GnuPG: bezpečně s Evolution

Adam Štrauch 4. 12. 2009

Po dvou dílech věnovaných klíčům se konečně dostáváme k samotnému použití GnuPG v Linuxu. Dnes si povíme o práci s klíči v linuxovém poštovním klientovi Evolution. Většina uživatelů se s ním setká třeba po instalaci Ubuntu. Důležité je, že s GnuPG spolupracuje výtečně, a my si řekneme jak.

 Šifrování a podepisování e-mailů

Dnes se nejvíce GnuPG používá na dvě činnosti. Na podepisování balíčků v linuxových distribucích a na podepisování a šifrování elektronické pošty. Když se podíváme na podporu GnuPG obecně, zjistíme, že to není moc veselé. Vyloženě linuxoví klienti jako je třeba Evolution nebo KMail, kteří vznikají ruku v ruce v desktopovými prostředími, v sobě mají podporu již zahrnutou a krom jejich instalace není nic potřeba řešit. Velmi populární řádkový klient Mutt má podporu taktéž. Pak tu máme klienty jako je třeba Thunderbird, pro které není GnuPG taková priorita. Přece jen to používá relativně malá skupina lidí. Ale i tady je řešení v instalovatelném rozšíření, o kterém si povíme příště. Nakonec tu jsou celé uzavřené platformy, jako je Windows od firmy Microsoft. Tam je toho potřeba nainstalovat více, resp. velký balík, který obsahuje jak implementaci OpenGPG, tak integraci do Outlooku a systému vůbec.

Při odesílání e-mailu si musíme dát pozor na několik bodů:

  • Více příjemců
  • Zprávu bychom měli být schopni dešifrovat
  • Používání správných klíčů

Evolution vybírá soukromý klíč pro podepisování na základě dvou pravidel. Buď se vybere klíč podle odchozí e-mailové adresy, tedy to co se všude jinde nazývá identita. V Evolutionu musíme místo nové identity nastavit nový účet i přesto, že bude mít prázdný příchozí server. To i to má své výhody a nevýhody. Pak máme druhou možnost a to nastavit klíč ručně, tím že Evolutionu řekneme ID klíče. V Seahorse ho najdeme ve stejnojmenném sloupečku v seznamu klíčů. To je z toho důvodu, kdyby se identita neshodovala s identitou v klíči. Může jít třeba o adresu noreplay@example.com, kam uživatelé nemají odpovídat, ale klíč patří jednomu z administrátorů serveru. Veřejný klíč pro šifrování se vždy volí podle příchozí adresy. V Evolutionu není možnost, jak vnutit použití jiného klíče v závislosti na kontaktu. Výběrem tak člověk není zatěžován a jediné co musí udělat, je odemknout svůj soukromý klíč při podepisování.

Když začnete odesílat šifrované e-maily, časem narazíte na takový problém, že už nevíte co jste komu odeslali. Obsah e-mailu je často pouze v jedné kopii a zašifrovaný jedním klíčem. Váš soukromý klíč nedokáže rozšifrovat zprávu, která byla zašifrována cizím veřejným klíčem. Proto Evolution přichází s volbou, kde si může uživatel zapnout šifrování e-mailu jak pro druhou stranu, tak pro svůj klíč. Při šifrování jakékoli zprávy se vygeneruje symetrický šifrovací klíč, kterým se zašifruje zpráva a sám klíč se zašifruje veřejným klíčem příjemce. Šifrování symetrickým klíčem je nepoměrně rychlejší a tento postup šetří náš čas. Ve výsledku se tak e-mail zvětší o velikost dalšího zašifrovaného symetrického klíče, ale za tuto cenu jsme schopni si e-mail přečíst v odeslaných zprávách. V opačném případě nám zbývá jedině požádat druhou stranu o přeposlání zprávy zašifrované naším klíčem.

Podobný „problém“ je i u více příjemců. Tam se použije prakticky stejný postup, aniž bychom do tohoto procesu zasahovali naší vůlí. Když odešleme e-mail deseti lidem, zašifruje se jedna zpráva jedním symetrickým klíčem, který se zašifruje deseti (případně jedenácti) veřejnými klíči.

Pokud odesíláte e-mail pouze šifrovaný, uvědomte si, že tím zajistíte pouze to, že si e-mail nikdo cizí nepřečte a že se dostane pravděpodobně do správných rukou. Teprve podpisem stvrzujete, že je e-mail pravděpodobně od vás. Také si dejte pozor kdy zadáváte heslo pro odemknutí vašeho soukromého klíče. To je nutné pouze u podpisu zprávy. Dávejte si pozor na to, který program žádá o přístup ke klíči. Také si uvědomte, že šifrování a podepisování zprávy může u delších e-mailů chvilku trvat. Evolution v této oblasti zrovna nedisponuje ukazatelem průběhu, ale vypadá, že zamrzl.

Konfigurace programu Evolution

Evolution při konfiguraci neklade moc odporu, takže stačí pár kroků, které zvládne každý, kdo si pomocí minulých dílů vytvořil klíč. Pokud máme vygenerovaný klíč, funguje nám GnuPG, aniž bychom na něco sáhli. Budeme se muset ovšem podívat na dvě volby, které jsou důležité. Pokud je naším cílem odesílat podepsané e-maily z jiné adresy, která není v seznamu identit v našem klíči, musíme si zjistit ID klíče. Pokud identity souhlasí, můžeme tento krok přeskočit.

Nejdříve si spustíme Seahorse a klikneme na záložku „Moje osobní klíče“. Tam se podíváme na řádek s naším klíčem a někam si ho poznamenáme. Pokud si klíč rozklikneme, je možné v jeho detailu toto ID najít a nakopírovat do schránky.

GPG-evolution
GPG-evolution

Teď se vydáme do nastavení účtu. Nejdříve si spustíme Evolution a klikneme na „Upravit“ a „Nastavení“.

GPG-evolution

Tady máme několik možností. Buď přidáme nový účet, pokud ještě žádný nemáme, nebo vybereme jeden z existujících a dáme „Upravit“.

GPG-evolution

V otevřeném dialogovém okně vybereme záložku „Zabezpečení“.

GPG-evolution

A dostaneme se do místa, kde se nastavují klíče a případně i certifikáty. Nás zajímají klíče, takže pokud jste byli z nějakého důvodu donuceni použít jinou identitu než máte v klíči, na prvním řádku je to správné místo kam se ID klíče vkládá. Hned pod ním najdeme volbu, díky které se nám bude automaticky podepisovat každý e-mail odeslaný z tohoto účtu. Účet volíme při vytváření nové zprávy. Další volba je zde kvůli kompatibilitě s ostatními klienty a můžeme v ní zvolit podepisování odeslaných událostí v kalendáři. Další volba je velmi důležitá. Pokud ji nezaškrtneme, tak si nepřečteme žádný odeslaný šifrovaný e-mail.

GPG-evolution

Pokud vše máme, dáme Ok a přejdeme na psaní nové zprávy. Zde si všimneme menu „Zabezpečení“, ve kterém najdeme možnosti podepisování a šifrování. Stačí zaškrtnout co je potřeba a psát e-mail.

GPG-evolution

Tím konfigurace končí a Evolution je připraven k šifrování a podepisování.

widgety

Závěr

Evolution je na GnuPG plně připraven a jeho použití je velmi jednoduché. Je to ideální varianta pro běžného uživatele, pro kterého je také určen tento článek. Společně se Seahorse dává Ubuntu GnuPG lidskou tvář, kde není potřeba ani jednou sáhnout na příkazovou řádku. Po jednoduché konfiguraci funguje šifrování a podepisování plně automaticky a jediné, co je potřeba udělat, je zadávat heslo.

Příště se podíváme na Thunderbird a jeho rozšíření Enigmail.

Našli jste v článku chybu?
DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

120na80.cz: Na různou rýmu různá homeopatie

Na různou rýmu různá homeopatie

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina