Sonraki Onceki Içerik

3. Anahtarları Kullanma

3.1 Anahtar yaratmak

gpg --gen-key
komutu ile yeni bir anahtar çifti oluşturulur (anahtar çifti: gizli ve genel anahtar). İlk soru hangi algoritmanın kullanılacağıdır. Algoritmalar hakkında daha fazla bilgiyi PGP DH vs. RSA SSS konumundan öğrenebilirsiniz veya Gizleme Uygulaması bölümüne bakın.

Sonraki soru anahtar uzunluğudur. Bu kullanıcıya bağlı bir şeydir. Güvenlik ve hesaplama süresi arasında tercih yapmalısınız. Eğer anahtar daha uzunsa ileti ele geçirildiğinde kırılma riski daha azdır. Fakat büyük bir anahtar ile hesaplama süresi de artar. Eğer hesaplama zamanı sizin için bir ölçü ise anahtarı daha sonraları da kullanacağınızı dikkate alın. Aritmetik performansın çok hızlı arttığını biliyoruz, yeni islemciler ile daha da hızlanıyorlar. O yüzden bunu aklınızda bulundurun. GnuPG için en kısa anahtar uzunluğu 768 bittir. Ancak kimi insanlar en azından 2048 bitlik bir anahtar uzunluğu seçmenizi tavsiye ederler (Bu GnuPG için simdilik en büyük uzunluktur). DSA için 1024 standart boyuttur. Güvenlik sizin için en önemli ve perfomans daha az önemli ise mümkün olan en uzun anahtarı seçmeniz en iyisidir.

Sistem daha sonra isminizi, açıklamanızı ve e-posta adresiniz girmenizi ister. Buradaki girdilere göre kod hesaplanır. Bu ayarları daha sonra değiştirebilirsiniz. Anahta çiftleri yönetimi bölümüne bakın.

Son olarak parola (aslında parola metni demek daha uygundur, çünkü boşlukta kullanabilirsiniz) girmelisiniz. Bu parola gizli anahtarınıza ait olan işlevleri kullanmanız için gerekmektedir. İyi bir parola metni aşagıdaki öğeleri içermelidir:

Parolanızda bazen BüYÜk haRf KuLLanıp BaZEN kUllANmayaRak da daha güvenli olmasını sağlayabilirsiniz. Parola oluşturduktan sonra onu UNUTMAYIN. Eğer unutursanız iletileri okunamaz yaparsınız ve gizli anahtarınızın kullanılırlığı kaybolur. Bu bilgiyi içeren bir sertifika oluşturmak bazen iyi olabilir (tabi ki parola metninize kimsenin ulaşmamasını sağlamalısınız). Feshetme bölünüme bakın.

Her şey girildikten sonra sistem anahtarları oluşturmaya başlar. Bu biraz zaman alabilir. Bu süre içinde rastgele veri toplanması gerekir. Farklı ekranlarda çalışarak bu rastgele veriyi değiştirebilir ve anahtarın oluşmasına yardımcı olabilirsiniz. Buradan da anlayabileceginiz gibi anahtar her zaman farklı olacaktır. Eğer şimdi bir anahtar oluşturur ve aynı bilgilerle 5 dakika sonra başka bir anahtar oluşturursanız farklı anahtarlar elde etmiş olursunuz. Parolanınızı unutmamanızın gereği işte budur.

3.2 Anahtarların Dışarıya Aktarımı

Kullanıcı için anahtarı dışa aktarım komutu aşağıdaki gibidir:

gpg --export [UID]

Eğer UID girilmez ise tüm mevcut anahtarlar dışarıya aktarılır. Öntanımlı olarak çıktı stdout'a atılır. -o seçeneği ile bu bir dosyaya gönderilebilir. -a komutu ile anahtarın ikili dosya yerine 7 bitlik bir ASCII dosyasına yazılması tavsiye edilir.

Genel anahtarları dışa aktararak güvenlik alanınızı genişletebilirsiniz. Diğer insanlar sizinle güvenli iletişim kurabilirler. Bu, genel anahtarınızı kişisel sayfanızda yayımlayarak, http://www.pca.dfn.de/dfnpca/pgpkserv/ gibi bir anahtar sunucusuna koyarak ve aklınaza gelen başka yollarla mümkün olabilir.

3.3 Anahtarların İçe Aktarımı

Birisinin genel anahtarını (veya birden fazla genel anahtarı) aldığınızda bunu kullanabilmeniz için anahtar veritabanına eklemeniz gerekir. Veritabanına anahtarı aktarabilmek için aşağıdaki komutu kullanabilirsiniz:

gpg --import [DosyaAdı]

Eğer dosya adı boş bırakılırsa veri stdin'den okunacaktır.

3.4 Anahtarı Feshetmek

Birçok nedenden dolayı mevcut bir anahtarı feshetmek isteyebilirsiniz. Mesela, gizli anahtarınız çalınmış veya yanlış kişilerin eline geçmiş olabilir, UID'iniz değişmiş olabilir, anahtar uzunluğu artık yeterince büyük değildir vb. Tüm bu durumlarda, anahtarı feshetmek için komut aşağıdaki gibidir:

gpg --gen-revoke

Bu bir fesih sertifikası oluşturur.

Bunu yapabilmeniz için gizli anahtarınızın olması gereklidir, aksi halde herkes anahtarınız için fesih sertifikası oluşturabilir. Bunun bir tek olumsuz yönü vardır. Parola metninizi unuttuğunuz zaman anahtar kullanışsız hale gelir, fakat onu fesih de edemezsiniz! Bunun üstesinden gelmek için anahtar çiftinizi oluşturduğunuzda fesih sertifikasını da aynı zamanda oluşturmaktır. Ancak eğer bunu yaparsanız onu güvenli bir yerde saklayın! Bu bir diskte ya da kağıt üzerinde olabilir. Bu sertifikanın yanlış ellere ulaşmayacağından emin olun!!! Eğer ulaşırsa birileri sizin fesih sertifikanızı kullanarak anahtarlarınızı kullanışsız hale getirebilir.

3.5 Anahtar yönetimi

GnuPG sistemi veritabanı gibi davranan bir dosya ile gelir. Bu dosyada anahtar ile bilgileri hakkında her şey vardır. (Sahip güvencesi değerlerine kadar her şey: daha fazla bilgi için Anahtar imzalama bölümüne bakın.)

gpg --list-keys
komutu ile mevcut olan bütün anahtarlar görüntülenebilir. İmzaları da görmek için:
 gpg --list-sigs 
komutunu kullanın (daha ileri bilgi için Anahtar imzalama bölümüne bakabilirsiniz.)

Parmakizlerini yazdırmak için:

gpg --fingerprint 
komutunu kullanın. "Parmakizlerini" birisinin gerçekten iddia ettiği kişi olup olmadığını doğrulamak için kullanabilirsiniz (mesela telefon ile). Bu komut genel anahtara kıyasla çok daha kısa bir numara listesi görüntüler.

Gizli anahtarları yazdırmak için:

gpg --list-secret-keys
komutunu kullanın. Unutmayın ki gizli anahtarların parmakizlerinin ve imzaların hiçbir kullanımı yoktur.

Genel anahtarı silmek için:

gpg --delete-key UID 
Gizli anahtarı silmek için:
 gpg --delete-secret-key 
komutlarını kullanabilirsiniz.

Anahtarlarla çalışırken önemli bir seçenek daha vardır.

gpg --edit-key UID
Bu komutu kullanarak (başka bir çok şeyin yanında) son kullanım tarihini düzenleyebilir, parmakizi ekleyebilir ve anahtar imzalayabilirsiniz. Belirtmesi çok mantıklı olmasa bile bu işlemi yapmanız için parola metninize ihtiyacınız vardır. Parolanızı girdiğinizde komut satırını göreceksiniz.

3.6 Anahtar imzalama

Girişte de belirtildiği gibi sistemde ana bir sorun vardır. Bu genel anahtarların doğrulanmasıdır. Eğer yanlış bir genel anahtarı kullanıyorsanız şifrelemenizin değerini yok etmiş olursunuz. Bu gibi riskleri aşmak için anahtarı imzalamak gibi bir olanak vardır. Bu durumda anahtarınıza imzanızı atarsınız, böylelikle anahtarın kesinlikle güvenilir olduğunu belirtmiş olursunuz. Bu anahtarda belirtilen kullanıcı kimliğini gerçekten anahtarın sahibi olan kişi olduğunu bildirir. Bu doğrulama ile şifrelemeye başlayabilirsiniz.

gpg --edit-key UID komutunu kullanarak imzalayacağınız anahtara sign komutuyla imzanızı atabilirisiniz.

Bir anahtarı doğrulanmış şekilde imzalamak için doğruluğundan KESİNLİKLE EMİN olup ancak ondan sonra imzalayınız!!!. Eğer anahtarı kendiniz aldıysanız (mesela bir anahtar imzalama buluşmasında) veya anahtarı başka bir yolla parmak izi mekanizması kontrol ettiyseniz (örneğin telefon ile) anahtarı imzalayabilirsiniz. Anahtarı tahminlere dayalı olarak imzalamamalısınız.

Mevcut imzalara ve "sahip güvenine" bakarak GnuPG bir anahtarın geçerliliğine karar verir. Sahip güveni bir anahtarın sahibinin belli bir anahtar için belirlediği güven değeridir. Değerler aşağıdaki gibidir:

Eğer kullanıcı imzaya güvenmiyorsa bunu söyleyebilir ve imzayı umursamayabilir. Güvenme bilgisi anahtarların olduğu dosyada saklanmaz, ayrı bir dosyadadır.


Sonraki Onceki Içerik