Emailová sebeobrana

Krok 1.aNastavte emailový program pro svůj emailový účet

Otevřete emailový program a průvodce nastavením vám pomůže (krok za krokem) nastavit program pro váš emailový účet.

Při nastavování účtu si všímejte zkratek SSL, TLS, nebo STARTTLS napravo od názvů serverů. Pokud je nevidíte, budete moci používat šifrování i tak, ale znamená to, že poskytovatel vašeho emailového systému je pozadu za oborovým standardem, pokud jde o ochranu vaší bezpečnosti a soukromí. Doporučujeme vám, abyste poskytovatele slušně poprosili o zprovoznění SSL, TLS nebo STARTTLS na vašem emailovém serveru. Příslušní lidé budou vědět, o čem je řeč, takže má smysl požadavek poslat, i když nejste odborníkem na tyto systémy zabezpečení.

Krok 1.bNainstalujte plugin Enigmail pro svůj emailový program

V nabídce svého emailového programu vyberte volbu Doplňky (může se nacházet v sekci Nástroje). Ověřte, že nalevo je vybrána volba Rozšíření. Vidíte Enigmail? Pokud ano, přeskočte tento krok.

Pokud ne, pomocí políčka pro vyhledávání vpravo nahoře vyhledejte rozšíření „Enigmail“. Nainstalujte jej. Po dokončení restartujte emailový program.

Krok 2.a Vytvořte si pár klíčů

Průvodce nastavením Enigmail se možná spustí automaticky. Pokud ne, v nabídce svého emailového programu vyberte volbu Enigmail → Průvodce nastavením. Pokud nechcete, není třeba číst text v okně, které se objeví, ale je dobré si přečíst text na dalších stránkách průvodce. Pomocí tlačítka Další potvrzujte přednastavené možnosti, kromě následujících případů, které jsou uvedeny v pořadí, v němž se objeví:

• Na stránce s názvem „Šifrování“ vyberte volbu „Šifrovat všechny zprávy automaticky, protože soukromí je pro mě kriticky důležité.“
• Na stránce s názvem „Podepisování“ vyberte volbu „Nepodepisovat zprávy automaticky.“
• Na stránce s názvem „Výběr klíče“ vyberte volbu „Přeji si vytvořit nový pár klíčů pro podepisování a šifrování zpráv“.
• Na stránce s názvem „Vytvořit klíč“ si zvolte silné heslo! Můžete zadat heslo ručně, nebo můžete použít metodu Diceware. Ruční zadání je rychlé, ale není tak bezpečné. Použití metody Diceware trvá déle a vyžaduje hrací kostku, ale pro případné útočníky je mnohem těžší vytvořené heslo uhádnout. Chcete-li tuto metodu použít, přečtěte si sekci „Make a secure passphrase with Diceware“ (Vytvořte si bezpečné heslo pomocí Diceware) v tomto článku, který napsal Micah Lee.

Pokud chcete zadat heslo ručně, vymyslete si něco, co si zapamatujete a co má alespoň dvanáct znaků a obsahuje přinejmenším jedno malé písmeno, jedno velké písmeno a nejméně jednu číslici nebo interpunkční znaménko. Nikdy nepoužívejte heslo, které jste použili jinde. Nepoužívejte žádné rozpoznatelné vzorce, jako například data narození, telefonní čísla, jména domácích mazlíčků, texty písní, citáty z knih atd.

Bude chvíli trvat, než program dokončí další krok, kterým je vytvoření klíče. Zatímco čekáte, dělejte na svém počítači něco jiného, například sledujte film nebo prohlížejte internet. Čím více budete při tomto kroku používat počítač, tím rychleji bude klíč vytvořen.

Až se objeví okno „Vytvoření klíče dokončeno“, vyberte volbu Vytvořit certifikát a uložte certifikát na bezpečné místo ve svém počítači (doporučujeme vytvořit složku s názvem „Revokační certifikát“ ve vaší domovské složce a uložit to tam). Tento krok je pro vaši emailovou sebeobranu nezbytný, jak se dozvíte v sekci 5.

Krok 2.b Odešlete svůj veřejný klíč na keyserver

Ve svém emailovém programu zvolte Enigmail → Správa klíčů.

Klikněte pravým tlačítkem na svůj klíč a zvolte Odeslat veřejné klíče na keyserver. V okně, které se objeví, použijte přednastavený keyserver.

Nyní si může kdokoli, kdo vám chce poslat zašifrovanou zprávu, stáhnout váš veřejný klíč z internetu. Při odesílání klíče můžete v nabídce volit z několika keyserverů, ale všechny jsou navzájem svými kopiemi, takže je jedno, který z nich použijete. V některých případech ale může trvat i pár hodin, než si servery navzájem předají nově nahraný klíč.

Jaký je rozdíl mezi GnuPG a OpenPGP?

Obecně se pojmy GnuPG, GPG, GNU Privacy Guard, OpenGPG a PGP používají zaměnitelně. Z technického hlediska je OpenGPG (Pretty Good Privacy) šifrovací standard a GNU Privacy Guard (často se zkracuje na GPG nebo GnuPG) je program, který tento standard implementuje. Enigmail je plugin, který pro váš emailový program poskytuje rozhraní ke GnuPG.

Krok 3.a Pošlete Edwardovi svůj veřejný klíč

Tento krok nebudete provádět při dopisování se skutečnou osobou. V nabídce svého emailovém programu vyberte Enigmail → Správa klíčů. V seznamu, který se objeví, by měl být uveden váš klíč. Klikněte pravým tlačítkem na svůj klíč a vyberte Poslat veřejné klíče e-mailem. Tím se vytvoří nový koncept zprávy, jako kdybyste klikli na tlačítko Napsat.

Jako adresáta zprávy uveďte edward-en@fsf.org. Do předmětu a do těla zprávy napište alespoň jedno slovo (jakékoli). Zatím ji neodesílejte.

Ikona zámku na vlevo nahoře by měla být zvýrazněna žlutě, což znamená, že šifrování je zapnuto. Tato první zpráva by ale měla být nešifrovaná, takže jedním kliknutím na ikonu šifrování vypněte. Ikona zámku by nyní měla být šedá s modrou tečkou (což vás upozorňuje, že nastavení bylo oproti výchozímu nastavení změněno). Po vypnutí šifrování klikněte na Odeslat.

Edwardovi může odpověď trvat dvě až tři minuty. Mezitím si můžete přečíst sekci Správné používání v tomto návodu. Až Edward odepíše, pokračujte dalším krokem. Dále budete postupovat stejně jako při dopisování si se skutečnou osobou.

Když otevřete Edwardovu odpověď, GnuPG se může zeptat na heslo, než zprávu pomocí vašeho soukromého klíče rozšifruje.

Krok 3.b Pošlete testovací šifrovaný email

Napište ve svém emailovém programu nový email na adresu edward-en@fsf.org. Do předmětu emailu napište „Zkouška šifrování“ nebo něco podobného a napište něco do těla emailu.

Ikona zámku vlevo nahoře v okně by měla být žlutá, což znamená, že šifrování je zapnuté. To bude od nynějška vaše výchozí nastavení.

Vedle zámku si všimněte ikony pera. K ní se vrátíme za chvíli.

Klikněte na Odeslat. Enigmail otevře okno s nápisem „Příjemce není platný, nelze jej nalézt nebo je nedůvěryhodný“.

Abyste mohli zašifrovat email pro Edwarda, potřebujete jeho veřejný klíč, takže jej nyní pomocí Enigmail stáhnete z keyserveru. Klikněte na Stáhnout chybějící klíče a v okně, které se objeví a požádá vás o volbu keyserveru, použijte výchozí nastavení. Až budou klíče nalezeny, zaškrtněte první z nich (ID klíče začíná písmenem C), a poté zvolte OK. Zvolte OK také v dalším okně, které se objeví.

Nyní jste zpět na obrazovce „Příjemce není platný, nelze jej nalézt nebo je nedůvěryhodný“. Zaškrtněte políčko před Edwardovým klíčem a klikněte na Odeslat.

Protože jste tento email zašifrovali Edwardovým veřejným klíčem, pro dešifrování je nutný Edwardův soukromý klíč. Edward je jediný, kdo má tento soukromý klíč, takže kromě něj nemůže nikdo jiný zprávu dešifrovat.

Důležité: Bezpečnostní tipy

I když email šifrujete, předmět zašifrovaný není, takže v něm nezmiňujte žádné citlivé informace. Ani adresy odesílatele a příjemců nejsou šifrované, takže špionážní systémy mohou stále zjistit, s kým komunikujete. Agentům špionážních služeb bude také zřejmé, že používáte GnuGP, i když si obsah vašich zpráv nepřečtou. Při posílání příloh vám Enigmail nabídne, zda je chcete zašifrovat, nezávisle na samotném emailu.

Step 3.c Přečtěte si odpověď

Když Edward obdrží váš email, pomocí svého soukromého klíče jej rozšifruje, a poté pomocí vašeho veřejného klíče (který jste mu poslali v kroku 3.A) zašifruje svou odpověď.

Odpověď může Edwardovi trvat dvě nebo tři minuty. Mezitím si můžete dopředu přečíst sekci Správné používání v tomto návodu.

Když obdržíte Edwardův email a otevřete jej, Enigmail automaticky zjistí, že je zašifrovaný vaším veřejným klíčem, a pomocí vašeho soukromého klíče jej rozšifruje.

Všimněte si lišty s informacemi o stavu Edwardova klíče, kterou Enigmail zobrazí nad zprávou.

Krok 3.d Pošlete testovací podepsaný email

GnuPG umožňuje podepisovat zprávy a soubory k ověření, že pocházejí od vás a že s nimi během přenosu nebylo manipulováno. Elektronický podpis je spolehlivější než tradiční podpis perem na papíře -- nelze ho padělat, protože jej není možné vytvořit bez vašeho soukromého klíče (což je další důvod, abyste svůj soukromý klíč uchovávali v bezpečí).

Můžete podepsat zprávu pro kohokoli, takže jde o skvělý způsob, jak ostatním ukázat, že používáte GnuPG a že s vámi mohou komunikovat zabezpečeně. I když příjemce nemá GnuPG, může si vaši zprávu přečíst a uvidí váš podpis. Pokud GnuPG má, může rovněž ověřit pravost vašeho podpisu.

Chcete-li email Edwardovi podepsat, napište mu jakoukoli zprávu a klikněte na ikonu pera hned vedle ikony zámku, aby se zbarvila do zlata. Když zprávu podepisujete, GnuPG se před jejím odesláním může zeptat na vaše heslo, protože pro vytvoření podpisu musí odemknout váš soukromý klíč.

Pomocí ikon zámku a pera můžete nastavit, zda má být zpráva šifrovaná, podepsaná, šifrovaná i podepsaná, nebo nešifrovaná a nepodepsaná.

Krok 3.e Přečtěte si odpověď

Když Edward obdrží vaši zprávu, pomocí vašeho veřejného klíče (který jste mu poslali v kroku 3.A) ověří, že váš podpis je pravý a že s vaší zprávou nebylo manipulováno.

Odpověď může Edwardovi trvat dvě nebo tři minuty. Mezitím si můžete dopředu přečíst sekci Správné používání v tomto návodu.

Edwardova odpověď přijde zašifrovaná, protože Edward upřednostňuje šifrování vždy, když je to možné. Pokud vše půjde podle plánu, napíše, že „Váš podpis byl ověřen“. Pokud váš podepsaný testovací email byl rovněž zašifrován, zmíní tuto informaci jako první.

Krok 4.a Podepište klíč

V nabídce svého emailového programu vyberte Enigmail → Správa klíčů.

Klikněte pravým tlačítkem na Edwardův veřejný klíč a z kontextové nabídky vyberte Podepsat klíč.

V okně, které se objeví, zvolte „Nebudu odpovídat“ a klikněte na OK.

Nyní byste měli být zpět v nabídce Správa klíčů. Zvolte Keyserver → Odeslat veřejné klíče a klikněte na OK.

Nyní jste v podstatě řekli: „Důvěřuji, že Edwardův veřejný klíč skutečně patří Edwardovi.“ Edward není skutečná osoba, a proto to moc neznamená, ale je to dobrým zvykem.

Identifikace klíčů: otisky a ID

Veřejné klíče ostatních se obvykle identifikují pomocí jejich otisku, což je řetězec znaků jako F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (pro Edwardův klíč). Otisk svého veřejného klíče a dalších veřejných klíčů, které máte uloženy ve svém počítači, zobrazíte tak, že ve svém emailovém programu vyberete Enigmail → Správa klíčů, kliknete pravým tlačítkem na klíč a vyberete Vlastnosti klíče. Je dobrým zvykem sdělit otisk svého klíče vždy, když někomu dáváte svou emailovou adresu, aby si lidé po stažení vašeho veřejného klíče z keyserveru mohli ověřit, že skutečně mají správný veřejný klíč.

You may also see public keys referred to by a shorter key ID. This key ID is visible directly from the Key Management window. These eight character key IDs were previously used for identification, which used to be safe, but is no longer reliable. You need to check the full fingerprint as part of verifying you have the correct key for the person you are trying to contact. Spoofing, in which someone intentionally generates a key with a fingerprint whose final eight characters are the same as another, is unfortunately common.

Důležité: Co mít na vědomí při podepisování klíčů

Než podepíšete něčí klíč, musíte si být naprosto jisti, že tento klíč skutečně patří této osobě a že tato osoba je tím, za koho se vydává. V ideálním případě tato jistota pramení z toho, že jste s touto osobou byli nějakou dobu v kontaktu a komunikovali spolu a že jste byli svědky její interakce s ostatními. Kdykoli podepisujete klíč, chtějte vidět celý otisk veřejného klíče, nejen kratší ID klíče. Pokud si myslíte, že je důležité podepsat klíč někoho, s kým jste se právě seznámili, chtějte rovněž vidět úřední doklad totožnosti a ověřte, že se jméno na dokladu shoduje s jménem u veřejného klíče. V Enigmail v okně, které se objeví, pravdivě odpovězte na otázku „Jak pečlivě jste ověřil/a, že klíč, který chcete podepsat, patří výše uvedené osobě?“.

Kdy šifrovat? Kdy podepisovat?

Čím více budete zprávy šifrovat, tím lépe. Pokud šifrujete emaily pouze příležitostně, může každá šifrovaná zpráva přitáhnout pozornost špionážních systémů. Pokud šifrujete všechny své emaily nebo jejich většinu, slídilové nebudou vědět, kde začít. Neznamená to však, že šifrování jen některých zpráv není užitečné – je to dobrý začátek a znesnadňuje to masové špehování.

Pokud nechcete skrývat svou totožnost (což ale vyžaduje další ochranná opatření), není důvod nepodepsat každou zprávu bez ohledu na to, jestli je šifrovaná, nebo ne. Krom toho, že lidé, kteří mají GnuPG, budou moci ověřit, že zpráva skutečně pochází od vás, podepisování zpráv je nevtíravým způsobem, jak všem připomenout, že používáte GnuPG, a vyjádřit podporu bezpečné komunikaci. Pokud často posíláte podepsané zprávy lidem, kteří neznají GnuPG, je také dobré ve standardním podpisu emailů (tom textovém, nikoli kryptografickém) uvádět odkaz na tuto příručku.

Buďte ostražití před neplatnými klíči

S GnuPG je email bezpečnější, ale je stále důležité, abyste byli na pozoru před neplatnými klíči, které mohly padnout do špatných rukou. Email zašifrovaný neplatnými klíči může být čitelný pro špionážní programy.

Ve svém emailovém programu se vraťte k prvnímu šifrovanému emailu, který jste dostali od Edwarda. Protože jej Edward zašifroval vaším veřejným klíčem, v horní liště bude obsahovat zprávu od Enigmailu, která říká něco ve smyslu „Enigmail: Část této zprávy je šifrovaná“.

Když používáte GnuPG, zvykněte si vždy zběžně zkontrolovat tuto zprávu. Program vás upozorní, pokud dostanete zprávu zašifrovanou klíčem, kterému nelze důvěřovat.

Zkopírujte si revokační certifikát na bezpečné místo

Vzpomeňte si, že když jste si vytvořili klíče, uložili jste si také revokační certifikát, který GnuPG vytvořil. Nyní tento certifikát zkopírujte do co nejbezpečnějšího datového uložiště, které máte – nejlepší je flash disk nebo pevný disk uschovaný doma na bezpečném místě, nikoli zařízení, které s sebou běžně nosíte.

Pokud se váš soukromý klíč ztratí nebo bude ukraden, budete potřebovat soubor s tímto certifikátem, abyste ostatním dali na vědomí, že tento pár klíčů už nepoužíváte.

Důležité: Pokud se někdo dostane k vašemu soukromému klíči, jednejte rychle

Pokud svůj soukromý klíč ztratíte, nebo se klíč dostane do rukou někoho jiného (například ukradením nebo napadením vašeho počítače), je potřeba co nejrychleji odvolat jeho platnost (revokovat), než jej někdo cizí použije ke čtení vašich šifrovaných emailů nebo padělání vašeho podpisu. Odvolání platnosti klíče je nad rámec této příručky, ale můžete postupovat podle těchto pokynů. Po odvolání platnosti klíče si vytvořte nový klíč a všem, kdo váš klíč obvykle používají, pošlete email, aby o tom věděli. Přiložte i svůj nový klíč.

Webmail a GnuPG

Pokud pro přístup ke svému emailu používáte webový prohlížeč, používáte webmail – emailový program uložený na vzdálené stránce. Oproti webmailu váš emailový program běží na vašem vlastním počítači. I když webmail nemůže dešifrovat šifrované zprávy, stále je zobrazí v jejich šifrované podobě. Pokud používáte primárně webmail, budete vědět, že musíte otevřít svůj emailový program, když obdržíte nečitelnou zprávu.