GNOMEのパスワードと鍵プログラムは、システムの暗号化インフラストラクチャの重要なコンポーネントです。このプログラムでは、PGP鍵やSSH鍵の作成と管理、鍵のインポート、エクスポート、共有、鍵やキーリングのバックアップ、およびパスフレーズのキャッシュを行うことができます。
アプリケーションを起動するには、Meta画面を開き、pass
を検索します。
8.1 署名および暗号化 #
署名. 電子メールメッセージやソフトウェアなど、情報に電子署名を添付して、その送信元を証明します。他のユーザにより名前が使用され、メッセージが書き込まれることがないように、そして自身と送信先ユーザの双方を保護するために、メールに署名するべきです。署名によって、受信したメッセージの送信者を確認し、正当なメッセージと悪意のあるメッセージを見分けることができます。
ソフトウェア開発者は、完全性をチェックできるように、ソフトウェアに署名します。非公式のサーバからのソフトウェアを所有している場合でも、パッケージを署名で検証できます。
暗号化. 他者から保護する必要がある機密情報を所有していることもあります。暗号化によって、データを変換して他者が読めないようにすることができます。このことは企業にとって、社内情報と社員のプライバシーを保護するために重要です。
8.2 新しい鍵ペアの生成 #
暗号化されたメッセージを他のユーザと交換するには、まず自分の鍵ペアを生成する必要があります。鍵ペアは、次の2つの部分で構成されます。
[公開鍵]. この鍵は、暗号化に使用されます。発信者宛てのファイルやメッセージの暗号化に使用できるように、通信相手に配布します。
秘密鍵. この鍵は、復号化に使用されます。この鍵を使用して、他のユーザ(または自分自身)からの暗号化されたファイルやメッセージを再度判読できるようにします。
他のユーザが発信者の秘密鍵へのアクセス権を獲得すると、発信者宛てのファイルやメッセージを復号化することができます。秘密鍵へのアクセス権を他のユーザに付与しないでください。
8.2.1 OpenPGP鍵の作成 #
OpenPGPは、PGPに基づく公開鍵暗号化方式を使用することで電子メールを暗号化するための非専有プロトコルです。これは、公開鍵を交換するための暗号化されたメッセージ、署名、秘密鍵、および証明書の標準形式を指定します。
pass
」と入力します。ウィンドウの左上隅にある
ボタンを押します。リストから
を選択します。オプションで、電子メールアドレスと鍵を説明するコメントを追加します。
パスワードダイアログで、鍵のパスワードを入力します。
パスフレーズを指定するときは、強力なパスワードを作成する場合と同じ慣例に従ってください。
8.2.2 セキュアシェル鍵の作成 #
セキュアシェル(SSH)は、該当マシン上でコマンドを実行するためにリモートコンピュータにログインする手段です。SSH鍵は、デフォルトのパスワード認証システムに代わる鍵ベースの認証システムで使用されます。鍵ベースの認証では、認証するためのパスワードを手動で入力する必要はありません。
pass
」と入力します。ウィンドウの左上隅にある
ボタンを押します。リストから
を選択します。鍵の説明を入力します。
オプションで、暗号化タイプまたは鍵の強度のデフォルト設定を変更します。
[暗号化の種類]. キーを生成するための暗号化アルゴリズムを指定します。SSH鍵を作成するためにRSA (Rivest-ShamirAdleman)アルゴリズムを使用するには、 を選択します。これは、推奨されるより安全な選択肢です。 を選択し、SSH鍵を作成するためにデジタル署名アルゴリズム(DSA)を使用します。
鍵の強度. 鍵の長さ(ビット)を指定します。鍵の長さが長くなればなるほど、安全性が高くなります(強力なパスフレーズが使用されている場合)。長い鍵を使用して操作を実行する場合は、短い鍵を使用する場合よりも時間がかかることに注意してください。許容される値は、1024~4096ビットです。少なくとも2048ビットを使用することをお勧めします。
8.3 鍵のプロパティの変更 #
既存のOpenPGP鍵またはSSH鍵のプロパティを変更できます。
8.3.1 OpenPGP鍵のプロパティの編集 #
このセクションの記述は、すべてのOpenPGP鍵に当てはまります。
pass
」と入力します。左側のパネルから、
を選択します。編集するPGP鍵を右クリックし、
を選択します。ダイアログが開き、次の鍵のプロパティが表示されます。
鍵ID: 鍵IDは指紋に類似していますが、鍵IDには指紋の最後の8文字のみが含まれます。一般に鍵IDのみで鍵を識別できますが、2つの鍵が同じ鍵IDを持つ場合もあります。
指紋: 鍵を正確に識別する固有の文字列です。
有効期限: 鍵が使用できなくなる日付(鍵の期限が切れると、鍵の処理を実行するために鍵を使用することができなくなります)。鍵の有効期限を将来のある時点に変更すると、鍵が再度有効になります。一般的な良い慣行は、期限が切れないマスタ鍵を用意し、マスタ鍵によって署名された期限が切れる複数のサブ鍵を使用することです。
サブ鍵: 詳細については、8.3.1.2項 「OpenPGPサブ鍵のプロパティの編集」を参照してください。
所有者の信用度: ここで、鍵の所有者に対する信頼レベルを設定できます。信頼とは、Webの信頼性を適切に向上させるあるユーザの能力に対する自身の信頼度です。自分が署名していない鍵がある場合、鍵の有効性は、その署名と署名を行ったユーザに対する信頼度によって決まります。
鍵に写真を追加するか、鍵に関連付けられているパスフレーズを変更するには、+ボタンをクリックします。
写真IDにより、鍵の所有者が鍵に1つ以上の自身の画像を埋め込むことができます。これらのIDは、通常のユーザIDと同じように署名できます。写真IDは、JPEGフォーマットであることが必要です。推奨サイズは、120 x 150ピクセルです。
選択した画像が目的のファイルの種類またはサイズと一致しない場合、
では、GDKライブラリでサポートされる画像フォーマットからその場でサイズ変更および変換を行うことができます。ダイアログを閉じて終了します。
8.3.1.1 ユーザIDの追加 #
ユーザIDにより、同じ鍵で複数のIDおよび電子メールアドレスを使用できます。たとえば、業務用に1つ、友人用に1つIDを使用する場合に、ユーザIDを追加すると役立ちます。ユーザIDの形式は次のとおりです。
Name (COMMENT) <E-MAIL>
pass
」と入力します。左側のパネルから、
キーリングを選択します。リストから、
を選択します。鍵を右クリックし、
› の順に選択します。ダイアログで、新しいユーザIDの
、 、および を入力し、 をクリックします。この電子メールアドレスにより、大半のユーザが鍵サーバまたは他の鍵プロバイダ上で鍵を検索します。次に進む前に、電子メールアドレスが正しいことを確認します。
パスフレーズを入力して、
をクリックして終了します。
8.3.1.2 OpenPGPサブ鍵のプロパティの編集 #
各OpenPGP鍵は、署名でのみ使用される単一のマスタ鍵を持ちます。サブ鍵はまた、暗号化および署名で使用されます。これにより、サブ鍵の安全性に問題が生じても、マスタ鍵を破棄する必要はなくなります。
pass
」と入力します。リストから
を選択します。リストから
を選択します。選択した鍵を右クリックし、
を選択します。鍵のプロパティを選択します。
ダイアログを閉じて、変更を確認します。
8.3.2 セキュアシェル鍵のプロパティの編集 #
このセクションの記述は、すべてのSSH鍵に当てはまります。
pass
」と入力します。リストから、
を選択し、編集したい鍵を右クリックします。ダイアログが開き、次のプロパティを表示および編集できます。
アルゴリズム: 鍵を生成するための暗号化アルゴリズムを指定します。
場所: 秘密鍵が保存されている場所です。
指紋: 鍵を正確に識別する固有の文字列です。
エクスポート. 鍵をファイルにエクスポートします。
ダイアログを閉じて、変更を確認します。
8.4 鍵のインポート #
鍵をテキストファイルにエクスポートすることができます。これらのファイルには、鍵の冒頭と末尾のテキストが人が判読できる形式で格納されます。この形式は、ASCII-armored鍵と呼ばれます。
鍵をインポートするには、次の手順に従います。
pass
」と入力します。左上隅にある
ボタンを押します。リストから、
を選択します。ダイアログで、インポートする鍵を選択します。公開SSH鍵は、
pub
で終わります。鍵をインポートするには、
をクリックします。
また、
で鍵を貼り付けることもできます。テキストのASCII-armored公開ブロックを選択し、クリップボードにコピーします。
pass
」と入力します。左上隅にある
ボタンを押します。適切な場所に鍵を貼り付けます。
8.5 鍵のエクスポート #
鍵をエクスポートするには、次の手順に従います。
pass
」と入力します。左側のパネルから、エクスポートする
キーリングを選択します。エクスポートする
を選択します。鍵を右クリックし、
を選択します。鍵を
ASCII
形式で保存するには、 を選択します。場所を選択して、
で確定します。
8.6 鍵の署名 #
別のユーザの鍵に署名すると、ユーザに対して信頼を与えることになります。鍵に署名する前に、鍵が実際にそのユーザに属していることを確認するために、鍵の指紋を慎重にチェックします。
信頼とは、Webの信頼性を適切に向上させるあるユーザの能力に対する自身の信頼度です。自分が署名していない鍵がある場合、鍵の有効性は、その署名と署名を行ったユーザに対する信頼度によって決まります。
pass
」と入力します。署名する鍵をインポートします。
鍵を右クリックし、
› を選択します。鍵をどれくらい入念にチェックしたかを選択します。
後で署名を取り消すかどうか、および署名を公開するかどうかを決定します。
8.7 パスワードキーリング #
キーリングの作成または削除、アプリケーションパスワードのデフォルトのキーリングの設定、またはキーリングのロック解除パスワードの変更を行うために、パスワードキーリングの初期設定を使用できます。新しいキーリングを作成するには、次の手順に従います。
pass
」と入力します。左上隅にある
ボタンをクリックします。リストから
を選択します。キーリングの名前を入力し、
をクリックします。キーリングの新しい
を設定して確認し、 をクリックして、キーリングを作成します。
既存のキーリングのロック解除パスワードを変更するには、
タブでキーリングを右クリックし、 をクリックします。パスワードを変更するには、古いパスワードを入力する必要があります。アプリケーションパスワードのデフォルトのキーリングを変更するには、
タブでキーリングを右クリックし、 をクリックします。8.8 鍵サーバ #
リモート鍵サーバに対して鍵を定期的に同期することにより、鍵を最新の状態に維持できます。同期により、すべての鍵で最新の署名を持ち、信頼のウェブを有効にすることができます。
pass
」と入力します。同期するPGP鍵を選択します。
ヘッダーバーのメニューボタンを押します。
HKP鍵サーバ: HKP鍵サーバは、広く普及している
hkp://pgp.mit.edu:11371
などの通常のWebベースの鍵サーバで、http://pgp.mit.eduでアクセスすることもできます。LDAP鍵サーバ: LDAP鍵サーバはそれほど一般的ではありませんが、鍵をホストするために標準のLDAPプロトコルを使用します。
ldap://keyserver.pgp.com
は適切なLDAPサーバです。左側のボタンを使用して、使用する鍵サーバを
したり、 したりすることができます。新しい鍵サーバを追加する場合は、必要に応じて種類、ホスト、ポートを設定します。公開鍵を自動的に発行するかどうか、および使用する鍵サーバを設定します。鍵サーバから鍵を自動的に取得するかどうか、および変更した鍵を鍵サーバと同期するかどうかを設定します。
8.9 鍵の共有 #
鍵の共有は、DNS-SD(BonjourまたはRendevousと呼ばれることもあります)により提供されます。鍵の共有を有効にすると、ローカルの
ユーザの公開鍵リングがリモートの検索ダイアログに追加されます。こうしたローカルの鍵サーバを使用する場合、一般にリモートサーバにアクセスするよりも高速です。pass
」と入力します。左側のパネルから、
を選択します。リストから、共有したい
を選択します。ヘッダーバーのメニューボタンを押します。
鍵を公開するには、メニューからサーバを選択します。ウィンドウを閉じて、以前のダイアログに戻ります。