Hlavní navigace

Šifrování mailů v KMailu a Thunderbirdu

29. 2. 2008 21:48 (aktualizováno) Jan Hrach

Následující 2 odstavce jsou velmi paranoidní a lidé, kteří paranoidní nejsou, s nimi nemusí souhlasit.

Pokud jste viděli dokument Válka špionů (asi před 2 měsíci na ČT2), jistě víte, že trojpísmenné tajemstvím obestřené organisace v trojpísmenné zemi prohánějí robotem veškerý mailový provoz na přítomnost „závadných“ slov v mnoha jazycích a vybrané zprávy potom čtou jejich agenti a sem tam někoho seberou a odvezou do vězení, kde se usmívá a hraje fotbal.

Asi jediná obrana proti tomuto šmírování je veškerý provoz šifrovat. Já rád šifruji už jenom z principu – tajní agenti pochopí, že na mě si vyskakovat nebudou, a dají pokoj. Problém je, že to málokdo umí. Takže po přečtení tohoto článku si všichni vygenerujte dvojici klíčů a ten veřejný dejte světu – tady si nikdo nebude sledovat cizí poštu!

Předpoklady

Takže jako první budeme potřebovat počítač s operačním systémem, který není prolezlý keyloggery či špionážním softwarem, který posílá soukromé klíče do Internetu. Tyto požadavky jistě váš systém splňuje, paranoici použijí nějaké LiveCD. Dále pak budeme potřebovat e-mailovou adresu a SMTP server. Ze softwaru program gpg a nějaký z podporovaných e-mailových klientů.

Naším cílem bude, aby si uživatelé Jenda (jenda zavináč yakumo tečka hrach tečka eu, ano, jsem to já) a Test Testovič Tester (testovic zavináč yakumo tečka hrach tečka eu) mohli posílat zprávy zašifrované 2048b PGP šifrou.

Jenda má KDE 3.5.6, KMail a frontend KGpg, Tester má jenom Thunderbird 2.0.0.6.

Nezbytná teorie

Každý uživatel si vygeneruje dvojici klíčů – jeden soukromý a jeden veřejný. Soukromý je ještě chráněný heslem. Jak už název napovídá, soukromý si musíme držet v utajení, protože v případě jeho ukradení jsou už naše zprávy chráněny jenom heslem. Veřejný naopak rozešleme co nejvíc lidem.

Když pak chce Jenda poslat Testovičovi zašifrovanou zprávu, vezme jeho veřejný klíč, s ním zprávu zašifruje do nečitelného formátu a odešle. Testovič si vezme svůj soukromý klíč, zadá heslo a s tím zprávu rozšifruje. PGP lze použít i k zašifrování souborů a k elektronickému podpisu, ale o tom možná někdy jindy.

Jenda (JÁ)

Takže nejdřív si musím vygenerovat dvojici klíčů. Pustím si kgpg, kliknu na zámeček v Trayi a odkliknu tip dne.
Dám Klíče → Vytvořit pár klíčů, napíšu jméno, mail a délku dám 2048. Po kliknutí na OK musím zvolit co nejheslovitější heslo, KKxsa59-_sdr bude ideální :-). Teď se začne generovat klíč, procesu mohu pomoci tím, že třeba pustím Firefox a budu hodně intensivně browsit po webu (čím více se pracuje, tím více náhodných čísel se generuje). Teď si ještě nakonec někam uložím odvolávací certifikát a po potvrzení zadám heslo k mému novému klíči.

k-vytvor.png

k-heslo.png

k-klic-hotovy.png

Svůj veřejný klíč musím exportovat do nějakého souboru a dát ho k dispozici světu. Označím ho tedy a dám Klíče → Exportovat veřejné klíče. Zvolím kam to chci a odkliknu. Vytvořil se mi ten soubor a můžu se do něj i podívat. Teď ho ale pošlu jako přílohu mailem Testovičovi.

kgpg-export-public-key.png

muj-klic.png

Testovič

Testovič si spustí svůj Thunderbird a stáhne Enigmail (rozšíření Thunderbirdu).

 testovic~> wget ftp://ftp.czilla.cz/other/addons/enigmail/0.94.1
/enigmail-0.94.1.1.cs-CZ.thunderbird-linux.xpi

Nainstaluje ho:

  1. Nástroje → Správce doplňků
  2. Instalovat
  3. najde ho na disku
  4. Instalovat
  5. Restartovat Thunderbird

Dá OpenPGP → Správa OpenPGP klíčů, Vytvořit → Nový pár klíčů a vyplní podle obrázku.

enigmail-generovat-klic.png

Dá Generovat klíč a potom vybere, že chce vytvořit revokační certifikát.

enigmail-revokacni-ano.png

enigmail-vygenerovano.png

Teď napíše Jendovi mail a před odesláním dá OpenPGP → Připojit můj veřejný klíč.

Po přijetí Jendova mailu si přílohu uloží a ve Správě OpenPGP klíčů dá Soubor → Importovat klíče ze souboru

Znovu Jenda

Až mi dorazí mail s Testovičovým klíčem, přílohu někam uložím a otevřu ji pomocí KGpg.

Hotovo

Jak pošlu zašifrovaný mail Testovičovi?
Normálně, akorát před odesláním zatrhnu ikonu zámku.

sifrovana-kmail.png

Po zašifrování bude zpráva vypadat třeba takto:

  -----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.6 (GNU/Linux)

hQIOA2WUH9gQWYXNEAgAplAXTeP4kM7JgPs/KYkq61PmaCHbfcodkp03HPEk3BoD
tXvK5STWOBJlvtVVMSWkCSeA/w6+NNxYcSLtQd0uj5HrkeOGi4guJ2EYGvwxZHTS
>>(velký kus vynechaný)<<
PzzoZJlHJy7uJVNnjoi97xDfePwd9vJftX0i/LInSMy36AxKl65RE8FFGw9NqCyB
aihGJlIhWEkMu7aZTselB0S6oJEAYHy6KASYZUZQ5lzRoBekfkJoO8F57EYHiV8=
=L5cS
-----END PGP MESSAGE-----

A Testovič mně?

tb-zasifrovat.png

Při přijetí šifrované zprávy se klient zeptá na heslo a zprávu automaticky rozšifruje.

KMail:

kmail-rozsifrovava.png

kmail-rozsifrovano.png

Thunderbird:

tb-heslo.png

tb-rozsifrovano.pngMůj klíč najdete zde.

Přidávat nové názory je zakázáno.