Gnu privacy guard for windows

GPG или OpenPGP (GnuPG — GNU Privacy Guard) — это свободная программа с открытым исходным кодом для криптографической защиты Ваших личных файлов или сообщений. GnuPG был разработан как бесплатная альтернатива проприетарному PGP (Pretty Good Privacy) и выпущен под «GNU General Public License» свободной лицензией.

Ввиду последних скандалов с тотальной прослушкой Интернет трафика провайдерами, крупными веб-сервисами (Google, Yahoo etc.), всяческими службами безопасности (АНБ, ФСБ, СБУ, ЦРУ и т.д.), использование GnuPG в Windows будет полезно всем, кто беспокоится о сохранности своих приватных данных.

Как использовать OpenPGP (GnuPG) в Windows

Для начала нам нужно установить GnuPG, но для Windows специально создан порт под именем Gpg4win.

Для загрузки доступны три реализации Gpg4win:

• Gpg4win — один большой глючный комбайн;
• Gpg4win-Light — лайт версия глючного комбайна;
• Gpg4win-Vanilla — исключительно только основные GnuPG компоненты.

К установке рекомендуется только Gpg4win-Vanilla, другие варианты тоже можно устанавливать, но они могут часто глючить и вводить в заблуждение, например при попытке создать пару ключей в Windows XP, как через графический интерфейс так и через консоль, я получил неизвестную ошибку в приложении pinentry.exe с сообщением «gpg: problem with the agent: Input/output error» и предложением отправить отчет дядюшке Биллу

Я предупредил, а кто поставил не Gpg4win-Vanilla, то я не виноват!:) Теперь нам нужно создать пару ключей (публичный и приватный), один из которых (публичный) опубликовать на сервере ключей (по умолчанию keys.gnupg.net) для того, чтобы нам каждый раз не высылать свой публичный ключ тому, с кем мы собираемся обмениваться шифровками, а чтобы он самостоятельно мог его получить в любое время и из любой точки сети Интернет.

В целом использование OpenPGP (GnuPG) в Windows, да и не только, сводится к таким этапам:

1. Установка Gpg4win-Vanilla;
2. Создание пары PGP ключей;
3. Обмен публичными PGP ключами, обычно через сервер ключей;
4. Шифровка и обмен сообщениями/файлами с использованием публичных ключей;
5. Расшифровка сообщений/файлов с помощью своего приватного ключа.

В приведённых здесь примерах используется портативный вариант Gpg4win-Vanilla версии 2.2.1.16059. О том, как создать портативную версию Gpg4win будет рассказано далее.

Главное, что нужно помнить — это то, что GnuPG (OpenPGP) в Windows корректно работает только из командной строки, а большая часть графических инструментов для Windows одарят Вас различными глюками и багами. Хотя, собственно и в командной строке Windows не всё так гладко с OpenPGP, когда речь идёт о кириллице, но об этом позже…

Установка Gpg4win

Установка Gpg4win сводится к банальному нажатию кнопки «Далее». Как ранее упоминалось желательно устанавливать Gpg4win-Vanilla, который содержит только основные GnuPG компоненты, а иначе вполне вероятно получим множественные глюки.

Создание пары PGP ключей

В ходе создания пары OpenPGP (GnuPG) ключей нужно будет ввести пароль не менее 8-ми символов для приватного ключа, в котором обязательно должны быть буквы (желательно разного регистра) и хотя бы одна-две цифры — чем длиннее пароль на приватный ключ, тем более стойким он будет к взлому! Для того, чтобы создать пару GnuPG (OpenPGP) ключей, выполним:

С:\PORTABLE\GnuPG\pub>gpg --gen-key
gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
 
gpg: keyring `С:/PORTABLE/GnuPG/home/secring.gpg' created
gpg: keyring `С:/PORTABLE/GnuPG/home/pubring.gpg' created
Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
Your selection?
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 4096
Requested keysize is 4096 bits
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y
 
GnuPG needs to construct a user ID to identify your key.
 
Real name: Windows Remote Shaman (www.remoteshaman.com)
Email address: remoteshaman.com@gmаil.соm
Comment: GPG key for remoteshaman.com@gmаil.соm
You selected this USER-ID:
    "Windows Remote Shaman (www.remoteshaman.com) (GPG key for remoteshaman.com@
gmаil.соm) <remoteshaman.com@gmаil.соm>"
 
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.
 
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
gpg: С:/PORTABLE/GnuPG/home/trustdb.gpg: trustdb created
gpg: key 346B72D7 marked as ultimately trusted
public and secret key created and signed.
 
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
pub   4096R/346B72D7 2014-01-19
      Key fingerprint = 8CC0 592D 17F5 0B9D A625  3324 1590 B040 346B 72D7
uid                  Windows Remote Shaman (www.remoteshaman.com) (GPG key for r
emoteshaman.com@gmаil.соm email) <remoteshaman.com@gmаil.соm>
sub   4096R/6D2314B5 2014-01-19
 

После ввода «(O)kay» и сообщения «You need a Passphrase to protect your secret key.» мы должны сразу же увидеть окно для ввода пароля на наш приватный OpenPGP (GnuPG) ключ:

Но в моём случае процесс \GnuPG\gpgp2.exe не смог вовремя получить доступ к Loopback интерфейсу, закрыто брандмауэром, в результате окна для ввода пароля я так и не дождался, оно не появилось даже после повторной попытки создать пару ключей. Если в Вашем случае возникла также ситуация, то разрешите в брандмауэре для процесса \GnuPG\gpgp2.exe доступ к Loopback интерфейсу, после удалите всё из каталога \GnuPG\home, кроме файлов gpa.conf, gpg.conf, pubring.gpg, secring.gpg и trustdb.gpg, после чего повторите попытку.

Сначала просмотрим список установленных ключей и найдём там ИД своего «pub» ключа, он понадобится нам для отправки на сервер ключей и публикации на сайтах или в любых других местах:

С:\PORTABLE\GnuPG\pub>gpg --list-keys
С:/PORTABLE/GnuPG/home/pubring.gpg
----------------------------------------
pub   4096R/346B72D7 2014-01-19
uid                  Windows Remote Shaman (www.remoteshaman.com) (GPG key for r
emoteshaman.com@gmаil.соm email) <remoteshaman.com@gmаil.соm>
sub   4096R/6D2314B5 2014-01-19
 

Наш pub ИД «346B72D7», его также можно было узнать/записать вовремя создания пары ключей, отправляем его на сервер ключей:

С:\PORTABLE\GnuPG\pub>gpg --keyserver keys.gnupg.net --send-key 346B72D7
gpg: sending key 346B72D7 to hkp server keys.gnupg.net
 

Для отправки ключей на сервер процессу «gpg2keys_hkp.exe» нужно будет разрешить исходящее TCP соединение с удалённым ИП «130.133.110.62» на удалённый порт «11371«. Для того, чтобы убедится, что наш публичный ключ уже на сервере, открываем в браузере адрес keys.gnupg.net (иногда может переадресовать на другой, рабочий в текущий момент), в поисковой форме отмечаем «Index choice — Verbose Index«, в поле «Search text» вводим часть нашего «uid» (в нашем случае «Windows Remote Shaman»), дальше жмем Search и получаем результат:

Search results for 'windows shaman remote'
Type bits/keyID     cr. time   exp time   key expir
pub  4096R/346B72D7 2014-01-19            
 
uid Windows Remote Shaman (www.remoteshaman.com) (GPG key for \
        remoteshaman.com@gmаil.соm email) <remoteshaman.com@gmаil.соm>
sig  sig3  346B72D7 2014-01-19 __________ __________ [selfsig]
 
sub  4096R/6D2314B5 2014-01-19            
sig sbind  346B72D7 2014-01-19 __________ __________ []

Для успешной шифровки, обмена и дешифровки сообщений/файлов у отправителя и получателя должны быть публичные ключи — как минимум у отправителя шифрованного сообщения должен быть публичный ключ получателя! Для того чтобы получить (импортировать) публичный ключ получателя нужно узнать «pub» ИД ключа и выполнить:

C:\PORTABLE\GnuPG\pub\>gpg --recv-keys 346B72D7
gpg: requesting key 346B72D7 from hkp server keys.gnupg.net
gpg: key 346B72D7: public key "Windows Remote Shaman (www.remoteshaman.com) (GPG
 key for remoteshaman.com@gmаil.соm email) <remoteshaman.com@gmаil.соm>" importe
d
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
 

Шифровка и обмен файлами с использованием публичных ключей

Мы установили GnuPG и у нас есть импортированный публичный ключ «gpg --recv-keys 346B72D7» получателя, настал момент совершить обмен зашифрованным файлом.

Шифрование файла в GnuPG выполняется командой:

C:\PORTABLE\GnuPG\pub\>gpg -e -r 346B72D7 test.txt
gpg: 6D2314B5: There is no assurance this key belongs to the named user
 
pub  4096R/6D2314B5 2014-01-19 Windows Remote Shaman (www.remoteshaman.com) (GPG
 key for remoteshaman.com@gmаil.соm email) <remoteshaman.com@gmаil.соm>
 Primary key fingerprint: 8CC0 592D 17F5 0B9D A625  3324 1590 B040 346B 72D7
      Subkey fingerprint: F711 E6D7 034B 4D58 B324  DFB2 6B94 B164 6D23 14B5
 
It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.
 
Use this key anyway? (y/N) y
 

В примере выше был зашифрован файл «test.txt», в котором содержалось сообщение «test message«. На выходе мы получили файл «test.txt.gpg».

Для зашифрованного файла был определён «-r» получатель (—recipient) с ИД публичного ключа «346B72D7«. Этот файл сможет расшифровать только получатель с ИД «346B72D7», а если отправитель тоже хочет иметь возможность его расшифровать в будущем, то при шифровании нужно также использовать и публичный ключ отправителя «gpg -e -r ID_FROM -r ID_TO test.txt«, где «ID_FROM» ИД публичного ключа отправителя, а «ID_TO» ИД публичного ключа получателя.

Теперь зашифрованный файл test.txt.gpg можно смело отправить по сети получателю или даже выложить на каком-то файлообменнике.

Для того чтобы расшифровать «test.txt.gpg» выполним:

С:\PORTABLE\GnuPG\pub>gpg -d test.txt.gpg > test.txt
 
You need a passphrase to unlock the secret key for
user: "Windows Remote Shaman (www.remoteshaman.com) (GPG key for remoteshaman.co
m@gmаil.соm email) <remoteshaman.com@gmаil.соm>"
4096-bit RSA key, ID 6D2314B5, created 2014-01-19 (main key ID 346B72D7)
 
gpg: encrypted with 4096-bit RSA key, ID 6D2314B5, created 2014-01-19
      "Windows Remote Shaman (www.remoteshaman.com) (GPG key for remoteshaman.co
m@gmаil.соm email) <remoteshaman.com@gmаil.соm>"
 

Вводим пароль от своего приватного ключа и получаем расшифрованный файл:

Вместо «gpg -d test.txt.gpg > test.txt» можно использовать «gpg --output test.txt -d test.txt.gpg» или просто «gpg test.txt.gpg«, а иначе содержимое файла будет выведено в консоль.

При расшифровке файла/сообщения в обычной файловой системе (не на виртуальном шифрованном диске) нужно помнить, что расшифрованный файл после обычного удаления будет доступен доступен для восстановления, а чтобы этого избежать, то для его безвозвратного удаления нужно использовать специальные программы, например sdelete (входит в пакет «сисьинтерналс суита»).

Шифровка и обмен почтовыми сообщениями с использованием публичных GPG ключей

Описанный ниже метод обмена шифрованными GPG сообщениями будет полезен в случаях, когда почтовый клиент оппонента не поддерживает автоматическую обработку шифрованных GPG сообщений, как например Outlook Express.

Шифрование электронных почтовых сообщений с использованием GPG ключей выполняется почти аналогично шифрованию файлов, но с некоторыми отличиями. В чём заключаются эти отличия?

В примере выше шифрование файла выполнялось в двоичном формате (binary), что не хорошо при передаче в теле почтового сообщения, но допустимо при передаче самого зашифрованного файла во вложении к электронному письму.

Если мы хотим передать само зашифрованное сообщение в теле письма, то у нас ест несколько вариантов:

1. Создать обычный текстовый файл (расширение .txt) в котором набрать нужное сообщение, после чего зашифровать его с флагом «-a» (—armor);
2. Скопировать в буфер обмена и там его зашифровать при помощи графических утилит kleopatra.exe или gpa.exe

Первый вариант реализуется из консоли, с помощью команды «gpg -e -a -r TO_ID -r FROM_ID filename.txt«, в результате чего получим файл «filename.txt.asc» с примерно таким содержимым:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2.0.22 (MingW32)
 
hQIMA2uUsWRtIxS1ARAApAEj1FfvasNx68tQbjU6G80LVl5WGeqiZmnYR+Dy/ryD
................
TQHuyM587gfUf/3kwiKPvbzgCtH3yaiwAuVXbl8JufdxKaMaKrPrXhGQHdueWlQD
gE0NKMmwO/MbtKDAZtq61ojiM2E49O98XnYDVlS1
=oGdy
-----END PGP MESSAGE-----

Это сообщение в ASCII формате можно свободно отправлять в теле электронного сообщения, желательно в виде обычного текста, а не в виде ХТМЛ.

Вторым вариантом шифрования текста сообщения является использование программ из пакетов Gpg4win или Gpg4win-Light — это либо GPA (GNU Privacy Assistant (альтернатива WinPT)) или Kleopatra (Менеджер ключей Kleopatra).

Например, при использовании Менеджера ключей Kleopatra последовательность шифрования следующая:

1. Нужно запустить менеджер ключей Kleopatra, после чего в «трее» появится соответствующий значок;
2. В текстовом редакторе набрать нужное сообщение, которое мы хотим зашифровать, после чего выделить его и скопировать через контекстное меню или использовать для этого комбинацию клавиш Ctrl+C;
3. В трее, на значке менеджера ключей Kleopatra, кликнуть правой кнопкой крыски, чем вызвать контекстное меню, где выбрать пункт «Clipboard — Encrypt«, в открывшемся окне добавить ИД ключей получателей (ака Add Recipient), далее нажать «Next — Ok«, после чего буфер обмена будет содержать уже зашифрованное сообщение, которое можно вставить куда угодно используя контекстное меню «Вставить» или комбинацию клавиш «Ctrl+V«.

В обоих случаях зашифрованный текст сообщения будет в ASCII формате, который можно смело отправлять в теле электронного почтового сообщения.

Экспорт/импорт PGP (GnuPG) ключей

Если мы не желаем обмениваться публичным ключом через публичные сервера ключей, то мы можем выполнить его экспорт в файл и переслать по почте. Экспорт публичного ключа выполняется с помощью флага «—export«

gpg --export --output 346B72D7.public.gpg 346B72D7

Приведённая выше команда выполнит экспорт публичного PGP ключа (с ИД 346B72D7) в файл 346B72D7.public.gpg в двоичном (binary) формате, но это может быть неудобно при его пересылке например в теле сообщения по электронной почте. Мы можем выполнить экспорт ключа в ASCII формате добавив флаг «—armor» (или просто «-a»):

gpg --export --armor --output 346B72D7.public.gpg 346B72D7

Для того чтобы выполнить экспорт приватного PGP ключа, вместо флага «—export» мы должны использовать флаг «—export-secret-keys«, но, странно, что этого флага нет в справке «gpg --help«:

gpg --export-secret-keys -a --output 346B72D7.private.gpg 346B72D7

Импорт ключей выполняется командой «gpg --import public.gpg» или «gpg --allow-secret-key-import --import private.gpg» соответственно. Смотрим список ключей «gpg --list-keys«.

Экспорт приватных ключей желательно выполнять прямо на съёмные носители или же виртуальные шифрованные диски, имхо в обычной файловой системе после обычного удаления они будут доступны для восстановления.

Для создания точек соединения между файловой системой и виртуальным шифрованным диском, а если проще создания символьной ссылки (ака symlink в Unix), можно использовать linkd.

Как проверить PGP подпись файла

В примере ниже мы проверяем PGP подпись файла multibit-0.5.16-windows-setup.exe, которая расположена в файле с тем же именем, но только с приставкой «.asc» — оба файла должны располагаться в одной и той же директории («C:\» в нашем случае):

С:\PORTABLE\GnuPG\pub>gpg --verify multibit-0.5.16-windows-setup.exe.asc
gpg: no signed data
gpg: can't hash datafile: No data
 
С:\PORTABLE\GnuPG\pub>
С:\PORTABLE\GnuPG\pub>gpg --verify multibit-0.5.16-windows-setup.exe.asc
gpg: Signature made 12/18/13 13:33:21 +ЁхЎш , TєЁЎш  (чшьр) using RSA key ID 23F
7FB7B
gpg: Good signature from "Jim Burton (multibit.org developer) <jim618@fastmail.c
o.uk>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 299C 423C 672F 47F4 756A  6BA4 C197 2AED 79F7 C572
     Subkey fingerprint: 4A71 A836 F572 01B4 D088  7D60 0820 A658 23F7 FB7B
 

При первой проверке файл «multibit-0.5.16-windows-setup.exe» был расположен в другом каталоге, при второй проверке оба файла были в корне диска «С:\PORTABLE\GnuPG\pub» откуда мы и выполняли проверку подписи. Результат проверки положительный: «Good signature from …«.

Предупреждение говорит нам о том, что мы не доверяем любым ключам, которыми был подписан ключ Джима (Jim Burton):

GPG: ВНИМАНИЕ: Этот ключ не заверен доверенной подписью!
GPG: Здесь нет никаких признаков, что подпись принадлежит владельцу.

Если Вы хотите включить этот ключ в свою цепочку доверия, тогда Вам нужно подписать ключ Джима своим собственным ключом. Дополнительную информацию о подписи ключей и других особенностях GPG можно найти здесь.

Создание портативной (portable) версии Gpg4win

Для того чтобы создать портативную версию GnuPG сначала нужно установить полную, «лайт» или «vanilla» версию, после чего из консоли перейти в директорию установки и выполнить:

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
 
C:\Documents and Settings\root>cd C:\Program Files\GNU\GnuPG
 
C:\Program Files\GNU\GnuPG>mkportable C:\PORTABLE\GnuPG
 
C:\Program Files\GNU\GnuPG>

В каталоге C:\PORTABLE\GnuPG будет создана портативная версия GnuPG. Ваши GnuPG ключи и настройки будут считываться из директории ‘home’ корневого каталога портативной версии.

Если хотим использовать gpg команду из любого каталога, тогда добавим путь к каталогу С:\PORTABLE\GnuPG\pub в переменную PATH. Можно создать пользовательскую переменную PATH, т.е. не обязательно править системную!

Gpg4win и проблемы с кириллицей

Если в консоли возникают проблемы с кириллицей, а они обычно возникают всегда, то обходим (не решаем) их переименованием каталога «%Program Files%\GPG4win\share\locale\ru«, например в «%Program Files%\GPG4win\share\locale\sru«:) После этого будем иметь английский интерфейс, но уж пусть лучше английский, чем куча каракуль в консоли.

GnuPG под Windows также не любит кириллические символы в именах шифруемых файлов, поэтому лучше избегать кириллицы в именах файлов!

…

Всё, кажись основные моменты для успешного использования GnuPG в Windows раскрыты. Теперь, после GnuPG шифрования, наши с Вами приватные данные будут в относительно большей безопасности, чем если бы они передавались в открытом виде.

Дополнительно предлагается изучить информацию по представленным ниже ссылкам, а про всё, что не найдено и не понято, пишите в комментарии.

Ссылки по теме GnuPG

• GnuPG — Википедия
• openPGP в России / Часто задаваемые вопросы / Общие вопросы
• openPGP в России / Часто задаваемые вопросы / Шифрование, подпись, уничтожение данных
• Gpg4win — Documentation
• GnuPG — Documentation
• Gpg4win Compendium — A Information on the GpgOL Outlook extension

This is gpg4win - the GUI Installer Builder for W32.

See also the file doc/README.en.txt.

For MSI Package instructions see src/README-msi.txt.

Instructions:
=============

1. Download the source and binary packages that are required to build
   the installer:

   $ cd packages
   $ sh download.sh
   [...]
   $ cd ..

2. Generate config files

   $ ./autogen.sh

3. Configure the source tree for cross compilation:

   $ ./autogen.sh --build-w32

4. Build the installer:

   $ make

The installer will be made available under src/installers:

src/installers/gpg4win-X.Y.Z.exe


Instructions for AppImage:
==========================

1. Download the source and binary packages that are required to build
   the installer:

   $ cd packages
   $ sh download.sh
   [...]
   $ cd ..

2. Generate config files

   $ ./autogen.sh

3. Build the Docker image that will be used for creating the AppImage:

   $ docker/build-appimage-docker-image.sh

4. Build the AppImage using the Docker image:

   $ docker/run-appimage-build.sh

   During development is it often easier to use

   $ docker/run-appimage-build.sh --devel

   which does not delete the temporary directory.  Inside the
   docker shell you start the build using
      src/src/appimage/build-appimage.sh


Basic requirements
==================

A decent POSIX system is required for building this software as well
as GNU make.  We are using Debian GNU/Linux 10 (buster), any other
POSIX system should work as well but you may run into problems due to
different toolchain versions. For MSI Packages you will additionally
need the dependencies mentioned in src/README-msi.txt

To satisfy all needs of configure at least the following packages need
to be installed:

    build-essential autoconf automake mingw-w64 mingw-w64-i686-dev \
    mingw-w64-x86-64-dev nsis stow unzip icoutils \
    libglib2.0-dev gettext docbook-utils ghostscript texinfo \
    texinfo libgdk-pixbuf2.0-dev libqt4-dev-bin \
    wget mingw-w64 cmake libgtk2.0-bin libxml2-utils \
    gperf libgettextpo-dev automake-1.15 libkf5config-dev libkf5config-dev-bin \
    libkf5coreaddons-dev gpgrt-tools imagemagick libboost-graph-dev icoutils

Additionally on Debian Buster cmake has to be at least version 3.1.16 from
debian backports.

Note: That Gpg4win requires to be compiled with the -posix flavor of mingw
so if you have both installed use update-alterantives to select the posix ones.

To use update-alternatives:
    update-alternatives --install /usr/bin/i686-w64-mingw32-gcc \
        i686-w64-mingw32-gcc /usr/bin/i686-w64-mingw32-gcc-posix 100

    update-alternatives --install /usr/bin/i686-w64-mingw32-g++ \
        i686-w64-mingw32-g++ /usr/bin/i686-w64-mingw32-g++-posix 100


Building on other platforms is not fully supported. Consider using docker:

./autogen.sh
./docker/build-gpg4win-docker-image.sh
./docker/run-gpg4win-build.sh

It is known that some developers compile Gpg4win also on other platforms

For Fedora the required packages might be:

yum install mingw64-gcc-c++ icoutils stow autoconf automake git cmake \
    mingw32-gcc-c++ mingw32-libstdc++ mingw-nsis-base texinfo-tex \
    ghostscript-tools-dvipdf kf5-kconfig-devel gettext gettext-devel \
    patch flex bison gperf kf5-kcoreaddons-devel mingw32-nsis



Building the Webpages
=====================

The website is in the dedicated branch "website" in the git reposity.
Checkout that branch and read the instructions:

  git checkout website


Development Branches
====================

The old version of gpg4win (version < 1.2) is since 1.1.3 tracked by
the GIT branch: gpg4win-1-branch.  Only important fixes will go into
this version.  The current version in the GIT master starts as version
1.9.



Adding new packages to the installer:
=====================================

This requires editing a couple of files; we might eventually automate
some of these tasks.  Here is a short run up:

1. Add constants for the package FOO into src/config.nsi.in .

2. Create 2 new installer scripts, named src/inst-foo.nsi and
   uninst-foo.nsi and add them to EXTRA_DIST in src/Makefile.am.

3. Add foo to one the variables gpg4win_bpgks (if foo should not be
   build be the gpg4win) or gpg4win_spkgs (if foo should be build by
   gpg4win) in src/Makefile.am .  Also add any required configure
   flags etc.

4. Add FOO to src/inst-sections.nsi.

5. Add detection of packages to configure.ac.  Check out the available
   macros in m4/gpg4win.m4.  Depending on the way an upstream package
   is packaged, you might need to write a new macro.

6. Add download information to packages/download.sh.

7. If the package ships pkg-config (*.pc) support files, you need add
   post install instructions to Makefile.am.  Note that *.pc files may
   be in the "runtime" directory ${pkgidir} if the package is built
   within gpg4win (or peculiarly shipped), or in the development
   package ${pkgidir_dev}.

Then run the usual "./autogen.sh" to create the actual configure file
and run configure as described above.

Kleopatra Locatization
======================

The kde-l10n package is generated with the script packages/gen-kde-l10n.sh
execute it after a build to generate an updated l10n package which
you can then upload and add to packages.common.
The tarballs and the nsis scripts are located in the temp directory
kde-l10n prints as output.


Installer Slideshow
===================

During installation we are showing a slide show. If you want to
change the contents shown add / modify files in the src/slideshow
subfolder. Install them in inst-gpg4win.nsi (Add them to the list
of files before g4wihelp::slide_show) and modify
src/slideshow/slides.dat accordingly.

Version numbers
===============

We use a specific order of version numbers.  This is best shown by an
example:

  2.1.1             - The final 2.1.1 release.
  2.1.1-beta88      - A snapshot before the 2.1.1 release.
                      (The 88 in this example is the number of
                       commits since the last release).

The important point is that we bump up the version number before we do
an release and append a suffix to mark it as a development version.
This allows other software to use a configure check for the next to be
released version of gpg4win.



Copyright
=========

The entire Gpg4win package is

  Copyright (C) 2005, 2006, 2007, 2008, 2009, 2012, 2013 g10 Code GmbH

  GPG4Win is free software; you can redistribute it and/or modify it
  under the terms of the GNU General Public License as published by
  the Free Software Foundation; either version 2 of the License, or
  (at your option) any later version.

  GPG4Win is distributed in the hope that it will be useful, but
  WITHOUT ANY WARRANTY; without even the implied warranty of
  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
  General Public License for more details.

  You should have received a copy of the GNU General Public License
  along with this program; if not, write to the Free Software
  Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
  02110-1301, USA


This file
=========

Copyright 2005, 2006, 2008 g10 Code GmbH

This file is free software; as a special exception the author gives
unlimited permission to copy and/or distribute it, with or without
modifications, as long as this notice is preserved.

This file is distributed in the hope that it will be useful, but
WITHOUT ANY WARRANTY, to the extent permitted by law; without even the
implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR
PURPOSE.

You can skip right to the installation for Windows or macOS. GnuPG is included in all major Linux distributions.

Introduction

GnuPG or “GNU Privacy Guard” is a free and open source implementation of the OpenPGP standard. GnuPG was first released in 1997, and has been actively developed and updated ever since. It is primarily used to secure communications between two or more people, however, you can encrypt any file for personal storage as well. Encryption can be done with the latest secure methods either by public key cryptography via RSA or ECC, or symmetric cryptography via AES or other ciphers.

Public Key Cryptography

Public key cryptography, also known as asymmetric cryptography, works by using someone else’s public key to encrypt information that they can decrypt with their private key. The idea is that only that person has possession and control of their private key, therefore you can be sure that they are the only person that can access the data. However, you should be sure that the public key you are using actually belongs to the intended recipient.

As a side note, you can use your private key to sign data so that the recipient knows that you sent it and that it hasn’t changed since you signed it.

Symmetric Key Cryptography

Symmetric key cryptography works by setting a password, and using that password in some cipher to encrypt data. The recipient would then use that password to decrypt the data. The issue here is that the recipient must first know the password. The other concern is that the recipient may not be the only one who knows the password, also the password could be brute-forced. As of this writing, GnuPG uses the AES256 cipher, so you know your data is secured, as long as the password isn’t compromised.

Installation on Windows

GnuPG can be installed on Windows through the official installer or via Gpg4Win. We’ll covering the official installer, as that is all that is needed for basic functionality. If you would like a graphical interface, you can use Gpg4Win if you choose.

1. Visit https://gnupg.org/ftp/gcrypt/binary/ in your browser and select the most recent version.
   • As of this writing the lastest installer is gnupg-w32-2.3.3_20211012.exe
2. Run the installer. You may need to provide administrator access.
3. Open a terminal or powershell window.
4. Type in gpg --version
   • You should get something similar to:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

PS C:\Users\User> gpg --version
gpg (GnuPG) 2.3.3
libgcrypt 1.9.4
Copyright (C) 2021 g10 Code GmbH
License GNU GPL-3.0-or-later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: C:\Users\User\AppData\Roaming\gnupg
Supported algorithms:
Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
AEAD: EAX, OCB
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2

Installation on macOS

GnuPG can be installed on macOS through Homebrew, via GPGSuite or gpgOSX. I’ll be covering the Homebrew method, as that is all that is needed for basic functionality. If you would like a graphical interface, you can use GPGSuite if you choose.

1. If Homebrew is not installed, follow the instructions at https://brew.sh
2. Once Homebrew is installed run brew install gnupg in a Terminal window.
3. Now that GnuPG is installed, run gpg --version in the terminal.
   • You should get something similar to:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

~/ > gpg --version
gpg (GnuPG) 2.3.3
libgcrypt 1.9.4
Copyright (C) 2021 Free Software Foundation, Inc.
License GNU GPL-3.0-or-later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /Users/User/.gnupg
Supported algorithms:
Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
AEAD: EAX, OCB
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2

Digital signatures make sure that it was not modified and comes from a specific sender. Gpg4win supports both relevant cryptography standards, OpenPGP and S/MIME (X.509), and is the official GnuPG distribution for Windows. It is maintained by the developers of GnuPG. Gpg4win and the software included with Gpg4win are Free Software (Open Source; among other things free of charge for all commercial and non-commercial purposes).

Gpg4win is an installer for Windows and contains several Free Software components:

• GnuPG: The core; this is the actual encryption tool.
• Kleopatra: A certificate manager for OpenPGP and X.509 (S/MIME) and common crypto dialogs.
• GPA: An alternative certificate manager for OpenPGP and X.509 (S/MIME).
• GpgOL: A plugin for Microsoft Outlook 2003/2007/2010/2013 (email encryption).
• GpgEX: A plugin for Microsoft Explorer (file encryption).
• Claws Mail: A complete email application with crypto support.
• Gpg4win Compendium: The documentation (for beginner and advanced users), available in English and German.

OpenPGP & S/MIME

Gpg4win supports both: OpenPGP and S/MIME (X.509)

The configuration of X.509 root certificates is made simple by Gpg4win. Now, also inexperienced users can start using S/MIME out-of-the-box. Security aware system administrators should read the step by step instructions and define a systems-wide list of trusted X.509 root certificates.

High algorithmic strength of GnuPG

Gpg4win is the official GnuPG distribution for Windows and provides the high cryptographic standards of the GNU Privacy Guard. GnuPG follows the recommendations regarding algorithms and key length of the German Federal Office for Information Security (BSI).

To create OpenPGP and X.509 certificates Gpg4win uses a key length of 2048bit by default. The default algorithm for signing and encrypting is RSA.

SmartCard

Gpg4win supports using SmartCards for OpenPGP and S/MIME. You can find technical details on the GnuPG page.

Signing and encrypting

Sign single files or complete folders directly from the Windows Explorer with GpgEX or Kleopatra. You can select multiple files and folders to sign and encrypt them recursively into a gpgtar archive.

Checksums

Create and verify checksums of files — also directly from the Windows Explorer or Kleopatra. Gpg4win can create a unique checksum for each selected file, with which the integrity of these files can be verified any time later. Both creation and verification of these cryptographic checksums (hashes) are carried out in an analogous manner in the GUI. Gpg4win supports the hash algorithms SHA-1, SHA-256 and MD5.

Signing and encrypting

The provided Outlook plugin GpgOL allows to sign and encrypt emails directly in Microsoft Outlook. Attachments can be encrypted as well, in one go with the email body. Verifying signatures and decrypting messages is done directly in Outlook too.

User-friendly Certificate Selection

The selection of the right email certificate is a function of Kleopatra — based on the corresponding email address. Kleopatra shows the automated pre-selection of certificates in the following dialog.