Šifrujeme s aplikací Thunderbird
3.4.2006 Technická poradna Témata: Nezařazeno 2313 slov
V dávných a dávných dobách jsem na tomto serveru poskytl návod jak používat PGP k šifrování emailů. Od té doby se hodně změnilo. Z aplikace PGP se stál slon, příliš velký a intruzivní, který se vám navíc nakvartýruje do oblasti mini-ikonek (vpravo dole), na plochu a obsahuje mnohem více, než potřebujeme. Firma, která dodává PGP, se rozhodla na této aplikaci vydělávat stůj co stůj a původně shareware program nyní váže na 30 denní trial version na vyzkoušení a pak vyžaduje zaplatit. Ano, je pravdou, že základní funkce PGP zůstanou zachovány a i po 30 dnech fungují bez zaplacení, tj., stále můžete šifrovat emaily, ale tři čtvrtiny ostatních doplňků přestane být funkční a jen zavazí.
Ale hlavní problém s PGP spočívá v tom, že aplikace přestala fungovat z příkazového řádku, takže Thunderbirdovův doplněk Enigmail, kterým budeme šifrovat emaily my, si s PGP nedokáže poradit. Máte-li tedy nainstalováno PGP, doporučuji jej odinstalovat, ledaže používáte některé jeho rozšířené funkce (šifrování disku, bezpečné mazání apod.).
Před odinstalováním doporučuji uschovat všechny veřejné a tajné klíče. Můžete je beze změny použít i v aplikaci OpenPGP.
Emailový klient Outlook a Outlook Express je natolik nepružný a děravý, že jej dnes používají jen skalní zastánci Microsoftu a ti, kteří musejí.
Popis, který následuje, se netýká produktu MS IE (Outlooku), ale aplikace Thunderbird. Ta totiž umožňuje po drobných doplňcích velmi pohodlné šifrování a dešifrování emailů, aniž by to něco stálo a aniž by to vyžadovalo neustále registrace kdesi.
Enigmail a GnuPG
Budeme potřebovat dvě aplikace: Pro Thunderbird doplněk (extension) Enigmail a pro vlastní šifrování emailů program GnuPG.
I když je v podstatě jedno, kterou aplikaci nainstalujeme první, zda Enigmail nebo GnuPG, doporučuji začít tím druhým.
Předinstalační příprava - odstranění ikonky Security z aplikace Thunderbird
Proč máme odstraňovat ikonku Security? Protože ji nahradíme jinou. Ta, která tam je nyní, předpokládá, že si koupíte elektronický podpis u některé renomované firmy, např. Verisign Inc, popř. opatříte takový podpis od firmy Thawte, která jej poskytuje zdarma. V minulosti jsem ale míval s bezplatnými certifikáty problémy. Nevím, zda to již opravili, v každém případě řešení, které nabízím, žádný elektronický podpis ani další certifikát nepotřebuje. A pokud budete v budoucnu chtít svůj podpis ověřit (což mimochodem docela doporučuji, protože to potenciálnímu útočníkovi ztíží případné vlámání se do šifrované konverzace), můžete tak učinit třeba s kamarádem, který vás zná a potvrdí vaši identitu mnohem bezpečněji, než nějaká neznámá firma bůhvíkde.Ikonku Security odstraníme takto (předpokládám, že máme otevřenou aplikaci Thunderbird:
Klikneme na Write, jakobychom chtěli napsat nový email
Klikneme pravým knoflíkem myši kdekoliv na lištu s ikonkami, ale mimo ikonky samotné. Objeví se malinké okénko Customize. Sjedeme na něj kurzorem, čímž jej zvýrazníme a stiskneme levý knoflík myši. Tím se otevřelo okénko Customize Toolbar.
Nyní položíme kurzor na ikonku Security, stiskneme levý knoflík, držíme a táhneme ikonku pryč z lišty směrem na plochu otevřeného okénka Customize Toolbar. Jinými slovy přenášíme ikonku z lišty do depozitáře ikonek.
Hotovo? Tak můžeme zavřít okénko Cutomize Toolbar a okno pro napsaní nové zprávy. A můžeme na chvíli minimalizovat nebo úplně uzavřít i aplikaci Thnuderbird, ať nám na ploše nepřekáží.
Instalujeme GnuPG
Aplikaci si stáhneme zde: http://www.gnupg.org/download/. Sjeďte až na titulek Binaries a klikněte na ftp u řádku
GnuPG x.x.x compiled for Microsoft Windows.
Tak. Nyní předpokládám, že někde (nejspíše přímo na ploše) máte stažený soubor gnupg-w32cli-x.x.x.exe. Klikněte na něj, zvolte jeden z nabízených jazyků instalace (němčina nebo angličtina), objeví se okno GNU Privacy Guard Setup. Klikněte na Next a znovu a znovu. Dostanete se do okna GnuPG Language Section. Můžete si zvolit z řady jazyků, mezi jinými je tam i čeština. Potvrďte místo, kde se aplikace instaluje (C:\Program Files\GNU\GnuPG) a Menu a konečně na Install. Aplikace by se měla bez problému nainstalovat.
Instalujeme Enigmail
Nainstalujeme extension Enigmail, což je vlastně Front-End pro aplikaci GnuPG, který nám zajistí pohodlné šifrování a dešifrování přímo v poštovním klientu Thunderbird. Enigmail si můžete stáhnout zde: enigmail.mozdev.org/download.html. Je tam i česká verze, ale pozor! Než si kteroukoliv verzi Enigmailu stáhnete, ověřte si, jakou verzi má váš poštovní klient Thunderbird (Help | About Mozilla). Máte-li verzi 1.5 a vyšší, stáhněte si Enigmail verze 0.94.x. Je-li váš Thunderbird verze 1.0.x, stahujte Enigmail nižší verze 0.93. Jinak vám to nebude fungovat! A počeštěna verze Enigmailu je pouze ta poslední, tedy 0.94 pro Thunderbird 1.5 a vyšší. Obr. 1.
Stahujete-li Enigmail prostřednictvím prohlížeče Firefox, neklikejte levým knoflíkem (jako jindy při stahování), ale klikněte pravým a z otevřeného menu zvolte Save Link As. Pamatujte si, kam se aplikace Enigmail uložila (většinou přímo na pracovní plochu).
Nyní se vrátíme k poštovnímu klientu Thunderbird. V horním menu klikněte na Tools a Extensions. Otevře se nové okno. Vlevo dole klikněte na tlačítko Install. Vyberte Enigmail stažený z předchozího kroku. Potvrďte instalaci. Nyní musíte Thunderbird zavřít a znovu otevřít.
Všimněte si, že se v hlavním menu objevila nová položka OpenPGP. Klikněte na ni a z menu, které se otevře, vyberte Preferences. Ujistěte se, že v nově otevřeném okně jste na kartě Basic. Ověřte, že je vyplněno políčko GnuPG executable path. Ve většině případů už bude, ale někdy se stane, že chybí (např. tehdy, jestliže instalujete nejprve Enigmail a teprve potom GnuPG. Pak je nutno dosadit cestu k programu ručně. Neměnili-li jste default nastavení při instalaci GnuPG (a nebyl ani důvod to měnit), máte jej v adresáři C:\Program Files\GNU\GnuPG. Dostanete se do něj přes My Computer, Local disk C:, Program Files, GNU a GnuPG. (Obr. 3)
Když už jsme v tom okénku, doporučuji také (ale není to nezbytně nutné) zvýšit počet minut, po které si systém bude pamatovat vložené heslo. Standardně je tam 5 minut, mně se osvědčilo 15. Každý nechť si tam dá, co uzná sám za vhodné. Klikneme na OK.
Nyní přichází hlavní legrace. Totiž vytvoření dvojice klíčů pro šifrování. Znovu klikněte na OpenPGP v hlavním menu Thunderbid a dále na Key Management. Otevře se další okno. Zatím je prázdné. (Obr.4). Klikněte na Generate a na New Key Pair. Otevře se okno Generate OpenPGP Key (Obr. 5). Do okénka Passphrase zadejte heslo a totéž heslo do okénka vedle Passphrase (Repeat). Heslo by mělo být co nejdelší, minimálně osm znaků, jste-li schopni si zapamatovat více tak delší. Méně než osm znaků vám systém stejně nedovolí použít. Nemělo by to být žádné existující slovo z kteréhokoliv jazyka, ani kombinace existujících slov. Mělo by obsahovat čísla, malá i velká písmena a pokud možno i speciální znaky @#$%^*. V žádném případě nedoporučuji zakliknout No Passphrase a nechat klíč bez hesla.
Do políčka Comment můžete přidat jakýkoliv komentář a v Key Expire můžete zvolit počet let, jak dlouho bude klíč platný (standardně je to nastaveno na 5 let), nebo můžete zakliknout časově neomezenou platnost klíče (Key does not expire).
Můžete kliknout na kartu Advanced a zde nastavit délku klíče. Doporučuji změnit délku z 2048 na 4096 bitů. A nyní už můžete kliknout na Generate key. V průběhu vytváření klíče doporučuji pohybovat kurzorem myši po ploše, otevírat a zavírat nějaké aplikace, prostě vyrábět aktivitu. Dosáhnete tím vyšší entropie (náhodnosti).
Objevilo se okno informující nás, že generování klíčů je hotovo. Následuje dotaz, zda chceme vytvořit revokační certifikát. Tímto certifikátem se dá revokovat (navždy zneplatnit) veřejný klíč někde na klíčovém serveru, pokud např. ztratíme příslušný tajný klíč. Budeme-li náš veřejný klíč ukládat na některý z klíčových serverů (což není nutné), pak bychom asi revokační certifikát mít měli. Jinak se nám může stát, že nám budou lidé posílat zašifrované zprávy a my je nebudete schopni dešifrovat, protože jsme přišli o svůj tajný klíč. Problém s revokačním certifikátem je ale v tom, že by měl být uložen někde jinde (na úplně jiném médiu), než kde máme své klíče. Protože je vysoká šance, že při selhání disku přijdeme jak o svůj tajný klíč, tak i o revokační certifikát.
Odeslání veřejného klíče
V okénku OpenPGP nyní máme první řádek s naší vlastní dvojici klíčů – obr.7. K tomu, abychom mohli dostávat a odesílat šifrované zprávy, je nutno vyměnit si s adresátem své veřejné klíče. Předpokládejme, že si chci dopisovat šifrovaně s panem Králem, který vede rubriku Pohledy z Evropy ve Zvědavci. Aby mi mohl pan Král poslat zašifrovaný dopis, musí mít můj veřejný klíč. V okénku OpenPGP KeyManagement zvýrazním svůj klíč a kliknu pravým knoflíkem myši. Objeví se submenu. Zvolím Send Public Keys by Email. Otevře se okno, jako když chci psát nový email. V příloze tohoto email bude už soubor s koncovkou asc. To je můj veřejný klíč. (Obr.9)
Příjem veřejného (i soukromého) klíče
Veřejný klíč může přijít několika cestami. Může to být příloha emailu, může být součástí emailu nebo si jej můžeme stáhnout z veřejného serveru. Předpokládejme, že nám někdo poslal svůj veřejný klíč jako přílohu v emailu. Uložíme se tuto přílohu jako samostatný soubor (pamatujeme si, kde). Pak v aplikaci Thunderbird klikneme na OpenPGP a Key Management. V Okénku OpenPGP Key Management klikneme na File a Import Keys from File. Vybereme soubor, který jsme si před okamžikem někam uložili.
Nebo nám přišel veřejný klíč nikoliv v příloze, ale přímo v hlavním okně emailu. V takovém případě stačí přenést obsah okna do schránky (cut and paste). Stiskněte Ctrl-a a hned za tím Ctrl-c. Nyní je klíč ve schránce. V okně OpenPGP Key Management klikněte na Edit a Import Keys from Clipboard. Všimněte si, že tato volba je povolena jen tehdy, máte-li ve schránce platný veřejný klíč. Při jakémkoliv jiném obsahu schránky je tato volba zakázána.
Šifrování Emailu
Po napsání emailu a před odesláním klikněte na ikonku klíče vpravo dole – viz obrázek 11. Klíč se obarví zeleně. A teď můžete dopis odeslat.
Je možné, že se před odesláním objeví ještě další okno (obr.12), ve kterém bude systém požadovat, abyste vybrali příjemce. To se stane tehdy, jestliže souhlasí jméno adresáta s tím, které máte uložené u jeho veřejného klíče, ale nesouhlasí jeho email.
Několik dalších fint
Podepsání cizího veřejného klíče
Proč podepisovat klíče? Podepsáním cizího klíče potvrzujete, že dotyčného znáte a že jste si jistí, že jeho veřejný klíč mu patří. Nahrazujete tedy to, čemu se říká „certifikační autorita“ a řekněme si rovnou, že v případě, že majitele klíče skutečně znáte osobně, má váš podpis vyšší cenu než podpis certifikační autoritou (např. VeriSign) sehnaný kdesi na internetu, který není až tak těžké zfalšovat.
V okénku klíčů zvýrazněte veřejný klíč, který hodláte podepsat. Stiskněte pravé tlačítko myši. V menu vyberte Sign key. Vyskočilo další okno OpenPGP Sign Key. Všimněte si druhého řádku odshora: Fingerprint, což lze přeložit jako otisk klíče. A samozřejmě, že tento otisk je zcela unikátní. Doporučuji tento otisk před podpisem ještě verbálně ověřit s majitelem. Chcete totiž mít jistotu, že nikdo s klíčem na cestě od odesílatele nemanipuloval. Použijte telefon, Skype nebo jiný komunikační kanál. Pozor, nikoliv tentýž, kterým jste si vyměňovali své veřejné klíče, tedy nejspíše email. A přečtěte adresátovi alespoň část hodnot z fingerprint. Majitel klíče by vám měl potvrdit, že fingerprint souhlasí. Majitel kdykoliv zjistí fingerprint (otisk) svého klíče – viz kapitolka Jak zobrazit fingerprint.
Je-li všechno v pořádku, můžete zakliknout poslední volbu (I have done very careful checking) a kliknout na OK.
Systém bude nyní požadovat vaše heslo. Podepisujete totiž jeho klíč svým klíčem.
Po podepsání byste měli poslat majiteli zpátky jeho vámi podepsaný veřejný klíč. Tím se kruh uzavře. Viz kapitolku Odeslání veřejného klíče. Jediný rozdíl v postupu je ten, že nezvýrazňujete svůj vlastní klíč, ale veřejný klíč člověka, který jste právě podepsali.
Příjemce pak vloží svůj vlastní (teď už vámi podepsaný) veřejný klíč zpátky podle postupu popsaného v kapitolce Příjem cizího veřejného klíče.
Čím více podpisů nashromáždíte pro svůj veřejný klíč, tím je bezpečnější. Kdyby vám ho totiž někdo chtěl ukrást a zlomit šifru, musel by současně zlomit šifry všech lidí, kteří vám klíč podepsali.
Má smysl podepisovat jednotlivé emaily?
Hovoříme tady o digitálním podpisu u jednotlivých emailů, nikoliv o podpisu klíče (viz předchozí kapitolka). Podepisujeme tak, že před odesláním klikneme na ikonku pera vpravo dole vedle ikonky klíče (viz obr. 11).
Podpis a šifrování jsou dvě různé a na sobě nezávislé věci. Můžeme zprávu podepsat aniž bychom ji šifrovali, šifrovat, aniž bychom ji podepsali nebo šifrovat i podepsat.
Osobně digitální podpis nepoužívám, ale v podstatě proč ne? Je to další ochranná vrstva, která zajistí, že s emailem není cestou nějak manipulováno. Součástí podpisu je i váhová hodnota bitů celého emailu. Neptejte se mě, jak se to počítá, nevím to. Ale v případě, že se v emailu změnilo jediné písmenko po jeho digitálním podpisu, bude o tom adresát uvědoměn. A to bez ohledu na to, byla-li zpráva rovněž zašifrována.
Má smysl ukládat klíče na veřejný server?
Je docela rozumné poslat svůj veřejný klíč na nějaký klíčový server. Lidé vás tam totiž mohou najít a nemusí vás otravovat s posláním veřejného klíče. Ale v tom případě si nezapomeňte uschovat revokační certifikát a uschovejte si jej na jiné médium, než kde máte svůj tajný klíč.
Revokační certifikát potřebujete k tomu, abyste svůj veřejný klíč uložený na veřejném klíčovém serveru navždy zneplatnili pokud dojde ke ztrátě nebo poškození vašeho soukromého klíče či k zapomenutí hesla.
V okně OpenPGP Key Management zvýrazněte svůj soukromý klíč a klikněte na KeyServer a Upload Public Keys.
Mám více emailových adres, ale šifrování funguje jen na jednu. Co s tím?
Pro každou svou další emailovou adresu, kterou chcete používat k šifrování, musíte mít ve svém tajném klíči tzv. UID (User ID).
V okně OpenPGP Key Management zvýrazněte svůj tajný klíč a stiskněte pravé tlačítko myši. V menu vyberte Manage User Ids. Objeví se okno Change Primary User ID. Klikněte na Add a vyplňte jméno a novou emailovou adresu. Systém požádá o vaše heslo (modifikujete svůj soukromý klíč) a je-li v pořádku, objeví se nový záznam v okénku – obr. 14. Od tohoto okamžiku můžete používat pro šifrování i odesílání z nově zadané emailové adresy.
Jak změním heslo?
Můžete kdykoliv změnit heslo pro svůj tajný klíč, aniž byste museli znovu rozesílat své veřejné klíče.
V okně OpenPGP Key Management zvýrazněte svůj tajný klíč a stiskněte pravé tlačítko myši. V menu vyberte Change Passphrase. Systém požádá o vaše původní heslo a pak dvakrát za sebou nové heslo. Pamatujte, že nové heslo musí mít nejméně osm znaků, jinak neprojde.
Jak zobrazit fingerprint (otisk) klíče?
V okně OpenPGP Key Management zvýrazněte klíč, u kterého chcete vidět jeho fingerprint. A nyní buď stiskněte pravé tlačítko myši a v menu vyberte Key Properties. Nebo klikněte na View v hlavním menu a zde vyberte Key Properties.
Lze převést tajný a veřejný klíč z PGP, popř. z Linuxu do OpenPGP ve Windows?
Ano, samozřejmě. Postupujeme podle návodu z kapitolky Příjem veřejného (i soukromého) klíče.