Hlavní navigace

Braňte si své soukromí (1)

Miroslav Petříček 11. 6. 2001

Elektronická pošta je v principu navržena jako nebezpečný komunikační prostředek. Od odeslání mailu zpráva prochází přes mnoho datových cest, které jsou kontrolovány různými správci s různými názory na potřeby vašeho soukromí :-). Přitom v každém okamžiku může být zpráva odposlechnuta a zneužita nebo třeba pozměněn její obsah. Uživatelům, kteří potřebují mít jistotu, že jejich komunikace nebyla odposlechnuta někým "třetím" a kteří si chtějí být jisti, že zpráva opravdu pochází od člověka, který se za jejího autora vydává, nezbývá, než použít šifrovací technologii PGP.

Určitě nebude od věci vysvětlit základy asymetrické kryptografie, na které je technologie PGP postavena. Asymetrická kryptografie pracuje tak, že šifra nepoužívá jeden, ale hned dva různé klíče. První slouží k šifrování a jeho výstupem je zašifrovaná zpráva. Tu lze přečíst (dešifrovat) jen a pouze pomocí druhého klíče. Tento způsob má oproti tradičním šifrám, které používají tentýž klíč pro šifrování i dešifrování, jednu velkou výhodu. Svůj šifrovací (veřejný) klíč můžete umístit na veřejném, ale důvěryhodném místě (například osobní WWW stránka nebo klíčový server), kde si ho každý může zkopírovat a zašifrovat s ním utajovanou zprávu. Tu pak může bez obav poslat a bude mít jistotu, že si ji může přečíst pouze adresát, respektive držitel soukromého (dešifrovacího) klíče.

Právě zacházení se soukromým klíčem je bezpečnostně nejkritičtější částí technologie PGP. Pokud privátní klíč používáte jen na svém počítači, ke kterému nikdo kromě vás nemá přístup, je všechno v pořádku. Pokud jej ale máte na počítači, který kromě vás používá více lidí, je nutné si privátní klíč dodatečně chránit dostatečně kvalitním heslem, tzv. passphrase, jehož zadáním bude podmíněna jakákoliv manipulace s klíčem.

Vedle šifrování zpráv řeší PGP i problematiku jejich autenticity. Princip je podobný jako v případě šifrování. Odesílatel připojí ke zprávě zvláštní dodatek, který se jednocestně vygeneruje z textu zprávy pomocí některé z hashovacích funkcí. Tento dodatek, tzv. „message digest“, zašifruje svým soukromým klíčem, čímž vznikne elektronický podpis. Příjemce si opatří veřejný klíč odesílatele, dešifruje přiložený podpis a porovná jej s tím, jak by měl vypadat podle jeho výpočtu. Pokud oba výsledky souhlasí, lze zprávu považovat za autentickou.

Různé verze programů PGP jsou k mání pro různé sw. platformy včetně Linuxu, avšak tyto programy obsahují celou řadu patentovaných technologií, které velmi omezují možnosti šíření, zejména ve vztahu k dostupnosti zdrojového kódu, a kromě toho je lze zdarma používat pouze pro osobní potřebu.

Celý problém byl vyřešen klasickým linuxovým způsobem. Vznikl projekt, GnuPG, který je pokusem o Opensource implementaci technologie PGP s přiměřenou kompatibilitou se standardem OpenPGP podle RFC 2440. Právě GnuPG je nejpoužívanějším programem svého druhu v Linuxu a jeho praktickému použití bude věnován příští, praktičtější díl tohoto článku.

Jak je v Linuxu zvykem, GnuPG je program pracující ve znakovém režimu, který se ovládá pomocí sofistikovaných příkazových zkratek. Uživatelé zvyklí na GUI prostředí si možná budou chtít stáhnout nějakou grafickou nadstavbu usnadnňující práci s programem. Za všechny jmenujme například Gpa nebo Seahorse.

Nejpoužívanější aplikací GnuPG je šifrování elektronické pošty. Proto budeme potřebovat také mailového klienta, který GnuPG podporuje. Zřejmě nejlépe je podpora dotažena v Muttovi, ale PGP podporují i další mailery, například Pine, KMail nebo Evolution.

V této souvislosti je nutné zmínit se o dvou přístupech při podepisování elektronické pošty. Jedna skupina programů používá metodu, při které se podpis spolu s identifikačními znaky začlení přímo do těla podepisované zprávy, takže příjemce obdrží něco jako:

----BEGIN PGP SIGNED MESSAGE-----

tady je vlastní zpráva

----BEGIN PGP SIGNATUTE----
tady je připojen vlastní elektronický podpis
----END PGP SIGNATURE---

Druhé, novější řešení připojí podpis jako MIME přílohu (formát application/pgp), takže vlastní tělo zprávy zůstane beze změny. Samozřejmě elegatnější je druhá metoda, ale ne všechny mailery podporují MIME a ne vždy je možné posílat mail s přílohou (například některé emailové konference přílohy filtrují). Pokud váš poštovní program rozumí MIME formátu, můžete zpracovávat i plaintextový formát, filtrujete-li si poštu přes procmail nebo jiný MDA.

Pro samotné šifrování používá GnuPG šifru RSA, přesněji DSA nebo ElGamal. Kromě nich umí GnuPG pracovat také se symetrickými (s jedním klíčem) šiframi 3DES, Blowfish, CAST5 a Twofish, které můžete použít například pro bezpečnou úschovu dat. Pro vytváření elektronických podpisů se používají technologie MD5, RIPEMD160 a SHA1. Z chybějících vlastností je nutné zaznamenat absenci šifry IDEA (z patentových důvodů), kterou používá program PGP 2.x a kterou také vyžaduje specifikace OpenPGP. Díky tomu mohou vzniknout problémy s kompatibilitou, pokud odesílatel používá algoritmus, který příjemcův program neakceptuje.

V příštím díle si ukážeme praktický příklad, jak si vygenerovat svůj vlastní elektronický podpis pomocí programu GnuPG, jak bezpečně zveřejnit svůj veřejný klíč na síti a jak vypadá použití elektonického podpisu ve vybraných emailových programech.

Našli jste v článku chybu?

8. 12. 2008 0:07

pajda (neregistrovaný)
A co ochrana silnym heslem?

7. 4. 2004 21:52

uživatel si přál zůstat v anonymitě

A co takhle šifrovat jen to důležité a běžné texty posílat normálně???
Navíc, když budeš používat pgp ke všemu, nebudeš to časem brát tak vážně, což může snížit bezpečnost (u tebe třeba ne, ale u někoho jo).


Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte