onion onion

PGP šifrovanie emailov

PGP – pretty good privacy je nástroj na šifrovanie/dešifrovanie a podpisovanie súborov, emailov, a diskov. Používa asymetrickú kryptografiu, čiže pár verejný + súkromný kľúč.

Symetrická vs asymetrická kryptografia

Symetrická – jedným kľúčom sa správa zašifruje aj dešifruje (AES, DES).
Asymetrická – používa dva kľúče, verejný (public) a súkromný (private), správa sa zašifruje verejným kľúčom, ktorý je známy aj ostatným ale môže byť dešifrovaná iba súkromným (tajným), ktorý musí majiteľ uchovávať v bezpečí (RSA, DSA - podpisovanie).

Zvyšok článku sa venuje iba šifrovaniu emailov s voľným (free) nástrojom Gnu Privacy Guard (GnuPG/GPG) a rozšírením Enigmail pre Mozilla Thunderbird.

Obsah:
  1. Inštalácia
  2. Vygenerovanie kľúčov
  3. Spravovanie kľúčov
  4. Poslanie a podpísanie emailu
  5. Dešifrovanie emailu

Inštalácia

1. Nastavenie poštového klienta – Thunderbird
Spustite resp. nainštalujte Mozilla Thunderbird a pripojte svoj účet.

2. Pridanie Enigmail a GnuPG
Enigmail je rozšírenie pre Thundenrbird umožňujúce používať PGP šifrovanie s programom GnuPG, ktorý je možné nainštalovať pri pridaní. GnuPG môžeme nainštalovať aj osobitne pred celým procesom:
Windows – stiahnite a nainštalujte gpg4win
Linux – GnuPG (gpg) by malo byť súčasťou systému.
Pridanie Enigmail do Thunderbird:
Menu -> rozšírenia -> pridať -> vyhľadajte Enigmail

Enigmail

3. Pridanie TorBirdy (voliteľné)
Ak chceme aby komunikácia bola aj anonymná, môžeme použiť emailového klienta cez tor proxy s týmto doplnkom, na rozdiel od modifikácie sieťových nastavení, TorBirdy tento proces uľahčí a spolupracuje aj s Enigmail. Na zariadení musí, samozrejme bežať tor.
Windows – spustite Tor Expert Bundle
Linux – do terminálu zadajte: systemctl start tor.service

TorBirdy

TorBirdy ešte umožňuje napr. zvoliť .onion keyserver pre Enigmail, JonDo al. Whonix pre metódu pripojenia.

pozn. Môžu sa vyskytnúť problémy so SMTP cez tor proxy - dôvodom sú Exit nody, ktoré ho nepovoľujú (port 25). Je to totiž predvolená ExitPolicy, čím sa sťažuje zneužitie siete spammermi.

4. Reštartujte Thunderbird kvôli prevedeným zmenám

Vygenerovanie páru kľúčov (key pair)

(Táto možnosť sa objaví aj pri prvom spustení.)

0. Otvorte Thunderbird menu -> Enigmail -> key management -> generate -> new key pair

Zobrazí sa dialógové okno pre vytvorenie kľúčov:

1. Vyberte emailovú adresu pre ktorú chcete vygenerovať pár a zadajte heslo na ochranu súkromného kľúča.

Key pair generate

2. Zvoľte dobu expirácie, algoritmus (advanced/pokročilé) - RSA a dĺžku kľúča, čím dlhší tým lepšie.
3. Spustite generovanie (môže to trvať niekoľko minút). Popri tom sa môžete venovať iným úkonom, systém tak rýchlejšie nazbiera potrebnú entropiu (proces bude rýchlejší).
4. Revokačný certifikát (voliteľné) - znehodnotí kľúče v prípade, že súkromný je stratený alebo ukradnutý, uchovávajte v bezpečí.

Spravovanie kľúčov

Importovanie verejného kľúča:

Pred poslaním šifrovaného emailu musíte najprv mať kľúč danej osoby (z webovej lokality, keyserveru, osobne...), v Enigmail je možnosť importu buď súboru s kľúčom (file -> import keys from file), z URL (Edit -> import keys from URL), zo schránky (Edit -> import keys from ClipBoard).

GPG management

Export:
Zvolenie kľúča -> pravým tlačidlom Export keys, v prípade, že máte aj súkromný kľúč, objaví sa okno, či má byť exportovaný iba verejný alebo obidva.

Exportovaný kľúč môžete potom rozposlať ostatným cez sociálne siete atď.

Poslanie a podpísanie emailu

1. Vytvorte novú správu. 2. Ak máte kľúč príjemcu, správa bude šifrovaná automaticky, odporúčame zaškrtnúť aj voľbu attach my public key (priložiť verejný kľúč):

GPG email

3. Podpis/signatúra - je to vlastne pridaná hash funkcia zašifrovaná súkromným kľúčom a dešifrovaná môže byť verejným. Takto príjemcu uistite, že odosielateľom ste naozaj vy.
4. Odošlite email - ak je podpísaný musíte zadať heslo súkromného kľúča.
5. Prispôsobte si voľby (Enigmail -> Preferences -> Signing/Encryption Options):

GPG management

Dešifrovanie emailu

Dešifrovanie je triviálnou vecou, stačí vybrať prijatý email a automaticky sa objaví výzva na zadanie hesla súkromného kľúča, ak osoba správu podpísala a máme jej verejný kľúč, v zelenom rámčeku sa objaví oznam Good signature from... - čiže podpis sedí.