Šifrování a podepisování e-mailů
Dnes se nejvíce GnuPG používá na dvě činnosti. Na podepisování balíčků v linuxových distribucích a na podepisování a šifrování elektronické pošty. Když se podíváme na podporu GnuPG obecně, zjistíme, že to není moc veselé. Vyloženě linuxoví klienti jako je třeba Evolution nebo KMail, kteří vznikají ruku v ruce v desktopovými prostředími, v sobě mají podporu již zahrnutou a krom jejich instalace není nic potřeba řešit. Velmi populární řádkový klient Mutt má podporu taktéž. Pak tu máme klienty jako je třeba Thunderbird, pro které není GnuPG taková priorita. Přece jen to používá relativně malá skupina lidí. Ale i tady je řešení v instalovatelném rozšíření, o kterém si povíme příště. Nakonec tu jsou celé uzavřené platformy, jako je Windows od firmy Microsoft. Tam je toho potřeba nainstalovat více, resp. velký balík, který obsahuje jak implementaci OpenGPG, tak integraci do Outlooku a systému vůbec.
Při odesílání e-mailu si musíme dát pozor na několik bodů:
- Více příjemců
- Zprávu bychom měli být schopni dešifrovat
- Používání správných klíčů
Evolution vybírá soukromý klíč pro podepisování na základě dvou pravidel. Buď se vybere klíč podle odchozí e-mailové adresy, tedy to co se všude jinde nazývá identita. V Evolutionu musíme místo nové identity nastavit nový účet i přesto, že bude mít prázdný příchozí server. To i to má své výhody a nevýhody. Pak máme druhou možnost a to nastavit klíč ručně, tím že Evolutionu řekneme ID klíče. V Seahorse ho najdeme ve stejnojmenném sloupečku v seznamu klíčů. To je z toho důvodu, kdyby se identita neshodovala s identitou v klíči. Může jít třeba o adresu noreplay@example.com, kam uživatelé nemají odpovídat, ale klíč patří jednomu z administrátorů serveru. Veřejný klíč pro šifrování se vždy volí podle příchozí adresy. V Evolutionu není možnost, jak vnutit použití jiného klíče v závislosti na kontaktu. Výběrem tak člověk není zatěžován a jediné co musí udělat, je odemknout svůj soukromý klíč při podepisování.
Když začnete odesílat šifrované e-maily, časem narazíte na takový problém, že už nevíte co jste komu odeslali. Obsah e-mailu je často pouze v jedné kopii a zašifrovaný jedním klíčem. Váš soukromý klíč nedokáže rozšifrovat zprávu, která byla zašifrována cizím veřejným klíčem. Proto Evolution přichází s volbou, kde si může uživatel zapnout šifrování e-mailu jak pro druhou stranu, tak pro svůj klíč. Při šifrování jakékoli zprávy se vygeneruje symetrický šifrovací klíč, kterým se zašifruje zpráva a sám klíč se zašifruje veřejným klíčem příjemce. Šifrování symetrickým klíčem je nepoměrně rychlejší a tento postup šetří náš čas. Ve výsledku se tak e-mail zvětší o velikost dalšího zašifrovaného symetrického klíče, ale za tuto cenu jsme schopni si e-mail přečíst v odeslaných zprávách. V opačném případě nám zbývá jedině požádat druhou stranu o přeposlání zprávy zašifrované naším klíčem.
Podobný „problém“ je i u více příjemců. Tam se použije prakticky stejný postup, aniž bychom do tohoto procesu zasahovali naší vůlí. Když odešleme e-mail deseti lidem, zašifruje se jedna zpráva jedním symetrickým klíčem, který se zašifruje deseti (případně jedenácti) veřejnými klíči.
Pokud odesíláte e-mail pouze šifrovaný, uvědomte si, že tím zajistíte pouze to, že si e-mail nikdo cizí nepřečte a že se dostane pravděpodobně do správných rukou. Teprve podpisem stvrzujete, že je e-mail pravděpodobně od vás. Také si dejte pozor kdy zadáváte heslo pro odemknutí vašeho soukromého klíče. To je nutné pouze u podpisu zprávy. Dávejte si pozor na to, který program žádá o přístup ke klíči. Také si uvědomte, že šifrování a podepisování zprávy může u delších e-mailů chvilku trvat. Evolution v této oblasti zrovna nedisponuje ukazatelem průběhu, ale vypadá, že zamrzl.
Konfigurace programu Evolution
Evolution při konfiguraci neklade moc odporu, takže stačí pár kroků, které zvládne každý, kdo si pomocí minulých dílů vytvořil klíč. Pokud máme vygenerovaný klíč, funguje nám GnuPG, aniž bychom na něco sáhli. Budeme se muset ovšem podívat na dvě volby, které jsou důležité. Pokud je naším cílem odesílat podepsané e-maily z jiné adresy, která není v seznamu identit v našem klíči, musíme si zjistit ID klíče. Pokud identity souhlasí, můžeme tento krok přeskočit.
Nejdříve si spustíme Seahorse a klikneme na záložku „Moje osobní klíče“. Tam se podíváme na řádek s naším klíčem a někam si ho poznamenáme. Pokud si klíč rozklikneme, je možné v jeho detailu toto ID najít a nakopírovat do schránky.
Teď se vydáme do nastavení účtu. Nejdříve si spustíme Evolution a klikneme na „Upravit“ a „Nastavení“.
Tady máme několik možností. Buď přidáme nový účet, pokud ještě žádný nemáme, nebo vybereme jeden z existujících a dáme „Upravit“.
V otevřeném dialogovém okně vybereme záložku „Zabezpečení“.
A dostaneme se do místa, kde se nastavují klíče a případně i certifikáty. Nás zajímají klíče, takže pokud jste byli z nějakého důvodu donuceni použít jinou identitu než máte v klíči, na prvním řádku je to správné místo kam se ID klíče vkládá. Hned pod ním najdeme volbu, díky které se nám bude automaticky podepisovat každý e-mail odeslaný z tohoto účtu. Účet volíme při vytváření nové zprávy. Další volba je zde kvůli kompatibilitě s ostatními klienty a můžeme v ní zvolit podepisování odeslaných událostí v kalendáři. Další volba je velmi důležitá. Pokud ji nezaškrtneme, tak si nepřečteme žádný odeslaný šifrovaný e-mail.
Pokud vše máme, dáme Ok a přejdeme na psaní nové zprávy. Zde si všimneme menu „Zabezpečení“, ve kterém najdeme možnosti podepisování a šifrování. Stačí zaškrtnout co je potřeba a psát e-mail.
Tím konfigurace končí a Evolution je připraven k šifrování a podepisování.
Závěr
Evolution je na GnuPG plně připraven a jeho použití je velmi jednoduché. Je to ideální varianta pro běžného uživatele, pro kterého je také určen tento článek. Společně se Seahorse dává Ubuntu GnuPG lidskou tvář, kde není potřeba ani jednou sáhnout na příkazovou řádku. Po jednoduché konfiguraci funguje šifrování a podepisování plně automaticky a jediné, co je potřeba udělat, je zadávat heslo.
Příště se podíváme na Thunderbird a jeho rozšíření Enigmail.
