تُعد مفاتيح GPG جزءًا حيويًا من التحقق من هويتك عبر الإنترنت. وبالتالي، فإن تأمينها من الجهات السيئة يضمن عدم تمكن أي شخص من انتحال شخصيتك في اتصالاتك مع أشخاص آخرين. هنا، نعرض لك خمس نصائح بسيطة حول كيفية تأمين مفتاح GPG الخاص بك في Linux.
نصيحة: تعرف على كيفية إنشاء مفتاح GPG الخاص بك في Linux اليوم.
1. إنشاء مفاتيح فرعية لكل وظيفة GPG
تعد إحدى أسهل الطرق لتأمين مفتاح GPG الخاص بك في Linux هي إنشاء مفتاح فرعي منفصل لكل وظيفة مفتاح. المفاتيح الفرعية هي أجزاء إضافية من الهوية التشفيرية المرفقة بالمفتاح الرئيسي الأساسي الخاص بك. وهذا يجعل من الصعب على الجهات الخبيثة اصطياد مفتاحك الخاص الأساسي لأنك لا تستخدمه لإجراءات المفاتيح الشائعة.
للقيام بذلك، افتح موجه مفتاح GPG للمفتاح الأساسي الخاص بك:
gpg --expert --edit-key YOUR-GPG@EMAIL.ADDRESS
يجري change-usage لتغيير القدرات الافتراضية للمفتاح الأساسي الخاص بك.
اكتب “S”، ثم اضغط على يدخل لتعطيل إمكانية التوقيع للمفتاح الأساسي الخاص بك.
يجري addkey لإنشاء المفتاح الفرعي الثاني للمفتاح الأساسي الخاص بك.
حدد “8” في موجه خوارزمية المفتاح، ثم اضغط على يدخل.
اكتب “=S” في موجه الأوامر، ثم اضغط على يدخل لتعيين قدرة المفتاح الفرعي على “التوقيع فقط”.
ملحوظة: يمكنك تغيير قيمة “=S” إلى “=E” أو “=A” لتعيين وظيفة المفتاح الفرعي إما للتشفير فقط أو للمصادقة فقط.
قم بتوفير “4096” عند مطالبة حجم المفتاح، ثم اضغط يدخل لتعيين حجم المفتاح الفرعي RSA الخاص بك إلى 4096 بت.
حدد فترة صلاحية معقولة لمفتاحك الفرعي. في حالتي، سأضبط مفتاحي الفرعي بحيث ينتهي بعد عام واحد.
قم بإنشاء المفتاح الفرعي الجديد الخاص بك عن طريق كتابة “y”، ثم الضغط على يدخل في موجه التأكيد.
أعد تشغيل addkey الأمر وإنشاء المفتاحين الفرعيين الآخرين لإمكانات التشفير والمصادقة.
تأكد من أن مفتاح GPG الخاص بك يحتوي على مفتاح فرعي لكل قدرة من خلال تشغيل list الأمر الفرعي.
في ملحوظة جانبية: هل أنت أيضًا من مستخدمي Windows؟ تعرف على كيفية إعداد GPG واستخدامه في Windows.
2. حدد تاريخ انتهاء صلاحية مفاتيحك
هناك طريقة سهلة أخرى لتأمين مفتاح GPG الخاص بك في Linux وهي تحديد تاريخ انتهاء صلاحية لمفتاحك الأساسي والمفاتيح الفرعية. ورغم أن هذا لا يؤثر على قدرة المفتاح على التوقيع والتشفير والمصادقة، فإن تحديد تاريخ انتهاء الصلاحية يمنح مستخدمي GPG الآخرين سببًا للتحقق دائمًا من صحة مفتاحك من خلال خادم المفاتيح.
ابدأ بفتح المفتاح الأساسي الخاص بك داخل أداة GPG CLI:
gpg --edit-key YOUR-GPG@EMAIL.ADDRESS
اكتب “انتهاء الصلاحية”، ثم اضغط على يدخل لتعديل تاريخ انتهاء صلاحية المفتاح الأساسي الخاص بك. في حالتي، سأقوم بتعيين تاريخ انتهاء الصلاحية الخاص بي بعد 10 سنوات.
قم بتوفير كلمة المرور لمفتاح GPG الخاص بك، ثم اضغط على يدخل للالتزام بتاريخ انتهاء الصلاحية الجديد.
قم بتشغيل الأوامر التالية لتحديد المفاتيح الفرعية الداخلية لمفتاح GPG الخاص بك:
يجري expireثم قم بتوفير تاريخ انتهاء صلاحية مفاتيحك الفرعية. في أغلب الحالات، يجب أن تنتهي صلاحية هذه المفاتيح قبل انتهاء صلاحية مفتاحك الأساسي. بالنسبة لي، سأضبطها لتنتهي صلاحيتها بعد ثمانية أشهر.
اكتب “حفظ”، ثم اضغط على يدخل لإدخال تغييراتك على سلسلة مفاتيح GPG الخاصة بك.
تأكد من أن مفتاحك يحتوي على تواريخ انتهاء الصلاحية الصحيحة عن طريق تشغيل: gpg --list-keys.
جيد ان تعلم: تعرف على كيفية استخدام GPG مع واجهة المستخدم الرسومية مع GNU Kleopatra.
3. احفظ مفاتيح GPG الخاصة بك في مفتاح أمان
مفاتيح الأمان عبارة عن أجهزة صغيرة مصممة خصيصًا للاحتفاظ ببيانات المصادقة الخاصة. وفي هذا الصدد، يمكنك أيضًا استخدامها لتخزين مفاتيح GPG الخاصة بك دون المساس بأمانك العام.
ابدأ بتوصيل مفتاح الأمان بجهازك، ثم قم بتشغيل الأمر التالي للتحقق مما إذا كان GPG يكتشفه:
افتح موجه GPG على المفتاح الأساسي الخاص بك، ثم قم بتشغيل list لطباعة كافة تفاصيل سلسلة المفاتيح الخاصة بك:
gpg --edit-key YOUR-GPG@EMAIL.ADDRESS
ابحث عن المفتاح الفرعي بقيمة الاستخدام “S” ثم قم بتشغيل المفتاح متبوعًا برقم ترتيبه في قائمة المفاتيح الفرعية. على سبيل المثال، المفتاح الفرعي “S” الخاص بي هو المفتاح الأول في قائمتي، لذا سأقوم بتشغيل key 1.
انقل المفتاح الفرعي “S” إلى وحدة التخزين الداخلية لمفتاح الأمان الخاص بك:
حدد “1” في موجه النقل، وقم بتوفير كلمة المرور لمفتاح GPG الأساسي الخاص بك، ثم قم بتشغيل key استخدم الأمر مرة أخرى لإلغاء تحديد المفتاح الفرعي الأول.
ابحث عن المفتاح الفرعي بقيمة الاستخدام “A” ثم قم بتشغيل key الأمر متبوعًا برقم مؤشر المفتاح الفرعي.
انقل المفتاح الفرعي “A” إلى جهاز الأمان الخاص بك باستخدام keytocard الأمر، حدد “3” في موجه النقل، ثم أعد تشغيل الأمر الرئيسي لإلغاء تحديد المفتاح الفرعي “A”.
ابحث عن المفتاح الفرعي بقيمة الاستخدام “E”، ثم حدده باستخدام key يأمر.
قم بنقل المفتاح الفرعي “E” إلى جهاز الأمان الخاص بك باستخدام أمر keytocard، ثم حدد “2” عند المطالبة.
يجري save، ثم اضغط يدخل لإدخال تغييراتك على سلسلة مفاتيح GPG الخاصة بك.
أخيرًا، تأكد من أنك قمت بتصدير المفاتيح الفرعية من جهازك بشكل صحيح عن طريق تشغيل gpg --list-secret-keys YOUR-GPG@EMAIL.ADDRESSمن المفترض أن يؤدي القيام بذلك إلى طباعة رمز أكبر من (>) بجوار تسميات “ssb” الخاصة بمفاتيحك الفرعية.
4. قم بعمل نسخة احتياطية لمفتاحك الخاص الرئيسي على الورق
بصرف النظر عن مفاتيح الأمان، يمكنك أيضًا تأمين مفتاح GPG الخاص بك في Linux عن طريق تصديره في ملف نصي قابل للطباعة. Paperkey عبارة عن أداة سطر أوامر بسيطة تأخذ مفتاحك الخاص وتجرده من بايتات السرية الأساسية. هذا مفيد إذا كنت تبحث عن طريقة للحفاظ على مفتاح GPG الخاص بك خارج الأجهزة الرقمية.
للبدء، قم بتثبيت paperkey من مستودع الحزم الخاص بتوزيعة Linux الخاصة بك:
sudo apt install paperkey
تصدير النسخة الثنائية لمفاتيحك العامة والخاصة الأساسية:
gpg --export-secret-key --output secret.gpg YOUR-GPG@EMAIL.ADDRESS gpg --export --output public.gpg YOUR-GPG@EMAIL.ADDRESS
قم بتحويل مفتاحك الثنائي الخاص إلى بياناته السرية الأساسية:
paperkey --secret-key secret.gpg --output core-secret.txt
تأكد من أنه يمكنك إعادة إنشاء مفتاحك الخاص الأساسي من نسخة احتياطية للمفتاح الورقي:
paperkey --pubring public.gpg --secrets core-secret.asc --output secret.gpg
افتح ملفك السري الأساسي باستخدام محرر النصوص الرسومي المفضل لديك. في حالتي، أستخدم محرر النصوص الافتراضي من GNOME.
انقر فوق قائمة الخيارات في الزاوية اليمنى العليا من النافذة، ثم حدد إدخال القائمة الفرعية “طباعة”.
جيد ان تعلم: تعلم كيفية طباعة الملفات من المحطة الطرفية باستخدام lp.
5. احذف مفتاحك الخاص الرئيسي من النظام
عند إنشاء مفتاح GPG جديد، يقوم جهاز الكمبيوتر الخاص بك بتخزين نسخة من المفاتيح العامة والخاصة داخل نظام الملفات الخاص بك. ورغم أن هذا الأمر مريح، إلا أنه قد يمثل مشكلة إذا كنت تستخدم جهاز كمبيوتر متصلاً بشبكة أو جهاز كمبيوتر مشترك.
إحدى الطرق لحل هذه المشكلة هي حذف المفتاح الخاص بحلقة مفاتيح GPG الخاصة بك. سيضمن هذا عدم تمكن أي جهة خبيثة من استخراج المفتاح الخاص بك من جهاز الكمبيوتر الخاص بك لتوقيع وإصدار شهادات لأي مفاتيح فرعية.
ابدأ بنسخ احتياطي لمفتاح GPG الأساسي الأصلي والمفاتيح الفرعية:
gpg --export-secret-key --armor --output private.asc YOUR-GPG@EMAIL.ADDRESS gpg --export-secret-subkeys --armor --output sub-private.asc YOUR-GPG@EMAIL.ADDRESS
قم بتشفير مخرجات كتلة المفتاح الخاص الأساسية لديك باستخدام التشفير المتماثل:
gpg --symmetric private.asc
قم بتوفير كلمة مرور قوية نسبيًا لبيانات المفتاح الخاص بك، ثم اضغط على يدخل.
قم بتخزين مفتاح GPG الخاص المشفر على جهاز تخزين خارجي.
قم بإزالة جميع بيانات المفتاح الخاص من زوج مفاتيح GPG الخاص بك:
gpg --delete-secret-key YOUR-GPG@EMAIL.ADDRESS
استيراد كتلة المفتاح الفرعي السري مرة أخرى إلى زوج مفاتيح GPG الخاص بك:
gpg --import sub-private.asc
قم بتشغيل الأمر التالي للتحقق مما إذا كان مفتاحك الخاص الأساسي لا يزال موجودًا في نظامك:
gpg --list-secret-keys YOUR-GPG@EMAIL.ADDRESS
سيؤدي القيام بذلك إلى ظهور علامة الجنيه (#) بجوار علامة “sec” للمفتاح الأساسي. يشير هذا إلى أن مفتاحك الخاص لم يعد موجودًا على سلسلة مفاتيح GPG الخاصة بك.
إن تعلم كيفية تأمين مفتاح GPG الخاص بك بهذه النصائح البسيطة ليس سوى جزء واحد من استكشاف النظام البيئي الواسع للتشفير بالمفتاح العام. تعمق أكثر في هذا البرنامج من خلال تسجيل الدخول إلى خوادم SSH باستخدام GPG.