Wuwejův zápisník

Šifrování pošty v Thunderbirdu

18.03.2007 18:12, Wu | počítače | komentáře -

Většina zdejších čtenářů to určitě ví, ale raději připomenu - elektronická pošta je velmi triviální a nulově zabezpečená záležitost. Prakticky na každém počítači, kterým data projdou na své cestě k příjemci, a není jich málo, lze mail číst. Co dělat, když tomu chcete předejít? Šifrovat.

Ve kybersvětě je de facto standardem PGP, sada komerčních aplikací, ovšem existuje i GNU alternativa GPG. A právě tu použijeme ke konfiguraci poštovního klienta Thunderbird.

  1. Z http://www.gnupg.org stáhneme binární distribuci (přímý odkaz pro Windows - "GnuPG 1.4.6 compiled for Microsoft Windows").
  2. Tento krok je určen jen pro extrémně opatrné, vy ostatní jej můžete klidně přeskočit. Paranoikové pozor: jistě víte, že pomocí přesměrování v síti nebo jiné černé magie je možné stáhnout si falešné (hackeři nikdy nespí) nebo poškozené nástroje, takže si instalaci překontrolujeme:
    1. Tamtéž stáhneme podpis a kontrolní součet souboru. (přímý odkaz pro windows - "Signature and SHA-1 checksum for previous file")
    2. Spustíme gpg --verify gnupg-1.4.6.exe.sig.
    Postup má jednu vadu - už nějaké gpg musíme mít nainstalované. Co když je to ale naše premiéra?
    1. Najdeme si někde ve svém unixovém systému program sha1sum. Popřípadě najdeme ve svém Windows systému nainstalované UnixUtils (včetně updatů), ve kterých sha1sum je. Taky nic? No to je škoda, protože pak si musíme sha1sum stáhnout, třeba také z gnupg.org. Samozřejmě se vystavujeme riziku, že kontrolovací nástroj bude také falešný... ale i paranoia má svoje hranice.
    2. Tam, kde jsem si stahovali binární distribuci, byl pod odkazem na "exe" a na "sig" výpis SHA kontrolního součtu, např. tento "b34cb9678550d2acd5e988bc2ba9b20bfe361027 gnupg-w32cli-1.4.6.exe". Spustíme program sha1sum s cestou ke gnupg jako parametrem, např. "sha1sum d:\gnupg-w32cli-1.4.6.exe" a podíváme se, co vypsal: "b34cb9678550d2acd5e988bc2ba9b20bfe361027 *gnupg-w32cli-1.4.6.exe". Letmá vizuální kontrola potvrzuje, že kontrolní součet stažené instalace odpovídá tomu, co o ní psali na stránkách a tudíž se jí dá důvěřovat. Pokud nebyly přesměrované i stránky. Ech, zase ta paranoia ...
  3. Spustíme a odklikáme instalaci. Můžeme si vybrat i češtinu, líp se to čte :). Hotovo? Tímto jsme do systému doinstalovali řádkový nástroj gpg, o němž nevíme takřka nic a zhýčkáni výhodami grafického uživatelského rozhraní hledáme nějaké "klikání". Marně. Dal by se stáhnout třeba pgpshell nebo Windows Privacy Tools, ale my to stejně chceme jen na maily, takže pokračujme následujícím krokem.
  4. Na stránce Enigmail si stáhneme rozšíření - pravé tlačítko na odkazu, uložit jako, vybrat cestu.
  5. V Thunderbirdu (popisuji verzi 1.5) v menu Nástroje vybereme Správce rozšíření, v něm stiskneme tlačítko Instalovat a najdeme uložený xpi soubor (viz. krok 4). Ten nainstalujeme a po restartu Thunderbirdu máme nové menu OpenPGP.
  6. V menu OpenPGP vybereme Preferences. Objeví se asi nastavovací průvodce čili wizard. Já ho ale zrušil a nevím jak ho znovu vyvolat, takže popisuji konfiguraci manuální. V Preferences, na kartě Basic se v políčku "GnuPG executable path" vybere cesta k nainstalovanému gpg (viz. krok 3). Obvykle C:\Program Files\GNU\GnuPG\gpg.exe. To nám pro začátek stačí, ještě se k Preferences vrátíme.
  7. Teď si musíme vygenerovat klíče. V menu OpenPGP vybereme Key Management, v něm v menu Generate zvolíme New Key Pair. Jak vidno, předvyplní se account /user ID podle mailového účtu, my doplníme heslo (užitečné zadávat, to aby někdo nemohl náš klíč jen tak zneužít z našeho počítače). Po chvíli generování se to zeptá na "revocation certificate". Dáme ano, soubor s certifikátem uložíme někam na disk. Je důležitý pro případné pozdější zneplatnění veřejného klíče v případě jeho úniku / zneužití (tady se o tom dočtete více). Veřejný klíč by se dal nahrát na key servery, ale to si necháme na později, momentálně nám to takhle stačí.
  8. Nepovinné kroky 8 - 1000: viz. Konfigurace enigmailu.

A můžeme to zkusit.

Stejně postiženému kolegovi pošleme svůj veřejný klíč: vytvoříme mail a v menu OpenPGP zvolíme "Attach my public key". On si mail otevře, na příloze dá pravé tlačítko a zvolí "Import OpenPGP Key". Stejným způsobem zase pošle mail se svým veřejným klíčem nám. Šlo by to samozřejmě obejít už zmíněným uploadem na keyserver, ale nám to takhle stačí. Mimochodem, klíče jsou uložené v "C:\Documents and Settings\[jméno uživatele]\Data aplikací\gnupg", což by se asi hodilo zálohovat...

V tuhle chvíli máme kolegův veřejný klíč. Založíme nový mail a v menu OpenPGP zvolíme "Encrypt Message". Enigmail sám podle mailové adresy příjemce pozná, jaký veřejný klíč použít (samozřejmě příjemcův) a zašifruje to s ním. Když jeho veřejný klíč nemáme, dá nám vybrat, případně nás nechá jeho veřejný klíč stáhnout z key serveru.

Jednoduché, že? :)

12345
1174237920000

Kategorie

Informace

Kontakt

Sledujte také

Archiv

STRÁNKY ARCHIVOVÁNY NÁRODNÍ KNIHOVNOU ČR

CBDB.cz – Databáze knih a spisovatelů, knihy online