Bezpieczeństwo poczty elektronicznej, wiarygodność nadawcy oraz system PGP

Porada Kei.pl 14-10-2009, 09:56

Historia. Projekt PGP (Pretty Good Privacy), który został zapoczątkowany w 1991r. przez Philipa Zimmermanna, od razu wywołał wielkie zamieszanie w świecie Internautów. Dał im narzędzie dzięki któremu byli w stanie zaszyfrować swoje wiadomości w sposób, który nie wymagał wymiany "kluczy" poprzez bezpieczny kanał komunikacji.

Wcześniejsze rozwiązania dostępne dla mniej doświadczonych użytkowników bazowały na jednym kluczu szyfrująco-deszyfrującym, zatem mało bezpiecznym posunięciem byłoby wysyłanie takiego klucza poprzez możliwy do podsłuchania i nie zawsze bezpieczny internet, a wymiana innymi kanałami np. poprzez bezpośrednie spotkanie nie zawsze była możliwa. Dzięki PGP korespondencja, pomiędzy użytkownikami dla których e-mail jest jedyną możliwą formą kontaktu, stała się w 100% bezpieczna.
Początkowo zadaniem tego systemu kryptograficznego było szyfrowanie oraz zapewnienie integralności wysyłanych poprzez internet wiadomości pocztowych. W późniejszych czasach system rozwinął się do tego stopnia, że możliwe stało się szyfrowanie plików lub nawet całych fizycznych nośników danych.
PGP w publicznej i powszechnie stosowanej wersji 2.3a, która została wydana w 1993 roku, pozwalał szyfrować wiadomości kluczami o długości 786 do 1024 bitów (obecne międzynarodowe wersja pozwala tworzyć klucze 4-krotnie dłuższe) co dawało potężne zabezpieczenie informacji. W 1993 roku złamanie wiadomości zaszyfrowanej asymetrycznym kluczem o długości 1024 bit zajęło by super komputerowi Big-Blue około 6 milionów lat.
Obecnie darmową i pozbawionych praw patentowych alternatywą PGP jest projekt GPG który bazuje na Open PGP. Można go używać na całym świecie w celu szyfrowania swoich wiadomości (oczywiście poza krajami w których rządy zakazują obywatelom używanie jakichkolwiek narzędzi kryptograficznych - np. Rosja lub Francja).

PGP jest w chwili obecnej jedyną popularnie używaną i w 100% pewną metodą weryfikacji nadawcy maila. Dzięki niej mamy pewność, że osoba posiadająca odpowiedni, pasujący do przekazanego nam klucza publicznego, klucz prywatny jest rzeczywistym nadawcą podpisanego cyfrowo maila.

Jak to działa (klucz publiczny, prywatny)
PGP działa na zasadzie pary kluczy - klucz prywatny oraz klucz publiczny.

Klucz prywatny powinien znajdować się w posiadaniu tylko jego właściciela. W celu zwiększenia bezpieczeństwa należy ustawić dla niego odpowiednio "mocne" hasło. Hasło dla klucza można również skasować lub wygenerować klucz bez hasła, należy jednak pamiętać aby taki odbezpieczony klucz prywatny przechowywać w na tyle bezpiecznym miejscu aby nie trafił w niepowołane "ręce" (cały mechanizm bezpieczeństwa opiera się wówczas tylko na posiadaniu takiego odbezpieczonego klucza).

Klucz publiczny jest to klucz który przekazujemy (można go wysłać np. mailem) wszystkim osobom z którymi chcemy prowadzić zabezpieczoną korespondencję. Można go nawet umieścić w ogólnodostępnych serwerach przechowywania kluczy publicznych, tak aby każda osoba na świecie mogła go w łatwy sposób zaimportować do swojego programu dzięki któremu prowadzi bezpieczną korespondecję mailową z użyciem PGP. Jak widać poniżej klucz publiczny jest ciągiem znaków ASCII - można go wysłać mailem, przekazać jako załącznik, etc...

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=znbw
-----END PGP PUBLIC KEY BLOCK-----


Cały mechanizm i sposób korzystania z PGP jest bardzo prosty. Jeśli chcemy tylko podpisywać wiadomość mailową wystarczy przesłać drugiej stronie nasz klucz publiczny, zaś odbiorca naszego podpisanego maila musi posiadać odpowiednio skonfigurowany dla PGP program do obsługi poczty. Mechanizm podpisania polega na tym iż nadawca wiadomości podpisuje wiadomość swoim kluczem prywatnym zaś odbiorca weryfikuje czy dostarczony mu klucz publiczny "zgadza się" z podpisaną wiadomością. Należy pamiętać, że wiadomość taka podpisywana jest w całości czyli jeśli nadawca raz podpisze wiadomość wówczas żadna osoba niepowołana nie może takiej wiadomości zmodyfikować. Problematyczne zatem mogą być serwery pocztowe które modyfikują wiadomości np. doklejając w stopkach reklamy. Jeśli już doszło by do modyfikacji treści lub klucz publiczny nie będzie pasował do podpisu program pocztowy korzystający z PGP po stronie odbiorcy wygeneruje alert.

Do szyfrowania wiadomości wymagane jest aby obie strony - zarówno nadawca jak i odbiorca wygenerowały swoje pary kluczy i wymieniły się między sobą kluczami publicznymi. Mechanizm szyfrowania polega wówczas na tym, iż nadawca wiadomości szyfruje wiadomość używając dostarczonego mu przez odbiorcę klucza publicznego. Odbiorca zaś posiadając klucz prywatny pasujący do klucza publicznego, którym w/w wiadomość została zaszyfrowana jest w stanie rozkodować taką wiadomość.

Najbezpieczniejszym i najbardziej popularnym użyciem PGP w bezpiecznej korespondencji mailowej jest używanie połączenia podpisu zapewniającego integralność wiadomości (brak możliwości jego zmiany przez osoby trzecie) z zaszyfrowaniem treści.

Konfiguracja w programie do obsługi poczty elektronicznej (WebMail)
W Kei.pl każdy klient może skorzystać z dobrodziejstwa płynącego z PGP. Do obsługi wystarczy posiadać przeglądarkę internetową - reszta pozostaje po stronie systemu webmail. (np. http://poczta.adresfirmy.pl)

Generowanie kluczy
Pierwszą czynnością jaką należy wykonać jest wygenerowanie pary kluczy.
Po zalogowaniu się do webmaila należy wybrać z górnej belki menu
Narzędzia->Generuj klucz

formularz PGP

Po uzupełnieniu pól w formularzu zostanie wygenerowany komplet kluczy przypisanych do konta mailowego.
W polu Nazwa należy podać np. nasze imię i nazwisko (bezpiecznie jest to zrobić bez użycia polskich liter).
Dobrą praktyką jest wygenerowanie kluczy z hasłami (hasło dotyczy tylko klucza prywatnego czyli nie możemy go przekazywać osobom trzecim), ustawienie okresu ważności np. 1 rok, oraz wybranie długości (rozmiaru) klucza 2048 bit, który w obecnej chwili jest standardem i zapewnia dużo większą ochronę niż klucz 1024 bitowy.

Klucz zostanie wygenerowany w ciągu kilku minut, a informację o tym trafią na naszą skrzynkę pocztową. Mail potwierdzający będzie miał temat "Key generation completed" zaś w treści wiadomości będzie zawarty nasz klucz publiczny który powinniśmy dostarczyć naszym odbiorcom. Należy pamiętać, że taki klucz nie może zostać zmieniony - czyli niedopuszczalne jest aby jakiekolwiek programy które interpretują tekst modyfikowały np. położenie znaków końca lini.

Po operacji wygenerowania klucza możemy przejść do zakładki w menu webmaila Narzędzia->Klucze PGP gdzie zobaczymy informacje o naszych kluczach.
Należy zwrócić tutaj uwagę na pole Typ gdzie widzimy, że posiadamy zarówno klucz publiczny (pub) jak i prywatny (sec) dla naszej nowo wygenerowanej pary.

Dodatkową konfigurację PGP w programie webmail możemy znaleźć w zakładce Opcje->Klucze PGP. Można tam między innymi ustawić mechanizm podpisywania domyślnie wszystkich wiadomości wychodzących - więcej o parametrach w tym menu konfiguracji można przeczytać w Menu Pomoc->Opcje -> Ustawienia programu->Klucze PGP.

Przekazywanie klucza
Po wygenerowaniu kompletu kluczy należy wysłać klucz publiczny osobom, z którymi chcemy prowadzić bezpieczną korespondencję. Najlepiej uczynić to poprzez zakładkę Narzędzia->Klucze PGP zaznaczyć nasz komplet kluczy (po prawej stronie w kolumnie zanzacz) i na dole nacisnąć przycisk Exportuj klucze. Następnie zaznaczamy opcję Wyślij na E-mail i podajemy adres odbiorcy.

Ważne aby przez przypadek nie wysłać odbiorcy naszego klucza prywatnego (eksportowanie klucza prywatnego powinno odbywać się tylko i wyłącznie w chwili gdy chcemy przenieść swoje dotychczasowe klucze do obsługi np. na innej skrzynce pocztowej lub w innym zewnętrznym programie korzystającym z PGP. Klucz prywatny powinien posiadać tylko i wyłącznie jego właściciel.

Po wysłaniu klucza publicznego odbiorcy wiadomości jeśli również korzysta z systemu webmail Kei.pl ukaże się żółta belka z informacją:

"Wiadomość zawiera definicję klucza publicznego -- IMPORTUJ"

Po kliknięciu w belkę klucz zostanie zaimportowany do konfiguracji webmaila odbiorcy. Od tego czasu może on uwiarygodniać nasze wiadomości e-mail. Dodatkowo po poprawnym zaimportowaniu klucza wiadomość, w której odbiorca otrzymał klucz zmieni kolor z dotychczasowej żółtej belki na kolor zielony. Odbiorca może również sprawdzić w swoim webmailu w Menu Narzędzia->Klucze PGP informacje na temat przekazanego mu klucza (np. okres ważności), należy też zwrócić uwagę na pole Typ, gdzie zawarta jest informacja o tym, iż dostarczony klucz jest tylko kluczem publicznym.

Podpisywanie wiadomości
Załóżmy, że odbiorca już zaimportował nasz klucz publiczny, nie pozostaje więc nic innego jak wysłanie testowej wiadomości, którą podpiszemy korzystając z mechanizmu PGP. W tym celu tworzymy w webmailu nową wiadomość. Robimy to jak zawsze wybierając z menu opcję Nowa, jedyna różnica polega na tym, iż przed kliknięciem Wyślij zaznaczamy SIGN (podpisz) który znajduje się w prawym dolnym rogu okna nowo tworzonej wiadomości. Jeśli w kluczu użyliśmy hasła, wówczas po naciśnięciu Wyślij wyskoczy okienko w celu jego wprowadzenia. Po tych operacjach odbiorca powinien dostać naszą wiadomość, zaś program zweryfikować czy dostarczony klucz publiczny pasuje do podpisu oraz, czy wiadomość nie została zmodyfikowana przez osoby trzecie.
Poprawność podpisu oraz integralność wiadomości przedstawia zielony pasek z informacją:

"Wiadomość podpisana przez: Jan Kowalski w dniu: 2008-12-03 08.59 kluczem: DB6FB7E"

Jeśli ktoś zmodyfikuje tą wiadomość lub jeśli klucze nie będą zgodne wówczas webmail zwróci komunikat błędu:

"Niezidentyfikowana sygnatura"

Szyfrowanie wiadomości
Aby korzystać z szyfrowania wiadomości warunkiem koniecznym jest, aby obie strony kanału komunikacyjnego posiadały wygenerowane pary kluczy (publiczny i prywatny), oraz wymieniły się między sobą kluczami publicznymi. Innymi słowy p. Kowalski powinien w swoim webmailu wygenerować swoją parę i wysłać klucz publiczny p. Nowakowi. Z kolei p. Nowak powinien zaimportować publiczny klucz p. Kowalskiego oraz mieć wygenerowaną własną parę kluczy i wysłać p. Kowalskiemu swój klucz publiczny, aby p. Kowalski mógł go zaimportować w swoim webmailu.
Po tych operacjach zarówno Kowalski jak i Nowak mogą między sobą korespondować szyfrując swoje wiadomości.
Aby to zrobić należy standardowo stworzyć wiadomość lecz przez kliknięciem przycisku Wyślij zaznaczyć w prawym dolnym rogu opcję ENC (szyfruj).

Jeśli adres mailowy będzie zgodny z adresem, na który został wygenerowany klucz publiczny odbiorcy, wówczas wiadomość zostanie zaszyfrowana automatycznie. Jeśli program nie będzie w stanie automatycznie dopasować klucza do odbiorcy wpisanego w polu Do: (może się tak zdarzyć jeśli np. wysyłamy wiadomość na alias) wówczas wyskoczy komunikat o konieczności wskazania klucza publicznego, którym należy w/w wiadomość zaszyfrować.

Odbiorca wiadomości po jej otrzymaniu zostanie przez webmaila poproszony o podanie hasła do własnego klucza prywatnego który będzie parował klucz publiczny używany przez nadawcę przy wysyłce wiadomości.

Zazwyczaj przy bezpiecznej wysyłce używa się połączenia podpisywania wiadomości z jej zaszyfrowaniem, wówczas należy przez wysyłką zaznaczyć obie opcje ENC oraz SIGN.
Podczas takiej najbezpieczniejszej formy kontaktu mailowego obie strony proszone są o podanie hasła - nadawca w celu podpisania wiadomości swoim kluczem prywatnym, zaś odbiorca w celu rozszyfrowania wiadomości. Przy takiej bezpiecznej przesyłce, jeśli hasła oraz klucze będą się zgadzać oraz jeśli wiadomość nie zostanie zmodyfikowana po drodze, odbiorca zobaczy zielony pasek informujący go o tym, że wiadomość została rozszyfrowana oraz że jest podpisana przez nadawcę.

Podsumowanie
Oprócz programu webmail Kei.pl, który oferuje możliwość użycia PGP, obecnie prawie wszystkie programy pocztowe np. Outlook Express, Thunderbird udostępniają pluginy, dzięki którym możemy zarówno generować i zarządzać kluczami jak i korzystać z możliwości jakie nam daje ten kryptograficzny mechanizm. Podpisywanie wiadomości powinno stać się standardem w dobie e-biznesu, gdzie cała korespondencja jest przesyłana przez ogólnie dostępny i stosunkowo łatwy do podsłuchania internet. Należy zdawać sobie sprawę z wagi wysyłanych przez nas informacji i przynajmniej je podpisywać aby nadawca miał pewność, że tytułowy Kowalski lub "szef firmy" jest rzeczywiście osobą za którą się podaje. Sam podpis wiadomości nie wpływa na możliwość odczytania treści nawet przez programy które nie są wyposażone w pluginy pozwalające na weryfikację kluczy, najwyżej odbiorca zobaczy w stopce cyfrowy "odcisk" PGP i może z czystej ciekawości zainteresuję się tematem bezpieczeństwa poczty elektronicznej.

 

kei.plPorada przygotowana dla Czytelników Dziennika Internautów przez firmę Kei.pl. Pamiętaj, że w Kei.pl zawsze możesz liczyć na pełne wsparcie. Jesteśmy do dyspozycji 7 dni w tygodniu, 24 godziny na dobę, by służyć Ci pomocą. Masz pytania, dzwoń! Pamiętaj, Kei.pl to Niezawodny Partner w Sieci.



Sprawdź, który bank może zaproponować Ci najtańsze kredyty gotówkowe, najlepsze kredyty hipoteczne, kredyty dla firm, bezpłatne konta osobiste, konta firmowe czy najlepiej oprocentowane lokaty >>
Przepisy na coś słodkiego z kremem Nutella
To warto przeczytać






fot. Kaspersky


Warto przeczytać:

Tematy pokrewne:  

tag poczta elektronicznatag PGPtag e-mail
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« strona główna  -  do góry ^
Jak czytać DI?
RSS
Copyright © 1998-2021 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.