GnuPG: bezpečně s klientem Thunderbird

Adam Štrauch 11. 12. 2009

Další díl našeho seriálu o bezpečné komunikaci budeme věnovat populárnímu mailovému klientu Thunderbird od společnosti Mozilla. Ten sice sám o sobě GnuPG nepodporuje, ale jednoduše se do něj dá nahrát rozšíření, které to umožní. Oproti klientu Evolution tu máme i více konfiguračních možností.

Vývojáři e-mailového klienta Thunderbird se soustředí hlavně na běžného uživatele a méně vyžadované funkce nejsou jejich specialitou. GnuPG je podobný případ, protože to není zrovna něco co by běžný uživatel hledal, takže si musíme pomoci nějak jinak. Tou pomocí bude tzv. Enigmail.

Na rozdíl od Evolution, přistupuje Enigmail ke klíčům mnohem důkladněji. Krom větších konfiguračních i uživatelských možností tu máme nástroj pro správu klíčů. Abychom to shrnuli, všechno co jsem popisoval v minulých dvou dílech (Seahorse a Evolution) zvládnete udělat s Thunderbirdem a Enigmail.

Jedinou podmínkou pro použití Enigmail je nainstalované gpg. Při konfiguraci budeme mít možnost zvolit k němu cestu. Jinak jde o multiplatformní rozšíření, které můžete používat všude tam, kde je na systému gpg a Thunderbird. Pro anglicky nehovořící uživatele je k dispozici překlad do češtiny a necelou dvacítkou dalších jazyků.

Instalace

Na Debianu/Ubuntu stačí nainstalovat balíčky:

  • thunderbird
  • enigmail
  • enigmail-locale-cs

Na Gentoo jsou to balíčky:

  • mozilla-thunderbird (mozilla-thunderbird-bin)
  • enigmail

Dále budete potřebovat program gpg, nejlépe i vytvořený pár klíčů (nicméně si ukážeme jak vytvořit klíče v Enigmail) a funkční e-mailový účet v Thunderbirdu. Ostatní distribuce jsou na tom podobně. Kdybyste náhodou správné balíčky nenalezli, můžete si stáhnout vše potřebné z enigmail.spi­.cz. Dostupná je verze nejen pro Thunderbird, ale i pro Seamonkey.

Po spuštění

Pokud se vše povedlo nainstalovat, tak po spuštění Thunderbirdu se vám objeví nahoře v menu položka OpenPGP. Tam najdete prakticky všechno, co Enigmail nabízí.

OBR9

Nejdříve se ale vydáme do nastavení účtu, kde se musíme poprat s několika volbami, které nám pomohou si Enigmailu při používání nevšímat. Začneme tedy tím, že klikneme na „Úpravy->Nastavení účtu“ a v našem účtu si otevřeme položku „OpenPGP/Enigmail“.

OBR10

Zde máme možnost nastavit základní chování Enigmail. V prvé řadě se musíme rozhodnout, jestli bude použit soukromý klíč na základě naší identity (e-mailové adresy) nebo uvedeme ID klíče. Dalšími volbami řekneme Enigmail, aby vždy podepisoval odchozí poštu případně jen šifrovanou či nešifrovanou. Můžeme také vnutit volbu automatické šifrování zpráv, ať se děje cokoli, nicméně to není moc doporučované, protože ne vždy jsou informace tajné a mohlo by to zkomplikovat otevření zprávy u lidí, kteří o OpenPGP nic nevědí. Na druhou stranu podpisem nic nezkazíte. Nezapomeňte zaškrtnout také volbu PGP/MIME. Pak se bude Thunderbird chovat stejně jako Evolution a podpis bude ke zprávě připojen jako příloha a ne jako ASCII text v těle zprávy. Tím zase umožníte pohodlné čtení v klientech (včetně snad všech webových rozhraní), které s OpenPGP nepracují. Nakonec můžete do hlavičky přidat i adresu, ze které lze stáhnout veřejný klíč. Někteří klienti s ním pak třeba dokáží dále pracovat a pro uživatele to je ještě více pohodlné. Otázkou pak je ale bezpečnost takovéhoto řešení.

Konfigurace účtu

Máme-li náš účet nastaven, tak už pravděpodobně nic nepotřebujeme a pokud nám zůstaly klíče z minulých dílů, tak jsme připraveni vesele podepisovat a šifrovat. Na začátku jsme si ale řekli něco o pokročilých možnostech konfigurace, a to si rozhodně nemůžeme nechat ujít.

 Základní nastavení

Podíváme se tedy, jak vypadá základní menu při čisté instalaci Enigmail. To můžete vidět na prvním obrázku v našem článku. Po kliknutí na „Předvolby“ se nám objeví okno se základním nastavením:

OBR11

Zde nemáme moc možností, ale můžeme nastavit cestu k programu gpg, čas po který si má Enigmail pamatovat heslo pro otevření soukromého klíče a hlavně volbu expertního nastavení. Po jeho odkliknutí a potvrzení tlačítkem „OK“ se nám menu OpenPGP rozšíří o nové volby stejně jako konfigurační dialog na předchozím obrázku.

 Pokročilé nastavení

OBR12

Tady už vidíme trochu více svobody než dříve. Důležitou vlastností je možnost vypnutí automatického dešifrování. Může se vám stát, že přijde životně důležitá informace, která obrátí jednání naruby. Samozřejmě si ji na projektoru před klienty nemůžete přečíst, ale když tato volba je zapnutá, tak jediný klik informaci odhalí. Když volbu „Automaticky dešifrovat/ověřit zprávu“ odškrtneme, tak jsme páni toho, kdy se zpráva objeví případně ověří pomocí volby „Dešifrovat/O­věřit“. Navíc tu je možnost uložit šifrovanou zprávu nešifrovaně.

Dále se může stát, že odcházíte od počítače a z nějakého důvodu nemáte k dispozici xlock. Nebylo by příjemné, kdyby se někdo hrabal v tajných dokumentech, takže po kliknutí na „Smazat uložené heslo“ se i proti vůli nastavitelného limitu heslo smaže. Další dvě volby jsou důležité pro aktuálně načtenou zprávu a povíme si o nich později.

Krom rozšíření nabídky menu jsme si expertním režimem otevřeli i detailnější konfiguraci v dialogu „Předvolby“.

OBR13

Záložka „Základní“ zůstává, ale ostatní jsou nové. V záložce „Odesílání“ můžeme zapnout přidání vlastního klíče do odesílaných zpráv, abychom je později mohli sami rozšifrovat, zalamování HTML textu před odesláním, ověřování důvěryhodnosti klíčů, upozornění na prázdný předmět a nakonec potvrzení před odesláním zprávy.

Záložka „Výběr klíče“ umožňuje nastavit, podle čeho se bude vybírat klíč příjemce zprávy. Může jít o výběr identity příjemce, našich vlastních pravidel nebo se nám vždy zobrazí okno s nabídkou klíčů. V záložce „Rozšířené“ najdeme volby týkající se šifrování odpovědí na zprávy, oddělovat podpisu, použití gpg-agenta a další detaily. Můžeme zde přidat i doplňkové parametry pro gpg. Předposlední záložka obsahuje jen informace o dostupných keyserverech a poslední se týká logování činnosti Enigmail.

OBR14

Enigmail na rozdíl od Evolution nabízí preciznější výběr klíčů pro jednotlivé identity. Krom toho, že při odeslání zprávy může vybrat pravidla podle identity, tak si můžete nastavit i pravidla vlastní. Dělá se to v „OpenPGP->Upravit pravidlo dle adresáta“. Po otevření dialogu vidíte již vytvořená pravidla s možností vytvořit nová a úpravy priorit těch existujících. U pravidel se jako podmínka používá části nebo celé e-mailové adresy.

OBR15

Spravujeme klíče

Jelikož je Enigmail multiplatformní, počítá se s tím, že práce s klíči na různých platformách může být na nejrůznější úrovni, takže přichází s vlastním editorem klíčů, který umí prakticky to samé, co Seahorse. Všechno potřebné si ukážeme. Začneme tím, že spustíme „OpenPGP->Správa OpenPGP klíčů“.

OBR1

Pokud ještě klíč nemáte, je jednoduché si ho vytvořit a to kliknutím na „Vytvořit->Nový pár klíčů“. Na rozdíl od Seahorse vám Enigmail nabídne rovnou i vytvoření revokačního certifikátu, kdyby se s klíčem něco stalo.

OBR16

V Enigmail není potřeba vyplňovat jméno ani e-mailová adresa, protože se generuje klíč pro již existující účet v Thunderbirdu. Stačí tedy nastavit platnost, případně i heslo a kliknout na „Generovat“. V záložce „Rozšířené“ si můžete vybrat velikost klíče a jeho typ.

Přidat klíč ostatních můžeme třemi způsoby.

  • Importovat ze souboru.
  • Importovat ze schránky.
  • Najít na keyserveru a stáhnout ho.

Import ze souboru najdeme v „Soubor->Importovat klíče ze souboru“. Zobrazí se dialog pro výběr souboru a po odklepnutí je klíč importován. V menu „Upravit“ najdeme volbu „Importovat klíče ze schránky“. Pokud jste někde na webu našli klíč v ASCII formě, stačí ho jen pomocí Ctrl+C uložit do schránky a touto položkou ho importovat do gpg.

Třetí možnost je trochu složitější. Použijeme k tomu menu „Keyserver->Hledat klíče“. Objeví se dialog, kde stejně jako u Seahorse zadáme e-mail nebo jméno. Pod políčkem pro hledání si můžeme vybrat jeden z keyserverů, které jsou nastaveny.

OBR18

Pak už stačí klíč jen označit a kliknout na „OK“. Vyběhne na vás výstup z gpg. V menu „Keyserver“ můžeme obnovit informace i o již importovaných klíčích, jako třeba že někdo svůj klíč revokoval, přidat fotku apod. Fotku majitele klíče si zobrazíte v menu „Zobrazit->Foto ID“ po vybrání některého z klíčů.

Stejně jako v Seahorse je tu možné i vyjadřovat důvěru klíčům a podepisovat je, čímž ulehčíme ověření ostatním. Všechno se to dělá v menu „Upravit“, kde se po kliknutí na klíč uvolní volby „Podepsat“ a „Nastavit důvěryhodnost vlastníka“. Princip je podobný jako u Seahorse, pokud seriál sledujete, neměli byste se ztratit.

Debugování

Enigmail není nic jiného než frontend pro gpg. Všechno co dělá, dělá spouštěním gpg se správnými parametry. Se zapnutým rozšiřujícím nastavením se vám objeví v menu možnost se na všechno, co Enigmail spouští, kouknout. Tím se můžete něco o gpg přiučit nebo identifikovat problémy, když už na nějaký přijdete.

Šifrujeme/pode­pisujeme zprávy

A nakonec to nejdůležitější. Po otevření dialogu pro psaní nové zprávy máme v menubaru novou položku „OpenPGP“. Tady najdeme zaškrtávací políčka pro šifrování, podepisování, pro ignorování ručně nastavených pravidel a položky pro přidávání dalších veřejných klíčů.

OBR19

Závěr

Vývojáři Enigmail přinesli do Thunderbirdu prvotřídní podporu OpenPGP. Díky expertnímu a základnímu režimu si na své přijdou běžní i pokročilí uživatelé a dělá to s Enigmail flexibilní nástroj. Instalaci v Linuxu zvládne každý a je to tedy vhodné řešení pro každého.

Příště se podíváme na šifrování souborů.

Ohodnoťte jako ve škole:

Průměrná známka 2,59

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Vitalia.cz: Tři sta kilogramů tuňáka obsahovalo histamin

Tři sta kilogramů tuňáka obsahovalo histamin

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

Lupa.cz: Zaplatíme ti, když ti seženeme práci

Zaplatíme ti, když ti seženeme práci

Podnikatel.cz: Miliony hodin nad hlášením k DPH. K vzteku

Miliony hodin nad hlášením k DPH. K vzteku

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

Lupa.cz: Schváleno: Rockaway může převzít Heureku

Schváleno: Rockaway může převzít Heureku

DigiZone.cz: Mafra varuje před stíháním za pomluvu

Mafra varuje před stíháním za pomluvu

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?