\"/
\"/ \"/    

Bezpečná komunikace v praxi - první krůčky

Kamil Malinka, ÚVT MU
Ročník XVI - číslo 5, červen 2006
Citace: K. Malinka. Bezpečná komunikace v praxi - první krůčky. Zpravodaj ÚVT MU. ISSN 1212-0901, 2006, roč. XVI, č. 5, s. 14-16.
verze pro tisk: PDF
Tematické zařazení: Bezpečnost
Článek je součástí seriálu Počítačová bezpečnost
 předchozí článek | následující číslo 

V minulém čísle Zpravodaje ÚVT byl zveřejněn článek [1], který se zabýval problematikou bezpečnosti elektronických dat a elektronické komunikace. Vyvolal poměrně velkou čtenářskou odezvu. Řada lidí se cítila článkem oslovena; netušila ale, jak zásady bezpečné komunikace uvést do praxe na svém vlastním osobním počítači. Tento článek má za úkol poskytnout jakýsi jednoduchý návod pro první praktické seznámení s bezpečnostní technologií v oblasti e-mailové komunikace. Je zaměřen na uživatele operačního systému MS Windows používající - na MU hojně rozšířené - poštovní klienty ThunderBird resp. Mozilla.

Enigmail

Enigmail je open-source rozšíření (plugin) e-mailového klienta ThunderBird resp Mozilla, který umožňuje uživateli přístup k ověřování a šifrování zpráv prostřednictvím volně dostupného softwaru GnuPG (multiplatformní implementace standardu OpenPGP - viz RFC2440, nahrazujícího komerční šifrovací software PGP). Tento plugin umožňuje kompletní správu OpenPGP klíčů, šifrování/podepisování zpráv při odesílání a dešifrování/ověřování zpráv při jejich přijímání.

Pro využívání Enigmailu je třeba nejprve nainstalovat GnuPG, a dále přímo v aplikaci ThunderBird přidat samotné rozšíření. Českou lokalizaci a všechny potřebné instalační balíčky lze získat například na serveru http://enigmail.spi.cz. Po instalaci doplňku a následném restartu poštovního klienta se v nástrojové liště objeví nová záložka - OpenPGP. Pomocí ní lze provádět veškeré požadované funkce, především:

  1. podepisovat své e-maily elektronickým podpisem; ten umožňuje příjemci ověření autentičnosti (autorství e-mailu nelze zpochybnit) a ověření integrity (e-mail nebyl cestou od odesílatele k adresátovi změněn);
  2. šifrovat obsah e-mailu (utajení obsahu zprávy pro kohokoliv kromě adresáta);
  3. ověřovat autentičnost/integritu přijatých e-mailů opatřených elektronickým podpisem;
  4. dešifrovat obsah přijatých zašifrovaných e-mailů;
  5. kompletní správu OpenPGP klíčů (jak vlastních privátních klíčů tak i cizích veřejných klíčů).

Elektronický podpis a šifrování zpráv - stručné opáčko

Zopakujme stručně, jak funguje elektronický podpis u e-mailových zpráv:

Postup při výměně šifrovaných zpráv je následující:

A jak to celé funguje v praxi

První věc, kterou je po instalaci Enigmail třeba udělat, je vygenerovat svou dvojici klíčů. Jedním z dvojice je klíč veřejný, o jehož distribuci budeme dále hovořit. Tento klíč má každý k dispozici, aby vám mohl zasílat zašifrované zprávy. Zašifrované zprávy může dešifrovat pouze držitel odpovídajícího soukromého klíče (tato druhá část vašeho klíče by zcela jistě neměla být k dispozici ostatním a je nezbytné ji mít bezpečně uloženu). Ovšem tyto vlastnosti již byly diskutovány v minulém čísle, takže se jimi nebudeme dále zabývat.

V nabídce ThunderBirdu zvolte možnost Správa OpenPGP klíčů. Zde můžete využít služeb průvodce, který vás provede celou procedurou. Zvolíte identity, které mohou využívat vygenerované klíče, dále přístupové heslo a několik dalších vlastností. Průvodce je do detailu popisuje a jsou poměrně intuitivní, takže není třeba se jim hlouběji věnovat. Defaultní nastavení by mělo být dostatečné pro počáteční používání, přesto doporučujeme zvážit modifikaci následujících možností:

Po vygenerování soukromého a veřejného klíče budete vyzvání k vytvoření revokačního certifikátu. Tento certifikát může být použit pro zneplatnění klíče, např. při ztrátě soukromého klíče.

Vytvořený klíč je uložen ve správci pluginu Enigmail a pomocí něj provádíte příslušné operace. Jak již bylo zmíněno výše, váš veřejný klíč by měl být k dispozici ostatním uživatelům, aby si byli schopni ověřit vaši identitu. Jedním z možných způsobů je využití tzv. keyserveru. Uložením vašeho veřejného klíče na některém keyserveru umožníte ostatním využívat ho pro komunikaci s vámi. Pro ukládání veřejného klíče lze doporučit například server pgp.mit.edu nebo pks.gpg.cz. Další možností je zveřejnění klíče na vašich osobních webových stránkách. Zde ovšem člověk, který s vám chce komunikovat, nemá žádnou jistotu o pravosti tohoto klíče. Je několik možností, jak si ji ověřit. Jednou z možností je vytvoření tzv. sítě důvěry (web of trust). Váš veřejný klíč může být podepsán třetí osobu, např. kolegou z práce, a tím získává na jisté důvěryhodnosti; vytváří se tak jakási síť klíčů, které si navzájem věří. Jinou možností je vytvoření otisku vašeho klíče, tzv. fingerprint, a předání tohoto otisku bezpečnou cestou osobě, která s vámi chce komunikovat. Pomocí tohoto otisku lze ověřit pravost veřejného klíče. Zde už se ovšem dostáváme k otázkám distribuce veřejných klíčů, které jsou mimo rámec našeho článku.

Vraťme se tedy zpět k použití vygenerovaných klíčů. Při instalaci pluginu je nastaveno, že veškeré odchozí e-maily budou podepisovány vaším soukromým klíčem. Při tvorbě e-mailu si dále můžete přes nastavení OpenPGP nastavit i šifrování zprávy.

Výhodou rozšíření Enigmail je uživatelská transparentnost. Pokud vám dojde podepsaný resp. zašifrovaný e-mail a vy máte veřejný klíč odpovídající odesílateli, dojde k automatickému ověření resp. dešifrování zprávy, a vám se v aplikaci zobrazí již přímo text e-mailu. Tato možnost se dá volitelně vypnout - pak si můžete vychutnat pohled na zašifrovaný tvar zprávy.

Pomocí správy klíčů samozřejmě můžete vytvářet další klíče, pro odlišné scénáře použití. Například soukromý a pracovní, nebo můžete importovat již vytvořené veřejné klíče jiných účastníků komunikace; ale to je již běžná praxe.

Závěr

Práce s rozšířením Enigmail poštovního klienta ThunderBird/Mozilla je velmi intuitivní a po počátečních nastaveních nevyžaduje téměř žádnou režii. Co dodat závěrem? Pokroky v této oblasti jdou mílovými kroky vpřed a bezpečnostní technologie se začínají dostávat k masám. Pokud jste s nimi neměli dosud žádné zkušenosti, měl by vám tento článek pomoci při prvních krůčcích směrem k vyšší bezpečnosti vaší elektronické komunikace.

Literatura

[1] A. Kropáčová. Bezpečnost elektronických dat a elektronické komunikace. Zpravodaj ÚVT MU. ISSN 1212-0901, 2006, roč. 16, č. 4, s. 15-20.
... zpět do textu
Zpět na začátek
ÚVT MU, poslední změna 14.11.2011