Šifrování mailů v KMailu a Thunderbirdu

Následující 2 odstavce jsou velmi paranoidní a lidé, kteří paranoidní nejsou, s nimi nemusí souhlasit.

Pokud jste viděli dokument Válka špionů (asi před 2 měsíci na ČT2), jistě víte, že trojpísmenné tajemstvím obestřené organisace v trojpísmenné zemi prohánějí robotem veškerý mailový provoz na přítomnost „závadných“ slov v mnoha jazycích a vybrané zprávy potom čtou jejich agenti a sem tam někoho seberou a odvezou do vězení, kde se usmívá a hraje fotbal.

Asi jediná obrana proti tomuto šmírování je veškerý provoz šifrovat. Já rád šifruji už jenom z principu – tajní agenti pochopí, že na mě si vyskakovat nebudou, a dají pokoj. Problém je, že to málokdo umí. Takže po přečtení tohoto článku si všichni vygenerujte dvojici klíčů a ten veřejný dejte světu – tady si nikdo nebude sledovat cizí poštu!

Předpoklady

Takže jako první budeme potřebovat počítač s operačním systémem, který není prolezlý keyloggery či špionážním softwarem, který posílá soukromé klíče do Internetu. Tyto požadavky jistě váš systém splňuje, paranoici použijí nějaké LiveCD. Dále pak budeme potřebovat e-mailovou adresu a SMTP server. Ze softwaru program gpg a nějaký z podporovaných e-mailových klientů.

Naším cílem bude, aby si uživatelé Jenda (jenda zavináč yakumo tečka hrach tečka eu, ano, jsem to já) a Test Testovič Tester (testovic zavináč yakumo tečka hrach tečka eu) mohli posílat zprávy zašifrované 2048b PGP šifrou.

Jenda má KDE 3.5.6, KMail a frontend KGpg, Tester má jenom Thunderbird 2.0.0.6.

Nezbytná teorie

Každý uživatel si vygeneruje dvojici klíčů – jeden soukromý a jeden veřejný. Soukromý je ještě chráněný heslem. Jak už název napovídá, soukromý si musíme držet v utajení, protože v případě jeho ukradení jsou už naše zprávy chráněny jenom heslem. Veřejný naopak rozešleme co nejvíc lidem.

Když pak chce Jenda poslat Testovičovi zašifrovanou zprávu, vezme jeho veřejný klíč, s ním zprávu zašifruje do nečitelného formátu a odešle. Testovič si vezme svůj soukromý klíč, zadá heslo a s tím zprávu rozšifruje. PGP lze použít i k zašifrování souborů a k elektronickému podpisu, ale o tom možná někdy jindy.

Jenda (JÁ)

Takže nejdřív si musím vygenerovat dvojici klíčů. Pustím si kgpg, kliknu na zámeček v Trayi a odkliknu tip dne.
Dám Klíče → Vytvořit pár klíčů, napíšu jméno, mail a délku dám 2048. Po kliknutí na OK musím zvolit co nejheslovitější heslo, KKxsa59-_sdr bude ideální :-). Teď se začne generovat klíč, procesu mohu pomoci tím, že třeba pustím Firefox a budu hodně intensivně browsit po webu (čím více se pracuje, tím více náhodných čísel se generuje). Teď si ještě nakonec někam uložím odvolávací certifikát a po potvrzení zadám heslo k mému novému klíči.

Svůj veřejný klíč musím exportovat do nějakého souboru a dát ho k dispozici světu. Označím ho tedy a dám Klíče → Exportovat veřejné klíče. Zvolím kam to chci a odkliknu. Vytvořil se mi ten soubor a můžu se do něj i podívat. Teď ho ale pošlu jako přílohu mailem Testovičovi.

Testovič

Testovič si spustí svůj Thunderbird a stáhne Enigmail (rozšíření Thunderbirdu).

 testovic~> wget ftp://ftp.czilla.cz/other/addons/enigmail/0.94.1
  /enigmail-0.94.1.1.cs-CZ.thunderbird-linux.xpi

Nainstaluje ho:

1. Nástroje → Správce doplňků
2. Instalovat
3. najde ho na disku
4. Instalovat
5. Restartovat Thunderbird

Dá OpenPGP → Správa OpenPGP klíčů, Vytvořit → Nový pár klíčů a vyplní podle obrázku.

Dá Generovat klíč a potom vybere, že chce vytvořit revokační certifikát.

Teď napíše Jendovi mail a před odesláním dá OpenPGP → Připojit můj veřejný klíč.

Po přijetí Jendova mailu si přílohu uloží a ve Správě OpenPGP klíčů dá Soubor → Importovat klíče ze souboru

Znovu Jenda

Až mi dorazí mail s Testovičovým klíčem, přílohu někam uložím a otevřu ji pomocí KGpg.

Hotovo

Jak pošlu zašifrovaný mail Testovičovi?
Normálně, akorát před odesláním zatrhnu ikonu zámku.

Po zašifrování bude zpráva vypadat třeba takto:

  -----BEGIN PGP MESSAGE-----
  Version: GnuPG v1.4.6 (GNU/Linux)

  hQIOA2WUH9gQWYXNEAgAplAXTeP4kM7JgPs/KYkq61PmaCHbfcodkp03HPEk3BoD
  tXvK5STWOBJlvtVVMSWkCSeA/w6+NNxYcSLtQd0uj5HrkeOGi4guJ2EYGvwxZHTS
  >>(velký kus vynechaný)<<
  PzzoZJlHJy7uJVNnjoi97xDfePwd9vJftX0i/LInSMy36AxKl65RE8FFGw9NqCyB
  aihGJlIhWEkMu7aZTselB0S6oJEAYHy6KASYZUZQ5lzRoBekfkJoO8F57EYHiV8=
  =L5cS
  -----END PGP MESSAGE-----

A Testovič mně?

Při přijetí šifrované zprávy se klient zeptá na heslo a zprávu automaticky rozšifruje.

KMail:

Thunderbird:

Můj klíč najdete zde.