Šifrujeme s aplikací Thunderbird

Vladimír Stwora

3.4.2006 Technická poradna Témata: Nezařazeno 2313 slov

V dávných a dávných dobách jsem na tomto serveru poskytl návod jak používat PGP k šifrování emailů. Od té doby se hodně změnilo. Z aplikace PGP se stál slon, příliš velký a intruzivní, který se vám navíc nakvartýruje do oblasti mini-ikonek (vpravo dole), na plochu a obsahuje mnohem více, než potřebujeme. Firma, která dodává PGP, se rozhodla na této aplikaci vydělávat stůj co stůj a původně shareware program nyní váže na 30 denní trial version na vyzkoušení a pak vyžaduje zaplatit. Ano, je pravdou, že základní funkce PGP zůstanou zachovány a i po 30 dnech fungují bez zaplacení, tj., stále můžete šifrovat emaily, ale tři čtvrtiny ostatních doplňků přestane být funkční a jen zavazí.

Ale hlavní problém s PGP spočívá v tom, že aplikace přestala fungovat z příkazového řádku, takže Thunderbirdovův doplněk Enigmail, kterým budeme šifrovat emaily my, si s PGP nedokáže poradit. Máte-li tedy nainstalováno PGP, doporučuji jej odinstalovat, ledaže používáte některé jeho rozšířené funkce (šifrování disku, bezpečné mazání apod.).

Před odinstalováním doporučuji uschovat všechny veřejné a tajné klíče. Můžete je beze změny použít i v aplikaci OpenPGP.

Emailový klient Outlook a Outlook Express je natolik nepružný a děravý, že jej dnes používají jen skalní zastánci Microsoftu a ti, kteří musejí.

Popis, který následuje, se netýká produktu MS IE (Outlooku), ale aplikace Thunderbird. Ta totiž umožňuje po drobných doplňcích velmi pohodlné šifrování a dešifrování emailů, aniž by to něco stálo a aniž by to vyžadovalo neustále registrace kdesi.

Enigmail a GnuPG

Budeme potřebovat dvě aplikace: Pro Thunderbird doplněk (extension) Enigmail a pro vlastní šifrování emailů program GnuPG.

I když je v podstatě jedno, kterou aplikaci nainstalujeme první, zda Enigmail nebo GnuPG, doporučuji začít tím druhým.

Předinstalační příprava - odstranění ikonky Security z aplikace Thunderbird

Proč máme odstraňovat ikonku Security? Protože ji nahradíme jinou. Ta, která tam je nyní, předpokládá, že si koupíte elektronický podpis u některé renomované firmy, např. Verisign Inc, popř. opatříte takový podpis od firmy Thawte, která jej poskytuje zdarma. V minulosti jsem ale míval s bezplatnými certifikáty problémy. Nevím, zda to již opravili, v každém případě řešení, které nabízím, žádný elektronický podpis ani další certifikát nepotřebuje. A pokud budete v budoucnu chtít svůj podpis ověřit (což mimochodem docela doporučuji, protože to potenciálnímu útočníkovi ztíží případné vlámání se do šifrované konverzace), můžete tak učinit třeba s kamarádem, který vás zná a potvrdí vaši identitu mnohem bezpečněji, než nějaká neznámá firma bůhvíkde.

Ikonku Security odstraníme takto (předpokládám, že máme otevřenou aplikaci Thunderbird:

Klikneme na Write, jakobychom chtěli napsat nový email

Klikneme pravým knoflíkem myši kdekoliv na lištu s ikonkami, ale mimo ikonky samotné. Objeví se malinké okénko Customize. Sjedeme na něj kurzorem, čímž jej zvýrazníme a stiskneme levý knoflík myši. Tím se otevřelo okénko Customize Toolbar.

Nyní položíme kurzor na ikonku Security, stiskneme levý knoflík, držíme a táhneme ikonku pryč z lišty směrem na plochu otevřeného okénka Customize Toolbar. Jinými slovy přenášíme ikonku z lišty do depozitáře ikonek.

Hotovo? Tak můžeme zavřít okénko Cutomize Toolbar a okno pro napsaní nové zprávy. A můžeme na chvíli minimalizovat nebo úplně uzavřít i aplikaci Thnuderbird, ať nám na ploše nepřekáží.

Instalujeme GnuPG

Aplikaci si stáhneme zde: http://www.gnupg.org/download/. Sjeďte až na titulek Binaries a klikněte na ftp u řádku
GnuPG x.x.x compiled for Microsoft Windows.

Tak. Nyní předpokládám, že někde (nejspíše přímo na ploše) máte stažený soubor gnupg-w32cli-x.x.x.exe. Klikněte na něj, zvolte jeden z nabízených jazyků instalace (němčina nebo angličtina), objeví se okno GNU Privacy Guard Setup. Klikněte na Next a znovu a znovu. Dostanete se do okna GnuPG Language Section. Můžete si zvolit z řady jazyků, mezi jinými je tam i čeština. Potvrďte místo, kde se aplikace instaluje (C:\Program Files\GNU\GnuPG) a Menu a konečně na Install. Aplikace by se měla bez problému nainstalovat.

Instalujeme Enigmail

[Obr 1]
Obr. 1 - klikněte pro zvětšení

Nainstalujeme extension Enigmail, což je vlastně Front-End pro aplikaci GnuPG, který nám zajistí pohodlné šifrování a dešifrování přímo v poštovním klientu Thunderbird. Enigmail si můžete stáhnout zde: enigmail.mozdev.org/download.html. Je tam i česká verze, ale pozor! Než si kteroukoliv verzi Enigmailu stáhnete, ověřte si, jakou verzi má váš poštovní klient Thunderbird (Help | About Mozilla). Máte-li verzi 1.5 a vyšší, stáhněte si Enigmail verze 0.94.x. Je-li váš Thunderbird verze 1.0.x, stahujte Enigmail nižší verze 0.93. Jinak vám to nebude fungovat! A počeštěna verze Enigmailu je pouze ta poslední, tedy 0.94 pro Thunderbird 1.5 a vyšší. Obr. 1.

Stahujete-li Enigmail prostřednictvím prohlížeče Firefox, neklikejte levým knoflíkem (jako jindy při stahování), ale klikněte pravým a z otevřeného menu zvolte Save Link As. Pamatujte si, kam se aplikace Enigmail uložila (většinou přímo na pracovní plochu).

[Obr 3]
Obr. 3 - klikněte pro zvětšení

Nyní se vrátíme k poštovnímu klientu Thunderbird. V horním menu klikněte na Tools a Extensions. Otevře se nové okno. Vlevo dole klikněte na tlačítko Install. Vyberte Enigmail stažený z předchozího kroku. Potvrďte instalaci. Nyní musíte Thunderbird zavřít a znovu otevřít.

Všimněte si, že se v hlavním menu objevila nová položka OpenPGP. Klikněte na ni a z menu, které se otevře, vyberte Preferences. Ujistěte se, že v nově otevřeném okně jste na kartě Basic. Ověřte, že je vyplněno políčko GnuPG executable path. Ve většině případů už bude, ale někdy se stane, že chybí (např. tehdy, jestliže instalujete nejprve Enigmail a teprve potom GnuPG. Pak je nutno dosadit cestu k programu ručně. Neměnili-li jste default nastavení při instalaci GnuPG (a nebyl ani důvod to měnit), máte jej v adresáři C:\Program Files\GNU\GnuPG. Dostanete se do něj přes My Computer, Local disk C:, Program Files, GNU a GnuPG. (Obr. 3)

Když už jsme v tom okénku, doporučuji také (ale není to nezbytně nutné) zvýšit počet minut, po které si systém bude pamatovat vložené heslo. Standardně je tam 5 minut, mně se osvědčilo 15. Každý nechť si tam dá, co uzná sám za vhodné. Klikneme na OK.

[Obr 4]
Obr. 4 - klikněte pro zvětšení

Nyní přichází hlavní legrace. Totiž vytvoření dvojice klíčů pro šifrování. Znovu klikněte na OpenPGP v hlavním menu Thunderbid a dále na Key Management. Otevře se další okno. Zatím je prázdné. (Obr.4). Klikněte na Generate a na New Key Pair. Otevře se okno Generate OpenPGP Key (Obr. 5). Do okénka Passphrase zadejte heslo a totéž heslo do okénka vedle Passphrase (Repeat). Heslo by mělo být co nejdelší, minimálně osm znaků, jste-li schopni si zapamatovat více tak delší. Méně než osm znaků vám systém stejně nedovolí použít. Nemělo by to být žádné existující slovo z kteréhokoliv jazyka, ani kombinace existujících slov. Mělo by obsahovat čísla, malá i velká písmena a pokud možno i speciální znaky @#$%^*. V žádném případě nedoporučuji zakliknout No Passphrase a nechat klíč bez hesla.

Do políčka Comment můžete přidat jakýkoliv komentář a v Key Expire můžete zvolit počet let, jak dlouho bude klíč platný (standardně je to nastaveno na 5 let), nebo můžete zakliknout časově neomezenou platnost klíče (Key does not expire).

[Obr 5]
Obr. 5 - klikněte pro zvětšení

Můžete kliknout na kartu Advanced a zde nastavit délku klíče. Doporučuji změnit délku z 2048 na 4096 bitů. A nyní už můžete kliknout na Generate key. V průběhu vytváření klíče doporučuji pohybovat kurzorem myši po ploše, otevírat a zavírat nějaké aplikace, prostě vyrábět aktivitu. Dosáhnete tím vyšší entropie (náhodnosti).

Objevilo se okno informující nás, že generování klíčů je hotovo. Následuje dotaz, zda chceme vytvořit revokační certifikát. Tímto certifikátem se dá revokovat (navždy zneplatnit) veřejný klíč někde na klíčovém serveru, pokud např. ztratíme příslušný tajný klíč. Budeme-li náš veřejný klíč ukládat na některý z klíčových serverů (což není nutné), pak bychom asi revokační certifikát mít měli. Jinak se nám může stát, že nám budou lidé posílat zašifrované zprávy a my je nebudete schopni dešifrovat, protože jsme přišli o svůj tajný klíč. Problém s revokačním certifikátem je ale v tom, že by měl být uložen někde jinde (na úplně jiném médiu), než kde máme své klíče. Protože je vysoká šance, že při selhání disku přijdeme jak o svůj tajný klíč, tak i o revokační certifikát.

Odeslání veřejného klíče

[Obr 7]
Obr. 7 - klikněte pro zvětšení

V okénku OpenPGP nyní máme první řádek s naší vlastní dvojici klíčů – obr.7. K tomu, abychom mohli dostávat a odesílat šifrované zprávy, je nutno vyměnit si s adresátem své veřejné klíče. Předpokládejme, že si chci dopisovat šifrovaně s panem Králem, který vede rubriku Pohledy z Evropy ve Zvědavci. Aby mi mohl pan Král poslat zašifrovaný dopis, musí mít můj veřejný klíč. V okénku OpenPGP KeyManagement zvýrazním svůj klíč a kliknu pravým knoflíkem myši. Objeví se submenu. Zvolím Send Public Keys by Email. Otevře se okno, jako když chci psát nový email. V příloze tohoto email bude už soubor s koncovkou asc. To je můj veřejný klíč. (Obr.9)

[Obr 9]
Obr. 9 - klikněte pro zvětšení

Příjem veřejného (i soukromého) klíče

Veřejný klíč může přijít několika cestami. Může to být příloha emailu, může být součástí emailu nebo si jej můžeme stáhnout z veřejného serveru. Předpokládejme, že nám někdo poslal svůj veřejný klíč jako přílohu v emailu. Uložíme se tuto přílohu jako samostatný soubor (pamatujeme si, kde). Pak v aplikaci Thunderbird klikneme na OpenPGP a Key Management. V Okénku OpenPGP Key Management klikneme na File a Import Keys from File. Vybereme soubor, který jsme si před okamžikem někam uložili.

Nebo nám přišel veřejný klíč nikoliv v příloze, ale přímo v hlavním okně emailu. V takovém případě stačí přenést obsah okna do schránky (cut and paste). Stiskněte Ctrl-a a hned za tím Ctrl-c. Nyní je klíč ve schránce. V okně OpenPGP Key Management klikněte na Edit a Import Keys from Clipboard. Všimněte si, že tato volba je povolena jen tehdy, máte-li ve schránce platný veřejný klíč. Při jakémkoliv jiném obsahu schránky je tato volba zakázána.

Šifrování Emailu

[Obr 11]
Obr. 11 - klikněte pro zvětšení

Po napsání emailu a před odesláním klikněte na ikonku klíče vpravo dole – viz obrázek 11. Klíč se obarví zeleně. A teď můžete dopis odeslat.

Je možné, že se před odesláním objeví ještě další okno (obr.12), ve kterém bude systém požadovat, abyste vybrali příjemce. To se stane tehdy, jestliže souhlasí jméno adresáta s tím, které máte uložené u jeho veřejného klíče, ale nesouhlasí jeho email.

[Obr 12]
Obr. 12 - klikněte pro zvětšení

Několik dalších fint

Podepsání cizího veřejného klíče

Proč podepisovat klíče? Podepsáním cizího klíče potvrzujete, že dotyčného znáte a že jste si jistí, že jeho veřejný klíč mu patří. Nahrazujete tedy to, čemu se říká „certifikační autorita“ a řekněme si rovnou, že v případě, že majitele klíče skutečně znáte osobně, má váš podpis vyšší cenu než podpis certifikační autoritou (např. VeriSign) sehnaný kdesi na internetu, který není až tak těžké zfalšovat.

V okénku klíčů zvýrazněte veřejný klíč, který hodláte podepsat. Stiskněte pravé tlačítko myši. V menu vyberte Sign key. Vyskočilo další okno OpenPGP Sign Key. Všimněte si druhého řádku odshora: Fingerprint, což lze přeložit jako otisk klíče. A samozřejmě, že tento otisk je zcela unikátní. Doporučuji tento otisk před podpisem ještě verbálně ověřit s majitelem. Chcete totiž mít jistotu, že nikdo s klíčem na cestě od odesílatele nemanipuloval. Použijte telefon, Skype nebo jiný komunikační kanál. Pozor, nikoliv tentýž, kterým jste si vyměňovali své veřejné klíče, tedy nejspíše email. A přečtěte adresátovi alespoň část hodnot z fingerprint. Majitel klíče by vám měl potvrdit, že fingerprint souhlasí. Majitel kdykoliv zjistí fingerprint (otisk) svého klíče – viz kapitolka Jak zobrazit fingerprint.

Je-li všechno v pořádku, můžete zakliknout poslední volbu (I have done very careful checking) a kliknout na OK.

Systém bude nyní požadovat vaše heslo. Podepisujete totiž jeho klíč svým klíčem.

Po podepsání byste měli poslat majiteli zpátky jeho vámi podepsaný veřejný klíč. Tím se kruh uzavře. Viz kapitolku Odeslání veřejného klíče. Jediný rozdíl v postupu je ten, že nezvýrazňujete svůj vlastní klíč, ale veřejný klíč člověka, který jste právě podepsali.

Příjemce pak vloží svůj vlastní (teď už vámi podepsaný) veřejný klíč zpátky podle postupu popsaného v kapitolce Příjem cizího veřejného klíče.

Čím více podpisů nashromáždíte pro svůj veřejný klíč, tím je bezpečnější. Kdyby vám ho totiž někdo chtěl ukrást a zlomit šifru, musel by současně zlomit šifry všech lidí, kteří vám klíč podepsali.

Má smysl podepisovat jednotlivé emaily?

Hovoříme tady o digitálním podpisu u jednotlivých emailů, nikoliv o podpisu klíče (viz předchozí kapitolka). Podepisujeme tak, že před odesláním klikneme na ikonku pera vpravo dole vedle ikonky klíče (viz obr. 11).

Podpis a šifrování jsou dvě různé a na sobě nezávislé věci. Můžeme zprávu podepsat aniž bychom ji šifrovali, šifrovat, aniž bychom ji podepsali nebo šifrovat i podepsat.

Osobně digitální podpis nepoužívám, ale v podstatě proč ne? Je to další ochranná vrstva, která zajistí, že s emailem není cestou nějak manipulováno. Součástí podpisu je i váhová hodnota bitů celého emailu. Neptejte se mě, jak se to počítá, nevím to. Ale v případě, že se v emailu změnilo jediné písmenko po jeho digitálním podpisu, bude o tom adresát uvědoměn. A to bez ohledu na to, byla-li zpráva rovněž zašifrována.

Má smysl ukládat klíče na veřejný server?

Je docela rozumné poslat svůj veřejný klíč na nějaký klíčový server. Lidé vás tam totiž mohou najít a nemusí vás otravovat s posláním veřejného klíče. Ale v tom případě si nezapomeňte uschovat revokační certifikát a uschovejte si jej na jiné médium, než kde máte svůj tajný klíč.

Revokační certifikát potřebujete k tomu, abyste svůj veřejný klíč uložený na veřejném klíčovém serveru navždy zneplatnili pokud dojde ke ztrátě nebo poškození vašeho soukromého klíče či k zapomenutí hesla.

V okně OpenPGP Key Management zvýrazněte svůj soukromý klíč a klikněte na KeyServer a Upload Public Keys.

Mám více emailových adres, ale šifrování funguje jen na jednu. Co s tím?

[Obr 14]

Pro každou svou další emailovou adresu, kterou chcete používat k šifrování, musíte mít ve svém tajném klíči tzv. UID (User ID).

V okně OpenPGP Key Management zvýrazněte svůj tajný klíč a stiskněte pravé tlačítko myši. V menu vyberte Manage User Ids. Objeví se okno Change Primary User ID. Klikněte na Add a vyplňte jméno a novou emailovou adresu. Systém požádá o vaše heslo (modifikujete svůj soukromý klíč) a je-li v pořádku, objeví se nový záznam v okénku – obr. 14. Od tohoto okamžiku můžete používat pro šifrování i odesílání z nově zadané emailové adresy.

Jak změním heslo?

Můžete kdykoliv změnit heslo pro svůj tajný klíč, aniž byste museli znovu rozesílat své veřejné klíče.

V okně OpenPGP Key Management zvýrazněte svůj tajný klíč a stiskněte pravé tlačítko myši. V menu vyberte Change Passphrase. Systém požádá o vaše původní heslo a pak dvakrát za sebou nové heslo. Pamatujte, že nové heslo musí mít nejméně osm znaků, jinak neprojde.

Jak zobrazit fingerprint (otisk) klíče?

V okně OpenPGP Key Management zvýrazněte klíč, u kterého chcete vidět jeho fingerprint. A nyní buď stiskněte pravé tlačítko myši a v menu vyberte Key Properties. Nebo klikněte na View v hlavním menu a zde vyberte Key Properties.

Lze převést tajný a veřejný klíč z PGP, popř. z Linuxu do OpenPGP ve Windows?

Ano, samozřejmě. Postupujeme podle návodu z kapitolky Příjem veřejného (i soukromého) klíče.

Známka 1.4 (hodnotilo 10)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

30

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc listopad přispělo 58 čtenářů částkou 10 333 korun, což je 30 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010

IBAN: CZ4720100000002000368066
Ze Slovenska 2000368066/8330
IBAN: SK5883300000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
bc1q40mwpus89teua4ruhxrtal6v45lc3ye5a9ttud

Další možnosti platby ›

Ve zkratce

Politico - Západ nakupuje plyn od Ázerbájdžánu, ale Rusko z toho těží 21.11.24 19:24 Neurčeno 0

Protestující policisté a hasiči vypískali Rakušana. Jeho sliby označili za pohádky21.11.24 17:43 Česká republika 0

Mezinárodní trestní soud vydal zatykač na Netanjahua. Viní ho z válečných zločinů v Gaze21.11.24 17:25 Neurčeno 0

V bažinách Washingtonu začíná být rušno 21.11.24 15:15 USA 0

Po nás potopa21.11.24 08:13 USA 0

Vláda zvýšila dědickou daň pro britské zemědělce 21.11.24 07:24 Británie 0

Česká republika koupí 14 tanků Leopard 2A4 za čtyři miliardy. Nahradí sovětské stroje21.11.24 07:13 Česká republika 0

Markov: Toto rozhodnutí Spojených států, Británie a Francie není krokem k jaderné válce, je to velký skok k jaderné válce, jaderné destrukci21.11.24 00:45 Rusko 0

Kyjev: "Bombardovali jsme ruský Krasnodar pomocí British Storm Shadows" - Zasáhne Rusko Británii? 21.11.24 00:35 Ukrajina 1

Zelenský se porušením Ottawské smlouvy stává válečným zločincem20.11.24 23:02 Ukrajina 0

52 % Ukrajinců si přeje, aby vedení země vyjednalo co nejdříve mír20.11.24 22:45 Ukrajina 1

Evropští lídři byli zděšeni brzkým zveřejněním komuniké G20, aby se účastníci vyhnuli diskusi o ruské válce 20.11.24 22:04 Brazilie 0

Dánsko dodalo Ukrajině šest F-16, dalších 13 bude následovat 20.11.24 21:50 Dánsko 1

USA oznámily balíček vojenské pomoci pro Ukrajinu ve výši 275 milionů dolarů20.11.24 21:46 USA 0

Evropské země, včetně Polska, jsou připraveny převzít odpovědnost za podporu Ukrajiny, pokud Spojené státy omezí svou pomoc20.11.24 21:43 Evropská unie 0

Skupiny pro lidská práva kritizují Bidenovo rozhodnutí poslat Ukrajině nášlapné miny20.11.24 20:44 USA 0

Bloomberg: "Ukrajina vypálila 12 britských řízených střel Storm Shadow na cíle na ruské půdě" 20.11.24 20:10 Rusko 5

Ministr energetiky v budoucí Trumpově vládě: Klimatická krize je destruktivní podvod20.11.24 17:33 USA 0

Kolik amerických raket ATAMS má Ukrajina k dispozici?20.11.24 17:08 Ukrajina 2

Von der Lejnová přitvrzuje20.11.24 16:54 Evropská unie 0

Měnové kurzy

USD
24,20 Kč
Euro
25,37 Kč
Libra
30,50 Kč
Kanadský dolar
17,33 Kč
Australský dolar
15,77 Kč
Švýcarský frank
27,31 Kč
100 japonských jenů
15,66 Kč
Čínský juan
3,34 Kč
Polský zloty
5,84 Kč
100 maď. forintů
6,17 Kč
Ukrajinská hřivna
0,59 Kč
100 rublů
23,89 Kč
1 unce (31,1g) zlata
64 604,03 Kč
1 unce stříbra
744,82 Kč
Bitcoin
2 370 291,64 Kč

Poslední aktualizace: 21.11.2024 22:00 SEČ

Tuto stránku navštívilo 26 941