Tomáš Petrů

Jak na šifrovaný email snadno a zdarma [howto]

13. 05. 2010 0:23:23
Nebudu zde rozebírat, proč je v dnešní době, kdy jsme všichni vzájemě propojeni různými trubkami a vlákny elektronických komunikačních kanálů, velmi důležité jejich zabezpečení a důvěryhodnost. Na toto téma bylo již napsáno mnohé a není cílem tohohle sloupku, abych někoho o něčem přesvědčoval. Pojměme tenhlo text jako jakési HOWTO, tedy návod, jak dosáhnout toho, aby naše emaily byly chráněny proti komukoliv, kdo by je chtěl nejen neoprávněně číst, ale také pozměňovat.

Jak na šifrovaný email snadno a zdarma
Nebudu zde rozebírat, proč je v dnešní době, kdy jsme všichni vzájemě propojeni různými trubkami a vlákny elektronických komunikačních kanálů, velmi důležité jejich zabezpečení a důvěryhodnost. Na toto téma bylo již napsáno mnohé a není cílem tohohle sloupku, abych někoho o něčem přesvědčoval. Pojměme tenhlo text jako jakési HOWTO, tedy návod, jak dosáhnout toho, aby naše emaily byly chráněny proti komukoliv, kdo by je chtěl nejen neoprávněně číst, ale také pozměňovat. Dodám jen, že mé řešení, které ctěným čtenářům vysvětlím nám umožní zvýšit bezpečnost vzájemné komunikace mnohonásobně více, než když vhodíte do poštovní schránky klasické pošty (snail mail) dopis v zapečetěné obálce, která přecijen zvyšuje bezpečnost oproti například pohlednici mnohonásobně.
Moje malé srovnání pohlednice verzus zapečetěná obálka mi vytvořilo oslí můstek pro první poznámku o využitelnosti celé ideje.
Je samozřejmě pravda, že pohlednice má své nezastupitelné místo v komunikaci dvou lidí a mnohdy bohatě stačí. Není zřejmě nutné posílat pohled z dovolené v Brazilském Riu naší sedumdesátilé babičce ve speciální obálce s pečetí. Babička takovou věc nijak zvlášť neocení a člověk krom hezkého obrázku s milým pozdravem bude muset shánět daleko více proptiet, díky čemuž se, zvláště v Brazílii, zbytečně zapotí více než by musel.
Tedy pokud chcete jen několika přátelům poslat milé "Ahoj." s obrázkem na zadní straně, klidně můžete použít v neelektronickém světě již zmíněnou pohlednici a přes internet nějaký ten facebook, icq nebo skype. Pokud však rádi své milé drahé polovičce posíláte obsáhlé popisy toho, jak krásně se spolu pomějete, jen co se ukážete doma, a tyhle popisy třeba obsahují i nějaké to slovíčko či obrázek, které rozhodně nechcete, aby si prohlížel nejen pošťák, ale také kdokoliv jiný než ona (on), raději sáhnete po obálce na klasický způsob, nebo po šifrovaném emailu na způsob elektronický.
Jak si chytřejší z vás mohli věimnout z předchozí věty, nemusí být člověk zrovna tajný agent nebo kriminální živel, aby měl důvod zachovávat soukromí. Vzhledem k tomu, že dnes je stejně snadné zašifrovat email, jako si koupit na poště obálku a známku, jen tuto možnost spousta z vás nezná, a proto nevyužívá, ukáži vám z kterého konce začít. Nemusíte se bát přílišné složitosti, ale zároveň se těm technicky zdatným omlouvám, za možná až přílišné zjednodušení.
Tak tedy hurá na zalepování obálek.
Celý můj postup předpokládá, že své emaily posíláte z klienta elektronické pošty, který máte nainstalovaný nejlépe ve vašem počítači. Existují samozřejmě i postupy, kterak tento poněkud nepohodlný předpoklad obejít, ale ťem se budu věnovat až nekdy příště (pokud by někdo chtěl, či měl napsaný obecnější článek o tom, jak emaily a soubory obecně šifrovat, bez použití klienta elektronické pošty, rád je zveřejním, či prolinkuji, neváhejte a pište na nikdykde@gmail.com).
Tak tedy co budeme potřebovat:
1) emailovou schránku podporující protokoly POP/IMAP a SMTP a správně nakonfigurovaného poštovního klienta. V mém příkladu budu používat služeb poskytovaných zdarma, tedy služeb https://gmail.com/ v kombinaci s poštovním klientem Thunderbird ( ke stažení zdarma na http://thunderbird.mozilla.cz/ ). Samozřejmě můžete využívat komerčně poskytované schránky elektronické pošty a/nebo komeční poštovní klienty o tom náš článek ale není ( možná některý další díl seriálu nebo pošlete již existující návody na nikdykde@gmail.com )
2) software pro zacházení s elektronickým podpisem a šifrovanými soubory. Opět v našem případě volně ke stažení v podobě GnuPG například tady: http://www.gnupg.org/
3) plugin Enigmail, který propojí Thunderbird s GnuPG, tak, aby se člověk nemusel již téměř o nic dalšího starat. Volně ke stažení na stránkách projektu http://enigmail.mozdev.org/
Jak installovat:
Stáhněte emailový klient Thunderbird a nainstallujte jej, mělo by to být velmi snadné jak pro Tučňáka, tak i pro Jablka či Okna. Stejně snadno zřejmě většina z vás dokáže stáhnout a nainstalovat GnuPG, snad jen uživatélé 64b Oken budou muset ještě chvíli používat mozek a například http://google.com/.
Malinko obtížnější je doplnění pluginu Enigmail do poštovního klienta, ale i to je veskrze hračka pro desetileté dítko. Stačí, když v Thunderbirdu otevřete menu Tools (Nástroje) a v něm vyberete Add-ons (Správce dopňků). Do okénka, které se zjeví, naprosto snadno myší přetáhněte soubor s příponou xpi, který jste získali, když jste úspěšně stáhli Enigmail. Thunderbird si řekne o restartování aplikace a v ten moment již víte, že vše je v pořádku.
Samozřejmě, krom dolnění Thunderbirdu o plugin musíte celý klient mít nastavený tak, aby dokázal komunikovat s vaší emailovou schránkou. V případě gmailu je hezký návod například tady: https://mail.google.com/support/bin/topic.py?hl=cs&topic=12806, ale existují i jiné, třeba s obrázky :)
Vše jste zvládli a máte tedy Thunderbird -komunikující s emailovou schránkou- doplněný o plug-in Enigmail a kdesi na disku se usadila i maličká utilita GnuPG.
Jak funguje elektronický klíč
Podobně, jako k zámku například od bytu patří klíč fyzický, se zoubky a drážkami, tak i elektronický klíč je jakýsi soubor, který představuje klíč od elektronického zámku. V elektronické podobě jsou ve skutečnosti klíče dva. Jeden, kterým se zamyká a druhým kterým se odemyká.
Klíč, kterým se zamyká se nazývá klíč veřejný (veřejná část klíče), a to proto, že vlastně chceme, aby poštu pro nás určenou měl možnost kdokoliv zamknout, předtím, než nám ji odešle. Veřejný klíč je jakýsi elektronický ekvivalent obálky, kterou zalepíme a zapečetíme, než dopis odešleme. Veřejný se tomuto klíči říká proto, že jej umisťujeme někam, kde si jej každý může vzít, předtím než jím bude naši poštu zamykat. Nejlepší je umístit veřejný klíč jako odkaz na svém blogu či stránkách, ale je také možné jej v prvním, zatím nešifrovaném emailu, poslat našemu komunikačnímu partneru.
Veřejný klíč nelze použít k tomu, aby jím zamčené soubory či text byly odemčeny, není tedy potřeba se bát volně jej šířit, ba naopak, to právě musíte udělat, aby celý nápad fungoval.
Další část klíče je klíč soukromý (privátní), který naopak NESMÍME NIKOMU DÁT a musíme jej vlastnit proto, aby mohly být odemčeny soubory, které byly zamčeny veřejnou částí klíče. Soukromý klíč je opět soubor, nejlépe uložený na USB klíči, externím disku, v paměti foťáku či telefonu a znovu opakuji, že tuto část klíče uchováváme v tajnosti.
Ano, soukromý klíč je sice chráněn heslem, které by mělo být velmi kvalitní, ale přecijen lepší je, nedávat tajnou část klíče z ruky, člověk pak nemusí doufat a může věřit. Taky nenecháváte klíče od bytu pověšené na klice svojich dveří. O tom, jak vytvořit kvalitní heslo se píše třeba tady, snad odpustíte slovenštinu : http://blog.synopsi.com/2010-02-08/hesla-nase-kazdodenne .
Mimochodem: elektronický klíč je svázán (pro naše účely) s konkrétní emailovou adresou a nebude jej možné používat pro podepisování a šifrování emailů pro jinou emailovou identitu. Samozřejmě i tato možnost existuje, ale je potom nutné ke klíči vytvořit takzvané podklíče, což je stále snadné, ale v daný moment mimo rozsah základního textu.
Tak tedy potřebujeme soukromý a veřejný klíč
Plugin Enigmail je velmi přátelský, co se výroby klíčů týče, vždyť právě proto jej používáme. Po nainstalování plugiu a restartu Thunderbirdu by se mela v horní, tzv. nástrojové liště, kde jsou menu, objevit nová položka nadepsaná OpenPGP, když ji rozbalíte, bude v ní k vidění Průvodce nastavením (Setup Wizard). Když na něj kliknete, optá se, zda opravdu chcete, aby vám pomohl nastavit Thunderbird pro šifrování, odopovězte ano. V dalším okně se průvodce zeptá pro které emailové identity chcete vytvořit klíč. Pokud jste pozorně četli, tak již víte, že jeden klíč patří jedné emailové adrese, pokud tento nemá podklíče.
Vyberte tedy identitu pro kterou chcete klíč používat, v mém případě to bude nikdykde@gmail.com.
Dále se vás průvodce zeptá, zda chcete podepisovat všechny své emaily z této adresy. Rozhodnutí je jen na vás, ale mé doporučení je zvolit ano. Podepsaný email znamená, že i když jej někdo odchytí někde po cestě a budej jej chtí pozměnit, sice se mu to podaří, ale příjemce, bude díky metodě ověření podpisu (díky pluginu Enigmail prováděna automaticky) vědět, že s emailem není něco v pořádku (podpis nebude ověřen, což znamená, že příjemce nemá váš veřejný klíš, nebo byl email po podepsání nějakým způsobem změněn či poškozen).
Tedy zvolíme ano, chci podepisovat všechny emaily pro nikdykde@gmail.com.
Další okno se vás ptá, zda máte veřejné klíče pro většinu lidí s kterými si píšete, pokud ano, zvolte tuto možnost, ale pravděpodobně tomu tak není, takže zvolte "ne, vytvořím si individuálně pravidla pro každého příjemce". Tímto nastavení dáte Thunderbirdu vědět, že sifrovat emaily má pouze v případě, že jej o to explicitně požádáte.
Následuje dotaz, zda si přejete změnit nastaveni Thunderbirdu, tak aby co nejvíce vyhovovala potřebám šifrování. Možnosti si pročtětě, ale já doporučuji zvolit ano.
Pokud ještě nemáte žádný pár klíčů, bude vám nabídnuto jeho vygenerování. Zadejte kvalitní heslo klikněte a pokračujte dál v v Průvodci.
Za nějakou chvíli bude vygenerován úplně nový pár klíčů a od finále nás dělí už jen krok. Malý pro vás a myš, velký pro vaše soukromí.
Následuje rekapitulace nastavení a samotné generování klíče.
Jen tak mimochodem, standardní nastavení říká, že klíč bude platný maximálně pět roků od data vzniku, což je užitečné, pokud jej někdy v budoucni ztratíte, zapomenete heslo nebo prostě už nebude z jiného důvodu dál užitečný.
Poslední okno se vás ptá, zda chcete vytvořit takzvaný revokační certifikát. Zadejte ano a vzniklý soubor uložte na stejně bezpečné místo jako soukromou část klíče, možná bezpečnější. Tento certifikát totiž umožňuje jeho vlastníku, aby zakázal a znefunkčnil právě vygenerovaný klíč, tak, že jej nikdo již nebude moct dál používat (využijete v případě ztráty hesla, ztráty veřejného klíče, nebo kdykoliv, kdy chcete ukončit platnost svého veřejného klíče dříve, než je standardně nastavených pět roků).
Poslední krok
Nyní máte nastavený Thunderbird, aby podepisoval vaše emaily, na požádání aby je zašifroval.
Nezapomeňte heslo. soubor .asc, který představuje revokační (likvidační certifikát) uložte na nějaké vhodné místo a projistotu si uložte na stejně tajné a bezpečné místo i svůj soukromý a veřejný klíč, což uděláte tak, že v menu OpenPGP zvolíte tlačítko Správa klíčů (Key Management), na pravé straně zatrhnete zaškrtávátko Zobrazit všechny klíče (Display all keys by default), pravým tlačítkem kliknete na právě vygenerovaný klíč a zvolíte možnost Exportovat klíče do souboru. V následjícím okně nejdříve zvolte pouze klíč veřejný a potom celý procez zopakujte, pročež zvolít klíč soukromý. Oba vzniklé soubory přesuňte na nějaké bezpečné medium a to uschovejte, zajistíte si tak, že v případě ztráty dat na harddisku vašeho počítače, budete moci po nové instalaci software snadno pouze importovat klíče (OpenPGP - Správa klíčů - Importovat klíč ze souboru).
Pamatujte, že váš soukromý klíč je vždy na počítači nakonfigurovaném podle tohoto návodu uložen jako soubor, který je sice zaheslovaný vašim jistě velmi kvalitním heslem, ale i tak se snažte nenechat si jej ukrást, asi jako klíče od bytu či auta.
Pokud o klíč přijdete nebo přejdete o heslo k němu vždy použijte revokační certifikát a vygenerujte si raději nový pár klíčů . (Taky říkáte svému partnerovi, že jste se zrovna něco naučili s počítačem a všechno mu chcete hned ukázat? taky se občas rozcházíte či rozvádíte?)
Zcela posledni kroky
Teď, pokud všechno šlo podle plánu, jste schopní napsat email, který je automaticky podepsaný a pokud před odesílání emailu vyberete z nástrojového menu OpenPGP možnost Zašifrovat email (Encrypt email) a pokud máte veřejnou část klíče příjemce, budete dotazani na heslo od vašeho kíče a email putuje k příjemci v zalepené obálce s vašim vlastnoručním podpisem, bezpečný tak, že ani všechny součastné počítače dohromady jej nedokáží otevřít nebo zfalšovat, pokud jste zadali opravdu kvalitní heslo.
Kde vzí a kam uložit veřejné klíče
Pamatujete, veřejnou částí klíče je email uzamčen a pouze pomocí soukromého klíče s heslem může být odemknut, vždy tedy musíte mít veřejnou část klíče příjemce, pokud chcete zprávu pro něj zašifrovat. Protože ne každý má k dispozici vlastní web čí blog, je možné do první (samozřejmě nešifrované) zprávy přiložit váš veřejný klíč a tak to udělá i druhá strana (vygenerovat soubor s klíčem je možne pomocí nástrojového panelu OpenPGP - Správa klíčů - prvý click na klíč - exportuj klíč do souboru).
Klíče je možné také přiložit k jinému textu a pomocí kopírování klíče do schránky. Takový text pak jde snadno zkopírovat do souboru odkud může být importován příjemcem.
Nejužitečnější metodou jak veřejné klíče sdílet je pak v okně Správa klíčů možnost (na pravém talčítku myši) možnost Nahrát klíč na veřejný server. Veřejné servery jsou navzájem mezi sebou zrcadleny, takže v ideálním případě stačí klíč exportovat napříkladn na "pgp.mit.edu" a za pár dní budou k dostíní i na ostatních. Pokud vám nevadí o pár kliků víc, klidně tímhle způsobem exportujte klíče na všechny nabízené servery, máte pak jistotu, že adresát, používající GnuPG/Enigmail, bude snadno schopen klíč získat, dříve než vám odešle první zašifrovaný email.
Tak, a pokud si chcete celou věc vyzkoušet v praxi, přesvěčte nejakého kamaráda či člena rodiny, aby si vygeneroval své klíče, pro svůj email, podle tohoto návodu, vyměňte si veřejné klíče a zkuste si navzájem poslat zašifrované soubory.
Pokud vše půjde jak má, právě jste začali používat nejbezpečnější poštovní obálku na Zemi a nemusíte se bát. že si někdo přečte váš obchodní plán (včetně vašich lan administrátorů) nebo to, jak moc se těšíte na svou drahou polovičku, až se vrátíte ze služební cesty po Brazílii.
Pokud chcete své dovednosti vyzkoušet hned, neváhejte importovat můj klíč z veřejných serverů (hledejte nikdykde@gmail.com), nebo si zkopírujte níže přiložený text, ohraničený zprávami za několika pomlčkami, které říkají, kde začíná a končí veřejný klíč.
Poslední drobnost. Aby bylo jasné, že nikdo nepoškodil klíče na vaší klíčence nebo je nevyměnil, je nezbytně nutné po importu klíče (OpenPGP - Správa klíčů - import) tento podepsat. Uděláte to tak, že v okně, kde jsou klíče zobrazeny clicknete na klíči pravý mtačítkem a zvolíte podepsat klíč. Použijete k tomu svůj soukromý klíč a své heslo. Teprve potom bude možné mi napsat plně šifrovaný a podepsaný email.
Tak snad to nebylo až zas tak složité. Pokud ano, proste vezte, že budete dál používat pohlednice místo obálek a třeba vám to ani nebude vadit, potom ale návod nebyl určený vám.
Všem ostaytním, komu se postup podaří, blahopřeji a můžete mi poslat zašifrovaný pozdravný email. Pamatujte, že potřebuji váš veřejný klíč, abych mohl odpovědět.
Carpe Diem.
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
mQENBEvrCN8BCADG4QNMEcpaDfBbGtEHNtWOFDgvpPMtEZ7FxTs9/qQ97pHsNAqg
lkW2WfRUuaQrAFKLSHcDJTgZynDBMld8/mCs5zOdh9mwbcIRSQmS+i3Du4OII+mM
z6/7ORRGNpBWYmSwFvK5OTDWQfAI/8GW7wcB31UFRKOESpOdZRVxBemqKc2ETn7h
5XTtPq/ZKzGCPM2xtiYSylTP87qOPoLTOsvuDpJoeoentmsTctrO++qoyhHnIuFX
sz98RtwKNn6p4yx4a7OpWxyZHKlzRkXd4Keah+Kpcf/l8fk7JmFU91tu7J5c9RTz
QVsdtjU7b+OzkX6anKIp4AVbZCkSwoF5VdvFABEBAAG0HWNyeXB0Y2F0IDxuaWtk
eWtkZUBnbWFpbC5jb20+iQE+BBMBAgAoBQJL6wjfAhsjBQkJZgGABgsJCAcDAgYV
CAIJCgsEFgIDAQIeAQIXgAAKCRClc5I5IKnC/yC1B/9pIz8IoVOelwi11XOhrn8v
e6FxvPE3XgpiYS63D3wGUQyECJ54TswG4x8H+AWFtp3qgFtMv9iQ9njgeGQAhJjD
Vtgr2gm+lVr98YdJAt6HOrcyPXxDGZHe2FX17Kn8iE64x6exM0ou5D5AaynP+N+0
1r/BAYs6J19GzeSwp/f0QjFUkEYBVoDEq97ljkJZqBMkwW4Xa38v6lbflLGzUhlD
zpr6lPyBZ8MtrpJ3How2f2rPFn6mjpcsh3uBZ5zqADV4wptAz2jhJg9VYCX4FG93
r52ZUbIzD9en50fMXUR/OibDf8oqsZ5n3VTVuzaA3p//IirlOWNEWmoqayfgM6J2
uQENBEvrCN8BCADDxN12oumS0OBBHAyt6WETKkYDTh6E6VYO8mOzE3mYTeWoksAL
egyxMnIkSpluWGoJ0NkBRZy6qh9FJMr55PNhK9srcx0N+3zu0ANYMesYOI0NXj+p
rwjxQVGqBjlMe2x3/7sxXptCwqcjQwXBspuf1V7BGxp0SRSpPzz+OS2n4wSes+e4
l7d05XiC7j/Q+LMyHNOgKmkQdCwuZ9hwupehxyQS5BFURPnb3erjD1w0rZzcsLpt
91rJvrNwI2QmvtV685I6cFYssFAYNa+jlOrfHyQrwoPUSBJPoCTeERA1TUFVSQcL
vBsS1JJrUe28PcDFaqZRz0FY3pu/OwSbfY1bABEBAAGJASUEGAECAA8FAkvrCN8C
GwwFCQlmAYAACgkQpXOSOSCpwv/GEgf/V+DI/JYayyQQQRwfFVHqUCghGiBwDchv
OalgsL0yYTq2K3jnuPSSv6gyXT7NzgTAxYe4pLLqAl2OKja+37ru7by/K8/BPz3k
T+S4wUB2SRlRLCeerf47RCfTA9KiIc/HVlLgSsd7A3OgO+4j+MLjy9ygUM894wz3
pKsuvxy+wn64OWS9H1rVehWl8Rv/11a121GNbqp7XuA7VVVOdhnqsTxffXNDZl3e
GBhcLdbMDPaDFYcSbplcz3+MyhyuLXcTQAHREJLPK4Km+91RUTtXtUpwyDVW6jcH
b0vTCCy9+p2I7X4wULXegRASNbdh9R5iiCdC159ZuiDeXAG4pTJd3w==
=Vcli
-----END PGP PUBLIC KEY BLOCK-----

Dodám jen, že mé řešení, které ctěným čtenářům vysvětlím nám umožní zvýšit bezpečnost vzájemné komunikace mnohonásobně více, než když vhodíte do poštovní schránky klasické pošty (snail mail) dopis v zapečetěné obálce, která přecijen zvyšuje bezpečnost oproti například pohlednici mnohonásobně.

Moje malé srovnání pohlednice verzus zapečetěná obálka mi vytvořilo oslí můstek pro první poznámku o využitelnosti celé ideje.

Je samozřejmě pravda, že pohlednice má své nezastupitelné místo v komunikaci dvou lidí a mnohdy bohatě stačí. Není zřejmě nutné posílat pohled z dovolené v Brazilském Riu naší sedumdesátilé babičce ve speciální obálce s pečetí. Babička takovou věc nijak zvlášť neocení a člověk krom hezkého obrázku s milým pozdravem bude muset shánět daleko více proptiet, díky čemuž se, zvláště v Brazílii, zbytečně zapotí více než by musel.

Tedy pokud chcete jen několika přátelům poslat milé "Ahoj." s obrázkem na zadní straně, klidně můžete použít v neelektronickém světě již zmíněnou pohlednici a přes internet nějaký ten facebook, icq nebo skype. Pokud však rádi své milé drahé polovičce posíláte obsáhlé popisy toho, jak krásně se spolu pomějete, jen co se ukážete doma, a tyhle popisy třeba obsahují i nějaké to slovíčko či obrázek, které rozhodně nechcete, aby si prohlížel nejen pošťák, ale také kdokoliv jiný než ona (on), raději sáhnete po obálce na klasický způsob, nebo po šifrovaném emailu na způsob elektronický.

Jak si chytřejší z vás mohli všimnout z předchozí věty, nemusí být člověk zrovna tajný agent nebo kriminální živel, aby měl důvod zachovávat soukromí. Vzhledem k tomu, že dnes je stejně snadné zašifrovat email, jako si koupit na poště obálku a známku, jen tuto možnost spousta z vás nezná, a proto nevyužívá, ukáži vám z kterého konce začít. Nemusíte se bát přílišné složitosti, ale zároveň se těm technicky zdatným omlouvám, za možná až přílišné zjednodušení.

Tak tedy hurá na zalepování obálek.

Celý můj postup předpokládá, že své emaily posíláte z klienta elektronické pošty, který máte nainstalovaný nejlépe ve vašem počítači. Existují samozřejmě i postupy, kterak tento poněkud nepohodlný předpoklad obejít, ale těm se budu věnovat až nekdy příště (pokud by někdo chtěl, či měl napsaný obecnější článek o tom, jak emaily a soubory obecně šifrovat, bez použití klienta elektronické pošty, rád je zveřejním, či prolinkuji, neváhejte a pište na nikdykde@gmail.com).

Tak tedy co budeme potřebovat

1) emailovou schránku podporující protokoly POP/IMAP a SMTP a správně nakonfigurovaného poštovního klienta. V mém příkladu budu používat služeb poskytovaných zdarma, tedy služeb https://gmail.com/ v kombinaci s poštovním klientem Thunderbird ( ke stažení zdarma na http://thunderbird.mozilla.cz/ ). Samozřejmě můžete využívat komerčně poskytované schránky elektronické pošty a/nebo komeční poštovní klienty o tom náš článek ale není ( možná některý další díl seriálu nebo pošlete již existující návody na nikdykde@gmail.com )

2) software pro zacházení s elektronickým podpisem a šifrovanými soubory. Opět v našem případě volně ke stažení v podobě GnuPG například tady: http://www.gnupg.org/

3) plugin Enigmail, který propojí Thunderbird s GnuPG, tak, aby se člověk nemusel již téměř o nic dalšího starat. Volně ke stažení na stránkách projektu http://enigmail.mozdev.org/

Jak installovat

Stáhněte emailový klient Thunderbird a nainstallujte jej, mělo by to být velmi snadné jak pro Tučňáka, tak i pro Jablka či Okna. Stejně snadno zřejmě většina z vás dokáže stáhnout a nainstalovat GnuPG, snad jen uživatélé 64b Oken budou muset ještě chvíli používat mozek a například http://google.com/.

Malinko obtížnější je doplnění pluginu Enigmail do poštovního klienta, ale i to je veskrze hračka pro desetileté dítko. Stačí, když v Thunderbirdu otevřete menu Tools (Nástroje) a v něm vyberete Add-ons (Správce dopňků). Do okénka, které se zjeví, naprosto snadno myší přetáhněte soubor s příponou xpi, který jste získali, když jste úspěšně stáhli Enigmail. Thunderbird si řekne o restartování aplikace a v ten moment již víte, že vše je v pořádku.

Samozřejmě, krom dolnění Thunderbirdu o plugin musíte celý klient mít nastavený tak, aby dokázal komunikovat s vaší emailovou schránkou. V případě gmailu je hezký návod například tady: https://mail.google.com/support/bin/topic.py?hl=cs&topic=12806, ale existují i jiné, třeba s obrázky :)

Vše jste zvládli a máte tedy Thunderbird -komunikující s emailovou schránkou- doplněný o plug-in Enigmail a kdesi na disku se usadila i maličká utilita GnuPG.

Jak funguje elektronický klíč

Podobně, jako k zámku například od bytu patří klíč fyzický, se zoubky a drážkami, tak i elektronický klíč je jakýsi soubor, který představuje klíč od elektronického zámku. V elektronické podobě jsou ve skutečnosti klíče dva. Jeden, kterým se zamyká a druhým kterým se odemyká.

Klíč, kterým se zamyká se nazývá klíč veřejný (veřejná část klíče), a to proto, že vlastně chceme, aby poštu pro nás určenou měl možnost kdokoliv zamknout, předtím, než nám ji odešle. Veřejný klíč je jakýsi elektronický ekvivalent obálky, kterou zalepíme a zapečetíme, než dopis odešleme. Veřejný se tomuto klíči říká proto, že jej umisťujeme někam, kde si jej každý může vzít, předtím než jím bude naši poštu zamykat. Nejlepší je umístit veřejný klíč jako odkaz na svém blogu či stránkách, ale je také možné jej v prvním, zatím nešifrovaném emailu, poslat našemu komunikačnímu partneru.

Veřejný klíč nelze použít k tomu, aby jím zamčené soubory či text byly odemčeny, není tedy potřeba se bát volně jej šířit, ba naopak, to právě musíte udělat, aby celý nápad fungoval.

Další část klíče je klíč soukromý (privátní), který naopak NESMÍME NIKOMU DÁT a musíme jej vlastnit proto, aby mohly být odemčeny soubory, které byly zamčeny veřejnou částí klíče. Soukromý klíč je opět soubor, nejlépe uložený na USB klíči, externím disku, v paměti foťáku či telefonu a znovu opakuji, že tuto část klíče uchováváme v tajnosti.

Ano, soukromý klíč je sice chráněn heslem, které by mělo být velmi kvalitní, ale přecijen lepší je, nedávat tajnou část klíče z ruky, člověk pak nemusí doufat a může věřit. Taky nenecháváte klíče od bytu pověšené na klice svojich dveří. O tom, jak vytvořit kvalitní heslo se píše třeba tady, snad odpustíte slovenštinu : http://blog.synopsi.com/2010-02-08/hesla-nase-kazdodenne.

Mimochodem: elektronický klíč je svázán (pro naše účely) s konkrétní emailovou adresou a nebude jej možné používat pro podepisování a šifrování emailů pro jinou emailovou identitu. Samozřejmě i tato možnost existuje, ale je potom nutné ke klíči vytvořit takzvané podklíče, což je stále snadné, ale v daný moment mimo rozsah základního textu.

Tak tedy potřebujeme soukromý a veřejný klíč

Plugin Enigmail je velmi přátelský, co se výroby klíčů týče, vždyť právě proto jej používáme. Po nainstalování plugiu a restartu Thunderbirdu by se mela v horní, tzv. nástrojové liště, kde jsou menu, objevit nová položka nadepsaná OpenPGP, když ji rozbalíte, bude v ní k vidění Průvodce nastavením (Setup Wizard). Když na něj kliknete, optá se, zda opravdu chcete, aby vám pomohl nastavit Thunderbird pro šifrování, odopovězte ano. V dalším okně se průvodce zeptá pro které emailové identity chcete vytvořit klíč. Pokud jste pozorně četli, tak již víte, že jeden klíč patří jedné emailové adrese, pokud tento nemá podklíče.

Vyberte tedy identitu pro kterou chcete klíč používat, v mém případě to bude nikdykde@gmail.com.

Dále se vás průvodce zeptá, zda chcete podepisovat všechny své emaily z této adresy. Rozhodnutí je jen na vás, ale mé doporučení je zvolit ano. Podepsaný email znamená, že i když jej někdo odchytí někde po cestě a budej jej chtí pozměnit, sice se mu to podaří, ale příjemce, bude díky metodě ověření podpisu (díky pluginu Enigmail prováděna automaticky) vědět, že s emailem není něco v pořádku (podpis nebude ověřen, což znamená, že příjemce nemá váš veřejný klíš, nebo byl email po podepsání nějakým způsobem změněn či poškozen).

Tedy zvolíme ano, chci podepisovat všechny emaily pro nikdykde@gmail.com.

Další okno se vás ptá, zda máte veřejné klíče pro většinu lidí s kterými si píšete, pokud ano, zvolte tuto možnost, ale pravděpodobně tomu tak není, takže zvolte "ne, vytvořím si individuálně pravidla pro každého příjemce". Tímto nastavení dáte Thunderbirdu vědět, že sifrovat emaily má pouze v případě, že jej o to explicitně požádáte.

Následuje dotaz, zda si přejete změnit nastaveni Thunderbirdu, tak aby co nejvíce vyhovovala potřebám šifrování. Možnosti si pročtětě, ale já doporučuji zvolit ano.

Pokud ještě nemáte žádný pár klíčů, bude vám nabídnuto jeho vygenerování. Zadejte kvalitní heslo klikněte a pokračujte dál v v Průvodci.

Za nějakou chvíli bude vygenerován úplně nový pár klíčů a od finále nás dělí už jen krok. Malý pro vás a myš, velký pro vaše soukromí.

Následuje rekapitulace nastavení a samotné generování klíče.

Jen tak mimochodem, standardní nastavení říká, že klíč bude platný maximálně pět roků od data vzniku, což je užitečné, pokud jej někdy v budoucni ztratíte, zapomenete heslo nebo prostě už nebude z jiného důvodu dál užitečný.

Poslední okno se vás ptá, zda chcete vytvořit takzvaný revokační certifikát. Zadejte ano a vzniklý soubor uložte na stejně bezpečné místo jako soukromou část klíče, možná bezpečnější. Tento certifikát totiž umožňuje jeho vlastníku, aby zakázal a znefunkčnil právě vygenerovaný klíč, tak, že jej nikdo již nebude moct dál používat (využijete v případě ztráty hesla, ztráty veřejného klíče, nebo kdykoliv, kdy chcete ukončit platnost svého veřejného klíče dříve, než je standardně nastavených pět roků).

Poslední krok

Nyní máte nastavený Thunderbird, aby podepisoval vaše emaily, na požádání aby je zašifroval.

Nezapomeňte heslo. soubor .asc, který představuje revokační (likvidační certifikát) uložte na nějaké vhodné místo a projistotu si uložte na stejně tajné a bezpečné místo i svůj soukromý a veřejný klíč, což uděláte tak, že v menu OpenPGP zvolíte tlačítko Správa klíčů (Key Management), na pravé straně zatrhnete zaškrtávátko Zobrazit všechny klíče (Display all keys by default), pravým tlačítkem kliknete na právě vygenerovaný klíč a zvolíte možnost Exportovat klíče do souboru. V následjícím okně nejdříve zvolte pouze klíč veřejný a potom celý procez zopakujte, pročež zvolít klíč soukromý. Oba vzniklé soubory přesuňte na nějaké bezpečné medium a to uschovejte, zajistíte si tak, že v případě ztráty dat na harddisku vašeho počítače, budete moci po nové instalaci software snadno pouze importovat klíče (OpenPGP - Správa klíčů - Importovat klíč ze souboru).

Pamatujte, že váš soukromý klíč je vždy na počítači nakonfigurovaném podle tohoto návodu uložen jako soubor, který je sice zaheslovaný vašim jistě velmi kvalitním heslem, ale i tak se snažte nenechat si jej ukrást, asi jako klíče od bytu či auta.

Pokud o klíč přijdete nebo přejdete o heslo k němu vždy použijte revokační certifikát a vygenerujte si raději nový pár klíčů . (Taky říkáte svému partnerovi, že jste se zrovna něco naučili s počítačem a všechno mu chcete hned ukázat? taky se občas rozcházíte či rozvádíte?)

Kde vzít a kam uložit veřejné klíče

Pamatujete, veřejnou částí klíče je email uzamčen a pouze pomocí soukromého klíče s heslem může být odemknut, vždy tedy musíte mít veřejnou část klíče příjemce, pokud chcete zprávu pro něj zašifrovat. Protože ne každý má k dispozici vlastní web čí blog, je možné do první (samozřejmě nešifrované) zprávy přiložit váš veřejný klíč a tak to udělá i druhá strana (vygenerovat soubor s klíčem je možne pomocí nástrojového panelu OpenPGP - Správa klíčů - prvý click na klíč - exportuj klíč do souboru).

Klíče je možné také přiložit k jinému textu a pomocí kopírování klíče do schránky. Takový text pak jde snadno zkopírovat do souboru odkud může být importován příjemcem.

Nejužitečnější metodou jak veřejné klíče sdílet je pak v okně Správa klíčů možnost (na pravém tlačítku myši) možnost Nahrát klíč na veřejný server. Veřejné servery jsou navzájem mezi sebou zrcadleny, takže v ideálním případě stačí klíč exportovat napříkladn na "pgp.mit.edu" a za pár dní budou k dostání i na ostatních. Pokud vám nevadí o pár kliků víc, klidně tímhle způsobem exportujte klíče na všechny nabízené servery, máte pak jistotu, že adresát, používající GnuPG/Enigmail, bude snadno schopen klíč získat, dříve než vám odešle první zašifrovaný email.

Tak, a pokud si chcete celou věc vyzkoušet v praxi, přesvěčte nejakého kamaráda či člena rodiny, aby si vygeneroval své klíče, pro svůj email, podle tohoto návodu, vyměňte si veřejné klíče a zkuste si navzájem poslat zašifrované soubory.

Pokud vše půjde jak má, právě jste začali používat nejbezpečnější poštovní obálku na Zemi a nemusíte se bát. že si někdo přečte váš obchodní plán (včetně vašich lan administrátorů) nebo to, jak moc se těšíte na svou drahou polovičku, až se vrátíte ze služební cesty po Brazílii.

Pokud chcete své dovednosti vyzkoušet hned, neváhejte importovat můj klíč z veřejných serverů (hledejte nikdykde@gmail.com), nebo si zkopírujte níže přiložený text, ohraničený zprávami za několika pomlčkami, které říkají, kde začíná a končí veřejný klíč.

Poslední drobnost. Aby bylo jasné, že nikdo nepoškodil klíče na vaší klíčence nebo je nevyměnil, je nezbytně nutné po importu klíče (OpenPGP - Správa klíčů - import) tento podepsat. Uděláte to tak, že v okně, kde jsou klíče zobrazeny clicknete na klíči pravým tlačítkem a zvolíte podepsat klíč. Použijete k tomu svůj soukromý klíč a své heslo. Teprve potom bude možné mi napsat plně šifrovaný a podepsaný email.

Úplně nakonec...

Teď, pokud všechno šlo podle plánu, jste schopní napsat email, který je automaticky podepsaný a pokud před odesíláním emailu vyberete z nástrojového menu OpenPGP možnost Zašifrovat email (Encrypt email) a pokud máte veřejnou část klíče příjemce, budete dotázani na heslo od vašeho kíče a email putuje k příjemci v zalepené obálce s vašim vlastnoručním podpisem, bezpečný tak, že ani všechny součastné počítače dohromady jej nedokáží otevřít nebo zfalšovat (pokud jste zadali opravdu kvalitní heslo).

Tak snad to nebylo až zas tak složité. Pokud ano, prostě vezte, že budete dál používat pohlednice místo obálek a třeba vám to ani nebude vadit, potom ale návod nebyl určený vám.

Všem ostatním, komu se postup podaří, blahopřeji a můžete mi poslat zašifrovaný pozdravný email. Pamatujte, že potřebuji váš veřejný klíč, abych mohl odpovědět.

Carpe Diem.

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v1.4.10 (GNU/Linux)

mQENBEvrCN8BCADG4QNMEcpaDfBbGtEHNtWOFDgvpPMtEZ7FxTs9/qQ97pHsNAqg

lkW2WfRUuaQrAFKLSHcDJTgZynDBMld8/mCs5zOdh9mwbcIRSQmS+i3Du4OII+mM

z6/7ORRGNpBWYmSwFvK5OTDWQfAI/8GW7wcB31UFRKOESpOdZRVxBemqKc2ETn7h

5XTtPq/ZKzGCPM2xtiYSylTP87qOPoLTOsvuDpJoeoentmsTctrO++qoyhHnIuFX

sz98RtwKNn6p4yx4a7OpWxyZHKlzRkXd4Keah+Kpcf/l8fk7JmFU91tu7J5c9RTz

QVsdtjU7b+OzkX6anKIp4AVbZCkSwoF5VdvFABEBAAG0HWNyeXB0Y2F0IDxuaWtk

eWtkZUBnbWFpbC5jb20+iQE+BBMBAgAoBQJL6wjfAhsjBQkJZgGABgsJCAcDAgYV

CAIJCgsEFgIDAQIeAQIXgAAKCRClc5I5IKnC/yC1B/9pIz8IoVOelwi11XOhrn8v

e6FxvPE3XgpiYS63D3wGUQyECJ54TswG4x8H+AWFtp3qgFtMv9iQ9njgeGQAhJjD

Vtgr2gm+lVr98YdJAt6HOrcyPXxDGZHe2FX17Kn8iE64x6exM0ou5D5AaynP+N+0

1r/BAYs6J19GzeSwp/f0QjFUkEYBVoDEq97ljkJZqBMkwW4Xa38v6lbflLGzUhlD

zpr6lPyBZ8MtrpJ3How2f2rPFn6mjpcsh3uBZ5zqADV4wptAz2jhJg9VYCX4FG93

r52ZUbIzD9en50fMXUR/OibDf8oqsZ5n3VTVuzaA3p//IirlOWNEWmoqayfgM6J2

uQENBEvrCN8BCADDxN12oumS0OBBHAyt6WETKkYDTh6E6VYO8mOzE3mYTeWoksAL

egyxMnIkSpluWGoJ0NkBRZy6qh9FJMr55PNhK9srcx0N+3zu0ANYMesYOI0NXj+p

rwjxQVGqBjlMe2x3/7sxXptCwqcjQwXBspuf1V7BGxp0SRSpPzz+OS2n4wSes+e4

l7d05XiC7j/Q+LMyHNOgKmkQdCwuZ9hwupehxyQS5BFURPnb3erjD1w0rZzcsLpt

91rJvrNwI2QmvtV685I6cFYssFAYNa+jlOrfHyQrwoPUSBJPoCTeERA1TUFVSQcL

vBsS1JJrUe28PcDFaqZRz0FY3pu/OwSbfY1bABEBAAGJASUEGAECAA8FAkvrCN8C

GwwFCQlmAYAACgkQpXOSOSCpwv/GEgf/V+DI/JYayyQQQRwfFVHqUCghGiBwDchv

OalgsL0yYTq2K3jnuPSSv6gyXT7NzgTAxYe4pLLqAl2OKja+37ru7by/K8/BPz3k

T+S4wUB2SRlRLCeerf47RCfTA9KiIc/HVlLgSsd7A3OgO+4j+MLjy9ygUM894wz3

pKsuvxy+wn64OWS9H1rVehWl8Rv/11a121GNbqp7XuA7VVVOdhnqsTxffXNDZl3e

GBhcLdbMDPaDFYcSbplcz3+MyhyuLXcTQAHREJLPK4Km+91RUTtXtUpwyDVW6jcH

b0vTCCy9+p2I7X4wULXegRASNbdh9R5iiCdC159ZuiDeXAG4pTJd3w==

=Vcli

-----END PGP PUBLIC KEY BLOCK-----

Autor: Tomáš Petrů | karma: 21.48 | přečteno: 12862 ×
Poslední články autora