Zvědavec

Počítače, rady, zlepšení

Jak na to: PGP

Vladimír Stwora( více o autorovi > )

20.4.2003

---

A nejde jen o boj s terorismem, který údajně naše vlády vedou. Nám jde o mnohem více: o prosté zachování našeho soukromí. Pamatujme, že odeslat nezakódovaný e-mail je totéž jako odeslat text na pohlednici. Do běžného e-mailu bychom tedy nikdy neměli psát nic, co nemůžeme napsat na pohlednici. Připravil jsem pro vás kuchařku, jak zacházet s programem PGP, který při správném použití umožní téměř neprůstřelné soukromí.

Historie PGP

V roce 1991 zveřejnil Philip Zimmermann metodu kryptografie, kterou nazval Pretty Good Privacy (zkratka PGP), jenž se stala téměř normou. Od prvního okamžiku bylo PGP volně šiřitelné v rámci GNU.

Následné tři roky vzdoroval kriminálnímu vyšetřování celních úřadů Spojených států, které se snažily dokázat, že Zimmermann zveřejněním algoritmu umožnil šíření PGP do celého světa a porušil tak vývozní předpisy USA.

Vyšetřování bylo později zastaveno a Zimmermann se stal celosvětově uznávanou autoritou v oboru kryptografie. Založil společnost PGP Inc., která byla v roce 1997 koupena firmou Network Associates Inc. V roce 2002 přešla divize PGP z NAI do nové firmy PGP Corporation.

Software PGP je ještě zdarma, ale je zřejmé, že se postupně utahují kohoutky. Nabízena je komerční verze za peníze a její zjednodušená varianta jako freeware. Stáhnout si ji můžete ze stránek PGP Com.

Jak pracuje PGP

PGP pracuje na principu dvou klíčů. Jeden klíč je veřejný. Lze jím zprávu zamknout (zašifrovat), ale už nikoliv odemknout (dešifrovat). Druhý klíč je soukromý (privátní). Lze jim zprávu odemknout (dešifrovat), ale nikoliv zamknout.

Veřejný klíč můžete volně šířit, posílat ho emailem, zveřejňovat na webové stránce, tisknout v novinách. Je to naprosto bezpečné. Neexistuje metoda, kterou by se dalo extrahovat z veřejného klíče vaše heslo. Jediné, k čemu lze tento klíč použít, je k zašifrování zprávy pro vás.

Soukromý klíč musíte hlídat jako oko v hlavě. Dokonce se doporučuje nemít jej vůbec na pevném disku a raději jej používat z floppy. Ten, kdo by se dostal k vašemu soukromému klíči, sice ještě stále potřebuje znát vaše heslo k dešifrování, jenže to heslo tvoří už jen nepatrnou část celého klíče. Při nejdelším zvoleném klíči 4096 bitů je celý klíč dlouhý 256 znaků. Předpokládejme, že vaše heslo je osm znaků dlouhé. Zloděj soukromého klíče bude znát 248 znaků, tedy 97 procent celého hesla. Zbývalo by mu uhádnout ta zbývající tři procenta a to je pro moderní počítač práce na několik minut.

V závěru článku doporučím úschovu soukromého klíče pro paranoiky.

Instalace PGP verze 7.0.3

Tato verze je ke stažení zde ve Zvědavci. Nejde o poslední verzi.

Při první instalaci zřejmě ještě nemáte vytvořenou dvojici klíčů (veřejný a soukromý), zde tedy odpovídáte No, I am a new user (Ne, jsem zde nový). Při opakované instalaci už budete zřejmě odpovídat Yes, I already have keyrings (Ano, dvojici klíčů už mám). Obrázek 1.

V tomto okně volíte komponenty pro instalaci. Nezapomeňte zde odkliknout PGPnet Personal Firewall (Obrázek 2). Jinak hrozí nebezpečí, že nebudete schopni přihlásit se po instalaci PGP k Internetu. Toto políčko je nešťastně předvoleno automaticky. Mám známého, který - ač počítačový odborník s třicetiletou praxí - se znechuceně vzdal použití PGP jen proto, že po instalaci (při které ponechal volbu PGPnet Personal Firewall) nebyl schopen připojit se k Internetu. :-)

Následuje generování dvojice klíčů Key Generation Wizard. Doporučuji v tomto okamžiku kliknout na políčko Expert i když jste zde poprvé a za experty se nepovažujete (Obrázek 3). Při volbě Expert totiž máte možnost zvolit si délku svého klíče. Platí zde pravidlo čím delší, tím lepší. Maximální délka klíče je 4096 bitů, neboli 256 znaků. Pokud byste pokračovali volbou Next, program sám zvolí délku klíče 1024 bitů, tedy 64 znaků.

Zadáte parametry, které budou zakomponovány do vašeho klíče spolu s heslem a dalšími údaji. A zde také máte možnost ovlivnit délku klíče. Doporučuji maximum - 4096 bitů. Key Type můžete ponechat. Můžete zde také nastavit datum, po kterém váš klíč automaticky přestane fungovat. Obrázek 4.

Klíčový moment. Zadejte passphrase, neboli heslo. Zde rozhodujete, jak těžké nebo jak lehké bude pro případného zloděje uhádnout vaše heslo. Nepožívejte existující slova! Při prolamování hesla hrubou silou je to první a nejrychlejší metoda odhalení. Existují počítačové programy, které bleskovou rychlostí vyzkoušejí všechna slova ze slovníku pro kontrolu gramatiky. Nespoléhejte na to, že píšete česky či slovensky nebo nějakým méně běžným jazykem. Když už si dáváte práci se šifrováním emailů, udělejte to aspoň pořádně. Obrázek 5.

Doporučuji následující postup: Vzpomeňte si na úryvek textu, který znáte zpaměti. Může to být báseň nebo písnička. Řekněme, že se rozhodneme pro známou písničku

Skákal pes přes oves
přes zelenou louku.
Šel za ním myslivec
péro na klobouku

Vezměte první písmeno z každého slova, přičemž dodržujte malá a velká písmena i diakritická znaménka: SppopzlŠznmpnk

Proložte tento řetězec náhodně čísly, která si pamatujete. Nepoužívejte vaše data narození, telefonní číslo ani žádný jiný číselný údaj běžně k dispozici. Řekněme, že zvolíte svoji váhu 87 kg a výšku 180 cm. Kam tato čísla vložíte, je jedno, důležité je, abyste si to pamatovali. Řekněme, že všechna vložíte za první písmeno. Vznikne nám heslo S87180ppopzlŠznmpnk, které dá případnému útočníkovi zabrat. Chcete-li mít zvlášť nerozbitelné heslo, můžete jej ještě okořenit proložením zvláštních znaků jako #$%^& apod. Heslo si nikam nepište!

Jiná možnost výroby hesla je generátor hesel. Zvědavec vám heslo složené z náhodných znaků vygeneruje. Budete si jej ale muset zapamatovat.

Při zapisování hesla doporučuji odkliknout políčko Hide Typing (pochopitelně jen tehdy, nestojí-li vám někdo za zády). Budete mít alespoň optickou kontrolu toho, co píšete.

Po instalaci

Po instalaci PGP a restartu systému se vám v oblasti System Tray objeví ikonka visacího zámku (obrázek 6). Kliknutím na tuto ikonku se vám otevře další okno, kde můžete zvolit, co chcete dále dělat.

Ale ještě než si ukážeme postup jak šifrovat emaily, doporučuji poslat svůj čerstvě vyrobený klíč na server PGP. Tam bude k dispozici každému, kdo by vám chtěl poslat email. Zvýrazněte svůj klíč, klikněte na Send To a vyberte Domain server. Můžete proces opakovat a poslat svůj veřejný klíč i na keyserver.pgp.com a další servery v nabídce. Buďte klidní, posílá se pouze veřejný klíč. Program nikdy nikam nepošle soukromý klíč. (Obrázek 7)

Rovněž musíte poslat svůj veřejný klíč přátelům, aby vám mohli psát šifrované emaily. Dělá se to několika způsoby, můžete použít Cut and Paste, neboli přenos přes schránku, ale nejjednodušší asi je prosté přetažení z okna do okna. Otevřete si nový email, otevřete si okno klíčů, položte kurzor na svůj klíč, stiskněte levý knoflík, držte jej a táhněte svůj klíč do okna emailu. Uvolněte stisk knoflíku myši. (Obrázek 8)

Opět upozorňuji, že ačkoliv jste vlastně táhli svazek obou klíčů (soukromého i veřejného), program přenese jen veřejný klíč. Nemusíte se bát, že byste omylem někomu poslali svůj soukromý klíč.

Abyste vy sami mohli psát vašim přátelům, musí vám i oni nejprve poslat jejich veřejný klíč.

Šifrování

Pomocí PGP lze šifrovat buď obsah právě napsaného emailu (např. v Outlooku), nebo jakýkoliv soubor dříve napsaný a uložený (např. WORDem nebo NOTEPADem). Záleží na tom, jaký způsob vám bude více vyhovovat.

Šifrování dříve vytvořeného dokumentu

Šifrování dříve napsaného dopisu je jedoduché. PGP vytvoří ze souboru jeho zašifrovanou kopii a uloží ji jako samostatný soubor s koncovkou .pgp. Chceme-li například zašifrovat soubor TbRun9.doc, klikneme na něj pravým knoflíkem myši. V otevřeném podokně vybereme PGP a Encrypt and Sign. (Obrázek 9) Můžeme rovněž zvolit pouze Encrypt. V prvním případě bude dokument nejen zašifrován, ale také digitálně podepsán (budeme v následujícím oknu požádáni o své heslo), což zabrání tomu, aby jej někdo cestou k adresátovi změnil.

Otevře se nám okno klíčů. Z horního seznamu všech klíčů vybereme ten, podle kterého chceme dokument zašifrovat. Můžeme vybrat více adresátů. Doporučuji mimo adresáta přidat i sebe sama - svůj vlastní klíč. To nám umožní, abychom jednou zašifrovaný dokument byli později schopni přečíst i my. Nevybereme-li sebe sama, bude dokument čitelný pouze adresátem. Obrázek 10.

Do emailu pak jako přílohu (attachement) připojíte nově vytvořený soubor s koncovkou .pgp.

Šifrování emailu

Je rovněž velmi jednoduché. Existuje několik postupů, ale ukážeme si ten, který je podle mne nejjednodušší. Po instalaci PGP se ve vašem emailovém programu Outlook objevily tři nové ikonky - obrázek 11. Zakliknutím příslušné ikonky nastavíme buď jen šifrování nebo digitální podpis, popřípadě obojí. Podívejte se na obrázek číslo 12. Mám napsanou tajnou zprávu pro bin Ladena. Prozrazuji mu naši národní písničku Šla Nanynka do zelí. Zaklikl jsem šifrování i digitální podpis a klikl jsem na Odeslat. Otevře se okno s výběrem mých veřejných klíčů. Tak jako v předchozím případě přetáhnu do spodního okna klíče (může jich být více), podle kterých chci e-mail zašifrovat. Opět doporučuji přidat i své jméno, jinak zprávu už nikdy sám nepřečtu. V dalším kroku si program vyžádá mé heslo. Tento dialog se objeví jen v případě, že zprávu rovněž digitálně podepisuji.

Po vyplnění se mi původní obsah okna zakódoval a odeslal. Viz obrázek 14.

Ikonky, o kterých je řeč v předchozím odstavci, se objeví pouze v programech Outlook a Outlook Express. Co dělat, jestliže používám jiný emailový program? Buď e-mail napíši jako samostatný dokument, zakóduji zvlášť a odešlu formou přílohy, jak bylo popsáno výše, anebo obsah napsané zprávy přenesu do schránky (cut and paste), schránku zašifruji a obsah zašifrované schránky přenesu zpátky do okna emailu. Pro šifrování obsahu schránky používám funkci Clipboard programu PGP (pravým knoflíkem myši na ikonku visacího zámku, vybrat Clipboard, dále Encrypt, popř. Encrypt and Sign.)

Součástí každé zašifrované zprávy je automaticky také veřejný klíč odesílatele. Chcete-li tento klíč přidat ke svému svazku veřejných klíčů (nemáte-li jej dosud) můžete použít funkci schránky. Přeneste do schránky celou zprávu (Ctrl-A a Ctrl-C), pak si otevřete okno s klíčí (obr 17), klikněte kdekoliv na plochu okna a stiskněte Ctrl-V. Program už ví, kde je ve zprávě uložen veřejný klíč odesílatele, extrahuje jej a přidá k vašemu svazku.

Dešifrování

V předchozím odstavci jsem odeslal bin Ladenovi tajnou zprávu (obrázek 14). Jak bude bin Laden postupovat? Klikne na ikonku Decrypt - viz obrázek 15.

Program si vyžádá jeho heslo a nečitelný obsah okna se promění v původní text (obrázek 16).

U jiných emailových programů, které nemají ikonku decrypt, lze opět použít schránku (cut and paste). Přenesu celý obsah příchozí zprávy do schránky (CTRL-A následované CTRL-C), kliknu pravým knoflíkem myši na ikonku visacího zámku, zvolím Clipboard a Decrypt and Verify.

Dešifrování samostatného souboru, který přišel formou přílohy, je ještě jednodušší. Soubor někam uložím a následně na něj dvakrát kliknu.

Jak ukrýt soukromý klíč

Toto je návod pro paranoiky. Osobně to nedělám, nicméně poradím vám, jak ukrýt soukromý klíč před zneužitím.

Svůj soukromý klíč najdete ve složce My Documents. Jmenuje se secring.skr. Tento soubor je nutno chránit. Podle mého názoru je pro jeho nejvyšší utajení dobré použít steganografii (viz článek Steganografie - způsob komunikace zítřka zde ve Zvědavci). Digitální obrázek nebo MP3 soubor s ukrytým klíčem bych zařadil někam mezi další obrázky nebo nahrávky. Máte-li jich hodně, je šance, že by někdo klíč objevil, velmi malá.

Nezapomeňte, v případě, že budete tento soubor někam kopírovat, ať už na disketu nebo do obrázku, vymazat jej s přepisem. Obyčejné vymazání nestačí! Vymazání s přepisem vyvoláte kliknutím na ikonku PGP, zvolíte PGPTools (nástroje) a zde funkci WIPE. Je to předposlední ikonka.

Budete-li někdy v budoucnu chtít poslat mi důvěrnou zprávu, zde je můj veřejný klíč. Stačí jej uložit někam na disk a dvakrát na něj kliknout. PGP jej automaticky zařadí do svazku vašich veřejných klíčů.