Enigmail

Z HelpDesk

Enigmail je doplněk pro Mozilla Thunderbird, který umožňuje práci s GnuPGP pro podepisování a autentizaci zpráv. Na této stránce vás Civenka provede instalací a základním používáním Enigmailu.

Německá šifra je dobrá šifra, nicht war?

První kontakt s PGP

Když váš poštovní klient Mozilla Thunderbird dostane zprávu podepsanou PGP, se kterým neumí pracovat, uvidíte pouze vypsané informace v textové podobě (jako -----BEGIN PGP SIGNED MESSAGE----- apod.), například takto:

Zobrazit obrázek ve větším rozlišeníEnigmail-01.png

Aby se poštovní klient naučil pracovat s PGP, musí mít nainstalován a nakonfigurován vhodný doplněk.

Instalace

Pro Mozillu Thunderbird existuje doplněk pro práci s PGP nazvaný Enigmail. Domovská stránka s řadou informací je na https://enigmail.net.

GnuPG

Prvním krokem je instalace GnuPG (Gnu Privacy Guard - Open source varianta PGP), který má domovskou stránku https://www.gnupg.org/, kde jsou i instalační soubory ke stažení. Postup je jednoduchý, vše stačí ponechat ve standardním nastavení a klikat OK - další - další - další - další - další - instalovat - další - dokončit.

Instalace pro MS Windows (gpg4win-2.3.1.exe) vypadá takto (kliknutím na obrázek se zobrazí v plné velikosti):

Zobrazit obrázek ve větším rozlišeníGnupg-01.png
Zobrazit obrázek ve větším rozlišeníGnupg-02.png
Zobrazit obrázek ve větším rozlišeníGnupg-03.png
Zobrazit obrázek ve větším rozlišeníGnupg-04.png
 
Zobrazit obrázek ve větším rozlišeníGnupg-05.png
Zobrazit obrázek ve větším rozlišeníGnupg-06.png
Zobrazit obrázek ve větším rozlišeníGnupg-07.png
Zobrazit obrázek ve větším rozlišeníGnupg-08.png
 
Zobrazit obrázek ve větším rozlišeníGnupg-09.png
Zobrazit obrázek ve větším rozlišeníGnupg-10.png

Enigmail

V druhém kroku je istalováno rozšíření Enigmail do poštovního klienta Mozilla Thunderbird. Postup je následující (kliknutím na obrázek jej zobrazíte ve větší velikosti):

1. Z menu Nástroje vybrat Správce doplňků.

Zobrazit obrázek ve větším rozlišeníEnigmail-02.png

2. Do vyhledávacího políčka napsat Enigmail a stisknout klávesu Enter.

Zobrazit obrázek ve větším rozlišeníEnigmail-03.png

3. Mezi vyhledanými rozšířeními najít Enigmail a kliknout na Instalovat.

Zobrazit obrázek ve větším rozlišeníEnigmail-04.png

4. Instalace vyžaduje restart, takže kliknout na odkaz Restartovat

Zobrazit obrázek ve větším rozlišeníEnigmail-05.png

5. Úspěšně nainstalovaný doplněk je vidět v záložce Rozšíření.

Zobrazit obrázek ve větším rozlišeníEnigmail-06.png

6. Konfigurace bude řešena později, takže kliknout na Zrušit.

Zobrazit obrázek ve větším rozlišeníEnigmail-32.png

Používání Enigmail

V této části jsou popsány základní úkony.

Vytvoření vlastního PGP klíče

Každý kdo chce s pomocí PGP podepisovat nebo dostávat zašifrované správy, musí mít vytvořen svůj PGP klíč (skládá se z privátního a veřejného klíče). Postup je následující:

1. V menu Enigmail vybrat Správa klíčů.

Zobrazit obrázek ve větším rozlišeníEnigmail-08.png

2. V otevřeném okně vybrat z menu Vytvořit volbu Nový pár klíčů.

Zobrazit obrázek ve větším rozlišeníEnigmail-09.png

3. Vybrat účet uživatele, zaškrtnout, že nový klíč patří k této identitě, zadat silné heslo pro přístup k privátnímu klíči, zaškrtnout Platnost klíče nekončí.

Zobrazit obrázek ve větším rozlišeníEnigmail-10.png

4. Přepnout na záložku Rozšířené a ujistit se, že je nastavena velikost klíče na 4096 a typ klíče RSA a kliknout na tlačítko Vytvořit.

Zobrazit obrázek ve větším rozlišeníEnigmail-11.png

5. Potvrdit, že klíč má být opravdu vytvořen.

Zobrazit obrázek ve větším rozlišeníEnigmail-12.png


6. Počkat, než bude klíč vytvořen

Zobrazit obrázek ve větším rozlišeníEnigmail-13.png

7. Vytvořit revokační certifikát (pro odvolání platnosti) kliknutím na Generování certifikátu

Zobrazit obrázek ve větším rozlišeníEnigmail-14.png


8. Vybrat místo k uložení revokačního certifikátu.

Zobrazit obrázek ve větším rozlišeníEnigmail-15.png

9. Autentizovat (potvrdit) požadavek na vytvoření revokačního certifikátu zadáním dříve zvoleného hesla.

Zobrazit obrázek ve větším rozlišeníEnigmail-16.png


10. Odkliknout potvrzení o vytvoření revokačního certifikátu

Zobrazit obrázek ve větším rozlišeníEnigmail-17.png

11. Nyní je vidět přidaný klíč (tučné písmo znamená, že je k dispozici privátní klíč)

Zobrazit obrázek ve větším rozlišeníEnigmail-18.png

12. Dále je potřeba veřejný klíč dát k dispozici ostatním - k tomu se běžně používá keyserver. Kliknout v menu Keyserver na Odeslat veřejné klíče.

Zobrazit obrázek ve větším rozlišeníEnigmail-38.png

13. Ponechat přednastavený keyserver a potvrdit odeslání tlačítkem OK.

Zobrazit obrázek ve větším rozlišeníEnigmail-39.png

14. Odesílání chvíli potrvá ...

Zobrazit obrázek ve větším rozlišeníEnigmail-40.png

Vlastník PGP klíče nyní může podepisovat odesílané zprávy a také přijímat zašifrované zprávy (příslušný veřejný klíč je publikován na keyserveru).

Ověřování veřených klíčů

PGP neobsahuje žádné centrální prvky jako PKI, proto ověření veřejných klíčů ostatních účastníků je na nich samých.

Pokud přijde podepsaná zpráva a Enigmail daný veřejný klíč nemá k dispozici (setkává se s ním poprvé), je zobrazen žlutý pruh sdělující, že podpis nebylo možné ověřit. Uživatel musí nejprve veřejný klíč importovat tlačítkem Import:

Zobrazit obrázek ve větším rozlišeníEnigmail-07.png

Enigmail nabídne stažení z keyserveru - ponechat přednastavený a kliknout na OK

Zobrazit obrázek ve větším rozlišeníEnigmail-19.png

Pokud se daný klíč na keyserveru nachází, následuje informace o úspěšném importu jednoho klíče:

Zobrazit obrázek ve větším rozlišeníEnigmail-20.png


Nyní již Enigmail umí ověřit správnost podpisu, ale i když má veřejný klíč k dispozici, neví nic o jeho důvěryhodnosti. Proto je zobrazen tyrkysový pruh informující o správném nedůvěryhodném podpisu.

Zobrazit obrázek ve větším rozlišeníEnigmail-21.png


PGP je typicky používáno k osobní komunikaci, proto by se nyní měl adresát zprávy setkat s odesílatelem (nebo jej kontaktovat jiným vhodným způsobem) a ověřit si, jaký PGP klíč s jakým ID a jakým otiskem (fingerprintem) používá. Standardním krokem po ověření je podepsat svým PGP klíčem PGP klíč odesílatele:

1. V dialogu, který se otevře po volbě Správa klíčů v menu OpenPGP, je potřeba kliknout pravým tlačítkem na importovaný klíč a v kontextovém menu vybrat Podepsat klíč

Zobrazit obrázek ve větším rozlišeníEnigmail-23.png

2. Nyní je nutné pečlivě zkontrolovat zda souhlasí poskytnuté ID klíče a jeho otisk. Dále pak nastavit "jak moc" bylo vlastnictví uvedené osoby ověřeno a kliknout na OK.

Zobrazit obrázek ve větším rozlišeníEnigmail-27.png

Podpisy a způsob ověření identity vlastníka PGP klíče jsou pak používány při vyhodnocování důvěry ostatními uživateli PGP, kteří sice daného vlastníka ani jeho PGP klíč neznají, ale zato už znají osoby, které jeho PGP klíč podepsaly. Ověřování a podepisování PGP klíčů nahrazuje centrální autoritu PKI (root CA). Po podpisu cizího veřejného klíče je potřeba jej opět zaslat na keyserver (stejný postup jako u svého vlastního veřejného klíče).

Podpis, který bylo možno ověřit a je důvěryhodný, Enigmail indikuje zeleným pruhem:

Zobrazit obrázek ve větším rozlišeníEnigmail-29.png

Každou další zprávu, podepsanou již ověřeným PGP klíčem, bude možno důvěryhodně ověřit automaticky.

Podepisování a šifrování zpráv

Při vytváření nové zprávy přidal enigmail menu, kde lze zaškrtnou, zda má být zpráva podepsána (ikonka tužky) a/nebo šifrována (ikonka visacího zámku). Také můžete připojit vlastní veřejný klíč rovnou ke zprávě (pro případ, že nechcete klíč předávat přes keyserver, což chvíli může trvat).

Zobrazit obrázek ve větším rozlišeníEnigmail-30.png

Poznámka: Pro zašifrování zprávy musít Enigmail znát veřejné PGP klíče všech adresátů - pokud nějaký není k dispozici, je třeba jen neprve získat.


Takto vypadá doručená zašifrovaná zpráva (zde si můžete všimnout, že je adresát paranoidní a má nastaveno zadávání hesla k privátními klíči PGP při každém použití)

Zobrazit obrázek ve větším rozlišeníEnigmail-35.png

Po dešifrování je vidět původní obsah (zde si můžete všimnout, že adresát ještě nemá veřejný klíč odesílatele):

Zobrazit obrázek ve větším rozlišeníEnigmail-36.png

Speciality

Popis zajímavých možností, které pro běžné používání nejsou potřeba, ale hodí se.

Používání stejného PGP klíče pro více e-mailových adres

Pokud někdo využívá více e-mailových adres a chce používat svůj PGP klíč pro všechny, musí si přidat další identitu (identity). Například Civenka chce kromě adresy civenka@civ.zcu.cz používat také civenka@civenka.cz:

1. V kontextovém menu u daného klíče kliknout na Vlastnosti klíče.

Zobrazit obrázek ve větším rozlišeníEnigmail-50.png

2. Kliknout na Vyberte akci a Spravovat ID uživatele.

Zobrazit obrázek ve větším rozlišeníEnigmail-52.png

3. Nyní je vidět pouze jediná identita Anna Nováková (Civenka) civenka@civ.zcu.cz. Kliknout na Přidat

Zobrazit obrázek ve větším rozlišeníEnigmail-53.png

4. Vyplnit nové údaje a kliknout na OK.

Zobrazit obrázek ve větším rozlišeníEnigmail-54.png

5. Nová identita ja nastavena jako hlavní (první v seznamu) a je zobrazována pro daný klíč. Pokud je potřeba změnit hlavní identitu, stačí označit identitu a kliknout na Nastavit hlavní

Zobrazit obrázek ve větším rozlišeníEnigmail-56.png

6. Celkový výsledek.

Zobrazit obrázek ve větším rozlišeníEnigmail-58.png

Přenos PGP klíčů mezi více zařízeními

Pokud chcete PGP používat na více zařízeních současně nebo měníte používaný hardware, je potřeba PGP klíče přenést. K tomu slouží funkce exportovat klíče do souboru a importovat klíče ze souboru. Při přenosu ze zařízení A na zařízení B je postup následující:


1. Na zařízení A ve správci klíčů označit všechny klíče určení k exportu (funguje např. Ctrl+A k označení všech), kliknout na Soubor a volbu Exportovat klíče do souboru.

Zobrazit obrázek ve větším rozlišeníEnigmail-65.png

2. Zvolit Exportovat soukromé klíče, čímž se do exportu dostanou jak soukromé, tak i veřejné klíče.

Zobrazit obrázek ve větším rozlišeníEnigmail-61.png

3. Vybrat umístění souboru

Zobrazit obrázek ve větším rozlišeníEnigmail-66.png

4. Přenést soubor na zařízení B a ve správci klíčů kliknout na Soubor a volbu Importovat klíče ze souboru (na obrázku je i vidět, že seznam klíčů je nyní prázdný).

Zobrazit obrázek ve větším rozlišeníEnigmail-64.png

5. Vybrat soubor s exportovanými klíči.

Zobrazit obrázek ve větším rozlišeníEnigmail-67.png

6. Na zařízení B jsou nyní stejné klíče jako na zařízení A.

Zobrazit obrázek ve větším rozlišeníEnigmail-68.png

Poznámky:

  • Důležité je přenést privátní klíč, což stačí udělat jednorázově.
  • Veřejné klíče podepsané vlastním privátním klíčem lze na všech zařízeních stahovat také z keyserverů.

Používání flashdisku pro uložení klíčů

Pokud je potřeba používat PGP na více počítačích současně, např. pracovní stanice a notebook, je nepraktické uchovávat veřejné i privátní klíče na několika místech současně. Nehledě na nutnost zabezpečit citlivé údaje na všech počítačích.

Upozornění: Následující postup je komplikovanější a neměl by se do něj pouštět žádný začátečník.

Cílem je nastavit programový balík GnuPG nebo gpg4win, aby vždy hledalo na flashdisku místo ve standardním c:\gnupg nebo ~/.gnupg. Následující příklady předpokládají, že obsah zmíňených adresářů byl přesunut na flashdisk do adresáře gnupg.

MS Windows (GnuPG)

  • Vytvořit v registrech klíč
HKEY_CURRENT_USER\Software\GNU\GnuPG
  • Do vytvořeného klíče zadat položku HomeDir, která specifikuje adresář obsahující informace o klíčích (zde např. f:/gnupg). Mlčky předpokládejme, že MS Windows flashdisku přiřadí vždy stejné písmeno (obvykle tomu tak je).

MS Windows (gpg4win)

  • Nastavit systémovou proměnnou GNUPG
GNUPGHOME=f:\gnupg

Linux

  • Vytvořit symbolický link (pro systém, který připojí flashdisk jako /media/usb0).
ln -s /media/usb0/gnupg ~/.gnupg


Správnou funkčnost lze ověřit příkazem

gpg --version

...
Home: f:/gnupg
...

Po provední těchto kroků už stačí pouze přijít ke správně nakonfigurovanému počítači, připojit flashdisk a používat PGP. Pokud není připojen, PGP nebude schopno pracovat.

Odkazy