Pojďme si psát šifrovaně!

24. 7. 2017 | Jindřich Zechmeister

V našem magazínu se věnujeme dostupným způsobům komunikace a popsali jsme už některé aplikace, které fungují šifrovaně a chrání soukromí uživatelů. Dnes se vrátíme do minulosti a pošleme si podepsaný či zašifrovaný e-mail pomocí PGP. Ač by se mohlo zdát, že je tento způsob ochrany e-mailové komunikace mrtvý, není tomu tak a má stále co nabídnout. Navíc je to zábava!

Phil Zimmermann - autor PGP

Phil Zimmermann, autor PGP. Zdroj: philzimmermann.com

Proč by mě mělo zajímat PGP?

Zkratka PGP znamená Prety Good Privacy (dost dobré soukromí). V článku používám pro zjednodušení zkratku PGP pro protokol OpenPGP. Původní PGP je zatíženo komerčními licencemi a nyní ho vlastní Symantec. Proto je nutné pro osobní použití PGP vybrat software ze svobodných alternativ využívajících OpenPGP jako GnuPG nebo GPG. Díky podobnosti s charakteristickou zkratkou je jasná souvislost těchto aplikací s PGP.

Princip a fungování PGP jsme v našem magazínu už jednou zmínili - bylo to v roce 2013 v článku Mějte bezpečnost svých e-mailů pod kontrolou. Od té doby přišel internet o některé ze zmíněných "bezpečných služeb". Například Lavabit (nabízející šifrované e-maily a používaný Snowdenem) byl ke konci donucen tlakem agentury NSA, která chtěla jeho data. V lednu tohoto roku byl Lavabit znovu spuštěn a zkouší se na trhu znovu prosadit.

Už nyní je zřejmá hlavní výhoda PGP - nejedná se o službu poskytovanou konkrétními subjekty a použití PGP není centralizované. Je svobodné a nedá se "zakázat" ani z úrovně vlády či tajné služby. Další předností (a zároveň trochu i nevýhodou) PGP je nezávislost na autoritách a vystavovaní klíčů na principu self-signed. Výhodou pro uživatele jsou nulové náklady na získání PGP klíče; omezeno není ani jejich množství. Můžete mít pro každý svůj e-mail jeden či více PGP klíčů. Pokud však klíče nevystavuje žádná certifikační autorita, tak vystavitel není ani ověřen. Veškerá důvěra v použité PGP klíče je tak pouze na vás.

V tomto se PGP výrazně liší od S/MIME certifikátů pro podpis či šifrování e-mailů. Ty jsou vydávány certifikační autoritou, avšak až na výjimky nejsou nijak ověřovány a nesou s sebou nemalé náklady. Certifikáty pro podpis e-mailů se mezi běžnými uživateli stále moc nerozšířily, protože se jedná o značně chaotickou oblast IT bezpečnosti. Snad tomu pomůže eIDAS a sjednocení přístupu k důvěryhodnosti certifikátů a osobních ID. Zatím použití S/MIME uživatele nepřitahuje a kdo elektronický podpis má, tak zejména kvůli uznanému kvalifikovanému dig. podpisu a styku s českou veřejnou správou.

Jak PGP funguje

Historii PGP uvádím ve zmíněném článku, ve kterém ji čtenáři mohou najít. Připomenu však hlavní princip fungování tohoto protokolu. PGP zvládne celou řadu kryptografických operací, ale konkrétně při e-mailové komunikaci používá kombinaci symetrických klíčů a veřejného klíče. Veřejný klíč je předmětem výměny mezi pisateli e-mailu a šifruje symetrický klíč, který je použitý pro zašifrování zprávy a je pro každé sezení jiný. Funguje to podobně jako SSL certifikáty, ve kterých je veřejný klíč podepsán autoritou (po jeho výměně mezi klientem a serverem probíhá samotná výměna dat se symetrickým šifrováním). U PGP je však distribuce veřejného klíče na uživatelích a veřejný klíč není umístěn na doméně uživatele. Klíče si uživatelé vyměňují osobně (tzv. key signing party), nebo je nahrávají na tzv. key servery.

Použití PGP pro e-mailovou komunikaci

Příprava na používání PGP spočívá v instalaci doplňku poštovního klienta, který umí PGP používat. V případě Thunderbirdu je to jednoznačně Enigmail. Přidáním doplňku Enigmail do e-mailového klienta se v něm objeví nové možnosti práce s PGP klíči a šifrování e-mailů. Musíte se k tomu poměrně složitě doklikat přes Správce doplňků a nabídku všech doplňků pro Thunderbird.

Instalace doplňku Enigmail

Instalace doplňku Enigmail v Thuderbirdu

Po restartu Thunderbirdu s novým doplňkem uvidíte průvodce nastavením; můžete si zvolit úroveň detailnosti nastavení podle svých zkušeností s PGP. Před prvním použitím PGP si musíte vytvořit svůj vlastní klíč. V Enigmail můžete využít mnoho voleb, ale v zásadě postačí výchozí nastavení. Enigmail najde i dříve vytvoření PGP klíče a nabídne je k použití. Při generování certifikátu je potřeba zadat heslo (passphrase), které bude chránit certifikát (resp. privátní klíč) a budete ho potřebovat k použití vašeho certifikátu (PGP klíče).

Dialog průvodce Enigmail

Průvodce nastavením Enigmail v Thunderbirdu

Po dokončení průvodce máte uložen svůj klíč, který použijete pro šifrování a podepisování zpráv. Máme tedy svůj PGP klíč a máme-li také PGP klíč příjemce zprávy, můžeme přistoupit k odeslání podepsaného či šifrovaného e-mailu. Z uživatelského pohledu je podepsání triviální úkon - stačí kliknout na ikonu zámku v okně Thunderbirdu.

Podepsání zprávy v Thunderbirdu

Odeslání šifrované zprávy v Thunderbirdu

Enigmail automaticky zapíná šifrování zprávy, když zná klíč příjemce e-mailu - příjemná funkce. Enigmail rovněž navazuje na šifrovanou komunikaci, takže eliminuje riziko, že byste zapomněli odpověď podepsat.

Publikace veřejného klíče s MojeID

Aby vám někdo mohl napsat, tak musí mít k dispozici váš veřejný klíč. Hlavní nevýhodou používání PGP je tato nutnost výměny klíčů s protějškem, kterému chceme psát. Když pomineme "romantické" key signing party, tedy setkání určené pro výměnu klíčů, je prakticky nutné dostat svůj veřejný PGP klíč na web tak, aby ho někdo našel. Zároveň ale v důvěryhodné formě.

Tento problém řeší i služba MojeID. Tato služba umožňuje na ověřeném veřejném profilu publikaci vašeho PGP klíče. Jeho najití a použití je tak snadné a zároveň máte jistotu, že je kontakt opravdu důvěryhodný díky provedenému ověření. Svůj profil můžete mít na vlastní subdoméně pod hlavní doménou MojeID, která bude mít i důvěryhodný certifikát. Doufám, že se tato funkce mezi uživateli rozšíří, protože kombinuje jednoduchost a důvěryhodnost díky úřednímu ověření osoby.

Chcete šifrovat v cloudu bez PGP?

Většina uživatelů bude PGP používat na své pracovní stanici a s e-mailovým klientem. Není to však jediný způsob, jak si zabezpečit poštu. Na začátku článku jsem zmínil služby "bezpečného e-mailu"; těch stále existuje dostatečný počet a po kauze Lavabit další přibyly. Chcete-li tedy komunikovat "bezpečným" e-mailem a nechcete využít PGP, podívejte se po službách jako Protonmail či Hushmail. Více o tomto typu služeb najdete například v článku 6 Best Services for Secure Email.

Slovo bezpečnost uvádím výše v uvozovkách, protože je na vás, abyste posoudili, zdali je pro vás služba dostatečně bezpečná.  Data nemáte v dosahu a vždy musíte věřit provozovateli služby. Měli byste také posoudit bezpečnostní zásady a princip fungování služby, který by měl provozovatel transparentně zveřejnit. Vždy však existuje riziko, že daná služba může odejít z trhu.

Šifrujte, je to zdravé pro vaše soukromí

Doufám, že jste optimisticky došli až na konec článku a teď zvažujete, že si PGP vyzkoušíte. Určitě tak udělejte. Šifrování není určeno pro mafiány, zkorumpované politiky nebo zločince (jak někdy zaznívá z USA či Británie). Je to využití práva na diskrétní komunikaci a prevence zneužití informací. Navíc nic nestojí.

Využití MojeID se přímo nabízí - tento systém osobního ID je provozován správcem domény .CZ a je přímo integrován do systému registrace domén. Pokud tedy máte nebo budete registrovat CZ domény, tak použijte Moje ID. Ušetří vám práci, můžete využít zmíněný veřejný profil a v budoucnu ho snad i využiteme jako osobní identifikátor v rámci eIDAS. MojeID můžete spolu s doménou získat mojeID na CZECHIA.COM.

Další zdroje k PGP

Pro více informací o nástrojích podporujících PGP doporučuji například cyklus Komunikujeme a ukládáme data bezpečně s PGP/GPG na serveru LinuxExpress. Doplňku Enigmail se věnuje 8. díl cyklu

Na internetu můžete najít mnoho návodů k použití PGP; většina z nich je však akademických a poměrně nudných. Mezi ty podařené patří návod Beginners’ Guide To PGP nebo How to: Use PGP for Windows.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz