Hlavní navigace
Root.cz  »  Bezpečnost  »  GnuPG: bezpečně s klientem Thunderbird

GnuPG: bezpečně s klientem Thunderbird

Adam Štrauch
11. 12. 2009
Doba čtení: 7 minut
9 nových názorů

Sdílet

Další díl našeho seriálu o bezpečné komunikaci budeme věnovat populárnímu mailovému klientu Thunderbird od společnosti Mozilla. Ten sice sám o sobě GnuPG nepodporuje, ale jednoduše se do něj dá nahrát rozšíření, které to umožní. Oproti klientu Evolution tu máme i více konfiguračních možností.

Vývojáři e-mailového klienta Thunderbird se soustředí hlavně na běžného uživatele a méně vyžadované funkce nejsou jejich specialitou. GnuPG je podobný případ, protože to není zrovna něco co by běžný uživatel hledal, takže si musíme pomoci nějak jinak. Tou pomocí bude tzv. Enigmail.

Na rozdíl od Evolution, přistupuje Enigmail ke klíčům mnohem důkladněji. Krom větších konfiguračních i uživatelských možností tu máme nástroj pro správu klíčů. Abychom to shrnuli, všechno co jsem popisoval v minulých dvou dílech (Seahorse a Evolution) zvládnete udělat s Thunderbirdem a Enigmail.

Jedinou podmínkou pro použití Enigmail je nainstalované gpg. Při konfiguraci budeme mít možnost zvolit k němu cestu. Jinak jde o multiplatformní rozšíření, které můžete používat všude tam, kde je na systému gpg a Thunderbird. Pro anglicky nehovořící uživatele je k dispozici překlad do češtiny a necelou dvacítkou dalších jazyků.

Instalace

Na Debianu/Ubuntu stačí nainstalovat balíčky:

  • thunderbird
  • enigmail
  • enigmail-locale-cs

Na Gentoo jsou to balíčky:

  • mozilla-thunderbird (mozilla-thunderbird-bin)
  • enigmail

Dále budete potřebovat program gpg, nejlépe i vytvořený pár klíčů (nicméně si ukážeme jak vytvořit klíče v Enigmail) a funkční e-mailový účet v Thunderbirdu. Ostatní distribuce jsou na tom podobně. Kdybyste náhodou správné balíčky nenalezli, můžete si stáhnout vše potřebné z enigmail.spi­.cz. Dostupná je verze nejen pro Thunderbird, ale i pro Seamonkey.

Po spuštění

Pokud se vše povedlo nainstalovat, tak po spuštění Thunderbirdu se vám objeví nahoře v menu položka OpenPGP. Tam najdete prakticky všechno, co Enigmail nabízí.

OBR9

Nejdříve se ale vydáme do nastavení účtu, kde se musíme poprat s několika volbami, které nám pomohou si Enigmailu při používání nevšímat. Začneme tedy tím, že klikneme na „Úpravy->Nastavení účtu“ a v našem účtu si otevřeme položku „OpenPGP/Enigmail“.

OBR10

Zde máme možnost nastavit základní chování Enigmail. V prvé řadě se musíme rozhodnout, jestli bude použit soukromý klíč na základě naší identity (e-mailové adresy) nebo uvedeme ID klíče. Dalšími volbami řekneme Enigmail, aby vždy podepisoval odchozí poštu případně jen šifrovanou či nešifrovanou. Můžeme také vnutit volbu automatické šifrování zpráv, ať se děje cokoli, nicméně to není moc doporučované, protože ne vždy jsou informace tajné a mohlo by to zkomplikovat otevření zprávy u lidí, kteří o OpenPGP nic nevědí. Na druhou stranu podpisem nic nezkazíte. Nezapomeňte zaškrtnout také volbu PGP/MIME. Pak se bude Thunderbird chovat stejně jako Evolution a podpis bude ke zprávě připojen jako příloha a ne jako ASCII text v těle zprávy. Tím zase umožníte pohodlné čtení v klientech (včetně snad všech webových rozhraní), které s OpenPGP nepracují. Nakonec můžete do hlavičky přidat i adresu, ze které lze stáhnout veřejný klíč. Někteří klienti s ním pak třeba dokáží dále pracovat a pro uživatele to je ještě více pohodlné. Otázkou pak je ale bezpečnost takovéhoto řešení.

Konfigurace účtu

Máme-li náš účet nastaven, tak už pravděpodobně nic nepotřebujeme a pokud nám zůstaly klíče z minulých dílů, tak jsme připraveni vesele podepisovat a šifrovat. Na začátku jsme si ale řekli něco o pokročilých možnostech konfigurace, a to si rozhodně nemůžeme nechat ujít.

 Základní nastavení

Podíváme se tedy, jak vypadá základní menu při čisté instalaci Enigmail. To můžete vidět na prvním obrázku v našem článku. Po kliknutí na „Předvolby“ se nám objeví okno se základním nastavením:

OBR11

Zde nemáme moc možností, ale můžeme nastavit cestu k programu gpg, čas po který si má Enigmail pamatovat heslo pro otevření soukromého klíče a hlavně volbu expertního nastavení. Po jeho odkliknutí a potvrzení tlačítkem „OK“ se nám menu OpenPGP rozšíří o nové volby stejně jako konfigurační dialog na předchozím obrázku.

 Pokročilé nastavení

OBR12

Tady už vidíme trochu více svobody než dříve. Důležitou vlastností je možnost vypnutí automatického dešifrování. Může se vám stát, že přijde životně důležitá informace, která obrátí jednání naruby. Samozřejmě si ji na projektoru před klienty nemůžete přečíst, ale když tato volba je zapnutá, tak jediný klik informaci odhalí. Když volbu „Automaticky dešifrovat/ověřit zprávu“ odškrtneme, tak jsme páni toho, kdy se zpráva objeví případně ověří pomocí volby „Dešifrovat/O­věřit“. Navíc tu je možnost uložit šifrovanou zprávu nešifrovaně.

Dále se může stát, že odcházíte od počítače a z nějakého důvodu nemáte k dispozici xlock. Nebylo by příjemné, kdyby se někdo hrabal v tajných dokumentech, takže po kliknutí na „Smazat uložené heslo“ se i proti vůli nastavitelného limitu heslo smaže. Další dvě volby jsou důležité pro aktuálně načtenou zprávu a povíme si o nich později.

Krom rozšíření nabídky menu jsme si expertním režimem otevřeli i detailnější konfiguraci v dialogu „Předvolby“.

OBR13

Záložka „Základní“ zůstává, ale ostatní jsou nové. V záložce „Odesílání“ můžeme zapnout přidání vlastního klíče do odesílaných zpráv, abychom je později mohli sami rozšifrovat, zalamování HTML textu před odesláním, ověřování důvěryhodnosti klíčů, upozornění na prázdný předmět a nakonec potvrzení před odesláním zprávy.

Záložka „Výběr klíče“ umožňuje nastavit, podle čeho se bude vybírat klíč příjemce zprávy. Může jít o výběr identity příjemce, našich vlastních pravidel nebo se nám vždy zobrazí okno s nabídkou klíčů. V záložce „Rozšířené“ najdeme volby týkající se šifrování odpovědí na zprávy, oddělovat podpisu, použití gpg-agenta a další detaily. Můžeme zde přidat i doplňkové parametry pro gpg. Předposlední záložka obsahuje jen informace o dostupných keyserverech a poslední se týká logování činnosti Enigmail.

OBR14

Enigmail na rozdíl od Evolution nabízí preciznější výběr klíčů pro jednotlivé identity. Krom toho, že při odeslání zprávy může vybrat pravidla podle identity, tak si můžete nastavit i pravidla vlastní. Dělá se to v „OpenPGP->Upravit pravidlo dle adresáta“. Po otevření dialogu vidíte již vytvořená pravidla s možností vytvořit nová a úpravy priorit těch existujících. U pravidel se jako podmínka používá části nebo celé e-mailové adresy.

OBR15

Spravujeme klíče

Jelikož je Enigmail multiplatformní, počítá se s tím, že práce s klíči na různých platformách může být na nejrůznější úrovni, takže přichází s vlastním editorem klíčů, který umí prakticky to samé, co Seahorse. Všechno potřebné si ukážeme. Začneme tím, že spustíme „OpenPGP->Správa OpenPGP klíčů“.

OBR1

Pokud ještě klíč nemáte, je jednoduché si ho vytvořit a to kliknutím na „Vytvořit->Nový pár klíčů“. Na rozdíl od Seahorse vám Enigmail nabídne rovnou i vytvoření revokačního certifikátu, kdyby se s klíčem něco stalo.

OBR16

V Enigmail není potřeba vyplňovat jméno ani e-mailová adresa, protože se generuje klíč pro již existující účet v Thunderbirdu. Stačí tedy nastavit platnost, případně i heslo a kliknout na „Generovat“. V záložce „Rozšířené“ si můžete vybrat velikost klíče a jeho typ.

Přidat klíč ostatních můžeme třemi způsoby.

  • Importovat ze souboru.
  • Importovat ze schránky.
  • Najít na keyserveru a stáhnout ho.

Import ze souboru najdeme v „Soubor->Importovat klíče ze souboru“. Zobrazí se dialog pro výběr souboru a po odklepnutí je klíč importován. V menu „Upravit“ najdeme volbu „Importovat klíče ze schránky“. Pokud jste někde na webu našli klíč v ASCII formě, stačí ho jen pomocí Ctrl+C uložit do schránky a touto položkou ho importovat do gpg.

Třetí možnost je trochu složitější. Použijeme k tomu menu „Keyserver->Hledat klíče“. Objeví se dialog, kde stejně jako u Seahorse zadáme e-mail nebo jméno. Pod políčkem pro hledání si můžeme vybrat jeden z keyserverů, které jsou nastaveny.

OBR18

Pak už stačí klíč jen označit a kliknout na „OK“. Vyběhne na vás výstup z gpg. V menu „Keyserver“ můžeme obnovit informace i o již importovaných klíčích, jako třeba že někdo svůj klíč revokoval, přidat fotku apod. Fotku majitele klíče si zobrazíte v menu „Zobrazit->Foto ID“ po vybrání některého z klíčů.

Stejně jako v Seahorse je tu možné i vyjadřovat důvěru klíčům a podepisovat je, čímž ulehčíme ověření ostatním. Všechno se to dělá v menu „Upravit“, kde se po kliknutí na klíč uvolní volby „Podepsat“ a „Nastavit důvěryhodnost vlastníka“. Princip je podobný jako u Seahorse, pokud seriál sledujete, neměli byste se ztratit.

Debugování

Enigmail není nic jiného než frontend pro gpg. Všechno co dělá, dělá spouštěním gpg se správnými parametry. Se zapnutým rozšiřujícím nastavením se vám objeví v menu možnost se na všechno, co Enigmail spouští, kouknout. Tím se můžete něco o gpg přiučit nebo identifikovat problémy, když už na nějaký přijdete.

Šifrujeme/pode­pisujeme zprávy

A nakonec to nejdůležitější. Po otevření dialogu pro psaní nové zprávy máme v menubaru novou položku „OpenPGP“. Tady najdeme zaškrtávací políčka pro šifrování, podepisování, pro ignorování ručně nastavených pravidel a položky pro přidávání dalších veřejných klíčů.

CS24_early

OBR19

Závěr

Vývojáři Enigmail přinesli do Thunderbirdu prvotřídní podporu OpenPGP. Díky expertnímu a základnímu režimu si na své přijdou běžní i pokročilí uživatelé a dělá to s Enigmail flexibilní nástroj. Instalaci v Linuxu zvládne každý a je to tedy vhodné řešení pro každého.

Příště se podíváme na šifrování souborů.

Seriál: GnuPG: komunikace po internetu bezpečně
Přečtěte si všechny díly seriálu GnuPG: komunikace po internetu bezpečně nebo sledujte jeho RSS
Vstoupit do diskuse (9 názorů)
  • Našli jste v článku chybu?

Byl pro vás článek přínosný?

Líbí
Nelíbí

Autor článku

Adam Štrauch

Adam Štrauch

Adam Štrauch je redaktorem serveru Root.cz a svobodný software nasazuje jak na desktopech tak i na routerech a serverech. Ve svém volném čase se stará o komunitní síť, ve které je již přes 100 členů.

Témata:

Děkuji za kladnou reakci. Překlep jsem opravil.
Adam Štrauch

Mohlo by vás zajímat

Dále u nás najdete

Plavání s hlavou nad vodou vám ubližuje

Motání hlavy může být způsobeno problémy s krčními tepnami

Intolerance lepku byla po staletí záhadou. Vysvětlil ji až hladomor

MarketVoice

Výrobce koupelnového vybavení Laufen čeká oživení poptávky

ČT musela upravit reportáž v iVysílání

Příčina obřího IT výpadku? Chyba aktualizace

Jsou prompty pro AI chatboty autorským dílem?

Průjmů z masa je letos víc než jindy, nakazit se lze i z melounů

Revmatická horečka už nepatří mezi běžná onemocnění

Musk: Humanoidní roboty začne Tesla používat už příští rok

Praktické tipy pro fyzické osoby, jak ušetřit na daních

Více než polovina žen v porodnici dostává klystýr

Google už nechce rušit cookies třetích stran v Chromu

Popálená tvář, zlomená páteř. Elektřina mrzačí i bez doteku drátů

Rozjíždí se nový typ podvodů – lajkovací brigády

Nevyléčitelně nemocní získají příspěvek automaticky

Proč vystavujeme zápočtový list a proč ho vyžadujeme?

Albert testuje umělou inteligenci, ušetří čas pokladním i zákazníkům

Impregnace škodí životnímu prostředí i zdraví

Tesco na jedné straně plasty šetří, na druhé jimi ale plýtvá