Исследователи обнаружили возможность взлома ключей pgp с помощью арендованной мощности хэширования

OpenKeychain или PGP на Android

Шифрование PGP

Первое, что обычно приходит на ум при упоминании зашифрованной переписки, — это PGP. Однако далеко не все реализации этой популярной криптосистемы с открытым ключом в равной степени безопасны.

Различные методы ослабления криптостойкости официально использовались США для экспортных продуктов, а неофициально — и для всех массовых. Компания Symantec, купившая у Филиппа Циммермана права на PGP и закрывшая исходный код своих продуктов, просто обязана соблюдать действующие ограничения американского законодательства и следовать негласным «рекомендациям» своего правительства.

Поэтому сторонники приватности долгое время считали заслуживающими доверия лишь авторские версии PGP 2.x, которые использовали для шифрования сессионных ключей алгоритм RSA или IDEA. Однако после того как в 2010 году методом решета числового поля удалось за приемлемое время вычислить ключ RSA длиной 768 бит, их надежность тоже перестала считаться достаточно высокой.

Внимание современных хактивистов и прочих правозащитников переключилось на свободные реализации PGP с открытым исходным кодом. Большинство из них позволяет выбирать из нескольких алгоритмов и генерировать более длинные ключи

Однако и здесь не все так просто. Более длинный ключ еще не гарантирует большей криптостойкости системы. Для этого в ней должны отсутствовать другие недостатки, а все биты ключа быть в равной степени случайными. На практике это часто оказывается не так.

Битовую последовательность ключа всегда формирует какой-то известный генератор псевдослучайных чисел. Обычно это предустановленный в ОС или взятый из готовых библиотек ГПСЧ. Его случайное или преднамеренное ослабление — самая часто встречающаяся проблема. Некогда популярный Dual_EC_DRBG (использовавшийся и в большинстве продуктов компании RSA) непосредственно был разработан в АНБ и содержал закладку. Выяснили это спустя семь лет, уже когда Dual_EC_DRBG использовался повсеместно.

Основы

Эффективность пары асимметричных ключей как меры безопасности во многом зависит от того, каким образом закрытый ключ данной пары защищен от компрометации и какой ущерб его разглашение способно нанести владельцу.

В ранних версиях PGP для шифрования, подписи и сертификации использовался один и тот же ключ RSA. В случае компрометации закрытого ключа его следовало отозвать и сгенерировать новый. При этом, те ключи, которые сертифицированы данным ключом, теряли приобретенную степень доверия, а новый ключ надо было заверять заново. Такое могло произойти даже в случае, когда правоохранительные органы требовали раскрытия ключа, используемого для зашифрованной корреспонденции. То есть закрытый ключ использовался часто, подвергался повышенному риску утраты секретности и при этом ущерб от такой утраты был крайне высоким.

Позднее в стандарт была внесена концепция подключей (subkeys), и типичный ключ стал состоять из «главного» ключа подписи и сертификации (обычно DSA) и подключа шифрования (обычно Elgamal). В данном случае разглашение закрытого ключа шифрования влекло за собой отзыв и замену лишь данного подключа без утраты главного ключа сертификации и всех собранных подтверждающих подписей. С другой стороны, утрата секретности закрытой части главного ключа требовала его полной замены, при том, что ключ DSA достаточно уязвим к утечке при частом использовании из-за мелких, трудно обнаружимых ошибок реализации алгоритма подписи или из-за недобросовестной реализации алгоритма DSA, что тоже непросто обнаружить. Ограниченный размер модуля тоже снижает стойкость.

В этой статье предлагается конструкция ключа OpenPGP, использующая подключи как для шифрования, так и для подписи данных, и тем минимизирующая риск утраты главного сертифицирующего ключа. В приведенном примере для создания ключа используется программа GPG (она же GnuPG, или GNU Privacy Guard), но в других современных реализациях стандарта OpenPGP тоже есть возможность создания и использование такого ключа.

Импорт открытых ключей других пользователей

Теперь вы можете принимать открытые ключи от других пользователей, с которыми вы хотели бы общаться.

Импортировать открытый ключ пользователя можно несколькими способами. Если вы получили открытый ключ в текстовом файле, GPG может импортировать его с помощью следующей команды:

Также существует вероятность того, что пользователь, с которым вы хотите общаться, загрузил свой открытый ключ на специальный сервер. Такие серверы используются для размещения открытых ключей людей со всего мира.

Популярным сервером ключей является MIT. В браузере вы можете искать людей по их имени или адресу электронной почты:

Также поиск можно выполнять с помощью GPG.

Отделенная подпись

Применение подписанных документов ограниченно. Получатель
должен восстанавливать документ из подписанной версии, и даже в случае
прозрачной подписи, подписанный документ должен быть отредактирован для
получения оригинала. Поэтому имеется третий метод подписи документов,
который создает отделенную подпись (detached signature). Отделенная подпись
создается при использовании команды
.

alice% gpg --output doc.sig --detach-sign doc

You need a passphrase to unlock the secret key for
user: "Alice (Judge) <alice@cyb.org>"
1024-bit DSA key, ID BB7576AC, created 1999-06-04

Enter passphrase: 

Для проверки подписи необходимы и отделенная подпись, и документ.
Для проверки используется команда
--verify.

blake% gpg --verify doc.sig doc
gpg: Signature made Fri Jun  4 12:38:46 1999 CDT using DSA key ID BB7576AC
gpg: Good signature from "Alice (Judge) <alice@cyb.org>"

Отделение и импорт подключей

А теперь самое главное. Поскольку мы не хотим подвергать главный ключ новой ключевой пары риску компрометации, то должны хранить и применять его особо безопасным образом, в отличие от подключей подписи и шифрования, операционные условия которых могут быть значительно шире. Таким образом, нам необходимо «отделить» подключи от главного ключа, экспортировав их в отдельный файл. Этой цели служит специальная команда --export-secret-subkeys, реализованная в GnuPG 1.4.2.

Выполним (в DOS/Windows не забудьте скорректировать путь к каталогу на брелоке):

gpg -o /mnt/pen/.gnupg/subkeys.gpg —export-secret-subkeys 0x1234ABCD

Эта команда заставит GnuPG экспортировать закрытые подключи созданного ключа (и только их) в файл subkeys.gpg. Прежде чем импортировать этот файл в основную связку ключей, вернем в изначальное состояние — удалите из gpg.conf внесенные ранее строчки. Затем произведите импорт секретных частей подключей подписи и шифрования, а также весь открытый ключ целиком (заметьте, мы не трогаем секретную часть главного ключа):

gpg —import /mnt/pen/.gnupg/subkeys.gpg
gpg —import /mnt/pen/.gnupg/pubkey.gpg

Проверим результат:

gpg —list-keys 0x1234ABCD

pub 4096R/1234ABCD 2007-01-12
uid test key
uid test key <something@somewhere.net>
sub 1024R/12121212 2007-01-12
sub 1024R/ABABABAB 2007-01-12

gpg —list-secret-keys 0x1234ABCD

sec# 4096R/1234ABCD 2007-01-12
uid test key
uid test key <something@somewhere.net>
ssb 1024R/12121212 2007-01-12
ssb 1024R/ABABABAB 2007-01-12

Обратите внимание на второй листинг. В первой строке после обозначения закрытой части главного ключа стоит знак решетки: sec#

Это означает, что секретный материал данного ключа недоступен на связке (ведь мы импортировали только отделенные подключи), а есть лишь его сертификат. Если же вы не видите значка решетки, то что-то прошло не так, и закрытая часть главного ключа тоже как-то попала на связку (возможные причины: вы по ошибке импортировали файл seckey.gpg или забыли восстановить настройки в gpg.conf). В этом случае удалите ключ со связки и начните всё , включая генерацию нового ключевого материала.

Если полученный результат верен, можете спокойно удалить только что импортированные файлы pubkey.gpg и subkeys.gpg с USB-брелока или иного носителя, где производили все действия. Файл seckey.gpg, содержащий закрытую часть главного ключа, обязательно сохраните и не резервируйте на основной системе, иначе вы потеряете все преимущества подобной схемы разделения ключа.

Другая проблема: если злоумышленник захочет выдать себя за вашего собеседника? Anchor link

В нашем примере с Юлией и Сезаром посредники постоянно способны получать метаданные.

Допустим, что один из посредников оказался злоумышленником. Под злоумышленником мы будем подразумевать любого, кто намеревается нанести вам урон, пытаясь украсть либо подменить ваши данные. И по какой-либо причине наш злоумышленник желает узнать о содержимом сообщения Юлии для Сезара.

Допустим, этот злоумышленник смог обмануть Юлию, и она получила подложный файл открытого ключа «Сезара». Юлия не заметила, что это на самом деле не открытый ключ Сезара. Злоумышленник получает сообщение Юлии, просматривает его и передает дальше Сезару.

Злоумышленник может даже изменить содержимое сообщения (файла) перед тем, как передать его Сезару.

В большинстве случаев злоумышленник не изменяет содержимое сообщения. Он пересылает сообщение Юлии Сезару как будто бы ничего и не произошло. Сезар узнаёт, что они с Юлией должны встретиться в саду, но к их удивлению там оказывается и злоумышленник.

Это называется «атакой посредника», где посредником может оказаться человек либо компьютер.

К счастью, использование шифрования с открытым ключом способно предотвратить атаку посредника.

Шифрование с открытым ключом позволяет осуществить двойную проверку соответствия цифрового ключа и личности собеседника посредством так называемой «проверки отпечатков». Лучше всего такую проверку осуществлять при личной встрече. Ваш собеседник сравнит каждый символ отпечатка открытого ключа, предоставленного вами, с отпечатком вашего открытого ключа, находящегося у собеседника. Немного утомительно, но это действительно стоит сделать.

Приложения, использующие сквозное шифрование, также могут проверять отпечатки ключей, хотя и существуют некоторые вариации в названиях и способах реализации. В некоторых случаях необходимо очень внимательно прочитать каждый символ отпечатка, убедившись в том, что отпечаток на вашем экране совпадает с тем, что собеседник видит на своём. Другим способом проверки отпечатка является сканирование QR-кода с экрана телефона собеседника для подтверждения ключа его устройства. В приведённом ниже примере Юлия и Сезар могут встретиться лично, чтобы проверить отпечатки ключей своих телефонов, отсканировав QR-коды друг друга.

Если же роскошь личной встречи вам недоступна, вы можете отправить свой отпечаток по другому безопасному каналу связи, например с помощью другого мессенджера, чата или HTTPS-сайта, использующего сквозное шифрование.

В данном примере Сезар отправляет отпечаток своего открытого ключа Юлии с помощью смартфона, используя при этом другое приложение со сквозным шифрованием.

Напомним:

• Атака посредника – перехват злоумышленником сообщения, предназначенного вашему собеседнику. Атакующий может внести изменения в это сообщение, а может переслать его дальше, просто ознакомившись с содержимым.
• Криптография (шифрование) с открытым ключом позволяет противостоять атаке посредника с помощью проверки личностей отправителя и получателя. Это делается с помощью проверки отпечатков ключей.
• Открытый ключ вашего собеседника используется для шифрования сообщений, отправляемых ему. У каждого открытого ключа есть сокращенная версия — так называемый «отпечаток открытого ключа». Вы можете использовать его для проверки личности вашего собеседника.
• Закрытый ключ используется для шифрования сообщений в качестве цифровой подписи, подтверждающей ваше авторство.

Загрузка вашего ключа в Launchpad

Загрузка ваш ключ к Launchpad — всего лишь несколько кликов.

Откройте приложение «Пароли и ключи» (Seahorse). Появится этот экран.

Откройте приложение «Пароли и ключи (Seahorse)»

Пароли и клавиши (Seahorse)

Этот экран появится.

на File → New в глобальном меню или нажмите Ctrl + N

Либо перейдите в File → New в глобальном меню, либо нажмите Ctrl + N

В окне «Создать новый …» выберите «PGP-ключ» и нажмите «Продолжить»

. В окне «Создать новый …» выберите «PGP-ключ» и нажмите «Продолжить»

Нажмите «Ключ-серверы» Кнопка Выберите сервер ключей hkp://keyserver.ubuntu.com:XXXXX из ключей «Опубликовать» для списка и нажмите «Закрыть» Введите свое полное имя и ваш адрес электронной почты, комментарий является необязательным

Введите свое полное имя и адрес электронной почты, Комментарий необязателен

Введите надежный пароль, который вы запомните

Введите надежный пароль, который вы запомните

Подготовка к установке Enigmail Anchor link

При первом запуске Mozilla Thunderbird появится небольшое окно с просьбой подтвердить некоторые настройки по умолчанию. Рекомендуем нажать кнопку «Set as Default».

Добавление почтового адреса в Mozilla Thunderbird

Укажите имя, адрес электронной почты и пароль. Mozilla не будет иметь доступ к вашему паролю или почтовому аккаунту. Нажмите кнопку «Continue».

Во многих случаях Mozilla Thunderbird может автоматически определять нужные настройки.

Иногда Mozilla Thunderbird недостаёт информации, тогда настраивать нужно вручную. Вот как это делается для учётной записи Gmail:

• Сервер входящей почты (IMAP) – требуется SSL
  • imap.gmail.com
  • Порт: 993
  • Требуется SSL: да
• Сервер исходящей почты (SMTP) – требуется TLS
  • smtp.gmail.com
  • Порт: 465 или 587
  • Требуется SSL: да
  • Требуется аутентификация: да
  • Те же настройки, что и для входящей почты
•  Полное имя:  
• Название аккаунта / пользователя: ваш полный адрес Gmail (username@gmail.com). Пользователям Google Apps следует использовать собственный домен: username@your_domain.com
• Адрес электронной почты: ваш полный адрес Gmail (username@gmail.com). Пользователям Google Apps следует использовать собственный домен: username@your_domain.com
• Пароль: ваш пароль Gmail

Если для Google-аккаунта у вас включена двухэтапная аутентификация (это может понадобиться – в зависимости от модели угроз), то вы не сможете использовать свой обычный пароль Gmail в Thunderbird. Чтобы получить доступ к Gmail, вам придётся создать новый пароль Thunderbird специально для этой программы. Более подробная информация содержится в справочной системе Google.

Когда все данные аккуратно введены, нажмите кнопку «Done»..

Mozilla Thunderbird скачает копии электронных писем на ваш компьютер. Попробуйте отправить друзьям тестовое сообщение.

Importing Public Key from a Trusted Source

Note that if the software author tells you his/her public key ID on the website, then you can import the public key with the following command, so you don’t have to manually download the PGP public key and import it to your keyring.

gpg --recv-keys <key-ID>

Then display the fingerprint with:

gpg --fingerprint <key-ID>

And compare the fingerprint from output with the one published on website. This is more secure because the public key is imported from a public key server, which by default is set to  in file. There’re hundreds of public keyservers around the world. Ubuntu has their own key server. MIT also has one.

If you see the following error,

gpg: keyserver receive failed: No data

then you can try a different key server, like this:

gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 0x680D16DE

That’s it!

I hope this tutorial helped you verify PGP signature of software downloads. As always, if you found this post useful, then subscribe to our free newsletter or follow us on or like our Facebook page.

Anchor link

Появится небольшое окно с тремя кнопками. Нажмите кнопку «Export Public Keys Only».

Откроется окно сохранения файла. Чтобы легче найти его в будущем, есть смысл использовать папку «Documents». Теперь можете использовать этот файл по вашему усмотрению.

Осторожнее, не нажмите кнопку «Export Secret Keys». Экспорт закрытого ключа может дать злоумышленнику возможность притвориться вами (если ему удастся угадать ваш пароль).

Загрузка ключей на сервер

Серверы ключей облегчают поиск и скачивание открытых ключей. Большинство современных серверов ключей синхронизируются друг с другом. Таким образом, если открытый ключ загружен на один сервер, он в конечном счёте появится на всех серверах.

Публикацию вашего открытого ключа на сервере ключей можно рассматривать как удобный способ дать людям знать, что у вас есть открытый ключ PGP. Но следует помнить о специфике работы серверов ключей: ключ, который загружен на сервер, не может быть впоследствии оттуда удалён. Вы можете только отозвать его.

Перед загрузкой вашего открытого ключа на сервер ключей хорошо обдумайте последствия того, что все будут знать, что вы используете PGP. Ведь удалить ключ с сервера не получится.

Если вы решили загрузить открытый ключ на сервер ключей, вернитесь к окну «Key Management».

Правой кнопкой мыши выберите в меню «Keyserver» действие «Upload Public Keys».

Что такое PGP?

PGP расшифровывается как «Pretty Good Privacy». PGP часто используется для отправки зашифрованных сообщений между двумя людьми. Он работает путем шифрования сообщения с использованием открытого ключа, связанного с конкретным пользователем; когда пользователь получает сообщение, он использует секретный ключ, известный только им, для его расшифровки.

Не уверены, что такое открытый или закрытый ключ? Ознакомьтесь с этими основными условиями шифрования, прежде чем продолжить чтение. Это поможет упростить понимание терминологии криптографии.

Эта система обеспечивает простоту отправки зашифрованных сообщений, поскольку единственное, что необходимо для шифрования сообщения, — это открытый ключ и соответствующая программа PGP. Но это также довольно безопасно, так как сообщения могут быть расшифрованы только с помощью защищенных паролем известных ключей.

Помимо шифрования, PGP также позволяет использовать цифровые подписи. Подписав зашифрованное сообщение закрытым ключом, получателю предоставляется возможность проверить, изменилось ли содержимое сообщения. Если хотя бы одна буква в сообщении будет изменена до его расшифровки, подпись будет признана недействительной, предупреждая получателя о плохой игре.

В чем разница между PGP, OpenPGP и GnuPG?

В этой статье я расскажу о PGP и Gnu Privacy Guard (GnuPG или GPG).

GPG является реализацией PGP с открытым исходным кодом и работает по тем же принципам. Если вы не приобретете продукт с поддержкой PGP у Symantec, компании, которая в настоящее время владеет авторским правом, и компании PGP, вы, вероятно, будете использовать GPG.

Вот краткая история PGP, OpenPGP и GPG.

PGP: разработанный Филом Циммерманом в 1991 году, PGP является одним из самых надежных методов цифрового шифрования и самым популярным инструментом шифрования электронной почты. В настоящее время принадлежит Symantec, но лицензирована тысячами компаний.

OpenPGP: До 1992 года шифрование появилось в списке боеприпасов США в качестве вспомогательного военного оборудования. Это означало, что экспорт инструмента PGP Циммермана в международные страны был серьезным преступлением. Действительно, Циммерман был расследован за нарушение закона о контроле над экспортом оружия, такова была мощь инструмента шифрования PGP в то время.

Из-за этих ограничений рабочая группа OpenPGP была сформирована с помощью Инженерной рабочей группы по Интернету (IEFT). Создание версии PGP с открытым исходным кодом устранило проблемы, связанные с экспортом криптографии, при этом гарантировав, что любой может использовать инструмент криптографии.

GnuPG: GnuPG (GPG) является реализацией стандарта OpenPGP и считается сильной альтернативой PGP Symantec.

Важно отметить, что алгоритмы шифрования взаимозаменяемы между этими параметрами. Они предназначены для совместной работы, чтобы пользователи могли использовать одно или другое без потери доступа к важным данным

Ключи PGP объяснили быстро

Математическая механика PGP чрезвычайно сложна. Тем не менее, видео ниже даст вам общее представление о том, как работает система.

Шифрование PGP использует комбинацию шифрования с симметричным ключом (одноразовый ключ) и шифрования с открытым ключом (уникальные ключи для получателя).

Создание открытого и закрытого ключей Anchor link

Если у вас уже есть настроенная учётная запись электронной почты, Enigmail использует её. Для начала вам нужно выбрать надёжный пароль для своего закрытого ключа.

Нажмите кнопку «Next».

Для открытого ключа установлен определённый срок действия. Когда он истечёт, ваши собеседники больше не смогут использовать этот ключ, чтобы шифровать для вас сообщения. (Никакого специального предупреждения или подсказки вы не получите)

Так что сделайте пометку в своём календаре, чтобы обратить внимание на «срок годности» ключа примерно за месяц до указанной даты

Срок службы действующего ключа можно продлить, определив для него новую, более позднюю дату. Можно просто создать новый ключ «с нуля». В обоих случаях может понадобиться связаться с теми, кто общается с вами по электронной почте, и убедиться, что они получили ваш новый ключ. Сегодня этот процесс плохо автоматизирован на программном уровне. Поэтому создайте себе напоминание. Если управление ключом для вас проблема, можно снять ограничение по дате. Правда, в этом случае другие люди могут попытаться использовать ваш «вечный» ключ, даже если у вас больше нет парного закрытого ключа или вы вообще перестали использовать PGP.

Для проверки срока службы ключа в Thunderbird, нажмите кнопку меню и выберите пункт «Key Management». Найдите свой ключ в открывшемся окне «Enigmail Key Management» и щелкните по нему два раза. Откроется новое окно и дата окончания срока службы вашего ключа будет отображена в поле «Expiry». Для установки новой даты нажмите кнопку «Change». Не забудьте отправить обновленный открытый ключ вашим корреспондентам или опубликовать на сервере ключей.

Enigmail создаст ключ. Когда этот процесс завершится, появится маленькое окно с вопросом о создании сертификата отзыва. С помощью сертификата отзыва вы сможете прекратить действие закрытого ключа в случае, если вы потеряете свой закрытый ключ или же если он будет украден. Именно на случай кражи, хранить сертификат отзыва следует отдельно от закрытого ключа. Запишите его на CD диск или на USB-флешку и поместите в сохранное место. Публикация сертификата отзыва на сервере ключей даст понять другим пользователям PGP, что не стоит более пользоваться или доверять вашему данному открытому ключу. Стоит отметить что, если вы просто удалите закрытый ключ, это не означает неработоспособность парного открытого ключа. Люди по-прежнему смогут отправлять вам зашифрованные письма, а вы будете не в состоянии их расшифровать. Нажмите кнопку «Generate Certificate».

Сначала вам понадобится ввести пароль, который вы использовали при создании ключа. Нажмите кнопку «OK».

Откроется окно сохранения сертификата отзыва. Хотя вы можете сохранить файл и на компьютере, мы рекомендуем взять для этого USB-флешку, которую вы не будете использовать где-либо ещё и станете хранить в безопасном месте. Советуем не хранить сертификат отзыва на компьютере с ключами, чтобы избежать случайного отзыва. Лучше всего хранить этот файл на отдельном зашифрованном диске. Выберите носитель/папку для записи файла и нажмите кнопку «Save».

Enigmail сообщит дополнительные данные о сохранении сертификата отзыва. Нажмите кнопку «OK».

Вот и всё, вы создали свои открытый и закрытый ключи. Нажмите кнопку «Finish».

Отзыв PGP-ключа Anchor link

Отзыв PGP-ключа с помощью Enigmail

Срок действия PGP-ключей, созданных в программе Enigmail – пять лет. Если вы потеряете файлы с ключами, то есть надежда, что по истечении срока службы ключа люди попросят у вас новый открытый ключ.

Возможно, понадобиться прекратить действие ключа до этого срока. Например, если вы захотите создать новый, более сильный PGP-ключ. Самый простой способ отозвать свой PGP-ключ в Enigmail – использовать встроенный диспетчер ключей.

Нажмите правой кнопкой мыши на вашем PGP-ключе (выделен жирным шрифтом) и выберите опцию «Revoke key».

Откроется окно с информацией и запросом подтверждения. Нажмите кнопку «Revoke key».

Появится окно для пароля. Введите пароль от PGP-ключа и нажмите кнопку «OK».

Появится окно с информацией, что операция прошла успешно. Нажмите кнопку «OK».

В окне менеджера ключей вы заметите изменения

Обратите внимание на ваш PGP-ключ: он стал серым и выделен курсивом

Отзыв PGP-ключа с помощью сертификата отзыва

Как упоминалось ранее, у вас могут появиться причины отозвать собственный ключ до истечения его срока действия. У других людей тоже могут появиться веские причины, чтобы отозвать существующий ключ. В предыдущем разделе мы говорили о том, что Enigmail генерирует и импортирует сертификаты отзыва при использовании Менеджера ключей Enigmail для отзыва ключа.

Вы можете получить сертификат отзыва от друга в качестве уведомления о том, что ваш друг хочет отозвать свой ключ. Так как у вас уже есть сертификат отзыва, вы сможете использовать его для отзыва своего ключа.

Войдите в менеджер ключей Enigmail и выберите в меню «File» опцию «Import Keys from File».

Откроется окно, в котором можно выбрать сертификат отзыва. Выберите файл и нажмите кнопку «Open».

Появится сообщение о том, что сертификат был успешно импортирован, а ключ – отозван. Нажмите кнопку «OK».

Вернитесь к менеджеру ключей. Вы увидите, что отозванный ключ стал серым и выделен курсивом.

Теперь у вас есть все необходимые инструменты. Попробуйте самостоятельно отправить письмо, зашифрованное при помощи PGP.

Перебор паролей ВЕБ – ФОРМ

Самый сложный вариант – это перебор паролей для веб-форм. Здесь нам нужно узнать что передает на сервер нужная форма в браузере, а затем передать в точности те же данные с помощью hydra. Вы можете посмотреть какие поля передает браузер с помощью перехвата в wireshark, tcpdump, в консоли разработчика и так далее. Но проще всего открыть исходный код формы и посмотреть что она из себя представляет. Далеко ходить не будем и возьмем форму WordPress:

Как видите, передаются два поля log и pwd, нас будут интересовать только значения полей input. Здесь несложно догадаться, что это логин и пароль. Поскольку форма использует метод POST для передачи данных, то нам нужно выбрать модуль http-post-form. Синтаксис строки параметров будет выглядеть вот так:

адрес_страницы:имя_поля_логина=^USER^&имя_поля_пароля=^PASS^&произвольное_поле=значение:строка_при_неудачном_входе

Строчка запуска программы будет выглядеть вот так:

Переменные ^USER^ и ^PASS^ содержат имя пользователя и пароль взятые из словаря, также, возможно, придется передать дополнительные параметры, они передаются также, только значения будут фиксированы. Заканчивается выражение строкой, которая присутствует на странице при неудачном входе. Скорость перебора может достигать 1000 паролей в минуту, что очень быстро.