Hlavní navigace

GnuPG: bezpečně s Evolution

Adam Štrauch 4. 12. 2009

Po dvou dílech věnovaných klíčům se konečně dostáváme k samotnému použití GnuPG v Linuxu. Dnes si povíme o práci s klíči v linuxovém poštovním klientovi Evolution. Většina uživatelů se s ním setká třeba po instalaci Ubuntu. Důležité je, že s GnuPG spolupracuje výtečně, a my si řekneme jak.

 Šifrování a podepisování e-mailů

Dnes se nejvíce GnuPG používá na dvě činnosti. Na podepisování balíčků v linuxových distribucích a na podepisování a šifrování elektronické pošty. Když se podíváme na podporu GnuPG obecně, zjistíme, že to není moc veselé. Vyloženě linuxoví klienti jako je třeba Evolution nebo KMail, kteří vznikají ruku v ruce v desktopovými prostředími, v sobě mají podporu již zahrnutou a krom jejich instalace není nic potřeba řešit. Velmi populární řádkový klient Mutt má podporu taktéž. Pak tu máme klienty jako je třeba Thunderbird, pro které není GnuPG taková priorita. Přece jen to používá relativně malá skupina lidí. Ale i tady je řešení v instalovatelném rozšíření, o kterém si povíme příště. Nakonec tu jsou celé uzavřené platformy, jako je Windows od firmy Microsoft. Tam je toho potřeba nainstalovat více, resp. velký balík, který obsahuje jak implementaci OpenGPG, tak integraci do Outlooku a systému vůbec.

Při odesílání e-mailu si musíme dát pozor na několik bodů:

  • Více příjemců
  • Zprávu bychom měli být schopni dešifrovat
  • Používání správných klíčů

Evolution vybírá soukromý klíč pro podepisování na základě dvou pravidel. Buď se vybere klíč podle odchozí e-mailové adresy, tedy to co se všude jinde nazývá identita. V Evolutionu musíme místo nové identity nastavit nový účet i přesto, že bude mít prázdný příchozí server. To i to má své výhody a nevýhody. Pak máme druhou možnost a to nastavit klíč ručně, tím že Evolutionu řekneme ID klíče. V Seahorse ho najdeme ve stejnojmenném sloupečku v seznamu klíčů. To je z toho důvodu, kdyby se identita neshodovala s identitou v klíči. Může jít třeba o adresu noreplay@example.com, kam uživatelé nemají odpovídat, ale klíč patří jednomu z administrátorů serveru. Veřejný klíč pro šifrování se vždy volí podle příchozí adresy. V Evolutionu není možnost, jak vnutit použití jiného klíče v závislosti na kontaktu. Výběrem tak člověk není zatěžován a jediné co musí udělat, je odemknout svůj soukromý klíč při podepisování.

Když začnete odesílat šifrované e-maily, časem narazíte na takový problém, že už nevíte co jste komu odeslali. Obsah e-mailu je často pouze v jedné kopii a zašifrovaný jedním klíčem. Váš soukromý klíč nedokáže rozšifrovat zprávu, která byla zašifrována cizím veřejným klíčem. Proto Evolution přichází s volbou, kde si může uživatel zapnout šifrování e-mailu jak pro druhou stranu, tak pro svůj klíč. Při šifrování jakékoli zprávy se vygeneruje symetrický šifrovací klíč, kterým se zašifruje zpráva a sám klíč se zašifruje veřejným klíčem příjemce. Šifrování symetrickým klíčem je nepoměrně rychlejší a tento postup šetří náš čas. Ve výsledku se tak e-mail zvětší o velikost dalšího zašifrovaného symetrického klíče, ale za tuto cenu jsme schopni si e-mail přečíst v odeslaných zprávách. V opačném případě nám zbývá jedině požádat druhou stranu o přeposlání zprávy zašifrované naším klíčem.

Podobný „problém“ je i u více příjemců. Tam se použije prakticky stejný postup, aniž bychom do tohoto procesu zasahovali naší vůlí. Když odešleme e-mail deseti lidem, zašifruje se jedna zpráva jedním symetrickým klíčem, který se zašifruje deseti (případně jedenácti) veřejnými klíči.

Pokud odesíláte e-mail pouze šifrovaný, uvědomte si, že tím zajistíte pouze to, že si e-mail nikdo cizí nepřečte a že se dostane pravděpodobně do správných rukou. Teprve podpisem stvrzujete, že je e-mail pravděpodobně od vás. Také si dejte pozor kdy zadáváte heslo pro odemknutí vašeho soukromého klíče. To je nutné pouze u podpisu zprávy. Dávejte si pozor na to, který program žádá o přístup ke klíči. Také si uvědomte, že šifrování a podepisování zprávy může u delších e-mailů chvilku trvat. Evolution v této oblasti zrovna nedisponuje ukazatelem průběhu, ale vypadá, že zamrzl.

Konfigurace programu Evolution

Evolution při konfiguraci neklade moc odporu, takže stačí pár kroků, které zvládne každý, kdo si pomocí minulých dílů vytvořil klíč. Pokud máme vygenerovaný klíč, funguje nám GnuPG, aniž bychom na něco sáhli. Budeme se muset ovšem podívat na dvě volby, které jsou důležité. Pokud je naším cílem odesílat podepsané e-maily z jiné adresy, která není v seznamu identit v našem klíči, musíme si zjistit ID klíče. Pokud identity souhlasí, můžeme tento krok přeskočit.

Nejdříve si spustíme Seahorse a klikneme na záložku „Moje osobní klíče“. Tam se podíváme na řádek s naším klíčem a někam si ho poznamenáme. Pokud si klíč rozklikneme, je možné v jeho detailu toto ID najít a nakopírovat do schránky.

GPG-evolution
GPG-evolution

Teď se vydáme do nastavení účtu. Nejdříve si spustíme Evolution a klikneme na „Upravit“ a „Nastavení“.

GPG-evolution

Tady máme několik možností. Buď přidáme nový účet, pokud ještě žádný nemáme, nebo vybereme jeden z existujících a dáme „Upravit“.

GPG-evolution

V otevřeném dialogovém okně vybereme záložku „Zabezpečení“.

GPG-evolution

A dostaneme se do místa, kde se nastavují klíče a případně i certifikáty. Nás zajímají klíče, takže pokud jste byli z nějakého důvodu donuceni použít jinou identitu než máte v klíči, na prvním řádku je to správné místo kam se ID klíče vkládá. Hned pod ním najdeme volbu, díky které se nám bude automaticky podepisovat každý e-mail odeslaný z tohoto účtu. Účet volíme při vytváření nové zprávy. Další volba je zde kvůli kompatibilitě s ostatními klienty a můžeme v ní zvolit podepisování odeslaných událostí v kalendáři. Další volba je velmi důležitá. Pokud ji nezaškrtneme, tak si nepřečteme žádný odeslaný šifrovaný e-mail.

GPG-evolution

Pokud vše máme, dáme Ok a přejdeme na psaní nové zprávy. Zde si všimneme menu „Zabezpečení“, ve kterém najdeme možnosti podepisování a šifrování. Stačí zaškrtnout co je potřeba a psát e-mail.

GPG-evolution

Tím konfigurace končí a Evolution je připraven k šifrování a podepisování.

Závěr

Evolution je na GnuPG plně připraven a jeho použití je velmi jednoduché. Je to ideální varianta pro běžného uživatele, pro kterého je také určen tento článek. Společně se Seahorse dává Ubuntu GnuPG lidskou tvář, kde není potřeba ani jednou sáhnout na příkazovou řádku. Po jednoduché konfiguraci funguje šifrování a podepisování plně automaticky a jediné, co je potřeba udělat, je zadávat heslo.

Příště se podíváme na Thunderbird a jeho rozšíření Enigmail.

Našli jste v článku chybu?

29. 6. 2012 12:16

nasinec ilv (neregistrovaný)

nesmysl, i jeden plaintext pro deset adresatu, kazdy s originalnim klicem, projde desetkrat sifrovanim a vznikne deset sifrovanych textu plus deset klicu
stejny objem vznikne jen pri sifrovani jednim klicem a distribuci sifrovaneho textu plus stejneho klice deseti adresatum, coz je ale "podivny" postup
rozhodne nejde napr. zasifrovat plaintext desetkrat dokola se vsemi klici a pak distribuovat s tim, ze kazdy adresat si ten 10x sifrovany text desifruje svym klicem.. takhle to tedy nefunguje :-)



6. 12. 2009 5:53

potkan (neregistrovaný)

Len dodavam, ze z grafickych postovych klientov s GnuPG vyborne spolupracuje aj Claws Mail. Podobne ako u Thunderbird-u, kde treba mat nainstalovany Enigmail, u Claws Mail su potrebne pluginy PGP/Core a PGP/Inline.

Kedze so Seahorse-ovym password dialogom a klavesnicovym vstupom boli vzdy problemy, odporucam nastavit program tak, aby si PGP heslo cacheoval sam a nepouzival na to agenta (Seahorse).

0.01€

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře