Miewasz czasem myśli, ze jesteś ciągle obserwowany? Twoje rozmowy są podsłuchiwane? Każdy Twój ruch w sieci jest monitorowany? Chciałbyś komuś wysłać swój tajny przepis na ciasto, ale boisz się że wszyscy się o tym dowiedzą?
Jeśli na większość powyższych pytań odpowiedź brzmi: TAK, to świetnie, że tu jesteś. Poniżej znajdziesz przepis na to jak zabezpieczyć swoją pocztę.
Pewnie nie jest, aż tak strasznie, prawda?……prawda?
Korzystanie z szyfrowania poczty ma wiele zalet, ale wszystko zależy od naszej świadomości (niektórzy mówią na to paranoja) cybernetycznej i tego jak bezpiecznie się czujemy w sieci.
Scenariuszy ujawnienia prywatnych danych może być wiele: hakerzy, dostawca usług internetowych, może ktoś z bliskich?
I tak, dotyczy to nas wszystkich.
Jestem zdania, że bez względu na wszystko, zabezpieczanie naszych prywatnych informacji jest dobrą praktyką. Dla każdego z nas, prywatność znaczy co innego. Jedni będą chcieli ochronić zdjęcia z wakacji, inni swoją własność intelektualną, czy tajemnice handlowe. Możliwości jest mnóstwo, cel w sumie jeden: ochrona informacji. Tylko w ten sposób będziemy mogli spać spokojnie w nocy.
Dziś zajmiemy się PGP czyli Pretty Good Privacy, a dokładniej otwartą wersją GnuPG bazującą na międzynarodowym standardzie OpenPGP (RFC 2440).
Czym jest GnuPG?
GnuPG to otwarte oprogramowanie tzw. OpenSource, co oznacza to, że każda osoba ma prawo do korzystania z tego oprogramowania do użytku prywatnego lub komercyjnego – a więc za darmo oraz co ważniejsze każdy może zbadać kod źródłowy – jeśli posiada wymaganą wiedzę techniczną. My tego robić nie musimy. Eksperci ds. bezpieczeństwa na całym świecie postrzegają obecnie GnuPG jako praktyczne i bezpieczne oprogramowanie wykorzystująca technologię „silnego szyfrowania”. „Silne” w tym sensie oznacza, że nie można go złamać za pomocą znanych narzędzi. Do niedawna silne metody szyfrowania były zarezerwowane dla kręgów wojskowych i rządowych w wielu krajach, więc wygląda to dobrze.
Szyfrowanie działa na zasadzie kryptografii asymetrycznej, co oznacza, że do działania potrzebne są dwa klucze: klucz prywatny i klucz publiczny.
Klucz publiczny jest udostępniany stronom trzecim i widoczny dla wszystkich, natomiast klucz prywatny jest tajny i powinien być przechowywany w bezpiecznym miejscu.
Temat kryptografii i jej działania zostawmy sobie na kolejny artykuł, teraz zajmijmy się praktycznym zabezpieczeniem naszej komunikacji mailowej.
Instalacja Gpg4win:
Scenariusz, obejmie instalację oprogramowania Gpg4win na systemie operacyjnym od Microsoft Windows oraz integrację z klientem Outlook (ale to oczywiście nie są jedyne możliwości)
Gpg4win to pakiet oprogramowania dla systemów Windows, który zawiera wszystko co potrzeba do wejścia w świat bezpieczeństwa poczty elektronicznej.
Oto niektóre z głównych składników pakietu Gpg4wi::
- GnuPG: Najważniejszy komponent o którym pisałem nieco wyżej
- Kleopatra: System do zarządzania certyfikatami i kluczami dla OpenPGP oraz X.509 (S/MIME)
- GpgOL: Plugin dla Microsoft Outlook 2003 i 2007 (szyfrowanie e-maili).
Jest tam kilka innych komponentów, ale te powyższe są kluczowe dla naszego celu.
1. Pobierz plik instalacyjny Gpg4win i go zainstaluj
Pamietaj, upewnij się, że pobierasz plik z zaufanej strony: www.gpg4win.org
Unikaj ściągania oprogramowania z nieznanych źródeł, torrentów itp. W końcu chodzi o Twoją prywatność!
2. Next… wybór komponentów
Tu wybieramy Kleopatra i GpgOL i instalujemy wybrane komponenty
Kleopatra zapewni nam zarządzanie kluczami, a GpgOL pozwoli na integracje z klientem Outlook.
Proces instalacji trwa dosyć krótko, a zaraz po nim dostaniemy informację o zakończeniu.
Klikamy Finish, aby uruchomić Kleopatrę.
3. Uruchamiamy Kleopatrę:
Teraz będziemy tworzyć naszą parę kluczy OpenPGP, ale istnieje tez alternatywa S/MIME.
Warto wiedzieć, że istnieją dwa powszechnie stosowane standardy szyfrowania poczty elektronicznej.
- OpenPGP/GnuPG jest popularny wśród użytkowników indywidualnych,
- S/MIME/X.509 jest najczęściej używany przez przedsiębiorstwa.
My zajmiemy sie tym pierwszym.
4. Tworzymy parę kluczy
Nie wdając się w szczegóły, ten etap pozwala na stworzenie dwóch kluczy:
- Klucz Prywatny – wymagany do odszyfrowywania i podpisywania wiadomości
- Klucz publiczny – wymagany do szyfrowania wiadomości skierowanych do nas jak i weryfikacji naszej tożsamości
A zatem, wpisujemy nazwę i adres email którego będziemy używali.
Zaznaczamy opcję „Protect the generated key with a passphrase”
Można też użyć opcji zaawansowanych w celu zmiany daty ważności certyfikatu (standardowo 3 lata), czy algorytmu szyfrowania (ECDASA). To opcje dla bardziej zaawansowanych, więc nie będę się na nich skupiał.
4. Passphrase
Ponieważ zaznaczyliśmy opcje passphrase, to wprowadzamy nasze tajne, powtarzam tajne hasło, którego nikomu nie zdradzamy. Skorzystaj z password managera do wygenerowania takiego hasła i tam go przechowuj.
Pytasz co to Password Manager? Zajrzyj do naszego artykułu:
5. Już prawie kończymy
Ok mamy to, już prawie kończymy. Nasza para kluczy została stworzona i zabezpieczona naszym tajnym hasłem.
Kleopatra będzie zarządzać naszymi kluczami, ale mamy jedną ważną rzecz do zrobienia.
Backup naszego klucza prywatnego – tego klucza nigdzie nikomu nie przesyłamy, to bardzo ważne. Najlepiej zapisać go na zaszyfrowanym kluczyku USB i gdzieś zakopać. Ewentualnie skorzystać z password managera i jego bezpiecznej, zaszyfrowanej partycji na tego typu sekrety.
Klikamy prawym przyciskiem myszki i wybieramy opcję „Backup Secret Key”
Export klucza publicznego – ten klucz możemy dzielić ze wszystkimi z którymi chcemy się bezpiecznie wymieniać informacjami.
Klikamy prawym przyciskiem myszki i wybieramy opcję „Export”
Każdy może i powinien mieć twój publiczny certyfikat, a Ty możesz i powinieneś mieć publiczne klucze osób z którymi chcesz wymieniać bezpieczne wiadomości e-mail.
To jest ten moment, w którym powinieneś również zadbać o bezpieczną wymianę kluczy publicznych. W przypadku komercyjnych rozwiązań dla przedsiębiorstw, z pomocą przychodzi strona trzecia, czyli Urząd Certyfikacji (CA), ale zazwyczaj wiąże się to z opłatami.
Ty możesz skorzystać z bezpiecznych kanałów komunikacji lub przekazać komuś klucz bezpośrednio.
Gdy już wymieniłeś się kluczami publicznymi z odpowiednimi osobami, czas wysłać zaszyfrowanego maila.
Szyfrowanie
Po zainstalowaniu wtyczki GpgOL, które wykonaliśmy w pierwszym kroku, w naszym kliencie poczty Outlook pojawi się opcja „Secure”
Mamy możliwość zaszyfrowania maila jak i jego cyfrowego podpisania.
Zaszyfrowanie zapewni nam poufność informacji, a podpisanie zarówno integralność, a więc pewność, że nikt tej wiadomości nie zmodyfikował, oraz niepodważalność, czyli pewność, że odbiorca na pewno ją dostał, a nadawca nadał.
Teraz już możesz bezpiecznie wysyłać wiadomości bez obawy, że ktoś odkryje Twoje sekrety.
Po otrzymaniu zaszyfrowanej i podpisanej wiadomości, wtyczka do Outlooka zajmie się wszystkim za Ciebie i wyświetli informacje o podpisie i szyfrowaniu.
A więc, nawet jeśli ktoś by przechwycił Twojego maila, jedyne co atakujący zobaczy, to szyfrogram.
Podsumowanie
Temat konfiguracji szyfrowania w tym artykule jest tylko wierzchołkiem góry lodowej.
Mamy znacznie szersze możliwości zastosowania Kleopatry i innych narzędzi, czy dostosowania zachowania samej wtyczki. Pokazany sposób jest tylko jednym z wielu, ale wg. mnie najwygodniejszym i najszybszym do wdrożenia bezpiecznej komunikacji do celów prywatnych.
Tego typu zabezpieczenia można konfigurować także dla innych klientów poczty, ale o tym możne już w innych artykule.
Mam nadzieję, ze materiał był pomocny. W razie pytań napisz do nas.
Daniel Wysocki
Daniel Wysocki to absolwent wydziału Inżynierii Mechanicznej i Robotyki na Akademii Górniczo-Hutniczej w Krakowie.
Jego kariera w branży IT trwa już dwie dekady, podczas których zdobył bogate doświadczenie i umiejętności.
Obecnie pełni funkcję Kierownika Działu Cyberbezpieczeństwa w firmie Advatech, lidera w dostarczaniu nowoczesnych rozwiązań technologicznych. Jako ekspert od cyberbezpieczeństwa, nieustannie poszukuje i wprowadza w życie najnowocześniejsze i najskuteczniejsze rozwiązania do ochrony danych i infrastruktury IT. Korzysta z innowacyjnych osiągnięć branży cyberbezpieczeństwa, aby zapewnić najwyższy poziom zabezpieczeń i odporności na ataki.