Šifrování pošty snadno a rychle
Úterý, 28 Červen 2011 13:48
Napsal uživatel Pstroužek
Elektronická pošta je bezva věc, bohužel nulově zabezpečená a tak si může kdokoli prakticky na každém uzlu, kterým data na své cestě k příjemci projdou nezabezpečený mail přečíst. Naštěstí existuje jednoduchý způsob jak tomu zamezit - šifrovat. Na šifrování pošty není nic složitého ani nemravného, naopak. Jedná se pouze o pár úkolů, které zvládne naprosto každý. Napsat návod k tomu jak šifrovat elektronickou komunikaci zabere asi tak desetkrát více času než to potom v praxi udělat. Na internetu je jistě mnoho návodů jak na to, ale některé jsou poněkud neuspořádané a často v nich autor zabředne do detailů nebo banalit, které nejsou pro běžné použití podstatné. Čtenáře to může demoralizovat a pak usoudí, že se na to může vysrat a přenechá to „profíkům," čímž přijde o mnoho benefitů, které šifrování poskytuje. Protože platí rovnice šifrovaná komunikace = smutný fízl a veselý uživatel, je v zájmu nás všech abychom si dávali pozor na to, zda informace adresované konkrétní osobě nezneužívá ještě třetí strana. Otázka tedy nestojí proč šifrovat ale proč ne?
Co budeme potřebovat?
1x GnuPG (GNU Privacy Guard, GPG), tedy kryptografický software, který použijeme. Jedná se o nekomerční alternativu k PGP. Podrobnosti jsou k mání na domovských stránkách projektu. My stáhneme binární distribuci pro Windows GPG4win.
1x Mozilla Thunderbird, normální volně distribuovaný poštovní klient. Pokud již používáte třeba MS Outlook, není nutné dalšího pošťáka stahovat, poněvadž GPG si umí nainstalovat podporu i do Outlooku. Na ostatní „freewarové" klienty jako Windows mail, Express atd. hoďte bobek, není nutné být vždy echt alternativní.
1x Enigmail, rozšíření do Thunderbirdu. Můžeme ho stáhnout buď přímo ze stránek addons.mozilla nebo ho vyhledat a nainstalovat pomocí správce doplňků přímo ve spuštěném Thunderbirdu.
Instalace GPG
Nejprve spustíme a odklikáme instalaci GPG. Tady nám průvodce cpe různé komponenty, kterými nás chce GPG obšťastnit včetně vlastního emailového klienta. Nám postačí kromě samotného GnuPG jen zatrhnout rozšíření pro MS Outlook (pokud ho chceme používat) a chceme-li zvláštní program na správu klíčů, tak Kleopatru. Vzhledem k tomu, že klíče lze spravovat i přímo v Thunderbirdu, není to nutné.
Tímto jsme do systému doinstalovali řádkový nástroj gpg. Sám o sobě je bez grafického rozhraní a lze ho spustit defaultně z C:\Program Files\GNU\GnuPG\gpg2.exe. S tím se ale nebudeme otravovat a rovnou přejdeme k dalšímu kroku.
Instalace Thunderbirdu + Enigmail
Pokud již máme stažené rozšíření Enigmail, máme někde na disku soubor enigmail-1.1.2-tb-win.xpi. Po instalaci Thunderbirdu (verze 3.1.10) v menu Nástroje vybereme správce doplňků, v něm vybereme v horní liště rozšíření a dole stiskneme tlačítko instalovat. Najdeme uložený .xpi soubor a necháme ho nainstalovat. Teď už jen restart aplikace a po opětovném spuštění Thunderbirdu se nám v nabídce horní lišty objeví nové menu OpenPGP.
Nastavení PGP
Nejjednodušší ale poměrně zdlouhavé je nechat proběhnout průvodce nastavením a jenom odklikat, co po nás chce. Jestli se s tím nechceme moc babrat, stiskneme v nově přidaném menu OpenPGP tlačítko předvolby a nakonfigurujeme to manuálně. V kartě základní se v poli soubory a složky vybere cesta k nainstalovanému GPG. Obvykle je to C:\Program Files\GNU\GnuPG\gpg2.exe. V poli nastavení hesla si lze ještě nastavit interval, kdy si Thunderbird bude pamatovat zadané heslo. Doporučuji dát alespoň 15 minut, abychom ho pak jako psychopati nemuseli při vyřizování pošty zadávat desetkrát.
To nám pro začátek stačí. Je tu ještě množství pokročilých nastavení, pokud jste geek a chcete si s tím pohrát, podívejte se na tyto stránky, kde je popsaná kompletní konfigurace Enigmailu a tipy jak si ho vyladit k dokonalosti.
Vytvoření privátního a veřejného klíče
Přímo v Thunderbirdu (Enigmailu) můžeme vygenerovat klíče následovně: V menu OpenPGP zvolíme správa klíčů a v novém okně na horní liště vybereme vytvořit -> nový pár klíčů. Automaticky se nahoře vyplní účet/ ID uživatele podle poštovního účtu, který jste si do aplikace přidali. Doplníme heslo, hodně silné minimálně 8 znaků a těžko uhodnutelných. Rozhodně nevytvářejte klíč bez hesla, protože by potom mohl někdo klíč zneužít z vašeho počítače. Po chvíli generování program zařve, zda chcete vytvořit „revoke certificate". Je dobré takový odvolávací certifikát mít, protože pokud zapomenete heslo, nebo dojde ke zneužití nelze dál klíč používat a jediná možnost jak jej zrušit je zneplatnit ho (revokovat) tímto certifikátem. Dáme tedy ano a soubor s certifikátem uložíme někam na disk.
Pokud by vás zajímalo, proč jsou ty klíče dva - veřejný a soukromý, tak si o asymetrickém šifrování a o tom jak si Bob s Alicí poštou posílali perverzní psaníčka, můžete přečíst tady. Stačí vědět pouze to, že pokud někomu posíláme šifrovanou zprávu, zašifrujeme ji veřejným klíčem adresáta. Ten nám ho buď musí poslat, nebo ho musí nahrát na keyserver, což je takový centrální registr veřejných klíčů, odkud si ho potom můžete sami stáhnout, nebo si ho nechat stáhnout automaticky emailovým klientem (v našem případě se o to stará Enigmail). Pro podepsání zprávy je použitý zase náš privátní klíč. Zprávu podepisujeme hlavně z toho důvodu, aby si druhá strana mohla být jistá tím, že skutečně komunikuje s tím, s kým si myslí, že komunikuje. Identifikace skutečného odesílatele je tak zajištěna a nemůže být zkompromitována.
Vyměňujeme klíče
Teď máme téměř všechno potřebné k tomu, abychom mohli bezpečně komunikovat. Zbývá poslední důležitá věc: musíme vystavit náš veřejný klíč, aby nám mohl někdo napsat. Jednak ho lze exportovat na keyserver (Opět v menu OpenPGP - správa klíčů - keyserver - odeslat veřejné klíče) anebo ho pošleme rovnou kamarádovi, se kterým chceme komunikovat. Vytvoříme mail a v menu OpenPGP zvolíme přiložit veřejný klíč. Adresát si mail otevře a v příloze po kliknutí pravým tlačítkem zvolí „import OpenPGP Key". Obdobně zašle email se svým veřejným klíčem nám a my si ho uložíme u nás. Po importování můžeme zkontrolovat ve správě klíčů, že tam opravdu je.
Všechny klíče jsou implicitně k dispozici také ve složce "C:\Documents and Settings\[jméno uživatele]\Data aplikací\gnupg". Posílat veřejný klíč můžeme dalšími způsoby. Třeba manuálně, když vygenerovaný soubor s klíčem otevřeme v PSpadu a zkopírujeme jeho obsah přímo do těla zprávy. Příjemce si ho pak zkopíruje do texťáku, uloží, jako koncovku zapíše .asc (.cer .cert .pgp .gpg) a tento soubor potom importuje stejně jako v předchozím případě do Thunderbirdu (správce klíčů) nebo do jiného externího keymanageru (Kleopatra).
A posíláme zprávy
Když máme klíče s kolegou vyměněny (poslali jsme si je nebo jsme si je stáhli z keyserveru), můžeme vesele psát a přijímat zprávy. Pro psaní pošty Enigmail sám podle mailové adresy příjemce pozná, jaký veřejný klíč z databáze použít a sdělení s ním zašifruje. Nemusíme nic nikde hledat, vše funguje automaticky. Stačí jen zatrhnout před odesláním zprávy v nabídce OpenPGP zatrhnout volby podepsat zprávu a šifrovat zprávu.
Pokud nám dojde zašifrovaný email, vyzve nás program k zadání hesla (toho, které jsme si nastavili při vytváření klíčů). Po zadání passphrase už vidíme mail normálně a můžeme ho přečíst.
Tak směle do toho :)
https://addons.mozilla.org/cs/thunderbird/addon/enigmail/
Vyhledávání
Přihlášení
Knižní tip
