HomeGpg の編集

#contents();
* Gnupg のインストール [#l82af9af]
- GnuPGの公式サイト = http://gnupg.org/
- gnupg-w32cli-1.4.8.exe (Windows 版) ----> &ref(gnupg-w32cli-1.4.8.exe);
- Windows vista では ユーザアカウント制御（UAC) を無効にする
- インストーラでは 最初英語を選択、途中で再度言語環境を聞かれるのでそこで Japanese を選択する
- インストールはデフォルトの C:\Program Files\GNU\GnuPG　とする
- Windows 環境変数の PATH に上記のインストールディレクトリを追加する

** Gunpg の設定 -----> &color(red){Gunpg は DOS窓で使うコマンドラインツールである。}; [#n69a31d7]

*** 鍵輪（keyring）の生成　：　DOS 窓で最初に gpg を実行すると鍵輪が生成される。 [#t9f365ee]
 C:\Documents and Settings\munakata>gpg
 gpg: 鍵輪「C:/Documents and Settings/munakata/Application Data/gnupg\secring.gpg」ができました
 gpg: 鍵輪「C:/Documents and Settings/munakata/Application Data/gnupg\pubring.gpg」ができました
 gpg: 開始します。メッセージを打ってください ...
- 一度 CTRL+C で終了する。

** 自分の鍵の作成 [#qf820456]

*** 秘密鍵と公開鍵の生成　（日本語化さえたスクリプトによる生成） [#h8f1640d]
 C:\> gpg --gen-key
 
 gpg (GnuPG) 1.2.4; Copyright (C) 2003 Free Software Foundation, Inc.
 This program comes with ABSOLUTELY NO WARRANTY.
 This is free software, and you are welcome to redistribute it
 under certain conditions. See the file COPYING for details.
 
 Please select what kind of key you want:
    (1) DSA and ElGamal (default)
    (2) DSA (sign only)
    (4) RSA (sign only)
 Your selection? 1    <--- 鍵の種類
 DSA keypair will have 1024 bits.
 About to generate a new ELG-E keypair.
               minimum keysize is  768 bits
               default keysize is 1024 bits
     highest suggested keysize is 2048 bits
 What keysize do you want? (1024) 1024    <--- 鍵の長さ
 Requested keysize is 1024 bits
 Please specify how long the key should be valid.
          0 = key does not expire
       <n>  = key expires in n days
       <n>w = key expires in n weeks
       <n>m = key expires in n months
       <n>y = key expires in n years
 Key is valid for? (0) 0    <--- 鍵の有効期間（0は無期限）
 Key does not expire at all
 Is this correct (y/n)? y    <--- 確認
 
 You need a User-ID to identify your key; the software constructs the user id
 from Real Name, Comment and Email Address in this form:
     "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
 
 Real name: GnuPG    <--- 実名
 Email address: gpg@nina.jp    <--- メアド
 Comment: (Enter)    <--- コメント
 You selected this USER-ID:
     "GnuPG <gpg@nina.jp>"
 
 Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O    <--- 確認（ゼロでなくオー）
 You need a Passphrase to protect your secret key.
 
 Enter passphrase: (password)    <--- 秘密鍵のパスフレーズ
 Repeat passphrase: (password)    <--- 秘密鍵のパスフレーズ確認
 
 We need to generate a lot of random bytes. It is a good idea to perform
 some other action (type on the keyboard, move the mouse, utilize the
 disks) during the prime generation; this gives the random number
 generator a better chance to gain enough entropy.
 ++++++++++++++++++++..++++++++++.+++++.++++++++++++++++++++.+++++.+++++.++++++++
 +++++++++++++++++.+++++++++++++++++++++++++.+++++++++++++++>+++++.+++++.........
 .......................................................................+++++
 We need to generate a lot of random bytes. It is a good idea to perform
 some other action (type on the keyboard, move the mouse, utilize the
 disks) during the prime generation; this gives the random number
 generator a better chance to gain enough entropy.
 ...++++++++++++++++++++++++++++++++++++++++.++++++++++.+++++++++++++++++++++++++
 ..+++++.+++++++++++++++..+++++++++++++++++++++++++++++++++++>.+++++.....+++++^^^
 
 gpg: C:/Documents and Settings/nao/Application Data/GnuPG\trustdb.gpg: trustdb created
 public and secret key created and signed.
 key marked as ultimately trusted.
 
 pub  XXXXX/XXXXXXXX 2004-05-30 GnuPG <gpg@nina.jp>
      Key fingerprint = XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX
 sub  1024g/F12469FB 2004-05-30

*** 公開鍵輪の表示 &color(red){( gpg --list-keys )}; [#tbdfb44f]
 C:\Users\munakata>gpg --list-keys
 C:/Users/munakata/AppData/Roaming/gnupg\pubring.gpg
 ---------------------------------------------------
 pub   1024D/65E7989A 2009-08-14
 uid                  public_mail <public_mail@hmuna.com>
 sub   2048g/293345C3 2009-08-14

*** 秘密鍵輪の表示 &color(red){( gpg --list-secret-keys )}; [#pb435256]
 C:\Users\munakata>gpg --list-secret-keys
 C:/Users/munakata/AppData/Roaming/gnupg\secring.gpg
 ---------------------------------------------------
 sec   1024D/65E7989A 2009-08-14
 uid                  public_mail <public_mail@hmuna.com>
 ssb   2048g/293345C3 2009-08-14

*** フィンガープリントの表示 &color(red){( gpg --fingerprint )}; [#af335f39]
 C:\Users\munakata>gpg --fingerprint
 C:/Users/munakata/AppData/Roaming/gnupg\pubring.gpg
 ---------------------------------------------------
 pub   1024D/65E7989A 2009-08-14
                  指紋 = C099 A4F2 96CE 284D EC82  47E1 D89E 2699 65E7 989A
 uid                  public_mail <public_mail@hmuna.com>
 sub   2048g/293345C3 2009-08-14

*** 公開鍵のエキスポート &color(red){( gpg -o 公開鍵名.asc -a --export userid )}; [#b5bc8133]
- 公開鍵をメール署名に利用する場合には、相手に公開鍵を渡しておく必要がある
- または 公開鍵のプールサーバーに登録することもできる

*** 秘密鍵のエキスポート &color(red){( gpg -o 秘密鍵名.asc --export-secret-keys userid )}; [#z114c2fe]
[#lebe39a5]
- 複数のマシンで鍵輪を共有するために、秘密鍵をエキスポートする必要がある

*** 失効証明書の作成 [#x5f5f2ab]
- 秘密鍵を盗まれた場合や秘密鍵のパスフレーズを忘れてしまった場合などは、破棄証明書を使用することで鍵を無効にできる。 破棄証明書は他の人がアクセスできないようにすること！ 勝手に鍵を無効にされてしまう可能性がある。

C:\Documents and Settings\b1501188>gpg -o revoke_hmunav.asc --gen-revoke hisao.munakata.vt@renesas.com
 
 sec  1024D/BD1826AC 2011-04-05 Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 この鍵にたいする失効証明書を作成しますか? (y/N) y
 失効の理由を選択してください:
   0 = 理由は指定されていません
   1 = 鍵がパクられました
   2 = 鍵がとりかわっています
   3 = 鍵はもう不用です
   Q = キャンセル
 (ここではたぶん1を選びます)
 あなたの決定は? 0 
 予備の説明を入力。空行で終了:
 > No more effective key
 >
 失効理由: 理由は指定されていません
 No more effective key
 よろしいですか? (y/N) y
 
 次のユーザーの秘密鍵のロックを解除するには
 パスフレーズがいります:“Hisao Munakata <hisao.munakata.vt@renesas.com>”
 1024ビットDSA鍵, ID BD1826AC作成日付は2011-04-05
 
 ASCII包装出力を強制します。
 失効証明書を作成しました。
  
 見つからないような媒体に移動してください。もしワルがこの証明書への
 アクセスを得ると、そいつはあなたの鍵を使えなくすることができます。
 媒体が読出し不能になった場合に備えて、この証明書を印刷して保管するの
 が賢明です。しかし、ご注意ください。あなたのマシンの印字システムは、
 だれでも見える場所にデータをおくことがあります!
** 鍵の導入 [#k4cc655f]
*** 公開鍵のインポート (暗号化したメールを送るためには、送信相手の公開鍵をインポートしておく必要がある) [#a8b3e75b]
 C:\> gpg --import pub.key
 gpg: key XXXXXXXX: public key "GnuPG <gpg@nina.jp>" imported
 gpg: Total number processed: 1
 gpg:               imported: 1

*** 秘密鍵のインポート（自分が複数のマシンを使う場合、自分の秘密鍵をインポートする必要がある） [#b4f6cdce]
- 秘密鍵をインポートすれば、自動的に対になる公開鍵もインポートされる。

C:\> gpg --import --allow-secret-key-imort sec.key
 gpg: key XXXXXXXX: secret key imported
 gpg: Total number processed: 1
 gpg:       secret keys read: 1
 gpg:   secret keys imported: 1

*** インポートした公開鍵への署名 （受け取った公開鍵にサインする） [#bbaa64e6]

C:\> gpg -u foo@nina.jp --edit-key gpg@nina.jp
 gpg (GnuPG) 1.2.4; Copyright (C) 2003 Free Software Foundation, Inc.
 This program comes with ABSOLUTELY NO WARRANTY.
 This is free software, and you are welcome to redistribute it
 under certain conditions. See the file COPYING for details.
 
 Secret key is available.
 
 pub  1024D/XXXXXXXX  created: 2004-06-13 expires: never      trust: -/-
 sub  1024g/XXXXXXXX  created: 2004-06-13 expires: never
 (1). GnuPG <gpg@nina.jp>
 
 Command> sign    <--- signコマンドで公開鍵に署名
 
 pub  1024D/XXXXXXXX  created: 2004-06-13 expires: never      trust: -/-
  Primary key fingerprint: XXXX XXXX XXXX XXXX XXXX  XXXX XXXX XXXX XXXX XXXX
 
      GnuPG <gpg@nina.jp>
 
 How carefully have you verified the key you are about to sign actually belongs
 to the person named above?  If you don't know what to answer, enter "0".
 
    (0) I will not answer. (default)    答えない
    (1) I have not checked at all.    まったくチェックしていない
    (2) I have done casual checking.    軽ーくチェックした
    (3) I have done very careful checking.    注意深くチェックした 
 
 Your selection? (enter '?' for more information): 3    <--- 署名しようとしている公開鍵が本人の持ち物であることを、どれ ぐらい注意深く確認したか？
 Are you really sure that you want to sign this key
 with your key: "Foo <foo@nina.jp>" (XXXXXXXX)
 
 I have checked this key very carefully.
 
 Really sign? y    <--- 本当に署名するならyを 
 
 You need a passphrase to unlock the secret key for
 user: "Foo <foo@nina.jp>"
 1024-bit DSA key, ID XXXXXXXX, created 2004-06-08
 
 Enter passphrase: (passphrase)    <--- foo@nina.jpの秘密鍵のパスフレーズを入力
 
 Command> q    <--- q(uit)で抜ける
 Save changes? y    <--- 鍵にくわえた変更を保存するならyを

*** 署名の一覧 [#xa7a6381]
 C:\Documents and Settings\b1501188>gpg --list-sigs
 C:/Documents and Settings/b1501188/Application Data/gnupg\pubring.gpg
 ---------------------------------------------------------------------
 pub   1024D/65E7989A 2009-08-14
 uid                  public_mail <public_mail@hmuna.com>
 sig 3        65E7989A 2009-08-14  public_mail <public_mail@hmuna.com>
 sub   2048g/293345C3 2009-08-14
 sig          65E7989A 2009-08-14  public_mail <public_mail@hmuna.com>
 
 pub   1024D/BD1826AC 2011-04-05
 uid                  Hisao Munakata <hisao.munakata.vt@renesas.com>
 sig 3        BD1826AC 2011-04-05  Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 sub   2048g/3B5A18E4 2011-04-05
 sig          BD1826AC 2011-04-05  Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 
 pub   2048R/810A5C24 2011-03-29 [満了: 2016-03-27]
 uid                  Hideto Kobayashi <hideto.kobayashi@nomovok.com>
 sig 3        810A5C24 2011-03-29  Hideto Kobayashi <hideto.kobayashi@nomovok.com>
 sig          BD1826AC 2011-04-05  Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 sub   2048R/E179DEFE 2011-03-29 [満了: 2016-03-27]
 sig          810A5C24 2011-03-29  Hideto Kobayashi <hideto.kobayashi@nomovok.com>
 
 pub   1024D/2FF2129F 2010-01-18
 uid                  Takanari Hayama <taki@igel.co.jp>
 sig 3        2FF2129F 2010-01-18  Takanari Hayama <taki@igel.co.jp>
 sig          BD1826AC 2011-04-05  Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 sub   2048g/4028981A 2010-01-18
 sig          2FF2129F 2010-01-18  Takanari Hayama <taki@igel.co.jp> 
 
 pub   2048R/70857155 2011-04-05
 uid                  Akira Tsukamoto <akira.tsukamoto@nomovok.com>
 sig 3        70857155 2011-04-05  Akira Tsukamoto <akira.tsukamoto@nomovok.com>
 sig          BD1826AC 2011-04-05  Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 sub   2048R/250CF357 2011-04-05
 sig          70857155 2011-04-05  Akira Tsukamoto <akira.tsukamoto@nomovok.com> 
 
 pub   2048R/D1826FE1 2011-04-05
 uid                  dan <toshiaki.dan.wh@renesas.com>
 sig 3        D1826FE1 2011-04-05  dan <toshiaki.dan.wh@renesas.com>
 sig          BD1826AC 2011-04-05  Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 sub   2048R/FADF5825 2011-04-05
 sig          D1826FE1 2011-04-05  dan <toshiaki.dan.wh@renesas.com>
 
 pub   1024D/AC3B1E2D 2011-04-05
 uid                  Katsuya MATSUBARA <matsu@igel.co.jp>
 sig 3        AC3B1E2D 2011-04-05  Katsuya MATSUBARA <matsu@igel.co.jp>
 sig          BD1826AC 2011-04-06  Hisao Munakata <hisao.munakata.vt@renesas.com>
 
 sub   2048g/F8A8A6E5 2011-04-05
 sig          AC3B1E2D 2011-04-05  Katsuya MATSUBARA <matsu@igel.co.jp>

*** 信用データベースの更新、インポートした鍵への与信  &color(red){( gpg --edit-key 鍵の所有者[=UID] )};[#n03dd90a]
- 上記の手順によって鍵をインポートしただけの状態では、「鍵は有効だが信用できない」 と表示される
 public_mail <public_mail@hmuna.com>
 
 [application/pgp-signature (有効な署名 (信用されていない鍵))]
 署名の作成時刻 2009/08/15 13:43:58
 有効な署名ですが "public_mail <public_mail@hmuna.com>" の鍵は信用されていません

- 以下の手順で信用データベースを更新し、インポートしたキーに与信を与える必要がある
 C:\Documents and Settings\munakata\gpgkey>gpg --edit-key public_mail
 gpg (GnuPG) 1.4.8; Copyright (C) 2007 Free Software Foundation, Inc.
 This is free software: you are free to change and redistribute it.
 There is NO WARRANTY, to the extent permitted by law.
 
 秘密鍵が使用できます。
 
 pub  1024D/65E7989A  作成: 2009-08-14  満了: 無期限      利用法: SC
                      信用: 未知の        有効性: 未知の
 sub  2048g/293345C3  作成: 2009-08-14  満了: 無期限      利用法: E
 [ unknown] (1). public_mail <public_mail@hmuna.com>
 
 コマンド> 
- コマンドを要求されるので &color(red){trust}; と入力し、与信情報を更新する
 コマンド> trust
 pub  1024D/65E7989A  作成: 2009-08-14  満了: 無期限      利用法: SC
                      信用: 未知の        有効性: 未知の
 sub  2048g/293345C3  作成: 2009-08-14  満了: 無期限      利用法: E
 [ unknown] (1). public_mail <public_mail@hmuna.com>
 
 他のユーザーの鍵を正しく検証するために、このユーザーの信用度を決めてください
 (パスポートを見せてもらったり、他から得た指紋を検査したり、などなど)
 
   1 = 知らない、または何とも言えない
   2 = 信用し ない
   3 = ある程度信用する
   4 = 完全に信用する
   5 = 絶対的に信用する
   m = メーン・メニューに戻る
 
 あなたの決定は? 5
 本当にこの鍵を絶対的に信用しますか? (y/N) Y
 
 pub  1024D/65E7989A  作成: 2009-08-14  満了: 無期限      利用法: SC
                      信用: 絶対的        有効性: 未知の
 sub  2048g/293345C3  作成: 2009-08-14  満了: 無期限      利用法: E
 [ unknown] (1). public_mail <public_mail@hmuna.com>
 プログラムを再起動するまで、表示された鍵の有効性は正しくないかもしれない、
 ということを念頭においてください。

*** 鍵ファイルのコピー [#j17b9c40]
- エキスポートしたファイルを別のマシンにコピーする
 C:\Documents and Settings\munakata\gpgkey>dir
 
 2009/08/14  14:27             1,714 pubkey.asc
 2009/08/15  12:34             1,308 public_sec.asc
                2 個のファイル               3,022 バイト
                2 個のディレクトリ  76,934,168,576 バイトの空き領域

** 公開鍵の配布 [#k1251865]

- 自分が登録している public key は　gpg --export > all_public.key でファイルに固められます。
- 別のマシンで　gpg --import all_public.key　とすれば、簡単に取り込めます。
- 同様に他の人に端山の鍵を渡したい場合は　gpg --export -a taki@igel.co.jp > public.key で取り込めます。

** [[鍵サーバ: www.stinkfoot.org]] への登録 [#v170d704]

- メールソフトプラグイン(enigmail等)にサーバ名を登録していただくことで、自動的に鍵を検索・登録することができます。
- コマンドラインからgnupgを使っても登録できます。

% gpg --keyserver www.stinkfoot.org --search-keys matsu@igel.co.jp
   gpg: “matsu@igel.co.jp”をhkpサーバーwww.stinkfoot.orgから検索
   (1)     Katsuya MATSUBARA <matsu@igel.co.jp>
             1024 bit DSA key AC3B1E2D, 作成: 2011-04-05
   Keys 1-1 of 1 for "matsu@igel.co.jp".  番号(s)、N)次、またはQ)中止を入力してください >

- ネットワークに設置されているファイアウォールが 11371ポートへのアクセスを許可していることが必要です。
- ブラウザから[[　stinkfoot.org　:11371:http://www.stinkfoot.org:11371/]]へアクセスして、Webページが表示されることを確認してください。表示されたWebページから鍵を検索してアスキーテキストのコピペにより鍵を登録することもできます。

* [[Sylpheed では PGP/MIME「しか」使えない:http://kiyo.chips.jp/website/blog/archives/2007/07/sylpheedpgpmime.html]] [#i68ae513]
- Thunderbird で Enigmail を使っている人たちは、編集ウィンドウの OpenPGP のメニューから「PGP/MIMEをこのメッセージに使用」を選択すれば大丈夫

* 参考URL [#r75c75b4]
- http://keizai.xrea.jp/gnupg/gpg.html
- http://hp.vector.co.jp/authors/VA001911/pc_tips/pgp/gpg.html
- http://stahl.arch.t.u-tokyo.ac.jp/~iyama/memo/Computer/gpg.html
//- [[GPG という OpenPGP とは別のツール:http://www.okapiproject.com/security/sec_tools/pgp/import_key.htm]]
- http://www.nina.jp/server/windows/gpg/commands.html　<= 正統派に見える

* 公開鍵置き場 [#v4146f6c]
- &ref(ca.der,center,サーバー証明書 [wiki.hmuna.com]);
- &ref(pubkey.asc,center,GPG 公開鍵 [public_mail]);
//- &ref(munabiz.asc,center,GPG 公開鍵 [munakata.hisao]);
- &ref(hmunav.asc,center,GPG 公開鍵 [hisao.munakata.vt]);

- &ref(0xD1826FE1.asc,center,　段さん　公開鍵);
//- &ref(0xA376FD35.asc,center,坂戸さん　公開鍵);
- &ref(0x8FFE39F2.asc,center,坂戸さん　公開鍵);
- &ref(0x56BF10EF.asc,center,合田さん　公開鍵);
- &ref(0x2B3ABB20.asc,center,笠本さん　公開鍵);
- &ref(0xBEFF15B2.asc,center,伊藤敦さん　公開鍵);
- &ref(0xE7FA3AC4.asc,center,田中尊さん　公開鍵);

- &ref(pgp_public.asc,center,端山さん　公開鍵);
- &ref(matsu.asc,center,松原さん　公開鍵);
- &ref(dhobsong.asc,center,デミアンさん　公開鍵);

- &ref(igel.asc,center,イーゲル全員 公開鍵);
 % gpg --export -a @igel.co.jp > igel.asc

- &ref(0x810A5C24.asc,center,小林さん　公開鍵);
- &ref(akira_tsukamoto_pub.asc,center,塚本さん　公開鍵);

- &ref(05410E97.asc,center,サイモンさん　公開鍵);
//- &ref(thang-id_rsa.pub,center,Thangさん　公開鍵);
//- &ref(dung-id_rsa.pub,center,Dungさん　公開鍵);
//- &ref(ky-id_rsa.pub,center,Kyさん　公開鍵);

タイムスタンプを変更しない