Схема шифрования, при которой для шифрования и расшифровки используется один и тот же ключ; быстрее асимметричного, но требует безопасного распределения общего ключа; примеры: 3DES, AES, Blowfish.
asymmetric encryption (асимметричное шифрование)
Схема шифрования с двумя разными ключами — открытым и закрытым; данные, зашифрованные одним ключом, расшифровываются только другим; решает проблему безопасного распределения ключей.
public key (открытый ключ)
Общедоступная часть пары асимметричных ключей; распространяется свободно; данные, зашифрованные открытым ключом, могут быть расшифрованы только соответствующим закрытым ключом.
private key (закрытый ключ)
Секретная часть пары асимметричных ключей; хранится только у владельца; используется для расшифровки данных, зашифрованных открытым ключом, и для создания цифровых подписей.
PKI (Public Key Infrastructure, инфраструктура открытых ключей)
Совокупность технологий, стандартов и политик, обеспечивающих управление парами ключей и цифровыми сертификатами в рамках удостоверяющих центров.
certificate authority (CA, удостоверяющий центр)
Сетевая служба, ответственная за выдачу пар криптографических ключей и сертификатов открытого ключа; бывает внутренним (для использования внутри организации) и внешним (глобально доверенным, например VeriSign).
public key certificate (сертификат открытого ключа)
Цифровой документ, подписанный закрытым ключом удостоверяющего центра; связывает открытый ключ с организацией; содержит название, открытый ключ, срок действия, серийный номер и подпись ЦА.
cipher (шифр)
Алгоритм преобразования открытого текста в зашифрованный с использованием ключа; примеры симметричных шифров: AES, 3DES, Blowfish; асимметричных: RSA, DSA.
digital signature (цифровая подпись)
Зашифрованный закрытым ключом хеш сообщения; позволяет получателю проверить подлинность отправителя и целостность сообщения с помощью соответствующего открытого ключа.
hash (хеш)
Результат применения однонаправленной функции к данным; используется в цифровых подписях для проверки целостности сообщения; примеры алгоритмов: MD5, SHA-1, SHA-2.
SSH (Secure Shell)
Протокол и набор утилит для защищённого удалённого доступа и передачи файлов; шифрует весь трафик, включая аутентификацию; работает на порту 22; заменяет небезопасные Telnet, rlogin, rsh.
sshd
Демон SSH-сервера; принимает входящие зашифрованные соединения на порту 22; настраивается через файл /etc/ssh/sshd_config.
ssh
Клиент SSH для подключения к удалённому серверу SSH; синтаксис: ssh -l имя_пользователя адрес_хоста; поддерживает туннелирование трафика и перенаправление X11.
ssh-keygen
Утилита генерации пар криптографических ключей для аутентификации SSH; ssh-keygen -t rsa — ключи RSA, ssh-keygen -t dsa — ключи DSA; ключи сохраняются в ~/.ssh/.
ssh-copy-id
Утилита безопасного копирования открытого ключа SSH в файл ~/.ssh/authorized_keys на удалённой системе.
/etc/ssh/sshd_config
Основной конфигурационный файл демона sshd; содержит директивы PermitRootLogin, AllowUsers, Port, Protocol, HostKey, ListenAddress, AllowTcpForwarding.
~/.ssh/authorized_keys
Файл в домашнем каталоге пользователя на сервере SSH; содержит открытые ключи клиентов, которым разрешена аутентификация по ключу без ввода пароля.
~/.ssh/known_hosts
Файл в домашнем каталоге пользователя; хранит открытые ключи хостов, к которым ранее устанавливались SSH-соединения; предотвращает атаки типа «человек посередине».
port forwarding (перенаправление портов / туннелирование)
Функция SSH, позволяющая шифровать трафик других протоколов, туннелируя его через SSH-соединение; ssh -L локальный_порт:хост:удалённый_порт создаёт локальный туннель.
SCP (Secure Copy)
Утилита защищённого копирования файлов между системами через SSH; синтаксис: scp файл пользователь@хост:путь.
SFTP (Secure File Transfer Protocol)
Утилита защищённой передачи файлов через SSH; аналог FTP с полным шифрованием и расширенными возможностями управления файлами.
GPG (GNU Privacy Guard)
Реализация стандарта OpenPGP с открытым исходным кодом; утилита командной строки gpg позволяет шифровать и цифровым образом подписывать файлы и сообщения; поддерживает RSA, DSA, AES, 3DES, Blowfish.
gpg --gen-key
Команда генерации пары ключей GPG; предлагает выбрать тип ключа (RSA/DSA), размер и срок действия, после чего создаёт пару и сохраняет в ~/.gnupg/.
gpg --encrypt / gpg -e
Команда шифрования файла с помощью GPG; синтаксис: gpg -e -r имя_пользователя файл; создаёт зашифрованную копию с расширением .gpg.
Команды создания и проверки цифровой подписи GPG для файла или сообщения.
gpg --export / gpg --import
Команды экспорта открытого ключа GPG в файл и импорта ключа из файла в локальную связку ключей; позволяют обмениваться ключами с другими пользователями.
key server (сервер ключей)
Публичный сервер в интернете для хранения и распространения открытых ключей GPG; gpg --keyserver URL --send-key идентификатор загружает ключ на сервер.
Специальный документ GPG, создаваемый командой gpg --gen-revoke; применяется для объявления пары ключей недействительной при компрометации или утере; рекомендуется создавать сразу после генерации ключей.
passphrase (парольная фраза)
Строка символов для защиты закрытого ключа GPG или SSH; запрашивается при каждом использовании закрытого ключа; без парольной фразы любой, получивший файл ключа, может им воспользоваться.
keyring (связка ключей)
Файл GPG, хранящий набор ключей: pubring.gpg — открытые ключи, secring.gpg — закрытые ключи, trustdb.gpg — база доверия; располагаются в каталоге ~/.gnupg/.
OpenPGP
Открытый стандарт шифрования (RFC 4880), определяющий форматы ключей, сертификатов и зашифрованных сообщений; GPG является свободной реализацией этого стандарта.
OpenSSL
Пакет с открытым исходным кодом, устанавливаемый в большинстве дистрибутивов Linux; используется для создания внутреннего удостоверяющего центра, генерации ключей и сертификатов.
3DES (Triple Data Encryption Standard)
Симметричный алгоритм шифрования; шифрует данные в три этапа, используя 112-битный или 168-битный ключ.
AES (Advanced Encryption Standard)
Современный симметричный алгоритм шифрования; поддерживает ключи 128, 192 и 256 бит; более эффективен и надёжен, чем 3DES.
RSA (Rivest Shamir Adleman)
Широко применяемый алгоритм асимметричного шифрования; используется в SSH, GPG и других протоколах; пары ключей должны быть не менее 1024 бит.
DSA (Digital Signature Algorithm)
Криптографический стандарт асимметричного шифрования, предназначенный для создания цифровых подписей; поддерживается SSH и GPG.