Cara Mencadangkan dan Memulihkan Kunci GPG Anda di Linux

Diterbitkan: 2022-08-18
Laptop Linux menampilkan prompt bash
fatmawati achmad zaenuri/Shutterstock.com

Privasi adalah topik yang semakin panas. Di Linux, perintah gpg memungkinkan pengguna mengenkripsi file menggunakan kriptografi kunci publik, dalam hal ini kehilangan kunci enkripsi Anda akan menjadi bencana besar. Berikut cara mencadangkannya.

Penjaga Privasi OpenPGP dan GNU

Salah satu kelebihan file elektronik dibandingkan hard copy kertas adalah Anda dapat mengenkripsi file elektronik sehingga hanya dapat diakses oleh orang yang berwenang. Jika mereka jatuh ke tangan yang salah, itu tidak masalah. Hanya Anda dan penerima yang dituju yang dapat mengakses konten file.

Standar OpenPGP menggambarkan sistem enkripsi yang disebut enkripsi kunci publik. Implementasi Penjaga Privasi GNU dari standar tersebut menghasilkan gpg , alat baris perintah untuk mengenkripsi dan mendekripsi sesuai dengan standar.

Standar ini menguraikan skema enkripsi kunci publik. Meskipun disebut "kunci publik", ada dua kunci yang terlibat. Setiap orang memiliki kunci publik dan kunci privat. Kunci pribadi, seperti namanya tidak pernah diungkapkan atau ditransmisikan ke orang lain. Kunci publik dapat dibagikan dengan aman. pada kenyataannya, kunci publik harus dibagikan agar skema berfungsi.

Ketika file dienkripsi, kunci pribadi pengirim dan kunci publik penerima digunakan dalam proses penyandian. File tersebut kemudian dapat dikirimkan ke penerima. Mereka menggunakan kunci pribadi mereka dan kunci publik pengirim untuk mendekripsi file.

Kunci publik dan pribadi dihasilkan sebagai pasangan yang cocok dan terikat pada identitas tertentu. Bahkan jika Anda tidak mengirimkan materi sensitif kepada orang lain, Anda dapat menggunakannya di komputer Anda sendiri untuk menambahkan lapisan perlindungan ekstra ke dokumen pribadi.

Cara Mengenkripsi dan Mendekripsi File Dengan GPG di Linux
TERKAIT Cara Enkripsi dan Dekripsi File Dengan GPG di Linux

Enkripsi menggunakan algoritma kelas dunia dan fungsi kriptografi. Tanpa kunci publik dan pribadi yang sesuai, Anda tidak bisa masuk ke file terenkripsi. Dan, jika Anda kehilangan kunci, itu juga berlaku untuk Anda. Membuat kunci baru tidak akan membantu. Untuk mendekripsi file Anda, Anda memerlukan kunci yang digunakan dalam proses enkripsi.

Tak perlu dikatakan, mencadangkan kunci Anda sangat penting, seperti halnya mengetahui cara memulihkannya. Berikut adalah cara untuk menyelesaikan tugas-tugas ini.

Direktori .gnupg

Kunci Anda disimpan dalam direktori bernama “.gnupg” di direktori home Anda. Direktori ini juga akan menyimpan kunci publik dari siapa saja yang telah mengirim file terenkripsi kepada Anda. Saat Anda mengimpor kunci publiknya, kunci tersebut ditambahkan ke file database terindeks di direktori tersebut.

Tidak ada dalam direktori ini yang disimpan dalam teks biasa, tentu saja. Saat Anda membuat kunci GPG, Anda akan dimintai kata sandi. Mudah-mudahan, Anda ingat apa frasa sandi itu. Anda akan membutuhkannya. Entri dalam direktori ".gnugp" tidak dapat didekripsi tanpanya.

Jika kita menggunakan utilitas tree untuk melihat direktori, kita akan melihat struktur subdirektori dan file ini. Anda akan menemukan tree di repositori distribusi Anda jika Anda belum memilikinya di komputer Anda.

 pohon .gnupg 

Struktur direktori dari direktori .gnupg.

Isi dari pohon direktori adalah:

  • openpgp-revocs.d : Subdirektori ini berisi sertifikat pencabutan Anda. Anda akan membutuhkan ini jika kunci pribadi Anda menjadi pengetahuan umum atau dikompromikan. Sertifikat pencabutan Anda digunakan dalam proses menghentikan kunci lama Anda dan mengadopsi kunci baru.
  • private-keys-v1.d : Subdirektori ini menyimpan kunci pribadi Anda.
  • pubring.kbx : File terenkripsi. Ini berisi kunci publik, termasuk milik Anda, dan beberapa metadata tentangnya.
  • pubring.kbx~ : Ini adalah salinan cadangan dari “pubring.kbx.” Itu diperbarui tepat sebelum perubahan dilakukan pada "pubring.kbx."
  • trustdb.gpg : Ini memegang hubungan kepercayaan yang telah Anda buat untuk kunci Anda sendiri dan untuk semua kunci publik yang diterima milik orang lain.

Anda harus membuat cadangan direktori home Anda secara teratur dan sering, termasuk file dan folder tersembunyi. Itu akan mencadangkan direktori ".gnupg" sebagai hal yang biasa.

Tetapi Anda mungkin berpikir bahwa kunci GPG Anda cukup penting untuk menjamin cadangan berkala mereka sendiri, atau mungkin Anda ingin menyalin kunci Anda dari desktop ke laptop Anda sehingga Anda memilikinya di kedua mesin. Bagaimanapun, Anda adalah Anda di kedua mesin.

Menentukan Kunci Yang Harus Dicadangkan

Kami dapat meminta gpg untuk memberi tahu kami kunci mana yang ada di sistem GPG Anda. Kami akan menggunakan opsi --list-secret-keys dan opsi --keyid-format LONG .

 gpg --list-secret-keys --keyid-format PANJANG 

Mencantumkan detail kunci GPG ke jendela terminal

Kami diberitahu bahwa GPG sedang mencari ke dalam file “/home/dave/.gnupg/pubring.kbx”.

Tak satu pun dari apa yang muncul di layar adalah kunci rahasia Anda yang sebenarnya.

  • Baris “sec” (rahasia) menunjukkan jumlah bit dalam enkripsi (4096 dalam contoh ini), ID kunci, tanggal pembuatan kunci, dan “[SC].” "S" berarti kunci dapat digunakan untuk tanda tangan digital dan "C" berarti dapat digunakan untuk sertifikasi.
  • Baris berikutnya adalah kunci sidik jari.
  • Baris "uid" menyimpan ID pemilik kunci.
  • Baris "ssb" menunjukkan subkunci rahasia, saat dibuat, dan "E." "E" menunjukkan bahwa itu dapat digunakan untuk enkripsi.

Jika Anda telah membuat beberapa pasangan kunci untuk digunakan dengan identitas yang berbeda, mereka juga akan dicantumkan. Hanya ada satu pasangan kunci yang harus dicadangkan untuk pengguna ini. Cadangan akan menyertakan kunci publik apa pun milik orang lain yang telah dikumpulkan dan diputuskan untuk dipercaya oleh pemilik kunci ini.

Mencadangkan

Kami dapat meminta gpg untuk mencadangkan semua kunci untuk semua identitas, atau untuk mencadangkan kunci yang terkait dengan satu identitas. Kami akan mencadangkan kunci pribadi, kunci rahasia, dan file database kepercayaan.

Untuk mencadangkan kunci publik, gunakan opsi --export . Kami juga akan menggunakan --export-options backup options. Ini memastikan semua metadata khusus GPG disertakan untuk memungkinkan file diimpor dengan benar di komputer lain.

Kami akan menentukan file output dengan opsi --output . Jika kita tidak melakukannya, output akan dikirim ke jendela terminal.

 gpg --ekspor --ekspor cadangan opsi --output public.gpg 

Mengekspor kunci GPG publik

Jika Anda hanya ingin mencadangkan kunci untuk satu identitas, tambahkan alamat email yang terkait dengan kunci ke baris perintah. Jika Anda tidak dapat mengingat alamat email yang mana, gunakan opsi --list-secret-keys , seperti yang dijelaskan di atas.

 gpg --ekspor --ekspor cadangan opsi --output public.gpg [email protected] 

Mengekspor kunci GPG publik untuk satu identitas

Untuk mencadangkan kunci pribadi kita, kita perlu menggunakan opsi --export-secret-keys alih-alih opsi --export . Pastikan Anda menyimpan ini ke file lain.

 gpg --export-secret-keys --export-options backup --output private.gpg 

Mengekspor kunci GPG pribadi

Karena ini adalah kunci pribadi Anda, Anda harus mengautentikasi dengan GPG sebelum dapat melanjutkan.

Perhatikan bahwa Anda tidak dimintai kata sandi . Yang perlu Anda masukkan adalah frasa sandi yang Anda berikan saat pertama kali membuat kunci GPG. Pengelola kata sandi yang baik memungkinkan Anda menyimpan informasi seperti itu sebagai catatan yang aman. Ini adalah tempat yang bagus untuk menyimpannya.

Menyediakan frasa sandi GPG untuk mengekspor kunci pribadi

Jika frasa sandi diterima, ekspor terjadi.

Untuk mencadangkan hubungan kepercayaan Anda, kami perlu mengekspor pengaturan dari file "trustdb.gpg" Anda. Kami mengirimkan output ke file bernama "trust.gpg." Ini adalah file teks. Itu dapat dilihat menggunakan cat .

 gpg --export-ownertrust > trust.gpg
 kepercayaan kucing.gpg 

Mengekspor hubungan kepercayaan GPG

Berikut adalah tiga file yang telah kami buat.

 ls -hl *.gpg 

Tiga file yang dibuat oleh perintah pengekspor

Kami akan memindahkan ini ke komputer lain, dan memulihkannya. Ini akan menetapkan identitas kita pada mesin itu, dan memungkinkan kita untuk menggunakan kunci GPG yang ada.

Jika Anda tidak memindahkan kunci ke komputer lain dan Anda hanya mencadangkannya karena Anda ingin memastikan keamanannya, salin ke beberapa media lain dan simpan dengan aman. Bahkan jika mereka jatuh ke tangan yang salah, kunci publik Anda tetap publik, jadi tidak ada salahnya di sana. Dan tanpa frasa sandi Anda, kunci pribadi Anda tidak dapat dipulihkan. Tapi tetap saja, simpan cadangan Anda dengan aman dan pribadi.

Kami telah menyalin file ke komputer Manjaro 21.

 ls *.gpg 

File yang diekspor ditransfer ke komputer Manjaro

Secara default, Manjaro 21 menggunakan shell Z, zsh , itulah sebabnya tampilannya berbeda. Tapi ini tidak masalah, itu tidak akan mempengaruhi apa pun. Apa yang kita lakukan diatur oleh program gpg , bukan shell.

Untuk mengimpor kunci kita, kita perlu menggunakan opsi --import .

 gpg --import public.gpg 

Mengimpor kunci GPG publik

Detail kunci ditampilkan saat diimpor. File “trustdb.gpg” juga dibuat untuk kita. Untuk mengimpor kunci pribadi sama mudahnya. Kami menggunakan opsi --import lagi.

 gpg --import private.gpg 

Mengimpor kunci GPG pribadi

Kami diminta untuk memasukkan frasa sandi.

Memasukkan frasa sandi untuk mengimpor kunci GPG pribadi

Ketik di bidang "Frase Sandi", tekan tombol "Tab", dan tekan "Enter."

Konfirmasi kunci GPG pribadi yang diimpor

Rincian kunci yang diimpor akan ditampilkan. Dalam kasus kami, kami hanya memiliki satu kunci.

Untuk mengimpor basis data kepercayaan kami, ketik:

 gpg --import-ownertrust trust.gpg 

Mengimpor hubungan kepercayaan GPG

Kami dapat memeriksa semuanya telah diimpor dengan benar dengan menggunakan opsi --list-secret-keys sekali lagi.

 gpg --list-secret-keys --keyid-format PANJANG 

Memverifikasi impor telah berhasil

Ini memberi kita output yang sama persis seperti yang kita lihat di komputer Ubuntu kita sebelumnya.

Lindungi Privasi Anda

Pastikan kunci GPG Anda aman dengan mencadangkannya. Jika Anda mengalami kerusakan komputer atau hanya meningkatkan ke model yang lebih baru, pastikan Anda tahu cara mentransfer kunci Anda ke mesin baru.

TERKAIT: Cara Mencadangkan Sistem Linux Anda Dengan rsync