PGP dla początkujących: prosty przewodnik, jak zacząć

Rozpoczęcie przygody z PGP jest łatwiejsze, niż myślisz. Generujesz parę kluczy — jeden publiczny, jeden prywatny — udostępniasz klucz publiczny osobom, z którymi chcesz się komunikować, i używasz klucza prywatnego do odszyfrowywania wiadomości, które Ci wysyłają. Nie musisz instalować żadnego oprogramowania, żeby spróbować. Dzięki darmowemu narzędziu PGP online KeychainPGP możesz zaszyfrować swoją pierwszą wiadomość w mniej niż pięć minut, bezpośrednio z przeglądarki.

Dlaczego szyfrowanie jest ważne

Każdego dnia miliardy wiadomości przepływają przez Internet. E-maile, wiadomości na czacie, dokumenty — większość wysyłanych jest jako zwykły tekst, co oznacza, że każdy, kto je przechwyci, może je przeczytać. Dotyczy to dostawców internetu, hakerów w publicznych sieciach Wi-Fi, a nawet rządowych programów nadzoru.

Wycieki danych nie są rzadkimi zdarzeniami. Zdarzają się cały czas. Jeśli Twoje wiadomości nie są zaszyfrowane, są przechowywane w bazach danych jako czytelny tekst, czekając na kolejny wyciek.

Szyfrowanie rozwiązuje ten problem. Kiedy szyfrujesz wiadomość za pomocą PGP, zostaje ona przerobiona na nieczytelny ciąg znaków. Tylko osoba posiadająca odpowiedni klucz prywatny może ją odczytać.

Czym jest PGP, prosto wyjaśnione

PGP to skrót od Pretty Good Privacy. Stworzone w 1991 roku przez Phila Zimmermanna, stało się światowym standardem szyfrowania wiadomości i plików.

Oto najprostszy sposób na zrozumienie PGP. Pomyśl o tym jak o skrzynce pocztowej z wrzutnią.

Wyobraź sobie specjalną skrzynkę pocztową na ulicy. Każdy może podejść i wrzucić list przez wrzutnię. Ale kiedy list jest już w środku, tylko Ty możesz go wyjąć, bo tylko Ty masz klucz do drzwiczek skrzynki.

  • Wrzutnia skrzynki pocztowej to Twój klucz publiczny. Dajesz go każdemu, kto chce wysłać Ci prywatną wiadomość. Bezpiecznie można go udostępniać.
  • Klucz do skrzynki to Twój klucz prywatny. Nigdy nie udostępniasz go nikomu.

To jest to, co nazywamy szyfrowaniem asymetrycznym — jeden klucz zamyka, drugi otwiera. Bardziej szczegółowe wyjaśnienie techniczne znajdziesz w naszym kompleksowym przewodniku czym jest PGP.

Kluczowe pojęcia, które musisz znać

Klucz publiczny: Twój adres

Twój klucz publiczny jest jak Twój adres pocztowy. Rozdajesz go swobodnie, aby ludzie mogli Ci coś wysłać. W PGP udostępniasz swój klucz publiczny, aby inni mogli szyfrować wiadomości, które tylko Ty możesz odczytać.

Klucz prywatny: Twoje hasło

Twój klucz prywatny jest jak klucz do drzwi wejściowych. To jedyna rzecz, która pozwala otworzyć wiadomości zaszyfrowane Twoim kluczem publicznym. Nigdy nie udostępniaj swojego klucza prywatnego nikomu.

Szyfrowanie vs podpisywanie

PGP potrafi dwie rzeczy: szyfrować i podpisywać.

  • Szyfrowanie — przetwarza wiadomość tak, że tylko odbiorca może ją odczytać. Używasz klucza publicznego odbiorcy do zaszyfrowania, a on używa swojego klucza prywatnego do odszyfrowania.
  • Podpisywanie — dowodzi, że wiadomość pochodzi od Ciebie i nie została zmieniona. Używasz własnego klucza prywatnego do podpisania, a każdy z Twoim kluczem publicznym może zweryfikować podpis.

Odciski kluczy

Odcisk klucza to krótki ciąg znaków, który jednoznacznie identyfikuje klucz PGP. Odciski służą do weryfikacji, że klucz publiczny należy do osoby, za którą się uważa. Zawsze porównuj odcisk przez oddzielny, zaufany kanał.

ASCII Armor

Kiedy widzisz klucz PGP lub zaszyfrowaną wiadomość jako blok tekstu zaczynający się od -----BEGIN PGP MESSAGE-----, to jest ASCII armor. To po prostu sposób na zakodowanie danych binarnych w drukowalne znaki tekstowe, aby można je było kopiować i wklejać do e-maili, okien czatu czy formularzy webowych.

Twoja pierwsza wiadomość PGP

Przejdźmy przez kolejne kroki szyfrowania pierwszej wiadomości za pomocą aplikacji webowej KeychainPGP. To darmowe narzędzie PGP online działające całkowicie w Twojej przeglądarce.

Krok 1: Otwórz aplikację webową. Wejdź na keychainpgp.github.io. Aplikacja ładuje się przez WebAssembly, silnik PGP działa lokalnie na Twoim komputerze.

Krok 2: Wygeneruj swoją parę kluczy. W zakładce Klucze utwórz nowy klucz. KeychainPGP generuje nowoczesną parę kluczy Ed25519 + X25519.

Krok 3: Wyeksportuj i udostępnij swój klucz publiczny. Użyj funkcji eksportu, aby skopiować swój klucz publiczny w formacie ASCII-armored.

Krok 4: Zaimportuj klucz publiczny odbiorcy. W zakładce Klucze wklej blok klucza publicznego swojego kontaktu.

Krok 5: Napisz i zaszyfruj wiadomość. Przejdź do zakładki Szyfruj, wpisz wiadomość, wybierz odbiorcę i kliknij „Szyfruj do schowka”.

Krok 6: Wyślij zaszyfrowaną wiadomość. Wklej zaszyfrowany tekst do dowolnego e-maila, czatu lub komunikatora.

Krok 7: Odszyfruj odpowiedź. Skopiuj zaszyfrowany blok wiadomości PGP, przejdź do zakładki Deszyfruj, wklej i kliknij Deszyfruj.

Bardziej szczegółowy poradnik znajdziesz w naszym tutorialu jak używać PGP.

Typowe błędy początkujących

1. Udostępnianie klucza prywatnego. Twój klucz prywatny nigdy nie powinien być wysyłany nikomu. Udostępniaj tylko swój klucz publiczny.

2. Brak weryfikacji odcisków. Zawsze weryfikuj odcisk klucza przez oddzielny, zaufany kanał — rozmowę telefoniczną, połączenie wideo lub spotkanie osobiste.

3. Utrata klucza prywatnego bez kopii zapasowej. Jeśli zgubisz swój klucz prywatny, każda wiadomość zaszyfrowana tym kluczem jest stracona na zawsze. Zrób kopię zapasową klucza prywatnego w bezpiecznym miejscu.

4. Brak kopii zapasowej certyfikatu odwołania. Certyfikat odwołania pozwala publicznie ogłosić, że Twój klucz jest nieważny, jeśli zostanie skompromitowany.

5. Używanie przestarzałych lub słabych kluczy. Jeśli generujesz nowe klucze dziś, używaj nowoczesnych algorytmów. KeychainPGP domyślnie używa Ed25519 + X25519.

Kolejne kroki

  • Przeczytaj pełny przewodnik: Jak używać PGP obejmuje podpisywanie, weryfikację, zarządzanie kluczami i zaawansowane tematy.
  • Zrozum, czym jest PGP: Aby zagłębić się w temat, przeczytaj Czym jest PGP.
  • Poznaj szyfrowanie przez schowek: Dowiedz się, jak szyfrowanie przez schowek pozwala używać PGP z dowolną aplikacją.
  • Wypróbuj narzędzie online: Otwórz narzędzie PGP online i poćwicz.
  • Pobierz aplikację desktopową: Aplikacja desktopowa KeychainPGP dodaje globalne skróty klawiszowe, zasobnik systemowy i automatyczne czyszczenie schowka.

Często zadawane pytania

Czy PGP jest trudne do nauki?

Nie. Podstawowy koncept jest prosty: klucz publiczny do udostępniania, klucz prywatny do trzymania w tajemnicy. Zaszyfrowanie wiadomości wymaga kilku kliknięć w nowoczesnym narzędziu takim jak KeychainPGP.

Czy trzeba instalować oprogramowanie, aby używać PGP?

Niekoniecznie. Możesz użyć narzędzia PGP online KeychainPGP bezpośrednio w przeglądarce. Działa całkowicie na Twoim urządzeniu przez WebAssembly.

Czy ktoś może złamać moje zaszyfrowane wiadomości PGP?

Przy nowoczesnych algorytmach (takich jak Ed25519 + X25519 używane przez KeychainPGP), złamanie szyfrowania metodą brute force zajęłoby więcej niż wiek Wszechświata przy obecnej technologii. Prawdziwe zagrożenia są praktyczne: utrata klucza prywatnego, użycie słabego hasła lub złośliwe oprogramowanie na urządzeniu.

Jaka jest różnica między PGP, GPG a OpenPGP?

PGP to oryginalny program stworzony w 1991 roku. OpenPGP to otwarty standard (RFC 4880) definiujący formaty. GPG (GNU Privacy Guard) to wolna implementacja standardu OpenPGP. KeychainPGP to kolejna implementacja, zbudowana na Sequoia-PGP w Rust. Wszystkie są kompatybilne, ponieważ stosują ten sam standard.

Jak udostępnić swój klucz publiczny?

Wyeksportuj swój klucz publiczny w formacie ASCII-armored — to blok tekstu zaczynający się od -----BEGIN PGP PUBLIC KEY BLOCK-----. Wklej go do e-maila, opublikuj na stronie internetowej, udostępnij na czacie lub prześlij na serwer kluczy. Pamiętaj o weryfikacji odcisków ze swoimi kontaktami przez oddzielny kanał.