#1 Získejte vše potřebné

Tato příručka je založena na softwaru, který je poskytován pod svobodnou licencí, je naprosto transparentní a kdokoli jej může kopírovat nebo vytvořit svou vlastní verzi. Díky tomu je bezpečnější a před špehováním vás chrání lépe než proprietární software (jako například Windows nebo MacOS). O svobodném softwaru se můžete dozvědět více na stránce fsf.org.

Program GnuPG je již nainstalován ve většině operačních systémů GNU/Linux, takže jej není potřeba stahovat. Předtím, než si GnuPG nastavíte, musíte na svůj počítač nainstalovat emailový program IceDove. Ve většině distribucí GNU/Linux je již IceDove nainstalován, ačkoli může být pod alternativním názvem „Thunderbird“. Emailové programy představují jiný způsob, jak používat tytéž e-mailové účty, k nimž můžete přistupovat pomocí webového prohlížeče (např. Gmail), ale poskytují více funkcí.

Krok 1.A: Průvodce nastavením

Krok 1.aNastavte emailový program pro svůj emailový účet

Otevřete svůj e-mailový program a následujte průvodce, který jej nastavuje s vaším e-mailovým účtem. To obvykle začíná od "Nastavení účtu" → "Přidat emailový účet". Údaje pro nastavení byste měli získat z e-mailového serveru od správce systému nebo asistenční sekce vašeho emailového účtu.

Řešení problémů

Průvodce nastavením se nespustil
Průvodce můžete spustit sami, ale položka v nabídce se v každém emailovém programu jmenuje jinak. Tlačítko pro spuštění bude v hlavní nabídce programu pod položkou "Nový" nebo nějakou podobnou a bude se jmenovat „Přidat účet“, „Nový/existující emailový účet“ nebo nějak podobně.
Průvodce nastavením nemůže najít můj účet nebo nestahuje mé emaily
Než začnete hledat řešení na internetu, doporučujeme zeptat se na správné nastavení dalších lidí, kteří používají stejný emailový systém.
Nemohu najít nabídku
V mnoha emailových programech je hlavní nabídka skryta pod obrázkem tří vodorovných čar nad sebou.

Krok 1.b Nainstalujte GnuPG

Pokud používáte GNU/Linux, měli byste již mít GnuPG nainstalován a můžete jít rovnou na krok 1.b.

Pokud však používáte macOS nebo Windows, musíte nejprve nainstalovat GnuPG program. Vyberte operační systém níže a postupujte podle pokynů. Pro zbytek tohoto průvodce jsou kroky stejné pro všechny operační systémy.

macOS

Použijte správce balíčků třetí strany pro nainstalování GnuPG

Výchozí správce balíčků macOS ztěžuje instalaci GnuPG a dalších programů svobodného software (např. Emacs, GIMP nebo Inkscape). Pro usnadnění instalace, doporučujeme nastavit správce balíčků "Homebrew" pro instalaci GnuPG. K tomu použijeme program s názvem "Terminál", který je předinstalován na systému macOS.

# Zkopírujte první příkaz na domovské stránce Homebrew kliknutím na ikonu schránky a vložte ji do terminálu. Stiskněte "Enter" a počkejte na dokončení instalace.

# Poté nainstalujte GnuPG zadáním následujícího kódu v terminálu:
brew install gnupg gnupg2

Windows

Stáhněte si GPG4Win, abyste získali GnuPG

GPG4Win je softwarový balíček, který obsahuje GnuPG. Stáhněte jej a nainstalujte nejnovější verzi. Všude ponechejte výchozí nastavení. Po instalaci můžete zavřít všechna okna, která se otevřela.

Jaký je rozdíl mezi GnuPG a OpenPGP?

Obecně se pojmy GnuPG, GPG, GNU Privacy Guard, OpenGPG a PGP používají zaměnitelně. Z technického hlediska je OpenGPG (Pretty Good Privacy) šifrovací standard a GNU Privacy Guard (často se zkracuje na GPG nebo GnuPG) je program, který tento standard implementuje. Většina emailových programů poskytuje rozhraní pro GnuPG. Také existuje novější verze GnuPG zvaná GnuPG2.

#2 Vytvořte si klíče

Robot s hlavou ve tvaru klíče držící soukromý a veřejný klíč

K používání systému GnuPG budete potřebovat veřejný a soukromý klíč (společně se jim říká pár klíčů). Každý z nich je dlouhý řetězec náhodně vygenerovaných číslic a písmen a je jedinečný. Váš veřejný a soukromý klíč jsou spojeny speciální matematickou funkcí.

Váš veřejný klíč se liší od běžného fyzického klíče, protože je uložen ve veřejně přístupné online databázi zvané keyserver (server s klíči). Kdokoli si může tento váš klíč stáhnout a společně s GnuPG jej použít pro zašifrování emailů, které vám chtějí poslat. Keyserver si můžete představit jako telefonní seznam, ve kterém si lidé, kteří vám chtějí poslat šifrovaný email, najdou váš veřejný klíč.

Váš soukromý klíč je fyzickému klíči podobnější, protože jej máte u sebe (na svém počítači). Pomocí GnuPG a svého soukromého klíče rozšifrujete šifrované emaily, které vám ostatní pošlou. Svůj soukromý klíč nikdy nikomu neprozrazujte.

Kromě šifrování a dešifrování můžete tyto klíče také použít pro podepisování zpráv a kontrolu autenticity podpisů ostatních. Více o tomto tématu se dozvíte v další sekci.

Krok 2.A: Vytvořte si pár klíčů

Krok 2.A: Nastavte svou přístupovou frázi

Krok 2.a Vytvořte si pár klíčů

Vytvořte své klíče

Pomocí příkazového řádku v terminálu vytvoříme pár klíčů pomocí programu GnuPG.

Ať už pracujete v systému GNU/Linux, macOS nebo Windows, můžete spustit svůj terminál ("Terminál" v macOS, "PowerShell" ve Windows) z menu Aplikace (některé GNU/Linux systémy reagují na Ctrl + Alt + T zkratku).

# Vložte gpg --full-generate-key pro spuštění procesu.

# Pro odpověď k typu klíče, který chcete vytvořit, vyberte výchozí volbu: 1 RSA a RSA.

# Zadejte následující velikost klíče: 4096 pro silný klíč.

# Vyberte datum vypršení platnosti; doporučujeme 2y (2 roky).

Postupujte podle pokynů pro pokračování nastavení s vašich osobních údajů.

V závislosti na Vaší verzi GPG, budete muset použít --gen-key místo --full-generate-key.

Další možnosti můžete nastavit spuštěním gpg --edit-key [your@email] v terminálním okně.

Nastavte svou přístupovou frázi

Na stránce s názvem „Přístupová fráze“ si zvolte silné heslo! Můžete zadat heslo ručně, nebo můžete použít metodu Diceware. Ruční zadání je rychlé, ale není tak bezpečné. Použití metody Diceware trvá déle a vyžaduje hrací kostku, ale pro případné útočníky je mnohem těžší vytvořené heslo uhádnout. Chcete-li tuto metodu použít, přečtěte si sekci „Make a secure passphrase with Diceware“ (Vytvořte si bezpečné heslo pomocí Diceware) v tomto článku, který napsal Micah Lee.

Pokud chcete zadat heslo ručně, vymyslete si něco, co si zapamatujete a co má alespoň dvanáct znaků a obsahuje přinejmenším jedno malé písmeno, jedno velké písmeno a nejméně jednu číslici nebo interpunkční znaménko. Nikdy nepoužívejte heslo, které jste použili jinde. Nepoužívejte žádné rozpoznatelné vzorce, jako například data narození, telefonní čísla, jména domácích mazlíčků, texty písní, citáty z knih atd.

Řešení problémů

GnuPG není nainstalován
Můžete zkontrolovat, zda je to případ s příkazem gpg --version. Pokud GnuPG není nainstalován, vypíše následující text na většině operačních systémů GNU/Linux (nebo něco podobného): Příkaz 'gpg' nenalezen, ale lze jej nainstalovat: sudo apt install gnupg. Zkopírujte tento příkaz do příkazové řádky, což nainstaluje program.
gpg --full-generate-key příkaz nefunguje
Některé distribuce používají jinou verzi GPG. Když obdržíte chybový kód, který vypadá jako: gpg: Neplatná volba "--full-generate-key", můžete vyzkoušet následující příkazy:
sudo apt update
sudo apt install gnupg2
gpg2 --full-generate-key
Pokud to vyřešilo problém, budete muset dále používat identifikátor gpg2 místo gpg v následujících krocích průvodce.

V závislosti na Vaší verzi GPG, budete muset použít --gen-key místo --full-generate-key.

Vytvoření přístupové fráze trvalo to příliš dlouho
To je v pořádku. Je důležité myslet na svou přístupovou frázi. Pokud jste připraven, postupujte znova podle kroků od začátku a vytvořte svůj klíč.
Jak můžu zobrazit můj klíč?
Pro zobrazení všech klíčů použijte následující příkaz: gpg --list-keys. Váš by měl být mezi nimi, a později i Edwardův (Oddíl 3).
Pokud chcete vidět pouze váš klíč, můžete použít gpg --list-key [your@email].
Můžete také spustit gpg --list-secret-key a zobrazit svůj soukromý klíč.
Více informací
Pro více informací o celém procesu můžete nahlédnout do The GNU Privacy Handbook. Ověřte, že jste zvolili „RSA and RSA“ (výchozí volba), protože to je novější a bezpečnější algoritmus, než jaký je doporučen v dokumentaci. Také dbejte na to, aby délka vašeho klíče byla alespoň 2048 bitů, nebo 4096 pro ještě vyšší bezpečnost.

Pro pokročilé

Pokročilé páry klíčů
Když GnuPG vytvoří nový pár klíčů, oddělí funkci šifrování od funkce podepisování pomocí subkeys (subklíčů). Pečlivým používáním subklíčů můžete svou identitu GnuPG udržovat v mnohem větším bezpečí a rychleji vyřešit situaci, kdy je klíč kompromitován. Alex Cabal a wiki distribuce Debian nabízejí dobré návody, jak si vytvořit bezpečnou konfiguraci se subklíči.

Krok 2.B: Odešlete na server a vytvořte certifikát

Krok 2.b Důležité kroky po vytvoření klíčů

Odešlete svůj veřejný klíč na keyserver

Nahrajeme váš klíč na keyserver, takže pokud vám někdo chce poslat zašifrovanou zprávu, může si váš veřejný klíč stáhnout z internetu. Existuje více keyserverů, které si můžete vybrat z nabídky při nahrávání, ale většinou se všechny navzájem kopírují. Každý server bude fungovat, ale je dobré si zapomatovat, na který jste svůj klíč nahráli jako první. Také mějte na paměti, že někdy trvá několik hodin, než si keyservery informace, související nahráním nového klíče vymění.

# Zkopírujte keyID svého klíče: gpg --list-key [your@email] obsahuje informace o vašich veřejných ("pub") klíčich, včetně ID vašeho klíče, což je jedinečný seznam čísel a písmen. Zkopírujte toto číslo, abyste ho mohli použít v následujícím příkazu.

# Nahrajte svůj klíč na server: gpg --send-key [keyID]

Exportujte svůj klíč do souboru

Použijte následující příkaz k exportu svého tajného klíče, takže ho můžete importovat do svého e-mailového klienta v dalším kroku. Aby se zabránilo poškození klíče, uložte ho na bezpečné místo, a ujistěte se, že pokud je přenesen, je to provedeno důvěryhodným způsobem. Exportování klíče lze provést následujícími příkazy:

$ gpg --export-secret-keys -a [keyID] > my_secret_key.asc
$ gpg --export -a [keyID] > my_public_key.asc

Vygenerujte revokační certifikát

V případě, že klíč ztratíte, nebo bude kompromitován, je potřeba vytvořit certifikát a uložit ho na bezpečné místo na vašem počítači (prosím viz Krok 6.C pro to, jak nejlépe ukládat svůj revokační cerfikát bezpečně). Tento krok je pro vaši emailovou sebeobranu nezbytný, jak se dozvíte v sekci 5.

# Zkopírujte keyID svého klíče: gpg --list-key [your@email] obsahuje informace o vašich veřejných ("pub") klíčich, včetně ID vašeho klíče, což je jedinečný seznam čísel a písmen. Zkopírujte toto číslo, abyste ho mohli použít v následujícím příkazu.

# Generovat revokační certifikát: gpg --gen-revoke --output revoke.asc [keyID]

# To vás vyzve, abyste udali důvod pro revokaci, doporučujeme použít 1 = klíč byl ohrožen.

# Nemusíte vyplnit důvod, v tomto případě stiskněte "Enter" pro prázdný řádek, a potvrďte svůj výběr.

Řešení problémů

Odeslání klíče na keyserver nefunguje
Místo použití obecného příkazu k nahrání klíče na keyserver, můžete použít konkrétnější příkaz s keyserverem v rámci příkazu gpg --keyserver keys.openpgp.org --send-key [keyID].
Zdá se, že můj klíč nefunguje, nebo dostanu chybu "povolení odepřeno"

Stejně jako každý jiný soubor nebo složka, gpg klíče podléhají systémovým oprávněním. Pokud nejsou nastaveny správně, váš systém nemusí přečíst vaše klíče. Postupujte podle dalších kroků pro kontrolu a aktualizaci na správné oprávnění.

# Zkontrolujte své oprávnění: ls -l ~/.gnupg/*

# Nastavte oprávnění čtení, zápisu a spuštění pouze pro vás samotné a ne ostatní. Toto jsou doporučené oprávnění vaší složky.
Můžete použít příkaz chmod 700 ~/.gnupg

# Nastavte oprávnění čtení a zápisu pouze sobě a ne ostatním. Toto jsou doporučené oprávnění klíčů uvnitř vaší složky.
Můžete použít příkaz chmod 600 ~/.gnupg/*

Pokud jste (z jakéhokoliv důvodu) vytvořili své vlastní složky uvnitř ~ / .gnupg, musíte navíc použít oprávnění k spuštění této složky. Složky vyžadují, aby byla nastavena práva pro spuštění jinak nemohou být otevřeny. Pro více informací o oprávnění, si můžete přečíst tento podrobný informační průvodce.

Pro pokročilé

Více o keyserverech
Více informací o keyserveru se můžete dočíst v tomto manuále. Můžete také exportovat klíč přímo do souboru na svém počítači.
Přenos vašich klíčů

Pro přenos klíčů použijte následující příkazy. Aby se zabránilo poškození klíče, uložte ho na bezpečné místo, a ujistěte se, že pokud je přenesen, je to provedeno důvěryhodným způsobem. Import a export klíče lze provést s následujícími příkazy:

$ gpg --export-secret-keys -a [keyID] > my_private_key.asc
$ gpg --export -a [keyID] > my_public_key.asc
$ gpg --import my_private_key.asc
$ gpg --import my_public_key.asc

Ujistěte se, že ID klíče je správné, a pokud ano, pak nastavte absolutní (ultimate) důvěru pro tento klíč:

$ gpg --edit-key [your@email]

Protože tohle je váš klíč, měl by jste nastavit ultimate. Důvěra žádného jiného klíče by neměla být nastavena na ultimate.

Viz Řešení problémů v kroku 2.B pro více informací o oprávněních. Při převodu klíčů, vaše oprávnění mohou být změněny, a mohou se objevit chyby. Těmto se snadno vyhnete, když vaše složky a soubory mají správná oprávnění

#3 Nastavte šifrování emailu

Emailový program Icedove (nebo Thunderbird) má integrovanou funkčnost PGP, díky čemuž je s ním snadné pracovat. Dále vás provedeme kroky nastavení a použití vašeho klíče v těchto e-mailových klientech.

Krok 3.A: Menu Emailu

Krok 3.A: Import ze souboru

Krok 3.A: Úspěch

Krok 3.A: Řešení problémů

Krok 3.aNastavte svůj email pro šifrování

Jakmile nastavíte svůj e-mail pro šifrování, můžete začít přispívat k šifrovanému provozu na internetu. Nejprve přimějeme vášeho e-mailového klienta importovat váš privátní klíč a také se naučíme, jak získat veřejné klíče jiných lidí ze serverů tak, abyste mohli posílat a přijímat šifrované e-maily.

# Otevřete svůj e-mailový klient a použijte "Nástroje" → Správce klíčů OpenPGP

# Pod položkou menu "Soubor" → Importovat tajné klíče ze souboru

# Vyberte soubor, který jste uložili pod názvem [my _ secret _ key.asc] v Kroku 2.B když jste exportovali svůj klíč

# Odemkněte svou přístupovou frází

# Zobrazí se vám okno "OpenPGP klíče byly úspěšně importovány" pro potvrzení úspěchu

# Přejděte na "Nastavení účtu" → "Koncové šifrování" a ujistěte se, že je váš klíč importován, a vyberte Zacházejte s tímto klíčem jako s osobním klíčem.

Řešení problémů

Nejsem si jistý, jestli vše proběhlo vpořádku
Najděte položku "Nastavení účtu" → "End- To- End šifrování". Zde můžete zjistit, zda je váš osobní klíč spojený s tímto e-mailem. Pokud není, můžete zkusit znovu Přidat klíč. Ujistěte se, že máte správný, aktivní, tajný soubor klíče.

#4 Vyzkoušejte to!

Illustrační obrázek osoby s kočkou v domě připojenému k serveru

Nyní si vyzkoušíte korespondenci s počítačovým programem jménem Edward, který ví, jak používat šifrování. Pokud není uvedeno jinak, je tento postup stejný, jako kdybyste si dopisovali se skutečnou osobou.

Krok 4.A Pošlete klíč Edwardovi.

Krok 4.a Pošlete Edwardovi svůj veřejný klíč

Tento krok nebudete provádět při dopisování se skutečnou osobou. V nabídce vašeho e-mailového programu přejděte na "Nástroje" → "Správce klíčů OpenPGP".Měli byste vidět svůj klíč na seznamu, který se objeví. Klikněte pravým tlačítkem myši na svůj klíč a vyberte Poslat veřejné klíče emailem. To vytvoří nový návrh zprávy, jako byste právě stiskli tlačítko "Napsat", ale v příloze najdete svůj soubor veřejného klíče.

Jako adresáta zprávy uveďte edward-en@fsf.org. Do předmětu a do těla zprávy napište alespoň jedno slovo (jakékoli). Zatím ji neodesílejte.

Chceme, aby Edward byl schopen otevřít e-mail s vaším souborem klíče, takže chceme, aby tato první speciální zpráva byla nešifrovaná. Ujistěte se, že šifrování je vypnuto pomocí rozbalovacího menu "Zabezpečení" a vyberte Nešifrovat. Jakmile je šifrování vypnuto, můžete odeslat.

Edwardovi může odpověď trvat dvě až tři minuty. Mezitím si můžete přečíst sekci Správné používání v tomto návodu. Až Edward odepíše, pokračujte dalším krokem. Dále budete postupovat stejně jako při dopisování si se skutečnou osobou.

Když otevřete Edwardovu odpověď, GnuPG se může zeptat na heslo, než zprávu pomocí vašeho soukromého klíče rozšifruje.

Krok 4.B Možnost 1. Ověřte klíč

Krok 4.B Možnost 1. Importujte klíč

Krok 4.b Pošlete testovací šifrovaný email

Obdržte Edwardův klíč

Chcete-li zašifrovat e-mail Edwardovi, potřebujete jeho veřejný klíč, který si nyní můžete stáhnout z keyserveru. Můžete to udělat dvěma různými způsoby:

Možnost 1. V e-mailové odpovědi, kterou jste obdrželi od Edwarda jako odpověď na váš první e-mail, byl Edwardův veřejný klíč v příloze. Na pravé straně e-mailu, těsně nad oblastí psaní, najdete tlačítko "OpenPGP", které má ikonu zámku. Klikněte na ni a vyberte Vyřešit vedle textu: "Tato zpráva byla podepsána klíčem, který ještě nemáte." Poté se objeví popup okno s Edwardovými detaily klíče.

Možnost 2. Otevřte váš Správce klíčů OpenPGP, a pod položkou menu "Server klíčů" vyberte Najít klíče na internetu. Zde vyplňte Edwardovu emailovou adresu a importujte Edwardův klíč.

Volbou Přijato (neověřeno) přidáte tento klíč programu pro správu klíčů a poté může být klíč použit k odeslání šifrovaných e-mailů a k ověření digitálních podpisů od Edwarda.

V popup okně potvrzujícím, že chcete importovat Edwardův klíč, uvidíte mnoho různých e-mailových adres, které jsou všechny spojeny s Edwardovým klíčem. To je vpořádku; můžete bezpečně importovat klíč.

Protože jste tento email zašifrovali Edwardovým veřejným klíčem, pro dešifrování je nutný Edwardův soukromý klíč. Edward je jediný, kdo má tento soukromý klíč, takže kromě něj nemůže nikdo jiný zprávu dešifrovat.

Pošlete testovací šifrovaný email

Napište ve svém emailovém programu nový email na adresu edward-en@fsf.org. Do předmětu emailu napište „Zkouška šifrování“ nebo něco podobného a napište něco do těla emailu.

Tentokrát se ujistěte, že šifrování je zapnuto pomocí rozbalovacího menu "Zabezpečení" a vyberte Zašifrovat. Jakmile je zapnuté šifrování, klikněte na Odeslat.

Řešení problémů

„Příjemce není platný, nelze jej nalézt nebo je nedůvěryhodný“.
Můžete dostat výše uvedenou chybovou zprávu, nebo něco podobného: "Nelze odeslat tuto zprávu s koncovým šifrováním, protože existují problémy s klíči následujících příjemců:..." V těchto případech se pravděpodobně snažíte někomu poslat šifrovaný e-mail, když ještě nemáte jeho veřejný klíč. Ujistěte se, že postupujte podle výše uvedených kroků k importování klíče ke svému správci klíčů. Otevřete Správce klíčů OpenPGP a ujistěte se, že je tam příjemce uveden.
Nepodařilo se odeslat zprávu
Při pokusu o odeslání zašifrovaného e-mailu můžete dostat následující zprávu: "Nelze odeslat tuto zprávu s koncovým šifrováním, protože se vyskytly problémy s klíči následujících příjemců: edward-en@fsf.org." To obvykle znamená, že jste importovali klíč s volbou "Neakceptováno (nerozhodnuto)". Přejděte na "vlastnosti klíčů" tohoto klíče pravým kliknutím na klávesu v Správci klíčů OpenPGP a vyberte možnost Ano, ale neověřil(a) jsem si, že se jedná o správný klíč. v možnosti "Vaše přijetí" v záložce v dolní části tohoto okna. Poté pošlete ten email znova.
Není možno nalézt Edwardův klíč
Zavřete okna, která se objevila poté, co jste klikli na Odeslat. Zkontrolujte, že jste připojeni k internetu, a zkuste to znovu. Pokud to stále nefunguje, můžete si klíč stáhnout ručně z keyserveru, a importovat pomocí Importovat veřejné klíče ze souboru možnosti v Správci klíčů OpenPGP.
Nezašifrované zprávy ve složce Odeslaná pošta
I když nemůžete dešifrovat zprávy zašifrované klíčem někoho jiného, váš emailový program automaticky uloží kopii zašifrovanou vaším veřejným klíčem, kterou si budete moci prohlédnout ve složce Odeslaná pošta jako běžný email. To je normální a neznamená to, že vaše zpráva nebyla odeslána šifrovaná.

Pro pokročilé

Šifrování zpráv z příkazové řádky
Zprávy a soubory můžete šifrovat a dešifrovat i z příkazové řádky, pokud to upřednostňujete. Volba --armor zaručí, že šifrovaný výstup se zobrazí v běžné znakové sadě.

Důležité: Bezpečnostní tipy

I když email šifrujete, předmět obvykle zašifrovaný není, takže v něm nezmiňujte žádné citlivé informace. Ani adresy odesílatele a příjemců nejsou šifrované, takže špionážní systémy mohou stále zjistit, s kým komunikujete. Agentům špionážních služeb bude také zřejmé, že používáte GnuGP, i když si obsah vašich zpráv nepřečtou. Při posílání příloh vám Enigmail nabídne, zda je chcete zašifrovat, nezávisle na samotném emailu.

Pro větší bezpečnost před potenciálními útoky, můžete vypnout HTML. Místo toho můžete tělo zprávy zobrazit jako prostý text. Za tímto účelem v Icedove nebo Thunderbird, přejděte na "Zobrazení" → "Tělo zprávy jako" → Prostý text.

Krok 4.C Edwardova odpověď

Step 4.c Přečtěte si odpověď

Když Edward obdrží váš email, pomocí svého soukromého klíče jej rozšifruje, a poté vám odpoví.

Odpověď může Edwardovi trvat dvě nebo tři minuty. Mezitím si můžete dopředu přečíst sekci Správné používání v tomto návodu.

Edward vám pošle zašifrovaný e-mail s tím, že váš e-mail byl přijat a dešifrován. Váš e-mailový klient automaticky dešifruje Edwardovu zprávu.

Tlačítko OpenPGP v e-mailu zobrazí malou zelenou značku nad symbolem zámku, která znamená, že zpráva je zašifrovaná, a malou oranžovou výstražnou značku, což znamená, že jste přijali klíč, ale neověřili jej. Pokud jste ještě nepřijali klíč, uvidíte tam malý otazník. Kliknutím na výzvy v tomto tlačítku se dostanete i k vlastnostem klíče.

Krok 4.d Pošlete testovací podepsaný email

GnuPG umožňuje podepisovat zprávy a soubory pro ověření, že pocházejí od vás a že s nimi během přenosu nebylo manipulováno. Elektronický podpis je spolehlivější než tradiční podpis perem na papíře -- nelze ho padělat, protože jej není možné vytvořit bez vašeho soukromého klíče (což je další důvod, abyste svůj soukromý klíč uchovávali v bezpečí).

Můžete podepsat zprávu pro kohokoli, takže jde o skvělý způsob, jak ostatním ukázat, že používáte GnuPG a že s vámi mohou komunikovat zabezpečeně. I když příjemce nemá GnuPG, může si vaši zprávu přečíst a uvidí váš podpis. Pokud GnuPG má, může rovněž ověřit pravost vašeho podpisu.

Chcete-li email Edwardovi podepsat, napište mu jakoukoli zprávu a klikněte na ikonu pera hned vedle ikony zámku, aby se zbarvila do zlata. Když zprávu podepisujete, GnuPG se před jejím odesláním může zeptat na vaše heslo, protože pro vytvoření podpisu musí odemknout váš soukromý klíč.

V "Nastavení účtu" → "Koncové šifrování" můžete zvolit Podepisovat nešifrované zprávy.

Krok 4.e Přečtěte si odpověď

Když Edward obdrží vaši zprávu, pomocí vašeho veřejného klíče (který jste mu poslali v kroku 3.A) ověří, že váš podpis je pravý a že s vaší zprávou nebylo manipulováno.

Odpověď může Edwardovi trvat dvě nebo tři minuty. Mezitím si můžete dopředu přečíst sekci Správné používání v tomto návodu.

Edwardova odpověď přijde zašifrovaná, protože Edward upřednostňuje šifrování vždy, když je to možné. Pokud vše půjde podle plánu, napíše, že „Váš podpis byl ověřen“. Pokud váš podepsaný testovací email byl rovněž zašifrován, zmíní tuto informaci jako první.

Když obdržíte Edwardův email a otevřete jej, váš e-mailový klient automaticky zjistí, že je zašifrovaný vaším veřejným klíčem, a pomocí vašeho soukromého klíče jej rozšifruje.

#5 Objevte síť důvěry

Illustrace klíčů, které jsou propojeny sítí linek

Šifrování emailu je silná technologie, ale má slabou stránku: vyžaduje způsob, jak ověřit, že veřejný klíč skutečně patří dané osobě. Jinak by nebylo možné zabránit tomu, aby se nějaký útočník vydával za vašeho známého, založil si emailovou adresu s jeho jménem a vytvořil k ní klíče. Z tohoto důvodu programátoři, kteří vytvořili emailové šifrování, rovněž zavedli podepisování klíčů a síť důvěry („Web of Trust“).

Když podepíšete něčí klíč, veřejně tím říkáte, že jste ověřili, že tento klíč skutečně patří této osobě a nikomu jinému.

K podepisování klíčů a k podepisování zpráv se používá stejný typ matematické operace, ale důsledky jsou úplně jiné. Je dobrým zvykem podepisovat všechny své emaily, ale pokud podepíšete klíč jiné osoby, aniž byste ověřili její totožnost, můžete se tím omylem zaručit za podvodníka.

Lidé, kteří používají váš veřejný klíč, vidí, kdo jej podepsal. Až budete používat GnuPG delší dobu, váš klíč může mít stovky podpisů. Klíč můžete považovat za důvěryhodnější, pokud je podepsán mnoha lidmi, kterým věříte. Síť důvěry je seskupení uživatelů GnuPG navzájem pospojovaných řetězci důvěry, které jsou vyjádřeny pomocí podpisů.

Section 5: Nastavení důvěry klíči

Krok 5.a Podepište klíč

V nabídce vašeho e-mailového programu přejděte na Správce klíčů OpenPGP a vyberte Vlastnosti klíče kliknutím na Edwardův klíč.

Pod "Vaše přijetí" si můžete vybrat Ano, osobně jsem ověřil, že tento klíč má správný otisk..

Nyní jste v podstatě řekli: „Důvěřuji, že Edwardův veřejný klíč skutečně patří Edwardovi.“ Edward není skutečná osoba, a proto to moc neznamená, ale je to dobrou praxí, a pro skutečné osoby to je důležité. O podepisování klíčů osob se můžete dozvědět více v sekci Ověřte ID před podpisem.

Identifikace klíčů: otisky a ID

Veřejné klíče ostatních se obvykle identifikují pomocí jejich otisku, což je řetězec znaků jako F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (pro Edwardův klíč). Otisk svého veřejného klíče a dalších veřejných klíčů, které máte uloženy ve svém počítači, zobrazíte tak, že otevřete Správce klíčů OpenPGP, poté kliknete pravým tlačítkem myši na klíč a vyberete Vlastnosti klíče. Je dobrým zvykem sdělit otisk svého klíče vždy, když někomu dáváte svou emailovou adresu, aby si lidé po stažení vašeho veřejného klíče z keyserveru mohli ověřit, že skutečně mají správný veřejný klíč.

Můžete také vidět veřejné klíče odkazované na kratší ID klíče. Toto ID je viditelné přímo z okna Správce klíče. Těchto osm znaků bylo dříve používáno k identifikaci, která bývala bezpečná, ale už není spolehlivá. Musíte zkontrolovat celý otisk jako součást ověření, že máte správný klíč pro osobu, kterou se snažíte kontaktovat. Podvržení klíče, ve kterém někdo záměrně generuje klíč s otiskem, jehož posledních osm znaků je stejných jako u jiného klíče, je bohužel běžné.

Důležité: Co mít na vědomí při podepisování klíčů

Než podepíšete něčí klíč, musíte si být naprosto jisti, že tento klíč skutečně patří této osobě a že tato osoba je tím, za koho se vydává. V ideálním případě tato jistota pramení z toho, že jste s touto osobou byli nějakou dobu v kontaktu a komunikovali spolu a že jste byli svědky její interakce s ostatními. Kdykoli podepisujete klíč, chtějte vidět celý otisk veřejného klíče, nejen kratší ID klíče. Pokud si myslíte, že je důležité podepsat klíč někoho, s kým jste se právě seznámili, chtějte rovněž vidět úřední doklad totožnosti a ověřte, že se jméno na dokladu shoduje s jménem u veřejného klíče.

Pro pokročilé

Porozuměte fungování sítě důvěry
Důvěra se bohužel mezi uživateli nešíří tak, jak si mnozí myslí. Jedna z nejlepších cest, jak posílit komunitu GnuPG, je dobře chápat fungování sítě důvěry a důsledně podepisovat klíče tolika lidem, kolika vám okolnosti umožní.

#6 Správné používání

Každý používá GnuPG trochu jinak, ale je důležité se řídit několika základními pravidly, aby byl váš email bezpečný. Pokud se jimi neřídíte, ohrožujete soukromí lidí, s kterými komunikujete, i vaše vlastní a poškozujete síť důvěry.

Sekce 6: Správné používání (1)

Kdy šifrovat? Kdy podepisovat?

Čím více budete zprávy šifrovat, tím lépe. Pokud šifrujete emaily pouze příležitostně, může každá šifrovaná zpráva přitáhnout pozornost špionážních systémů. Pokud šifrujete všechny své emaily nebo jejich většinu, slídilové nebudou vědět, kde začít. Neznamená to však, že šifrování jen některých zpráv není užitečné – je to dobrý začátek a znesnadňuje to masové špehování.

Pokud nechcete skrývat svou totožnost (což by vyžadovalo další ochranná opatření), není důvod nepodepsat každou zprávu bez ohledu na to, jestli je šifrovaná, nebo ne. Krom toho, že lidé, kteří mají GnuPG, budou moci ověřit, že zpráva skutečně pochází od vás, podepisování zpráv je nevtíravým způsobem, jak všem připomenout, že používáte GnuPG, a vyjádřit podporu bezpečné komunikaci. Pokud často posíláte podepsané zprávy lidem, kteří neznají GnuPG, je také dobré ve standardním podpisu emailů (tom textovém, nikoli kryptografickém) uvádět odkaz na tuto příručku.

Sekce 6: Správné používání (2)

Buďte ostražití před neplatnými klíči

S GnuPG je email bezpečnější, ale je stále důležité, abyste byli na pozoru před neplatnými klíči, které mohly padnout do špatných rukou. Email zašifrovaný neplatnými klíči může být čitelný pro špionážní programy.

Ve svém emailovém programu se vraťte k prvnímu šifrovanému emailu, který jste dostali od Edwarda. Protože jej Edward zašifroval vaším veřejným klíčem, v horní liště bude obsahovat zelené odtržítko na tlačítku "OpenPGP".

Když používáte GnuPG, zvykněte si vždy zběžně zkontrolovat toto tlačítko. Program vás upozorní, pokud dostanete zprávu zašifrovanou klíčem, kterému nelze důvěřovat.

Zkopírujte si revokační certifikát na bezpečné místo

Vzpomeňte si, že když jste si vytvořili klíče, uložili jste si také revokační certifikát, který GnuPG vytvořil. Nyní tento certifikát zkopírujte do co nejbezpečnějšího datového uložiště, které máte – nejlepší je flash disk nebo pevný disk uschovaný doma na bezpečném místě, nikoli zařízení, které s sebou běžně nosíte. Nejbezpečnější způsob, který známe, je fyzicky vytisknout revokační certifikát a uložit ho na bezpečném místě.

Pokud se váš soukromý klíč ztratí nebo bude ukraden, budete potřebovat soubor s tímto certifikátem, abyste ostatním dali na vědomí, že tento pár klíčů už nepoužíváte.

Důležité: Pokud se někdo dostane k vašemu soukromému klíči, jednejte rychle

Pokud svůj soukromý klíč ztratíte, nebo se klíč dostane do rukou někoho jiného (například ukradením nebo napadením vašeho počítače), je potřeba co nejrychleji odvolat jeho platnost (revokovat), než jej někdo cizí použije ke čtení vašich šifrovaných emailů nebo padělání vašeho podpisu. Odvolání platnosti klíče je nad rámec této příručky, ale můžete postupovat podle těchto pokynů. Po odvolání platnosti klíče si vytvořte nový klíč a všem, kteří váš klíč obvykle používají, pošlete email, aby o tom věděli. Přiložte i svůj nový klíč.

Webmail a GnuPG

Pokud pro přístup ke svému emailu používáte webový prohlížeč, používáte webmail – emailový program uložený na vzdálené stránce. Oproti webmailu váš emailový program běží na vašem vlastním počítači. I když webmail nemůže dešifrovat šifrované zprávy, stále je zobrazí v jejich šifrované podobě. Pokud používáte primárně webmail, budete vědět, že musíte otevřít svůj emailový program, když obdržíte nečitelnou zprávu.

Udělejte svůj veřejný klíč součástí vaší online identity

Nejprve přidejte svůj otisk veřejného klíče k podpisu vašeho e-mailu, pak napište e-mail alespoň pěti vašim přátelům a řekněte jim, že jste právě nastavili GnuPG a zmiňte otisk vašeho veřejného klíče. Pošlete jim odkaz na tento průvodce a požádejte je, aby se k vám připojili. Nezapomeňte, že je tu i úžasná infografika ke sdílení.

Připojte otisk svého veřejného klíče všude, kde běžně uvádíte svou emailovou adresu. Některé z vhodných míst jsou: váš emailový podpis (ten textový, ne kryptografický), profil na sociálních sítích, blog, webové stránky nebo vizitky. V Nadaci pro svobodný software jsme je uvedli na své stránce o zaměstnancích. Potřebujeme dosáhnout toho, abychom měli pocit, že nám něco chybí, když vidíme e-mailovou adresu bez otisku veřejného klíče.

Dobrá práce! Podívejte se na další kroky.