Šifrování a digitální podepisování zpráv

Tento návod vysvětluje, jak nastavit Thunderbird, aby v zájmu zabezpečení zpráv zprávy šifroval, dešifroval a digitálně podepisoval.

Úvod

Infrastruktura elektronické pošty, kterou užívá každý, je záměrně nezabezpečená. Přestože se většina lidí připojuje ke svému poštovnímu serveru pomocí zabezpečeného spojení ("SSL"), některé servery umožňují nezabezpečený přístup. Navíc zpráva na své cestě od odesílatele k příjemci neputuje jednotlivými servery automaticky přes zabezpečené spojení. Během přenosu tedy může být zpráva někým zachycena, přečtena a pozměněna.

Když zprávu digitálně podepíšete, vložíte do zprávy informaci potvrzující vaši identitu. Když zprávu zašifrujete, vypadá zpráva jako "směsice znaků" a přečíst ji dokáže pouze osoba, která vlastní klíč k jejímu dešifrování. Podepsání zprávy digitálním podpisem zaručuje příjemci, že zpráva skutečně pochází od uvedeného odesílatele. Zašifrování zprávy zaručuje, že zpráva nebyla během svého přenosu přečtena ani pozměněna.

K zašifrování zpráv je možné použít systém asymetrické kryptografie. V tomto systému má každý účastník dva různé klíče: veřejný šifrovací klíč a soukromý dešifrovací klíč. Když vám někdo chce poslat šifrovanou zprávu, použije váš veřejný klíč k vytvoření šifrovacího algoritmu. Když zprávu obdržíte, musíte k jejímu dešifrování použít svůj soukromý klíč.

Poznámka: Svůj soukromý klíč nikdy nikomu nedávejte. Je určen pouze vám!

Protokol používaný k šifrování zpráv se nazývá PGP (Pretty Good Privacy). Abyste mohli v Thunderbirdu používat PGP, musíte nejprve nainstalovat následující aplikace:

  • GnuPG: (GNU Privacy Guard): svobodná implementace PGP
  • Enigmail: doplněk Thunderbirdu

Tyto dvě aplikace rovněž poskytují možnost zprávy digitálně podepisovat.

Instalace programu GPG a doplňku Enigmail

Pro instalaci programu GnuPG stáhněte příslušný balík z kapitoly GnuPG Binaries na stránce pro stažení programu GnuPG. Dále postupujte podle pokynů pro instalaci vašeho balíku. Nápovědu pro jednotlivé operační systémy naleznete zde:

Jak nainstalovat doplněk Enigmail:

  1. Klikněte v Thunderbirdu na nabídku Nástroje a zvolte Správce doplňků.
  2. Ve vyhledávacím poli vpravo nahoře vyhledejte doplněk Enigmail.
  3. Ve výsledcích vyhledávání klikněte u položky Enigmail na tlačítko Instalovat a postupujte podle pokynů na obrazovce.

Vytvoření PGP klíčů

Podle následujícího postupu vytvořte veřejný a soukromý klíč:

  1. Klikněte v Thunderbirdu na nabídku OpenPGP a zvolte Průvodce nastavením.
  2. Zaškrtněte volbu Ano, budu rád, když mi průvodce pomůže začít, jak je ukázáno na obrázku níže a pokračujte kliknutím na tlačítko Další.
    tb-openpgp1
  3. Budete dotázáni, zda chcete digitálně podepisovat všechny odchozí zprávy nebo zda si přejete nastavit pro různé příjemce různá pravidla. Dobrým nápadem je zpravidla podepisovat všechny zprávy, aby měli příjemci ověřeno, že zprávy jsou skutečně od vás. Pro přečtení digitálně podepsaných zpráv neni zapotřebí mít vlastní digitální podpis ani PGP. Zaškrtněte tedy volbu Ano, přeji si podepisovat všechny své e-maily a pokračujte kliknutím na tlačítko Další.
  4. Dále budete dotázáni, zda chcete šifrovat všechny zprávy. Nevlastníte-li veřejné klíče všech vašich předpokládaných příjemců, neměli byste tuto volbu zaškrtávat. V takovémto případě zaškrtněte volbu Ne, vytvořím si pravidla šifrování pouze pro ty adresáty, od nichž mám veřejné klíče a pokračujte kliknutím na tlačítko Další.
  5. Poté se vás Průvodce dotáže, jestli pro lepší funkčnost PGP může změnit některá vaše nastavení formátování zpráv. Je lépe tuto změnu povolit a zaškrtnout Ano. Pokračujte kliknutím na tlačítko Další.
  6. Následně budete dotázáni, zda již máte klíče vytvořeny nebo je chcete teprve vytvořit. Zaškrtněte Přeji si vytvořit nový pár klíčů pro podepisování a šifrování zpráv a pokračujte kliknutím na tlačítko Další.
  7. Vyberte poštovní účet, pro který chcete klíče vytvořit. Do pole "Heslo" bude potřeba zadat heslo, sloužící k ochraně vašeho soukromého klíče. Toto heslo bude také sloužit k dešifrování zpráv, proto jej nezapomeňte. Heslo by mělo být dlouhé alespoň 8 znaků a nemělo by se jednat o "slovníkové" slovo. (Viz tento článek na Wikipedii.) Zadejte toto heslo dvakrát a pokračujte kliknutím na tlačítko Další.
  8. Na další obrazovce uvidíte nastavení, která jste svými předchozími kroky provedli. Pokud jste s nimi spokojeni, pokračujte kliknutím na tlačítko Další.
  9. Následně se vás Průvodce zeptá, zda si přejete vytvořit revokační certifikát, který byste použili v případě, že by byly vaše klíče kompromitovány a potřebovali byste informovat ostatní o jejich neplatnosti. Chcete-li jej vytvořit, klikněte na tlačítko Generování certifikátu a postupujte podle pokynů na obrazovce. V opačném případě klikněte na tlačítko Přeskočit.
  10. Nakonec vám Průvodce sdělí, že proces vytvoření klíčů je dokončen. Kliknutím na tlačítko Dokončit Průvodce ukončíte.

Zaslání a obdržení veřejných klíčů

Zaslání veřejného klíče skrze e-mail

Aby vám mohli ostatní posílat šifrované zprávy, musíte jim nejprve zaslat svůj veřejný klíč:

  1. Vytvořte zprávu.
  2. V horní části okna Thunderbirdu klikněte na nabídku OpenPGP a zvolte Připojit můj vlastní veřejný klíč.
    tb-openpgp2
  3. Odešlete zprávu obvyklým způsobem.

Obdržení veřejného klíče skrze e-mail

Abyste mohli ostatním posílat šifrované zprávy, musíte obdržet a uložit si jejich veřejný klíč:

  1. Otevřete zprávu obsahující veřejný klíč.
  2. Ve spodní části okna dvojklikněte na přílohu s příponou '.asc'. (Tento soubor obsahuje veřejný klíč.)
  3. Thunderbird automaticky rozpozná, že se jedná o PGP klíč a zobrazí dialogové okno s dotazem, zda chcete klíč importovat nebo zobrazit. Klikněte na tlačítko Importovat.
    tb-openpgp3
  4. Objeví se potvrzení o úspěšném importování klíče. Kliknutím na tlačítko OK proces dokončíte.

Poslání digitálně podepsané a/nebo šifrované zprávy

  1. Vytvořte zprávu obvyklým způsobem.
  2. Chcete-li ji digitálně podepsat, klikněte v horní části okna Thunderbirdu na nabídku OpenPGP a zaškrtněte položku Podepsat zprávu. Chcete-li zprávu zašifrovat, zaškrtněte v této nabídce položku Šifrovat zprávu. Před zašifrováním zprávy můžete být požádáni o vložení svého hesla.
    tb-openpgp4
  3. Je-li vaší poštovní adrese přiřazen PGP klíč, bude zpráva zašifrována tímto klíčem. Pokud přiřazen není, budete muset klíč vybrat ze seznamu.
  4. Odešlete zprávu obvyklým způsobem.
Poznámka: Text v poli "Předmět" šifrován nebude.

Přečtení digitálně podepsané a/nebo šifrované zprávy

Když obdržíte zašifrovanou zprávu, požádá vás Thunderbird o zadání hesla, aby mohl zprávu dešifrovat. Zda je příchozí zpráva digitálně podepsaná nebo zašifrovaná zjistíte v informačním pruhu nad tělem zprávy.

Jestliže Thunderbird pozná podpis, objeví se nad zprávou zelený pruh: tb-openpgp5

Byla-li zpráva zašifrována i podepsána, zobrazí zelený pruh navíc text "Dešifrovaná zpráva": tb-openpgp6

Pokud byla zpráva zašifrována, nikoli však podepsána, objeví se takovýto pruh: tb-openpgp7

Poznámka: Zpráva, která nebyla podepsána, by mohla pocházet od někoho, kdo se pokouší vydávat za někoho jiného.

Zneplatnění klíče

Pokud se domníváte, že byl váš soukromý klíč "kompromitován" (tzn. někdo získal přístup k souboru, který obsahuje váš soukromý klíč), měli byste co nejdříve svůj současný pár klíčů zneplatnit a vytvořit si nový pár. Jak zneplatnit svůj současný pár klíčů:

  1. Klikněte v horní části okna Thunderbirdu na nabídku OpenPGP a zvolte Správa klíčů.
  2. Zobrazí se dialogové okno, ve kterém zaškrtněte políčko Při spuštění zobrazit všechny klíče, aby se zobrazily všechny vaše klíče.
  3. Klikněte pravým tlačítkem myši na klíč, který si přejete zneplatnit a z nabídky zvolte Revokovat klíč.
  4. Budete dotázáni, zda si opravdu přejete klíč revokovat (zneplatnit). Pokračujte kliknutím na tlačítko Revokovat klíč.
  5. Následně budete vyzváni k zadání hesla. Zadejte jej a klikněte na tlačítko OK. Klíč tím bude zneplatněn.

Všem lidem, se kterými jste si dopisovali, zašlete revokační certifikát, aby se dozvěděli, že váš současný klíč již není platný. V případě, že se někdo pokusí použít váš současný klíč ve snaze se za vás vydávat, budou tak příjemci vědět, že tento pár klíčů pozbyl platnosti.

// Tito lidé pomohli se sepsáním tohoto článku:soucet, Nerohorse. Také můžete pomoci.

Byl tento článek srozumitelný? Počkejte prosím...

Pomáhejte s Mozillou