Ini ialah arahan penyulitan selamat yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
selamat - Utiliti Kripto Lengkung Eliptik SECCURE untuk Penyulitan Boleh Dipercayai
SINOPSIS
kunci selamat [-c lengkung] [-F pwfile] [-d] [-v] [-q]
menyulitkan selamat [-m maclen] [-c lengkung] [-i dalam fail] [-atau fail luar] [-v] [-q] utama
selamat-nyahsulit [-m maclen] [-c lengkung] [-i dalam fail] [-atau fail luar] [-F pwfile] [-d] [-v] [-q]
tanda selamat [-f] [-b] [-a] [-c lengkung] [-s sigfile] [-i dalam fail] [-atau fail luar] [-F pwfile]
[-d] [-v] [-q]
secure-verify [-f] [-b] [-a] [-c lengkung] [-s sigfile] [-i dalam fail] [-atau fail luar] [-v] [-q]
utama [Sig]
tandatangan selamat [-c lengkung_sig [-c enc_curve]] [-i dalam fail] [-atau fail luar] [-F pwfile] [-d]
[-v] [-q] utama
selamat-veridec [-c enc_curve [-c lengkung_sig]] [-i dalam fail] [-atau fail luar] [-F pwfile] [-d]
[-v] [-q] utama
selamat-dh [-c lengkung] [-v] [-q]
DESCRIPTION
. selamat set alat melaksanakan pilihan algoritma asimetri berdasarkan elips
kriptografi lengkung (ECC). Khususnya ia menawarkan penyulitan / penyahsulitan kunci awam,
penjanaan tandatangan / pengesahan dan penubuhan kunci asas.
Skim ECC menawarkan nisbah saiz kunci kepada keselamatan yang lebih baik daripada sistem kripto klasik
(RSA, DSA). Kekunci cukup pendek untuk membuat spesifikasi langsung kekunci pada baris arahan
mungkin (kadangkala ini lebih mudah daripada pengurusan cincin kekunci seperti PGP).
selamat membina ciri ini dan oleh itu adalah alat pilihan apabila ringan
tetapi kriptografi asimetri yang kuat -- bebas daripada pelayan utama, pembatalan
sijil, Web Amanah atau fail konfigurasi -- diperlukan.
PERINTAH
kunci selamat: Gesa untuk frasa laluan dan kira kunci awam yang sepadan.
menyulitkan selamat: Sulitkan mesej dengan kunci awam utama.
selamat-nyahsulit: Gesa untuk frasa laluan dan nyahsulit a menyulitkan selamatmesej ed.
tanda selamat: Gesa untuk frasa laluan dan tandatangani mesej secara digital.
secure-verify: Sahkan tandatangan Sig dengan kunci awam utama.
tandatangan selamat: Tandatangani mesej dahulu, sulitkan kemudian (dalam -b -a and -m 0 mod,
masing-masing). Ini pada asasnya adalah jalan pintas untuk dua berasingan selamat seruan.
selamat-veridec: Rakan sejawat kepada penyulitan tandatangan.
selamat-dh: Lakukan pertukaran kunci Diffie-Hellman.
PILIHAN
-c lengkung
Gunakan lengkung elips lengkung. Tersedia ialah: secp112r1, secp128r1, secp160r1,
secp192r1/nistp192, secp224r1/nistp224, secp256r1/nistp256, secp384r1/nistp384,
secp521r1/nistp521, brainpoolp160r1, brainpoolp192r1, brainpoolp224r1,
brainpoolp256r1, brainpoolp320r1, brainpoolp384r1, dan brainpoolp512r1. Lengkung
nama boleh disingkatkan dengan mana-mana subrentetan bukan samar-samar (contohnya ia
dicadangkan untuk dinyatakan p224 bagi secp224r1/nistp224 lengkung). Keluk lalai ialah
p160, yang menyediakan keselamatan yang munasabah untuk kegunaan harian. (Lihat juga BAGAIMANA KEPADA PILIH
THE KURUS.)
Nota: Jika kunci awam diberikan pada baris arahan, untuk semua lengkung SECP dan NIST
selamat boleh menentukan lengkung yang sepadan dengan sendiri. Ia kemudiannya tidak perlu
nyatakan lengkung secara eksplisit. Lengkung brainpool tidak boleh dikenali secara automatik.
-F pwfile
Jangan gesa untuk frasa laluan; sebaliknya, ambil baris teks pertama pwfile.
-m maclen
Tetapkan panjang MAC kepada maclen bit. Hanya gandaan 8 dalam julat dari 0 hingga 256
adalah dibenarkan. Panjang MAC lalai ialah 80 bit, yang memberikan tahap yang munasabah
perlindungan integriti untuk kegunaan harian.
-i dalam fail
Baca dari dalam fail bukannya STDIN.
-o fail luar
Tulis kepada fail luar bukannya STDOUT.
-s sigfile
Untuk tanda selamat: Tulis tandatangan kepada sigfile bukannya STDERR.
Untuk secure-verify: Baca tandatangan daripada sigfile bukannya menggunakan Sig.
-f Mod penapis: Salin semua data yang dibaca daripada STDIN verbatim ke STDOUT (akhirnya dilampirkan
atau melepaskan tandatangan masuk -a mod).
-b Mod binari: Baca/tulis tandatangan sebagai rentetan binari. Ini membawa kepada sangat padat
tandatangan.
-a Tambah mod:
Untuk tanda selamat: Tambahkan tandatangan pada penghujung dokumen. Ini menguatkuasakan -f
mod.
Untuk secure-verify: Tanggalkan tandatangan dari penghujung dokumen.
-d Mod gesaan dua kali: Apabila membaca frasa laluan daripada konsol: gesaan dua kali dan
pastikan frasa adalah sama.
-v Mod verbose: Cetak beberapa maklumat tambahan.
-q Mod senyap: Lumpuhkan semua output yang tidak diperlukan.
EXIT STATUS
Semua arahan dalam selamat keluar suite perisian dengan status sifar jika dikehendaki
operasi dapat diselesaikan dengan jayanya. Sebarang ralat membawa kepada kod keluar bukan sifar.
CONTOH
Memandangkan frasa laluan 'secure is secure', jalankan
kunci selamat
untuk menentukan kunci awam yang sepadan (iaitu '2@DupCaCKykHBe-QHpAP%d%B[' pada lengkung
p160).
Untuk menyulitkan fail 'document.msg' dengan jalankan kunci itu
menyulitkan selamat -i document.msg -o document.enc '2@DupCaCKykHBe-QHpAP%d%B['
Mesej boleh dipulihkan dengan
selamat-nyahsulit -i document.enc
Untuk menandatangani fail dijalankan
tanda selamat -i document.msg -s document.sig
dan masukkan frasa laluan. Tandatangan disimpan dalam 'document.sig' dan boleh disahkan
bersama
secure-verify -i document.msg -s document.sig '2@DupCaCKykHBe-QHpAP%d%B['
UTAMA PENUBUHAN
selamat-dh melakukan pertukaran kunci Diffie-Hellman interaktif. Dua contoh mesti ada
berjalan selari; token yang dijana oleh contoh pertama ialah input untuk yang kedua
dan begitu juga sebaliknya. Outputnya terdiri daripada dua kunci yang dikongsi: dijamin tiada penyerang
boleh mengetahui (lebih tepat, dibezakan daripada rawak) kunci yang telah ditetapkan dengan segera
kerana kedua-dua pihak boleh mengesahkan bahawa kedua-duanya mempunyai kunci pengesahan yang sama. Yang sahih
perbandingan kunci pengesahan boleh, sebagai contoh, direalisasikan melalui mesej yang ditandatangani atau
melalui telefon (menggunakan 'pengesahan suara').
BAGAIMANA KEPADA PILIH THE KURUS
Nombor dalam nama lengkung mengukur tahap keselamatannya. Peraturan praktikal: beban kerja
untuk 'memecahkan' lengkung k-bit ialah 2^(k/2) lebih kurang (contoh: ia mengambil masa kira-kira 2^112 langkah untuk
memecahkan secp224r1). Jika keselamatan 80 bit lengkung lalai nampaknya tidak mencukupi,
memilih lengkung yang lebih kuat (p192 dan ke atas) sudah tentu boleh dipertimbangkan. Tetapi
cadangan kekal: p160 menawarkan keselamatan yang munasabah untuk kegunaan harian. Amaran: lengkung
p112 and p128 tidak memenuhi permintaan untuk keselamatan jangka masa panjang.
ALGORITMA
selamat menggunakan versi terbitan ECIES (Elliptic Curve Integrated Encryption Scheme),
ECDSA (Elliptic Curve Digital Signature Algorithm) dan ECDH (Elliptic Curve Diffie-
Hellman) sebagai penyulitan, tandatangan dan skim penubuhan kunci, masing-masing. Untuk
bahagian simetri (penyulitan pukal, pencincangan, terbitan kunci, pengiraan HMAC) selamat
dibina pada AES256 (dalam mod CTR), SHA256 dan SHA512. Untuk pengetahuan saya tiada bahagian selamat
dilindungi oleh paten. Lihat fail PATENTS untuk mendapatkan kenyataan paten yang jelas.
Gunakan penyulitan selamat dalam talian menggunakan perkhidmatan onworks.net
