Šifrování emailu se používá tam, kde není žádoucí, aby vaše zpráva byla čitelná komukoli. Pokud pošlete nezašifrovaný email, je cestou k adresátovizabezpečen asi jako pohlednice u České pošty, možná ještě méně. Váš email si totiž mezi sebou posilaji poštovní servery jako plain text a kdokoli, kdo má zájem a možnost,může "poslouchat" třeba na portu TCP 25 (SMTP), co píšete. Jak vypada taková komunikace přes SMTP protokol se můžete podívat třeba ve článku o SMTP.
K šifrování se nejčastěji používá program GnuPG (GPG = Gnu Private Guard), což je Open software, který může být šířen zdarma pod licencíGnu GPL. V současnostije to nejprogresivněji rozvíjející se šifrovací nekomerční systém, podporuje ho grantově třeba SRN a jiné významné instituce.
Šifrování je založeno na tom, že uživatel A si vytvoří 2 klíče, veřejný a tajný. Svůj veřejný zveřejní na své webové stránce nebo pošle známému B. Sám získá veřejný klíč známého B.Když bude chtít uživatel A poslat známému B šifrovanou zprávu, zašifruje ji pomocí veřejného klíče uživatele B. Takto kódovaná zpráva bude rozluštitelná pouze pro vlastníka tajného klíče B, uživatele B.Internetem bude šifrovaná zpráva přenášena jako změť znaků, která může dát smysl pouze po dešifrování.
Pokud uživatel A bude chtít poslat email osobě C, která však nepoužívá šifrování, může svou zprávu podepsat. Ke správě bude připojen krátký identifikační dovětek, pomocí kterého si může osoba C ověřit,že odesílatelem byla osoba A. Podepisoval lze samozřejmě i šifrovanou zprávu.
Existují specializované servery, které shromažďují veřejné klíče. Na takovém serveru si můžete zkusit najít klíče kohokoli nebo deponovat svůj vlastní. Klíče a jejich autenticitu můžete takéověřovat (viz manuál GnuPG) a existují pravidla, podle kterých lze posílat hromadnou šifrovanou poštu na základě dědičnosti důvěry v klíč. Jestliže důvěřuji klíči od uživatele A i B a zároveň A i B důvěřují klíči od C, klíč Cse pro mne může stát také důvěryhodným a podobně.
Bezpečné zacházení s klíčem zálezí na uživateli. Klíč samotný může být vytvořen platný pouze dočasně (do června 2004, kdy dokončím školu, "zahraniční" klíč na dobu stáže,...) nebo trvale, lze vytvářet odvolacícertifikáty a jiné vymoženosti.
Jednou z nejdůležitějších věcí je uložení klíčenky. Uživatelé Unixu/Linuxu nemají problém (existují přístupová práva :). Pokud navíc máte zřízený účet u nějaké důvěryhodné instituce (PřF UK, AV ČR,...), jejich poštovní servery běží na Unixu/Linuxu a všeje vlastně bezpečné samo od sebe. Pod Windows nižších než XP či Server 2003 je potřeba pečlivě hlídat, kam byla klíčenka uložena a správně vyplnit položky v registrech při instalaci, aby vám někdo tajný klíč nekompromitoval :)
Lze šifrovat také freemaily (Email.cz, Atlas.cz, Seznam.cz) přes poštovního klienta Mozilly, nicméně člověk si zakládá freemail už s tím, že garantovaná bezpečnost je nulová. Je tedy vhodnější zprovoznit šifrování na nějakém hodnotném účtu, třebaškolním nebo pracovním.
Práce v realitě každodenní pošty vypadá tak, že pokud chcete někomu poslat šifrovaný mail, pouze zatrhnete kolonku šifrovat. Pokud chcete také email podepsat, zatrhnete podepsat. Lze posílat i šifrované přílohy (*.doc,...). Obyčejné emailyvám budou chodit dál, obyčejné emaily také budete moci dále odesílat. Šifrované emaily se vám budou samy dešifrovat, jenom vám oznámí, že se tak stalo.Prostě nuda všedního mailování.
Pokud jste se rozhodli to zkusit, stáhněte si poslední verzi GnuPG na GnuPG homepage, verzi pro svůj Unix/Linux nebo M$ Windows. GnuPG je standardní součástí většiny Unixů/Linuxů, existuje i varianta pro M$ Windows na www.nullify.org, nicméně originální distribuce je lepší.
Pod Linuxem je instalace tak snadná a kvalitně popsaná, že není, co řešit. Já preferuji pine, ale zkoušel jsem to úspěšně i v Mozille pod KDE.
Pod Windows rozbalte zazipovaný balík do nějakého vhodného adresáře, třeba c:\Program Files\GnuPG\.Odtud se bude volat vlastní program gpg.exe.Pokud jste jediným uživatelem stroje a máte jej dostatečně zabezpečený, vytvořte adresář c:\gnupg\ a v adresáři c:\Program Files\GnuPG\spusťte gpg. Tím se vám vytvoří klíčenka - keyring.Následně spusťte gpg --gen-key pro vygenerování klíčů, podrobný postup jsem popsal v GnuPG how to....Pokud pracujete na víceuživatelské stanici, budete muset editovat svatá místa Windows - registry. Je potřeba nastavit správné cesty k vaší klíčence v registru HKEY_CURRENT_USER -> Software -> GNU -> GnuPG. Nejsem pánem žádného Windows XP stroje, ale mělo by to fungovat.
Na netu jsem našel něco pro anglická/německá Windows XP, přepsat pro česká by neměl být problém. Napřed si přečtěte návod, vytvořte a nakopírujte, co je třeba. Uživatelský gpg.conf jsemuž přepsal pro české poměry (ISO-8859-2 a český key-server). Potom zkuste spustit gpg.ref, který vám nastaví registry. Ješte je k tomu soubor gpg-readme.txt a dávkovýsoubor gpg-install.cmd, který by asi nejspíš měl udělat všechno sám (rozbalit zip -> nastavit klienta), ale nevypadá na to.
Teď je ten správný čas si prostudovat manuál ke GnuPG nebo přečíst můj krátký výtah v GnuPG how to.... Postahujte a importujte si klíče osob, se kterými chcetekomunikovat šifrovaně, verifikujte je a zveřejněte svůj veřejný klíč.
Úplně nejjednodušší integrace do poštovního klienta je integrace do pine, popsal jsem v PinePGP how to.... Zatím jsou ale nějaké problémy s kompilací pod Unixem PřF, tak mi raději napište mail. !Už jsou vyřešeny!
Pod Windows je nejlepší volbou Mozilla, což je internetový prohlížeč, poštovní klient, news klient... Pokud byste ji chtěli srovnávattřeba s M$ IE 6.0, tak na tuto prehistorickou vykopávku rychle zapomeňte a nainstalujte si Mozillu. Pokud se ale opravdu nechcete zříci IE, můžete si nainstalovat menšího sourozence Mozilly -Mozilla Thunderbird, což je specialista na emailování. Co se týká M$ Outlooku, nemám tento program rád, nicméně lze jej použít k šifrování, ale plugin je za peníze $;-)
Enigmail je plugin - nadstavba nad poštovního klienta Mozilly či Thunderbirda, který se místo vás stará (skoro)o všechno kolem šifrování pošty. Existuje i počeštěná verze Enigmail CZ, který se perfektně hodí k lokalizované Mozille.Na české stránce Enigmailu je i návod na velmi jednoduchou instalaci. Důležité - vybrat správnou verzi a lokalizaci, v Mozille povolit update software.
Pokud vám něco nebylo jasné nebo se chcete zeptat na něco, co bych mohl vědět, napiště mi mail na kuda(et)natur(dot)cuni(dot)cz. Pro spammery: chrání mě SpamAssassin ;-)
Používání GnuPG šifrování je poměrně jednoduchou záležitostí, po počátečním nastavení a instalaci naprosto nenáročné. Sám se sebou jsem si uspořádalšifrovanou konferenci, kde jsem mnoho výšeuvedených věcí odzkoušel, nicméně určitě jsem něco přehlédl. Když tak mi napište email.
The GnuPG web site
The GNU Privacy Handbook
Homepage Mozilla CZ
Enigmail CZ