком он тяжёлый для почтового решения, но другие такие же)
          0
          не всегда thunderbird хорошее решение.


          А что, есть достойные альтернативы? (Нет, веб-интерфейс это не альтернатива)
            0
            www.emclient.com/features-overview

            eM Client provides a very simple way of sending encrypted and signed emails. It has never been easier.
              0
              Бесплатного мне недостаточно (он только два аккаунта поддерживает), а 30$ за почтовик для меня дороговато (и это только на одно устройство, а у меня ещё ноутбук есть). Так что оно конечно альтернатива, но не для моего кармана, увы.
            +1
            gmail тот же отвратительно поддерживает IMAP

            Что именно плохо работает?
              0
              IMAP Folders реализованы на метках вместо нормальной системы папок. Что при любом мало-мальски сложном перемещении писем из папки в папку вызывает фейерверк разрывов связи, исчезновений писем из всех папок вообще, произвольного дублирования их в нескольких разных папках и тому подобное.
                0
                Не замечал такого при использовании Thunderbird. Клиента не пробовали менять?
                  0

                  Коллеги все правильно говорят. Речь именно, что про любой клиент IMAP в связке с GMAIL. Вот я на днях попробовал Apple Mail v.13.4 — все то же самое (((( Т.к. уже плотно привязан к "гмылу", то самое оптимальное нонче — либо моб.приложение на андроиде, либо веб интерфейс. Но и там, и там реклама ((((

                    +1
                    Вы неправильно, наверное, меня поняли. Я не отрицаю чужой опыт — я слегка удивляюсь тому, что не вижу его подтверждения в своём. И всё. :-)
                      0

                      Да все нормально, не переживайте. Я не спорю, просто расшифровываю точку зрения. Может, действительно, что-то упускаю.

                    +1
                    Не пробовал. А есть бесплатные аналоги с такими же возможностями, как у громоптицы? Я раньше долгое время сидел на OutLook Express, потом на OutLook, но частичный переход на линукс всё это закончил да и проблем там своих было выше крыши.
                    ГМыл, к сожалению, заточен изначально под веб- и моб- интерфейсы. Они работают идеально для своих начальных условий, но жутко медленно и UX для чего-то более сложного там просто всратый. Как только появляется необходимость в сортировке и управлении десятком тысяч писем в полусотне папок разной иерархической вложенности, без внешнего клиента не обойтись никак, а IMAP к ГМылу прикручен сбоку синей изолентой и подпёрт костылями для полу-процента гиков, которые ещё не забыли, что в мире существуют отдельные почтовые клиенты.
                    Наверное где-то в суровом энтерпрайзе эти все проблемы решаются, но наверняка же за невменяемые деньги.
                      0
                      Я раньше долгое время сидел на OutLook Express, потом на OutLook, но частичный переход на линукс всё это закончил да и проблем там своих было выше крыши.

                      Это одна из причин, почему я сижу на маке — на нем есть нормальный офис.
                      В остальном — я страдал и пользовался онлайн версией морды от корпоративного Exchange — ПОЧТИ как аутлук. И с каждым годом становится все более похоже и похоже.
                      Вариант — попробуй облачный офис ) там и почта тоже в комплекте. Что не пробовал — эпловскую почту (у них тоже ведь вроде есть своя почта? не клиент, а именно сервис).

                        +1
                        Не могу. Меня, как закоренелого фидошника, бесит SaaS в принципе, как концепция. Почта должна храниться локально и быть доступной оффлайн, вот такой предрассудок.
                          0
                          Почта должна храниться локально

                          И в случае потери устройства теряем весь архив. Я уж лучше все равно отдам почту в облако — все равно внутренний параноик говорит, что если не шифровать почту на самом устройстве, то любой промежуточный узел имеет копию каждого почтового отправления.

                            +1
                            Есть достаточно историй, когда облачный сервис терял пользовательские данные. Борьба подходов: инженеры сервиса позаботятся о моих данных vs лучше уж сам позабочусь о своих данных. Каждый решает для себя. К тому же, можно хранить и в облаке и локально.
                              0

                              Google почта ни разу в этом не засветилась. Скажем так — тут основная проблема в том, что когда потеря случится — Вы не сможете понять была ли она на самом деле. Или писем не было, или вы сами удалили. Поэтому действительно лучше хранить копию ) если она реально нужна.

                                +1

                                Как минимум с Gmail для бизнеса уже случился крымнаш

            +2
            Когда-то использовал для этого плагин Enigmail в Thunderbird.
              +1
              И вот тут у меня возник один вопрос, а почему просто не заказать почтовые сертификаты у того же Let's Encrypt для почты. Дальше ставим Тандербёрд и GnuPG (через Enigmail), и используем эти сертификаты через него. Можно подписывать сообщения, можно шифровать…

              Из минусов решения — веб интерфейсы почты не поддерживают использование ваших собственных сертификатов, т.е. нужен оффлайн клиент типа Тандербёрда (возможно и Бат это умеет). Мне удалось с трудом найти один довольно кривой почтовый клиент на андроиде, который мог как-то работать с такими сертификатами.

              В теории мобильный аутлук поддерживает пользовательские сертификаты, но только если в качестве сервера указан корпоративный Exchange, а не традиционные IMAP / SMTP сервера. Мобильные клиенты от гугла и самсунга не поддерживают сертификаты вообще.
              Среди небольшого числа моих корреспондентов я так и не нашёл того, для кого получение зашифрованной или хотя бы подписанной почты было бы важным.
              Так что соглашусь с выводом автора — на данный момент, в частной жизни, если вы не особо популярная / богатая личность, это вряд ли вам потребуется.
                0
                а почему просто не заказать почтовые сертификаты у того же Let's Encrypt для почты
                Это называется S-MIME, и этот стандарт несовместим с PGP.
                  0
                  Это называется S-MIME, и этот стандарт несовместим с PGP.

                  Ну автор оригинального текста хотел зашифровать свою переписку, и S/MIME решает эту задачу IMHO ничуть не хуже, и скорее даже проще, чем описанный им разнообразный секс с PGP / GnuPG. Плюс данный метод решает вопрос доверия к сертификату, так как в описанном им варианте, сертификаты по факту самоподписанные.

                  А так, конечно Enigmail + GnuPG решает задачу использования самоподписанных сертификатов на порядок проще, чем в исходном посте, если принципиальны самоподписанные сертификаты и PGP
                +7
                Т.е. автор накатал целую статью чтобы рассказать, как он намучился, не умея пользоваться программой. Я в свое время тоже с GnuPG работал, и да, там не все с ходу понятно. Но есть же наверняка для него графические оболочки или вот как выше написали плагины для почтовых клиентов.

                P.S. Прошу прощения, не сразу увидел что это перевод. Отредактировано.
                  +1
                  Причём в статье есть ссылка на загрузки с официального сайта, где собственно и лежат инсталляторы с графическими оболочками и интеграциями с почтовыми клиентами. Сам использовал GPG Suite на маке и в терминал лазил ровно один раз, чтобы настроить Git для подписи коммитов.
                  +3
                  Примерно через час и множества неудачных попыток, некоторые из которых выглядели как успешные, но не были таковыми, я наконец нашёл правильную команду:

                  Хм. Google по gpg generate new key выдает очень даже доходчивую доку. ЧЯДНТ?

                    +4
                    ЧЯДНТ?

                    ТВДП. Автор просто хотел поныть.
                      +4
                      Ах если бы… )
                      Автор ПЕРЕВЕЛ весьма немаленькую портянку ЧУЖОГО нытья
                      Причем ладно бы это был годный полезный мануал что и как надо делать, но тут, скорее, годный мануал, во-первых, как не надо делать, во-вторых, от человека, который сам не особо в теме
                        +1
                        Я автором называю автора оригинального текста. Автор перевода — это автор перевода.
                    +2

                    У меня с GnuPG в комплекте поставилась Kleopatra которая позволяет делать то же самое в графическом интерфейсе.

                      +2

                      Еще году в 2000 с помощью PGP под Винду и the bat все делалось просто и лаконично.
                      Прошло 20 лет. Все стало сложно.

                        +2
                        ненене. всё осталось также. и это проблема. мир поменялся, гиги теперь не 90% пользователей, а >1%. а технология осталось на том же уровне.
                        +3
                        1) это просто шифровка текста (или скорее любого файла), а не почты.
                        2) половина истории о том, что человек не умеет читать маны, гуглить, и проверять что отправляет.
                        3) Чем переводили, гуглтранслейтом?
                          +2
                          Читать маны есть смысл лишь тогда, когда вы примерно знаете, как пользоваться командой, и просто подзабыли точное написание ключей. Если же вы видите эту команду в первый раз, то маны читать не только бессмысленно, но даже и вредно, и лучше сразу гуглить.
                          Я окончательно понял это, когда впервые попытался применить uuencode (тут конечно отдельные претензии к тому марсианину, который придумывал её синтаксис, так что стандартное uuencode input.bin out.enc приводит к неожиданным результатам). После прочтения man'а только ещё больше запутался, а вот гуглёжка помогла сразу. Поэтому гугление всегда нужно ставить на первое место. И лишь когда полностью разобрались в работе команды, тогда уже можно отдельные ключики и по man'ам смотреть.
                            –2
                            Если инструмент для повседневного использования требует читать маны чтобы с ним разобраться — нафиг такой инструмент.
                            Я сам около 10 лет боролся с ветряными мельницами, был юн и глуп. Потом осознал, что трачу кучу времени на постоянную настройку того, что в других случаях настройки не требует вообще.
                            И вот судя по всему уже последние месяцы живу под линуксом, потому что когда закрою все текущие проекты на старом ПК с линуксом, благополучно соберу новый на винде.
                            Грустно. 10 лет потратил на то, чтобы понять, что с инструментом надо работать, а не постоянного его настраивать.
                              +1
                              Если инструмент для повседневного использования требует читать маны чтобы с ним разобраться — нафиг такой инструмент.

                              Что за бред? Консольная утилита для linux c каких пор стала «инструментом для повседневного использования»? Или что, вы родились с нативным знанием команд консоли?
                              Это как купить экскаватор, и возмущаться, что вам надо учиться им управлять.
                              Автор изначальной статьи с чего-то вдруг решил, что использовать гуй, специальный софт или что-то подобное ему слишком несекурно, и полез в почти самые низкоуровневые утилиты…
                                +1
                                Автор скорее всего открыл первый попавшийся туториал, увидел что там всё делается через консоль и полез делать через консоль. Возможно даже упоминания ГУИ там не было. Не говоря уж о том, что сплошь и рядом ГУИ это в лучшем случае надстройка над консолью, где вместо параметров — список галочек(с текстом дублирующим параметр), что тоже не очень помогает.
                                0

                                А что, если не секрет, вы все время настраивали?


                                Ну и приравнивание "настройки не требует вообще" к "не настраивается в принципе" тоже забавно.

                                  0
                                  Сборка софта из исходников(любой кто заявляет что в линуксе уже всё есть в репах — врёт, либо просто не работает с линуксом, а изредка запускает браузер чтобы на хабре отписаться).
                                  Причем чем старше ОС тем больше проблем с новым софтом. Потому что он хочет либ, а их уже нет. У меня хоть и LTS, но поддержка уже кончилась. С установкой достаточно большого количества софта проблемы.
                                  Надо бы переустановить… Но…
                                  Пять лет назад я примерно две недели разбирался в нюансах настройки KVM + VGA PassThrough. Сейчас надо будет заново всё настраивать. Я открыл доки и понял две вещи:
                                  1) Я ничего не помню. А значит мне опять 2 недели надо потратить на то, чтобы настроить виртуалку.
                                  2) Мои заметки по первой настроке не имеют ценности, потому что всё уже немного изменилось и заметки устарели.

                                  Из-за того что я не админю постоянно десяток машин — с каждой из проблем я сталкиваюсь достаточно редко. В итоге когда возникает проблема, которую я уже решал когда-то — я всё равно учусь решать её заново. потому что за прошедшие несколько лет я уже забыл как с этим вообще работать.

                                  Ну и приравнивание «настройки не требует вообще» к «не настраивается в принципе» тоже забавно.

                                  Где это я такое приравнивание делал?
                                    –1
                                    У меня хоть и LTS, но поддержка уже кончилась

                                    Так может, проблема в том, что вы не хотите обновляться?
                                    Что-то не верится, что вы установите, например, XP или 7, которые тоже не поддерживаются и тоже потребуют плясок с бубнами.


                                    любой кто заявляет что в линуксе уже всё есть в репах — врёт

                                    Дык, откуда этому "всему" взяться, да еще свежим, если у вас уже и на LTS поддержка кончилась?


                                    Сборка софта из исходников

                                    Сборка сишного софта на любой платформе полна боли, линукс тут ничем не выделяется. Попробуйте собрать collectd или ipxe под виндой, например.
                                    У остальных — где-то хуже, где-то лучше, но в целом скорее лучше на линукс — богаче инструментарий, нет прослоек.
                                    Хотя исключения тоже есть.


                                    Пять лет назад я примерно две недели разбирался в нюансах настройки KVM + VGA PassThrough.

                                    Libvirt, virt-manager, vfio. Три года назад VGA PassThrough прекрасно заводилось с vfio. Раньше был pci_stub, он немного проблемный, но тоже работает.
                                    Выяснить, какое устройство прокидывать, отредактировать параметры ядра, чтобы отдать железку драйверу vfio, в gui подтыкнуть видюшку в вашу vm. That's all.
                                    Если, конечно, вы не пытаетесь прокинуть загрузочную видеокарту. Но тут проблемы будут у всех. Ну, кроме, разве что, винды — hyperv таким кунштюкам, кажется, все еще не научили.
                                    И у всех придется лечить Error 43, если эта карта — nvidia.


                                    Где это я такое приравнивание делал?

                                    Вы не указали реальных проблем, зато подчеркнули дважды, что дюже много приходится настраивать.
                                    Через руки каджита проходит много виндов, но он не может припомнить ни одного случая, когда можно было отдать устройство без настройки, просто прощелкав кнопки в установщике винды.
                                    И, как подтвердил ваш следующий коммент, ваши проблемы вовсе не в "настройках"…

                                      +1
                                      Так может, проблема в том, что вы не хотите обновляться?

                                      Я не хочу обновляться, потому что не хочу опять тратить несколько недель на курение мануалов чтобы всё настроить.

                                      Сборка сишного софта на любой платформе полна боли, линукс тут ничем не выделяется.

                                      Вы выдаете одну проблему за другую. Вот даже интересно — вы это специально делаете? Победа в дискуссии любой ценой, даже через манипулирование фактами?
                                      Под линукс в силу особенностей платформы множество софта просто не имеет сборки под те или иные дистрибутивы, что автоматически требует ручной сборки.
                                      Да, под винду тоже сборка геморой. Вот только мне не надо софт под винду собирать. Он уже поставляется в собранном виде.

                                      That's all

                                      Это отлично выглядят когда нужно рассказать оппоненту что он идиот и неосилятор. А по факту, когда в это влезаешь — траблшутинг занимает 10 страниц плотного текста.
                                      Нет проблем настроить, просто это требует дохрена времени, чтобы вникнуть, разобраться и сделать.

                                      ваши проблемы вовсе не в «настройках»…

                                      Верно. Мои проблемы в неверном выборе инструмента, на основе идиеологических причин, а не практических. О чем я и пишу — в ж*** всю эту религию и открытость, работать надо, а не многострочники учить.
                                        0
                                        Я не хочу обновляться, потому что не хочу опять тратить несколько недель на курение мануалов чтобы всё настроить.

                                        Так это ж рекурсия, нет?


                                        Вы выдаете одну проблему за другую.

                                        Как можно выдать одну проблему за другую, если пока что инициатор (вы) не обозначил ни одной проблемы, ограничившись мифом про постоянную настройку, интересно? Смахивает на wishful thinking.


                                        Да, под винду тоже сборка геморой. Вот только мне не надо софт под винду собирать. Он уже поставляется в собранном виде.

                                        Все страньше и страньше. Речь идет об одном и том же софте, или в огороде бузина, а в Киеве дядька? И, в любом случае, о каком?


                                        А по факту, когда в это влезаешь

                                        И снова, речь идет о чем-то конкретном?
                                        Каджит влез и разобрался, один раз настроил и даже не вспоминал про мифические постоянные настройки.

                                          0
                                          «Один раз настроил и забыл».
                                          ЛОЛ. На этом я пожалуй закончу попытки донести свои мысли.
                                          Удачи!
                                            0

                                            Вам тоже удачи. Она понадобится.

                                          0
                                          Вот только мне не надо софт под винду собирать. Он уже поставляется в собранном виде.

                                          Где найти собранный Idris 2 под винды? Или хотя бы Agda? Люди вон статьи пишут, как собрать, и это куда сложнее, чем мне набрать emerge agda.

                                        0
                                        Сборка софта из исходников(любой кто заявляет что в линуксе уже всё есть в репах — врёт, либо просто не работает с линуксом, а изредка запускает браузер чтобы на хабре отписаться).

                                        Я в линуксе пишу код, читаю книжки, слушаю музыку, смотрю видео и немного ютуба, удаленно хожу на несколько машин, пишу статьи, и так далее. Мне ни разу не приходилось собирать ничего из исходников в обход реп, кроме некоторых библиотек для разработки.

                                          0
                                          Все активности что вы перечислили — это браузер. Да, если вам достаточно браузера, то пофиг в какой ОС работать.
                                            +1

                                            Вы серьёзно пишете и компилируете код в браузере? Даже не знаю, что тут сказать.


                                            Да и не только код в браузер не влазит.


                                            Статьи пишу в латехе в виме (и их тоже надо компилировать), книжки читаю в оффлайн-читалке (со вкладками, навигацией по ссылкам и историей этой навигации), музыку слушаю из локальной коллекции десктопным приложением, видео тоже смотрю локально с диска (кстати, торрент-клиент забыл, да и RSS-читалку оффлайновую до кучи). Вот ютуб из браузера, да. Ну, чаще всего, иногда mpv или youtube-dl нужны.

                                              –2
                                              VS Code — весьма популярный инструмент, базируется на электроне — веб фреймворке.
                                              Кто вас знает на чем вы пишите.
                                              Ну и своё мнение я уже высказал:
                                              любой кто заявляет что в линуксе уже всё есть в репах — врёт, либо просто не работает с линуксом, а изредка запускает браузер чтобы на хабре отписаться
                                                +1

                                                Language server'ы тоже на электронах базируются? И да, я пишу не в VS Code, а в clion, idea-community и vim.


                                                А мнения, которые никак не связаны с наблюдаемой реальностью, называются верой.

                                                  0
                                                  VS Code

                                                  смотрит в sublime, потом в nano. вспоминает, когда в последний раз видел vscode живьем или слышал от коллег
                                                  — Кто здесь?

                                    –9

                                    Теперь я понял, почему никто не шифрует свою почту. Потому что я — криворукий мудень, а умнее меня в мире никого не существует.


                                    Серьёзно, тут уже не вопрос "что это делает на хабре?", а "что это вообще делает в интернетах?!"


                                    Публичный ключ нужен не для расшифровки твоих сообщений, а для шифрования адресованных тебе. Дальше даже читать не стал. Смешались в кучу кони-люди.

                                      +8
                                      Публичный ключ нужен не для расшифровки твоих сообщений, а для шифрования адресованных тебе.

                                      Мне почему-то кажется что если вас попросить построить ядрёный реактор (или вообще сделать что угодно о чём вы понятия не имеете), то вам вряд-ли будет приятно если тот для кого это профессия назовёт вас "криворуким муднем" глядя на ваши жалкие попытки. Или вы супер-пурер-убер-менш который знает всё обо всём?


                                      Сделать криптографию простой и понятной домохозяинам и садовникам — вот это достижение, а называть людей далеких от IT нехорошими словами за то что они не разбираются в области которая даже не для всех айтишников легко доступна — так себе ачивка.

                                        +2
                                        Как бы вам сказать…
                                        Нехорошими словами называть кого угодно — по умолчанию нехорошо, тут, какбы, даже вопрос не стоит
                                        Но проблема-то в том, что если ты не специалист в чем-то, то незазорно спросить совета, но довольно глупо советы давать
                                        А тут мы наблюдаем просто комбо: неспециалист написал весьма сомнительную по содержанию статью, а другой человек еще и не пожалел времени оформить полноценный этой статьи перевод
                                          +1
                                          Криптография — это не просто, да. Но есть люди, сделавшие её использование простейшей вещью. Поставить thunderbird с gnupg и сгенерировать ключ с помощью gui не является чем-то сложным, а если всё таки что-то непонятно — есть огромное количество туториалов с картинками.
                                            +1

                                            Вот у вас есть друг который фитнесс-тренер, у него есть смартфон и ноутбук, он ими владеет на уровне "сходит на ютуб", "початится с кем-то" и "почитать почту", в лучшем случае что-то запостить в fb/instagram/etc, почта на гугле, с остальной техникой уровень знаний на уровне "нажать эту кнопку для того чтобы включить/выключить".


                                            Дайте ему покурить туториалы с картинками, но не подсказывайте, посылайте в гугль. Если через хотя бы час он всё настроит — да, туториалы рулят и те кому нужно справились. Но если вы реально проведёте такой эксперимент, то скорее всего сильно удивитесь, потому что ни через час, ни даже через день шифрования у него не будет, а если сильно не повезет, то и друга у вас тоже уже не будет. Исключения конечно бывают, но они очень редки, большинство не справляется.


                                            А реально просто — это как у ProtonMail (и аналогичных сервисов), зарегистрировался и всё, главное пароль не забыть. gnupg + thunderbird + вот это всё — это всё для технарей, или как минимум для тех кому нравится в этом копаться, но для людей далеких от техники это довольно сложно даже со всеми "простыми" туториалами и GUI.

                                              0
                                              Имхо, но проблема в желании. Если человек хочет, чтобы все зависело от него — он идет и по туториалам, возможно справляясь с препятствиями, настраивает gpg. Если желания в секьюрности нет, то он и protonmail забросит через пару дней.

                                              Если условный тренер не смог поставить gpg — значит на каком-то этапе он поймет, что оно ему не сильно нужно, он жил без него и продолжит жить дальше.

                                              Насчет автора — прокол его подруги, которая решила пересадить всех на gpg, не подумав, что чтение мануалов требует желания и возможно, решения проблем, которых не было в мануале.
                                        +4
                                        Никто не шифрует — потому что сегодня большая часть людей пользуются вебинтерфейсами всяких там гуглов и яндексов, а к ним пгп прикручивать затруднительно. Хотя вроде для гугла плагинчик есть.
                                        Но всё равно — возникает вопрос почты на андроиде, придётся уйти от родного гмейла на какой-нибудь другой клиент.

                                        Большинству всего этого не нужно. Ну и вообще, никому не нужно шифрования ради самого только шифрования. Кому оно надо — те разберутся.
                                          +2
                                          TL;DR
                                          «Я нажал какую-то кнопку на клавиатуре, но правда точно не помню какую, а потом я подождал 2 недели, но почему-то ничего не заработало. А кто-то знает что такое закрытый ключ? Может, стоит попробовать почитать что-то по теме? Через годик попробую, если так и не заработает».

                                          В компании, на которую я работаю, десятки тысяч сотрудников по всему миру обмениваются зашифрованными имейлами. Не прикладывая ни малейших усилий! Потому что в корпоративном Outlook (Office365) всё работает из коробки. Надо лишь импортировать ключи. Но это делается полу-автоматически при первичной настройке ОС. И диски зашифрованы тоже. И телефон. Воруйте на здоровье, всё равно придётся форматировать.

                                          На Linux немногим чуть сложнее с настройками почтовых клиентов, но и у меня и у всех моих коллег работает без проблем и Thunderbird и Evolution. Можно просто подписать ЭЦП, а можно и шифровать и читать такие письма.
                                            +2

                                            Очередная статья от неосиляторов pgp. Запутались где чей ключ, man читали жопой, разницу между pgp/openpgp/gpg объяснили просто-напросто неверно, даже не попытались найти gui решения и плагины к мейл-клиенту, чего бы им за глаза хватило для их задач. Подобные статьи появляются в западных сми с такой завидной регулярностью и так похожи некоторыми чертами, что я начинаю уже верить в теорию заговора. Все как под копирку статьи в сентиментальном стиле, критикующие PGP при полном незнании софта. Обязательно упоминаются Signal и/или Protonmail. Часто авторы упоминают, что работают под маком/ios. Обязательно не к месту упоминаются Сноуден или Шнайер.

                                              0

                                              Зачем так-то всё делать?


                                              Когда простой и в использовании и в получении и в распространении своего публичного ключа s/mime гораздо удобнее и поддерживается кучей нормальных почтовых клиентов и под win, linux, android, ios ?

                                                0
                                                Я пытался прикрутить s/mime на работе. Технология то неплохая, но вот реализация…
                                                1. Мало какие веб-морды поддерживают работу с s/mime из коробки (гугл умеет, майл нет). Про всякие, простите, керио коннект говорить не приходится от слова совсем. Как итог, не факт что ваше письмо прочтут на той стороне.
                                                2. Центры сертификации. Насколько я знаю, бесплатные сертификаты есть только у комодо (и, земля им пухом, startssl) остальные за деньги. Вторая проблема, сертификаты от комодо внезапно оказалось почему-то невалидным в эксчендже.
                                                Как итог — внутреннюю переписку можно организовать, но все что отправлялось во вне в 99% случаев заканчивалось телефонным звонком и вопрос «А че это за файл прикреплен?» (и это мы не шифрованием, а только подписями баловались).
                                                  0

                                                  Бесплатные сейчас у комодо только на месяц — но платные на три года стоят сущие копейки.


                                                  У меня и Thunderbird в Линукс и nine на Андроид без проблем подцепили сертификаты.

                                                    0
                                                    но платные на три года стоят сущие копейки.

                                                    Вот! Браузеры сокращают срок жизни сертификатов и предлагают отказываться от сертификатов >13(12) мес. Т.е. тенденция на лицо. Второе, на фоне бесплатного летс энкрипта платить за сертификаты… выглядит крайне странно.

                                                    меня и Thunderbird в Линукс и nine на Андроид без проблем подцепили сертификаты.
                                                    У меня в TB тоже проблем не возникло, но вот письма в The Bat открывались с ошибкой, потому что по умолчанию у них выбраны свои (неведомо какие) ЦС, а не стандартные системные ЦС. И на свои почтовые клиенты вы повлиять можете, а вот на чужие — нет. Вы же не будете звонить контрагентам и просить их ползать по настройкам и менять ЦС? Gmail и Outlook на андройде год назад не поддерживали s/mime.

                                                    В общем, не для корпоративного использования все это.
                                                      0

                                                      Ну не знаю как Bat но тот же gmail вполне s/mime понимает:


                                                      image

                                                +1
                                                Шифрование и дешифровка электронной почты, как у меня с GnuPG, просто слишком утомительны. Поскольку я уже потратил на это слишком много усилий, то продолжу использовать её для общения со своей онлайн-знакомой. Но я бы не рекомендовал обычному человеку использовать GnuPG для шифрования электронной почты, если этого можно избежать.

                                                Да, с GnuPG достаточно много мороки. Это я почувствовал, когда прикручивал ГОСТ-овую криптографию.
                                                Но если вы используете, например, Thunderbird с хранилищем сертификатов на базе NSS, то никаких проблем нет. Обменяйтесь своими сертификатами (например, обменяйтесь подписанными письмами) и шифруйте свои письма.

                                                  0
                                                  Приучил знакомых к DeltaChat на «дроидах». На десктопный Thunderbird плагин Autocrypt ставится быстро.Экспорт-импорт ключа с «дроида» на десктопную в две минуты.Как сейчас говорят:«брат жив, зависимость есть».
                                                    0
                                                    Зачем вам импортировать ключ, если вы не считаете, что он пришёл от нужного человека?
                                                    Например, на основе GnuPG основана проверка подлинности пакетов во многих дистрибутивах, вроде Debian и Arch, и для программ в сторонних репозиториях нужно импортировать ключ автора пакета. Подписывать его при этом не нужно.
                                                      +4
                                                      Фильтр Хабра не сработал, уровень Пикабу
                                                      Я импортировал открытый ключ своей знакомой с помощью этой команды:

                                                      Вы ставили GnuPG (GUI, например kleopatra, вы не заметили?).
                                                      Двойной клик ЛКМ по ключу (по файлу) и он импортирован (прямо как .mp3 песню запустить).

                                                      Затем подписал её открытый ключ:

                                                      GUI kleopatra. ПКМ на ключе --> заверить. (никаких команд).

                                                      Каждый открытый ключ должен быть подписан, прежде чем сообщения от владельца этого открытого ключа можно будет расшифровать. По-моему, этот шаг не имеет никакого смысла

                                                      Не имеет смысла для вас, потому что вы не разобрались с элементарными принципами работы симметричного/асимметричное шифрования.
                                                      Вы удостоверяете публичный ключ подруги не для того, чтобы расшифровывать ее сообщения, а для того, чтобы проверять, что сообщения (и последующие) действительно принадлежат ей и они «неиспорчены»,
                                                      А отправляя ей свое сообщение, шифруете ее же публичным ключом это сообщение. Вот для чего это нужно.

                                                      Затем я попытался сгенерировать свои ключи:
                                                      выскочило сообщение об ошибке

                                                      Опять же в GUI два клика и пары ключей (алгоритм) на выбор готовы.

                                                      Открытый ключ нужно отправить каждому, кому вы отправляете зашифрованное письмо, чтобы он мог его расшифровать

                                                      См. выше, вы не понимаете базовый принцип: вы отправляете открытый ключ, чтобы подруга шифровала любые данные для вас (у вас закрытый ключ и вы расшифруете, то, что она зашифровала), а не наоборот.

                                                      К этому моменту я уже начал испытывать некоторое раздражение.

                                                      Как и я от ваших нелепых претензий.

                                                      Весь процесс от начала до конца занял больше месяца! Я всё ещё пытаюсь автоматизировать команды GnuPG, чтобы использовать их, не слишком сильно задумываясь о том, что я делаю.

                                                      Мне кажется вашу статью не нужно было публиковать в паблике «криптография».
                                                      Публикация принижает вас, потому что не осилить документацию, которая расписана на всех человеческих языках для новичков, и написать об этому публично — это позор.

                                                      UPD: только сейчас заметил, статья перевод — троллинг.
                                                      Ок.
                                                        0
                                                        Открытый ключ нужно отправить каждому, кому вы отправляете зашифрованное письмо, чтобы он мог его расшифровать

                                                        См. выше, вы не понимаете базовый принцип: вы отправляете открытый ключ, чтобы подруга шифровала любые данные для вас (у вас закрытый ключ и вы расшифруете, то, что она зашифровала), а не наоборот.

                                                        Вы правы, но только частично: открытый ключ ещё пригодится для проверки цифровой подписи, чтобы убедиться что зашифровал сообщение именно обладатель соответствующей пары (открытого и закрытого ключей)
                                                          0
                                                          Хм. А разве я по другому написал?
                                                          проверять, что сообщения (и последующие) действительно принадлежат ей


                                                          ps/ В моем послужном списке есть репорты багов (некритичные) для GnuPG.
                                                            0
                                                            Действительно, я прочитал не весь текст
                                                        0
                                                        Важную информацию передаю в заархивированном текстовом файле с паролем разделеным на две части, первая часть архива на мыло вторая через один из многочисленных мессенджеров.
                                                          0
                                                          а пароль?
                                                            0
                                                            А пароль в этом же чате можно открыто сказать — зная пароль и пол архива кажется все равно ничего вытащиться не должно, нет?
                                                              0
                                                              Мало того, что вы полагаетесь на ненадёжный канал доставки критически важной для конфиденциальности сообщения информации, так вы ещё и полагаетесь на шифрование, криптографическая стойкость которого под вопросом?
                                                                0
                                                                Я полагаюсь на неперехват одновременно нескольких каналов. Именно в этом смысл разделения.
                                                                  +1
                                                                  Это как-то противоречит передаче пароля по тому же каналу, что и один из кусочков архива
                                                          +1
                                                          Никто не шифрует почту не потому что это сложно (автор оригинала похоже просто не любит читать инструкции). Никто не шифрует почту потому что никто не шифрует почту. Смысл вот например мне шифровать почту, если ни один из моих корреспондентов её не шифрует? Кому я буду писать зашифрованные письма? Это просто никому не нужно. А кому нужно — те без проблем шифруют, и страшный-ужасный gnuPG их не останавливает.
                                                            0

                                                            Смешно читать мучения иностранного ИТ-ника. Это обычная работа по протоколу SEX )))
                                                            Такое случается в каждом новом проекте, где делаешь что-то, с чем никогда не сталкивался.
                                                            На 10й раз уже вырабатывается собственная техническая психология. На 1000раз уже полный игнор.

                                                              0

                                                              Никто не шифрует почту, потому что это имеет смысл только для обмена секретными текстами (не файлами) с постоянным адресатом, причём по не слишком надёжным каналам — довольно редкий случай.


                                                              P.S. Посмотрел исходную статью — глаза вытекли. В 2020-м кто-то умудрился сделать сайт в стиле 2000-х, не хватало только информеров и надписи Hosted by Angeffire или Geocities! Я не удивлён, что такой человек написал всё это.

                                                                +4
                                                                В 2020-м кто-то умудрился сделать сайт в стиле 2000-х
                                                                Будто что-то плохое. Уж всяко лучше современного поноса на реактоангулярах с белым фоном, исчезающим спустя N секунд после открытия страницы, колонкой с содержимым в четверть ширины экрана, сообщениями о куках и просьбой подписаться на рассылку в половину вертикального пространства, и прочими радостями современного веба.
                                                                0
                                                                На андроид прекрасно работает k9 mail и OpenKeychain.
                                                                Если нужен веб интерфейс, то rainloop прозрачно работает с gpg, а у roundcube надо прикрутить плагин.
                                                                  0
                                                                  Реальная проблема с PGP бывает в джаббере — когда у собеседника старая реализация PGP, которая не поддерживает эллиптическую криптографию (Pidgin-GPG этим страдает), а у меня ключ современного типа ed25519.

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое