Compare Revisions
Šifrování a digitální podepisování zpráv
Revision 142475:
Revision 142475 by soucet on
Revision 159209:
Revision 159209 by Nerohorse on
Keywords:
pgp podpis gpg gnupg enigmail zašifrovat
pgp podpis gpg gnupg enigmail zašifrovat
Search results summary:
Tento návod vysvětluje, jak nastavit Thunderbird, aby v zájmu zabezpečení zpráv zprávy šifroval, dešifroval a digitálně podepisoval.
Tento návod vysvětluje, jak nastavit Thunderbird, aby v zájmu zabezpečení zpráv zprávy šifroval, dešifroval a digitálně podepisoval.
Content:
__TOC__
Tento návod vysvětluje, jak nastavit Thunderbird, aby v zájmu zabezpečení zpráv zprávy šifroval, dešifroval a digitálně podepisoval.
=Úvod=
Infrastruktura elektronické pošty, kterou užívá každý, je záměrně nezabezpečená. Přestože se většina lidí připojuje ke svému poštovnímu serveru pomocí zabezpečeného spojení ("SSL"), některé servery umožňují nezabezpečený přístup. Navíc zpráva na své cestě od odesílatele k příjemci neputuje jednotlivými servery automaticky přes zabezpečené spojení. Během přenosu tedy může být zpráva někým zachycena, přečtena a pozměněna.
Když zprávu [http://cs.wikipedia.org/wiki/Elektronick%C3%BD_podpis digitálně podepíšete], vložíte do zprávy informaci potvrzující vaši identitu. Když zprávu zašifrujete, vypadá zpráva jako "směsice znaků" a přečíst ji dokáže pouze osoba, která vlastní klíč k jejímu dešifrování. Podepsání zprávy digitálním podpisem zaručuje příjemci, že zpráva skutečně pochází od uvedeného odesílatele. Zašifrování zprávy zaručuje, že zpráva nebyla během svého přenosu přečtena ani pozměněna.
K zašifrování zpráv je možné použít systém [http://cs.wikipedia.org/wiki/Asymetrick%C3%A1_kryptografie asymetrické kryptografie]. V tomto systému má každý účastník dva různé klíče: '''veřejný šifrovací klíč''' a '''soukromý dešifrovací klíč'''. Když vám někdo chce poslat šifrovanou zprávu, použije váš veřejný klíč k vytvoření šifrovacího algoritmu. Když zprávu obdržíte, musíte k jejímu dešifrování použít svůj soukromý klíč.
{note} '''Poznámka''': Svůj soukromý klíč nikdy nikomu nedávejte. Je určen pouze vám! {/note}
Protokol používaný k šifrování zpráv se nazývá [http://cs.wikipedia.org/wiki/Pretty_Good_Privacy PGP] (Pretty Good Privacy). Abyste mohli v Thunderbirdu používat PGP, musíte nejprve nainstalovat následující aplikace:
* [http://www.gnupg.org/ GnuPG]: (GNU Privacy Guard): svobodná implementace PGP
* [https://addons.mozilla.org/thunderbird/addon/enigmail/ Enigmail]: doplněk Thunderbirdu
Tyto dvě aplikace rovněž poskytují možnost zprávy digitálně podepisovat.
=Instalace programu GPG a doplňku Enigmail=
Pro instalaci programu GnuPG stáhněte příslušný balík z kapitoly ''GnuPG Binaries'' na stránce pro [http://www.gnupg.org/download/index.en.html#sec-1-3 stažení programu GnuPG]. Dále postupujte podle pokynů pro instalaci vašeho balíku. Nápovědu pro jednotlivé operační systémy naleznete zde:
* [http://write.flossmanuals.net/thunderbird-workbook/installing-pgp-in-windows/ Installing PGP on Windows]
* [http://write.flossmanuals.net/thunderbird-workbook/installing-pgp-in-ubuntu/ Installing PGP on Ubuntu]
* [http://write.flossmanuals.net/thunderbird-workbook/installing-pgp-in-osx/ Installing PGP on Mac OS X]
Jak nainstalovat doplněk Enigmail:
# Klepněte v Thunderbirdu na nabídku {menu Nástroje} a zvolte {menu Správce doplňků}.
# Ve vyhledávacím poli vpravo nahoře vyhledejte doplněk Enigmail.
# Ve výsledcích vyhledávání klepněte u položky Enigmail na tlačítko {button Instalovat} a postupujte podle pokynů na obrazovce.
=Vytvoření PGP klíčů=
Podle následujícího postupu vytvořte veřejný a soukromý klíč:
# Klepněte v Thunderbirdu na nabídku {menu OpenPGP} a zvolte {menu Průvodce nastavením}.
# Zaškrtněte volbu {pref Ano, budu rád, když mi průvodce pomůže začít}, jak je ukázáno na obrázku níže a pokračujte klepnutím na tlačítko {button Další}.
#;[[Image:tb-openpgp1]]
# Budete dotázáni, zda chcete digitálně podepisovat všechny odchozí zprávy nebo zda si přejete nastavit pro různé příjemce různá pravidla. Dobrým nápadem je zpravidla podepisovat všechny zprávy, aby měli příjemci ověřeno, že zprávy jsou skutečně od vás. Pro přečtení digitálně podepsaných zpráv neni zapotřebí mít vlastní digitální podpis ani PGP. Zaškrtněte tedy volbu {pref Ano, přeji si podepisovat všechny své e-maily} a pokračujte klepnutím na tlačítko {button Další}.
# Dále budete dotázáni, zda chcete šifrovat všechny zprávy. Nevlastníte-li veřejné klíče všech vašich předpokládaných příjemců, neměli byste tuto volbu zaškrtávat. V takovémto případě zaškrtněte volbu {pref Ne, vytvořím si pravidla šifrování pouze pro ty adresáty, od nichž mám veřejné klíče} a pokračujte klepnutím na tlačítko {button Další}.
# Poté se vás Průvodce dotáže, jestli pro lepší funkčnost PGP může změnit některá vaše nastavení formátování zpráv. Je lépe tuto změnu povolit a zaškrtnout {pref Ano}. Pokračujte klepnutím na tlačítko {button Další}.
# Následně budete dotázáni, zda již máte klíče vytvořeny nebo je chcete teprve vytvořit. Zaškrtněte <span class="pref">Přeji si vytvořit nový pár klíčů pro podepisování a šifrování zpráv</span> a pokračujte klepnutím na tlačítko {button Další}.
# Vyberte poštovní účet, pro který chcete klíče vytvořit. Do pole "Heslo" bude potřeba zadat heslo, sloužící k ochraně vašeho soukromého klíče. Toto heslo bude také sloužit k dešifrování zpráv, proto jej nezapomeňte. Heslo by mělo být dlouhé alespoň 8 znaků a nemělo by se jednat o "slovníkové" slovo. (Viz [http://cs.wikipedia.org/wiki/S%C3%ADla_hesla tento článek na Wikipedii].) Zadejte toto heslo dvakrát a pokračujte klepnutím na tlačítko {button Další}.
# Na další obrazovce uvidíte nastavení, která jste svými předchozími kroky provedli. Pokud jste s nimi spokojeni, pokračujte klepnutím na tlačítko {button Další}.
# Následně se vás Průvodce zeptá, zda si přejete vytvořit ''revokační certifikát'', který byste použili v případě, že by byly vaše klíče kompromitovány a potřebovali byste informovat ostatní o jejich neplatnosti. Chcete-li jej vytvořit, klepněte na tlačítko {button Generování certifikátu} a postupujte podle pokynů na obrazovce. V opačném případě klepněte na tlačítko {button Přeskočit}.
# Nakonec vám Průvodce sdělí, že proces vytvoření klíčů je dokončen. Klepnutím na tlačítko {button Dokončit} Průvodce ukončíte.
=Zaslání a obdržení veřejných klíčů=
==Zaslání veřejného klíče skrze e-mail==
Aby vám mohli ostatní posílat šifrované zprávy, musíte jim nejprve zaslat svůj veřejný klíč:
# Vytvořte zprávu.
# V horní části okna Thunderbirdu klepněte na nabídku {menu OpenPGP} a zvolte {menu Připojit můj vlastní veřejný klíč}.
#;[[Image:tb-openpgp2]]
# Odešlete zprávu obvyklým způsobem.
==Obdržení veřejného klíče skrze e-mail==
Abyste mohli ostatním posílat šifrované zprávy, musíte obdržet a uložit si jejich veřejný klíč:
# Otevřete zprávu obsahující veřejný klíč.
# Ve spodní části okna dvojklepněte na přílohu s příponou '.asc'. (Tento soubor obsahuje veřejný klíč.)
# Thunderbird automaticky rozpozná, že se jedná o PGP klíč a zobrazí dialogové okno s dotazem, zda chcete klíč importovat nebo zobrazit. Klepněte na tlačítko {button Importovat}.
#;[[Image:tb-openpgp3]]
# Objeví se potvrzení o úspěšném importování klíče. Klepnutím na tlačítko {button OK} proces dokončíte.
=Poslání digitálně podepsané a/nebo šifrované zprávy=
# Vytvořte zprávu obvyklým způsobem.
# Chcete-li ji digitálně podepsat, klepněte v horní části okna Thunderbirdu na nabídku {menu OpenPGP} a zaškrtněte položku {menu Podepsat zprávu}. Chcete-li zprávu zašifrovat, zaškrtněte v této nabídce položku {menu Šifrovat zprávu}. Před zašifrováním zprávy můžete být požádáni o vložení svého hesla.
#;[[Image:tb-openpgp4]]
# Je-li vaší poštovní adrese přiřazen PGP klíč, bude zpráva zašifrována tímto klíčem. Pokud přiřazen není, budete muset klíč vybrat ze seznamu.
# Odešlete zprávu obvyklým způsobem.
{note}'''Poznámka:''' Text v poli "Předmět" šifrován nebude.{/note}
=Přečtení digitálně podepsané a/nebo šifrované zprávy=
Když obdržíte zašifrovanou zprávu, požádá vás Thunderbird o zadání hesla, aby mohl zprávu dešifrovat. Zda je příchozí zpráva digitálně podepsaná nebo zašifrovaná zjistíte v informačním pruhu nad tělem zprávy.
Jestliže Thunderbird pozná podpis, objeví se nad zprávou zelený pruh:
[[Image:tb-openpgp5]]
Byla-li zpráva zašifrována i podepsána, zobrazí zelený pruh navíc text "Dešifrovaná zpráva":
[[Image:tb-openpgp6]]
Pokud byla zpráva zašifrována, nikoli však podepsána, objeví se takovýto pruh:
[[Image:tb-openpgp7]]
{note}'''Poznámka:''' Zpráva, která nebyla podepsána, by mohla pocházet od někoho, kdo se pokouší vydávat za někoho jiného.{/note}
=Zneplatnění klíče=
Pokud se domníváte, že byl váš soukromý klíč "kompromitován" (tzn. někdo získal přístup k souboru, který obsahuje váš soukromý klíč), měli byste co nejdříve svůj současný pár klíčů zneplatnit a vytvořit si nový pár. Jak zneplatnit svůj současný pár klíčů:
# Klepněte v horní části okna Thunderbirdu na nabídku {menu OpenPGP} a zvolte {menu Správa klíčů}.
#;<!-- [[Image:RevokeKey]] -->
# Zobrazí se dialogové okno, ve kterém zaškrtněte políčko {pref Při spuštění zobrazit všechny klíče}, aby se zobrazily všechny vaše klíče.
# Klepněte pravým tlačítkem myši na klíč, který si přejete zneplatnit a z nabídky zvolte {pref Revokovat klíč}.
# Budete dotázáni, zda si opravdu přejete klíč revokovat (zneplatnit). Pokračujte klepnutím na tlačítko {button Revokovat klíč}.
# Následně budete vyzváni k zadání hesla. Zadejte jej a klepněte na tlačítko {button OK}. Klíč tím bude zneplatněn.
Všem lidem, se kterými jste si dopisovali, zašlete revokační certifikát, aby se dozvěděli, že váš současný klíč již není platný. V případě, že se někdo pokusí použít váš současný klíč ve snaze se za vás vydávat, budou tak příjemci vědět, že tento pár klíčů pozbyl platnosti.
__TOC__
Tento návod vysvětluje, jak nastavit Thunderbird, aby v zájmu zabezpečení zpráv zprávy šifroval, dešifroval a digitálně podepisoval.
=Úvod=
Infrastruktura elektronické pošty, kterou užívá každý, je záměrně nezabezpečená. Přestože se většina lidí připojuje ke svému poštovnímu serveru pomocí zabezpečeného spojení ("SSL"), některé servery umožňují nezabezpečený přístup. Navíc zpráva na své cestě od odesílatele k příjemci neputuje jednotlivými servery automaticky přes zabezpečené spojení. Během přenosu tedy může být zpráva někým zachycena, přečtena a pozměněna.
Když zprávu [http://cs.wikipedia.org/wiki/Elektronick%C3%BD_podpis digitálně podepíšete], vložíte do zprávy informaci potvrzující vaši identitu. Když zprávu zašifrujete, vypadá zpráva jako "směsice znaků" a přečíst ji dokáže pouze osoba, která vlastní klíč k jejímu dešifrování. Podepsání zprávy digitálním podpisem zaručuje příjemci, že zpráva skutečně pochází od uvedeného odesílatele. Zašifrování zprávy zaručuje, že zpráva nebyla během svého přenosu přečtena ani pozměněna.
K zašifrování zpráv je možné použít systém [http://cs.wikipedia.org/wiki/Asymetrick%C3%A1_kryptografie asymetrické kryptografie]. V tomto systému má každý účastník dva různé klíče: '''veřejný šifrovací klíč''' a '''soukromý dešifrovací klíč'''. Když vám někdo chce poslat šifrovanou zprávu, použije váš veřejný klíč k vytvoření šifrovacího algoritmu. Když zprávu obdržíte, musíte k jejímu dešifrování použít svůj soukromý klíč.
{note} '''Poznámka''': Svůj soukromý klíč nikdy nikomu nedávejte. Je určen pouze vám! {/note}
Protokol používaný k šifrování zpráv se nazývá [http://cs.wikipedia.org/wiki/Pretty_Good_Privacy PGP] (Pretty Good Privacy). Abyste mohli v Thunderbirdu používat PGP, musíte nejprve nainstalovat následující aplikace:
* [http://www.gnupg.org/ GnuPG]: (GNU Privacy Guard): svobodná implementace PGP
* [https://addons.mozilla.org/thunderbird/addon/enigmail/ Enigmail]: doplněk Thunderbirdu
Tyto dvě aplikace rovněž poskytují možnost zprávy digitálně podepisovat.
=Instalace programu GPG a doplňku Enigmail=
Pro instalaci programu GnuPG stáhněte příslušný balík z kapitoly ''GnuPG Binaries'' na stránce pro [http://www.gnupg.org/download/index.en.html#sec-1-3 stažení programu GnuPG]. Dále postupujte podle pokynů pro instalaci vašeho balíku. Nápovědu pro jednotlivé operační systémy naleznete zde:
* [http://write.flossmanuals.net/thunderbird-workbook/installing-pgp-in-windows/ Installing PGP on Windows]
* [http://write.flossmanuals.net/thunderbird-workbook/installing-pgp-in-ubuntu/ Installing PGP on Ubuntu]
* [http://write.flossmanuals.net/thunderbird-workbook/installing-pgp-in-osx/ Installing PGP on Mac OS X]
Jak nainstalovat doplněk Enigmail:
# Klepněte v Thunderbirdu na nabídku {menu Nástroje} a zvolte {menu Správce doplňků}.
# Ve vyhledávacím poli vpravo nahoře vyhledejte doplněk Enigmail.
# Ve výsledcích vyhledávání klepněte u položky Enigmail na tlačítko {button Instalovat} a postupujte podle pokynů na obrazovce.
=Vytvoření PGP klíčů=
Podle následujícího postupu vytvořte veřejný a soukromý klíč:
# Klepněte v Thunderbirdu na nabídku {menu OpenPGP} a zvolte {menu Průvodce nastavením}.
# Zaškrtněte volbu {pref Ano, budu rád, když mi průvodce pomůže začít}, jak je ukázáno na obrázku níže a pokračujte klepnutím na tlačítko {button Další}.
#;[[Image:tb-openpgp1]]
# Budete dotázáni, zda chcete digitálně podepisovat všechny odchozí zprávy nebo zda si přejete nastavit pro různé příjemce různá pravidla. Dobrým nápadem je zpravidla podepisovat všechny zprávy, aby měli příjemci ověřeno, že zprávy jsou skutečně od vás. Pro přečtení digitálně podepsaných zpráv neni zapotřebí mít vlastní digitální podpis ani PGP. Zaškrtněte tedy volbu {pref Ano, přeji si podepisovat všechny své e-maily} a pokračujte klepnutím na tlačítko {button Další}.
# Dále budete dotázáni, zda chcete šifrovat všechny zprávy. Nevlastníte-li veřejné klíče všech vašich předpokládaných příjemců, neměli byste tuto volbu zaškrtávat. V takovémto případě zaškrtněte volbu {pref Ne, vytvořím si pravidla šifrování pouze pro ty adresáty, od nichž mám veřejné klíče} a pokračujte klepnutím na tlačítko {button Další}.
# Poté se vás Průvodce dotáže, jestli pro lepší funkčnost PGP může změnit některá vaše nastavení formátování zpráv. Je lépe tuto změnu povolit a zaškrtnout {pref Ano}. Pokračujte klepnutím na tlačítko {button Další}.
# Následně budete dotázáni, zda již máte klíče vytvořeny nebo je chcete teprve vytvořit. Zaškrtněte <span class="pref">Přeji si vytvořit nový pár klíčů pro podepisování a šifrování zpráv</span> a pokračujte klepnutím na tlačítko {button Další}.
# Vyberte poštovní účet, pro který chcete klíče vytvořit. Do pole "Heslo" bude potřeba zadat heslo, sloužící k ochraně vašeho soukromého klíče. Toto heslo bude také sloužit k dešifrování zpráv, proto jej nezapomeňte. Heslo by mělo být dlouhé alespoň 8 znaků a nemělo by se jednat o "slovníkové" slovo. (Viz [http://cs.wikipedia.org/wiki/S%C3%ADla_hesla tento článek na Wikipedii].) Zadejte toto heslo dvakrát a pokračujte klepnutím na tlačítko {button Další}.
# Na další obrazovce uvidíte nastavení, která jste svými předchozími kroky provedli. Pokud jste s nimi spokojeni, pokračujte klepnutím na tlačítko {button Další}.
# Následně se vás Průvodce zeptá, zda si přejete vytvořit ''revokační certifikát'', který byste použili v případě, že by byly vaše klíče kompromitovány a potřebovali byste informovat ostatní o jejich neplatnosti. Chcete-li jej vytvořit, klepněte na tlačítko {button Generování certifikátu} a postupujte podle pokynů na obrazovce. V opačném případě klepněte na tlačítko {button Přeskočit}.
# Nakonec vám Průvodce sdělí, že proces vytvoření klíčů je dokončen. Klepnutím na tlačítko {button Dokončit} Průvodce ukončíte.
=Zaslání a obdržení veřejných klíčů=
==Zaslání veřejného klíče skrze e-mail==
Aby vám mohli ostatní posílat šifrované zprávy, musíte jim nejprve zaslat svůj veřejný klíč:
# Vytvořte zprávu.
# V horní části okna Thunderbirdu klepněte na nabídku {menu OpenPGP} a zvolte {menu Připojit můj vlastní veřejný klíč}.
#;[[Image:tb-openpgp2]]
# Odešlete zprávu obvyklým způsobem.
==Obdržení veřejného klíče skrze e-mail==
Abyste mohli ostatním posílat šifrované zprávy, musíte obdržet a uložit si jejich veřejný klíč:
# Otevřete zprávu obsahující veřejný klíč.
# Ve spodní části okna dvojklepněte na přílohu s příponou '.asc'. (Tento soubor obsahuje veřejný klíč.)
# Thunderbird automaticky rozpozná, že se jedná o PGP klíč a zobrazí dialogové okno s dotazem, zda chcete klíč importovat nebo zobrazit. Klepněte na tlačítko {button Importovat}.
#;[[Image:tb-openpgp3]]
# Objeví se potvrzení o úspěšném importování klíče. Klepnutím na tlačítko {button OK} proces dokončíte.
=Poslání digitálně podepsané a/nebo šifrované zprávy=
# Vytvořte zprávu obvyklým způsobem.
# Chcete-li ji digitálně podepsat, klepněte v horní části okna Thunderbirdu na nabídku {menu OpenPGP} a zaškrtněte položku {menu Podepsat zprávu}. Chcete-li zprávu zašifrovat, zaškrtněte v této nabídce položku {menu Šifrovat zprávu}. Před zašifrováním zprávy můžete být požádáni o vložení svého hesla.
#;[[Image:tb-openpgp4]]
# Je-li vaší poštovní adrese přiřazen PGP klíč, bude zpráva zašifrována tímto klíčem. Pokud přiřazen není, budete muset klíč vybrat ze seznamu.
# Odešlete zprávu obvyklým způsobem.
{note}'''Poznámka:''' Text v poli "Předmět" šifrován nebude.{/note}
=Přečtení digitálně podepsané a/nebo šifrované zprávy=
Když obdržíte zašifrovanou zprávu, požádá vás Thunderbird o zadání hesla, aby mohl zprávu dešifrovat. Zda je příchozí zpráva digitálně podepsaná nebo zašifrovaná zjistíte v informačním pruhu nad tělem zprávy.
Jestliže Thunderbird pozná podpis, objeví se nad zprávou zelený pruh:
[[Image:tb-openpgp5]]
Byla-li zpráva zašifrována i podepsána, zobrazí zelený pruh navíc text "Dešifrovaná zpráva":
[[Image:tb-openpgp6]]
Pokud byla zpráva zašifrována, nikoli však podepsána, objeví se takovýto pruh:
[[Image:tb-openpgp7]]
{note}'''Poznámka:''' Zpráva, která nebyla podepsána, by mohla pocházet od někoho, kdo se pokouší vydávat za někoho jiného.{/note}
=Zneplatnění klíče=
Pokud se domníváte, že byl váš soukromý klíč "kompromitován" (tzn. někdo získal přístup k souboru, který obsahuje váš soukromý klíč), měli byste co nejdříve svůj současný pár klíčů zneplatnit a vytvořit si nový pár. Jak zneplatnit svůj současný pár klíčů:
# Klepněte v horní části okna Thunderbirdu na nabídku {menu OpenPGP} a zvolte {menu Správa klíčů}.
#;<!-- [[Image:RevokeKey]] -->
# Zobrazí se dialogové okno, ve kterém zaškrtněte políčko {pref Při spuštění zobrazit všechny klíče}, aby se zobrazily všechny vaše klíče.
# Klepněte pravým tlačítkem myši na klíč, který si přejete zneplatnit a z nabídky zvolte {pref Revokovat klíč}.
# Budete dotázáni, zda si opravdu přejete klíč revokovat (zneplatnit). Pokračujte klepnutím na tlačítko {button Revokovat klíč}.
# Následně budete vyzváni k zadání hesla. Zadejte jej a klepněte na tlačítko {button OK}. Klíč tím bude zneplatněn.
Všem lidem, se kterými jste si dopisovali, zašlete revokační certifikát, aby se dozvěděli, že váš současný klíč již není platný. V případě, že se někdo pokusí použít váš současný klíč ve snaze se za vás vydávat, budou tak příjemci vědět, že tento pár klíčů pozbyl platnosti.