Poczta e-mail pewna i bezpieczna

Szyfrowanie poczty zapewnia poufność korespondencji, podczas gdy podpis cyfrowy pozwala stwierdzić czy nadawcą wiadomości jest osoba, która się za nią podaje.  OpenPGP oraz S/MIME to dwa alternatywne standardy zabezpieczeń poczty elektronicznej. Ale jak stosować je w praktyce?

Podpis cyfrowy (nie pomyl z podpisem w stopce) zapewnia autentyczność pochodzenia wiadomości, jej integralność oraz niezaprzeczalność. Pozwala zweryfikować, czy nadawca e-maila jest osobą, za którą się podaje. Cyfrowy odcisk potwierdza, że wiadomość została wysłana, a treść korespondencji nie została w żaden sposób zmieniona od momentu złożenia pod nią podpisu.

Szyfrowanie e-mail

Wiadomość oraz jej załączniki mogą zostać zaszyfrowane. Dzięki zastosowaniu silnych algorytmów kryptograficznych masz pewność, że nikt niepowołany nie pozna treści korespondencji w trakcie przesyłania jej przez internet. Tylko ściśle określony odbiorca może otworzyć wiadomość i zapoznać się z jej treścią. Co ważne, treść e-maila pozostaje zaszyfrowana również po jej pobraniu i zapisaniu w skrzynce pocztowej na lokalnym komputerze. Odbiorca, aby odczytać wiadomość musi za każdym razem użyć swój klucz prywatny, aby odszyfrować zawarte w niej informacje.

Podsumujmy. Podpis cyfrowy potwierdza tożsamość nadawcy, a treść wiadomości nie została zmieniona. Szyfrowanie gwarantuje natomiast, że nikt niepowołany nie pozna jej zawartości.

PGP vs. X.509

W Internecie stosuje się powszechnie dwa standardy zabezpieczenia poczty elektronicznej – PGP oraz X.509 (S/MIME). Uwierzytelnianie osób w PGP odbywa się na zasadach sieci zaufania (ang. web of trust, WoT), w której użytkownicy wzajemnie potwierdzają swoją tożsamość. Uczestnicy sieci składają swój podpis na kluczu (certyfikacie) innego użytkownika i tym samym potwierdzają, że jego tożsamość została osobiście zweryfikowana, a osoba która posługuje się takim kluczem jest tym, za kogo się podaje. Ten sposób sprawdzania tożsamości stosuje CAcert. Popularna niegdyś sieć WoT prowadzona przez Thawte została zamknięta kilka lat temu.

W komunikacji między osobami, które się znają (koledzy, współpracownicy) wystarczy, że obie strony wymienią się swoimi kluczami publicznymi w sposób bezpieczny lub potwierdzą zgodność kluczy, weryfikując ich odciski cyfrowe (fingerprint) np. w trakcie rozmowy telefonicznej.

Ustawienia Enigmail

Ustawienia Enigmail

X.509 wykorzystuje z kolei certyfikaty cyfrowe, które wystawiane są użytkownikom przez centrum certyfikacji. Weryfikacji tożsamości osoby opiera się więc na zaufaniu do wydawcy certyfikatu, choć z tym bywa różnie. Comodo w żaden sposób nie sprawdza tożsamości osób, którym wystawia darmowe identyfikatory cyfrowe. Jednocześnie, centrum certyfikacji Comodo uznawane jest przez popularne przeglądarki jako zaufane.

Certyfikat odwołania pozwala unieważnić klucz prywatny, jeśli zostanie on wykradziony lub w inny sposób ujawniony osobom trzecim.

Kryptografia klucza publicznego

Mechanizmy zabezpieczeń OpenPGP oraz X.509 oparto na założeniach kryptografii klucza publicznego. Ten rodzaj kryptografii, nazywany również kryptografią asymetryczną, zakłada użycie pary kluczy (prywatny i publiczny) do wykonywania operacji szyfrowania lub podpisywania danych.

Klucz publiczny jest jawny i może być swobodnie rozpowszechniany również w niezabezpieczonej komunikacji np. przez e-mail czy na stronie WWW itd. Klucz publiczny jest używany do szyfrowania informacji, podczas gdy klucz prywatny umożliwia jej odczytanie.

Na przykładzie poczty elektronicznej wyjaśnimy, jak działa to w praktyce. Nadawca szyfruje korespondencję posługując się kluczem publicznym odbiorcy wiadomości. Tylko wskazany adresat może odczytać treść e-maila, bowiem to on jest w wyłącznym posiadaniu klucza prywatnego, który jest niezbędny do odszyfrowania zabezpieczonych w ten sposób informacji.

Wymiana kluczy

Zaszyfrowane wiadomości możesz wysyłać do kolegi lub współpracownika dopiero wtedy, gdy do swojego pęku kluczy zaimportujesz jego klucz publiczny. Istnieje kilka metod wymiany kluczy między stronami komunikacji.

Najprostszy sposób polega na dołączeniu klucza publicznego do wiadomości e-mail. W Thunderbirdzie potrzebną funkcję znajdziesz w menu OpenPGP. Klucz publiczny jest jawny, zatem możesz opublikować go na swojej stronie internetowej lub blogu, a także wgrać na tzw. serwer kluczy (keyserver).

Mailvelope

Co najmniej kilka osób uważa, że tradycyjny program pocztowy to przeżytek, a korzystanie z webmaila jest zdecydowanie wygodniejsze. Mailvelope (www.mailvelope.com) to rozszerzenie dla Chrome i Firefox, które dodaje funkcje szyfrowania metodą PGP w oknie przeglądarki. Nie musisz więc rezygnować z bezpieczeństwa poczty, nawet jeśli preferujesz dostęp do skrzynki przez klienta webowego. Wtyczka współpracuje z Gmail, Yahoo, Outlook.com i GMX. W chwili obecnej Mailvelope nie obsługuje funkcji podpisywania wiadomości. Ta opcja planowana jest w kolejnych wersjach rozszerzenia.

Instalacja wtyczki. Mailvelope jest dostępny do pobrania ze sklepu Chrome. Zainstaluj to rozszerzenie w przeglądarce, po czym kliknij ikonę Mailvelope, aby przejść do okna ustawień.

Tworzenie kluczy. Kliknij Generate key, a następnie wprowadź swoje imię i nazwisko, adres e-mail oraz hasło (passphrase), które zabezpieczy klucz prywatny. Nowa para kluczy zostanie dołączona do pęku kluczy.

Zarządzanie kluczami. Mailvelope przechowuje klucze w lokalnym magazynie przeglądarki na dysku komputera. Karta Display Keys pozwala na przeglądanie i zarządzanie kluczami w pęku kluczy. Kliknij przycisk Export, aby zapisać swój klucz publiczny i prywatny do pliku. W tym samym miejscu znajdziesz opcję Send public key by mail, która umożliwia przesłanie klucza publicznego w treści wiadomości e-mail.

Importowanie kluczy. Zanim zaczniesz szyfrować wiadomości skierowane do określonego odbiorcy, do swojego pęku kluczy musisz zaimportować jego klucz publiczny. W Mailvelope zrobisz to na karcie Import Keys.

Szyfrowanie korespondencji. Zaloguj się do poczty Gmail, a następnie kliknij Utwórz, aby rozpocząć tworzenie nowej wiadomości. W oknie edycji wprowadź adres odbiorcy, temat oraz treść komunikatu. Jeśli wszystko gotowe kliknij kolejno przyciski Mailvelope (ołówek na tle kartki papieru) oraz Zaszyfruj (symbol zamkniętej kłódki). Na koniec wskaż listę odbiorców, którzy będą mogli odczytać zaszyfrowaną wiadomość.

Deszyfrowanie. Za każdym razem kiedy otrzymasz zabezpieczoną korespondencję, Mailvelope poprosi cię o podanie hasła do twojego klucza prywatnego, a następnie odszyfruje wiadomość. Przypomnijmy, że chodzi o hasło wybrałeś w trakcie tworzenia pary kluczy PGP.

Token bezpieczeństwa. To trzy znaki na kolorowym tle, które są znane tylko użytkownikowi. Stanowi rodzaj hasła - klucza, które generowane jest losowo w trakcie instalacji Mailvelope i może być zmieniony w ustawieniach wtyczki, aby był łatwiejszy do zapamiętania.

Mailvelope wyświetla token bezpieczeństwa kiedy tworzysz nową wiadomość lub wpisujesz hasło potrzebne do odszyfrowania poczty. Zwróć uwagę, czy prezentowany token jest taki sam, jak ustaliłeś w konfiguracji wtyczki. Jeśli nie - zatrzymaj się na chwilę, bo nie wszystko działa tak jak powinno.

Szyfrowanie poczty w Thunderbird

Zostańmy jednak przy starych, dobrych programach pocztowych. Enigmail (enigmail.net) jest rozszerzeniem bezpieczeństwa, które umożliwia podpisywanie i szyfrowanie wiadomości za pomocą metody OpenPGP. Wtyczka działa w aplikacjach Thunderbird, Postbox oraz SeaMonkey i wymaga zainstalowanego programu GnuPG (GNU Privacy Guard).

Wybierz pakiet Gpg4win dla Windows (www.gpg4win.org), który dodatkowo zawiera kilka przydatnych narzędzi. GNU Privacy Assistant (GPA) oraz Kleopatra umożliwiają wygodne zarządzanie kluczami PGP. Wtyczka GpgOL dodaje funkcje obsługi OpenPGP w programie pocztowym Microsoft Outlook, natomiast rozszerzenie GpgEX ułatwia podpisywanie i szyfrowanie plików w Eksploratorze Windows.

Menu OpenPGP

Wtyczka Enigmail dodaje do okna Thunderbirda nowe menu OpenPGP. Z jego poziomu uruchomisz Asystenta konfiguracji, który pomaga w utworzeniu nowej pary kluczy (prywatny i publiczny) oraz certyfikatu odwoływania (unieważnienia) klucza. Asystent pomoże ci również w zmianie ustawień programu pocztowego, tak aby ten obsługiwał bezpieczną pocztę dla wszystkich lub tylko wybranych kont i tożsamości.

Tworzenie kluczy Thunderbird

Tworzenie kluczy Thunderbird

Podpisywanie i szyfrowanie wiadomości

Z menu OpenPGP wybierz Podpisz wiadomość, Szyfruj wiadomość lub obie te opcje jednocześnie. Aby wykonać tę samą operację szybciej, w oknie tworzenia nowego e-maila naciśnij odpowiednio skrót [Ctrl Shift S] oraz [Ctrl Shift Z].

Aby zaszyfrować korespondencję musisz jednak najpierw zaimportować klucz publiczny adresata wiadomości. Kliknij OpenPGP | Zarządzanie kluczami i dalej Plik | Zaimportuj klucze z pliku.

Jeśli klucz został dołączony do wiadomości e-mail, kliknij prawym przyciskiem myszy nazwę załącznika, a następnie z menu wybierz Deszyfruj i otwórz. Z tego miejsca możesz podejrzeć zawartość pliku w oknie przeglądarki lub zaimportować zawarty w nim klucz do pęku kluczy Enigmail.

Thunderbird podpisana wiadomość

Thunderbird podpisana wiadomość

Praca z Enigmail

W trakcie próby otwarcia zaszyfrowanej wiadomości Enigmail poprosi cię o podanie hasła, które odbezpieczy tajny (prywatny) klucz do certyfikatu OpenPGP. Chodzi o to samo hasło, jakie podałeś w trakcie generowania pary kluczy. To wszystko.

Weryfikacja podpisu cyfrowego jest w pełni automatyczna. Jeśli podpis został prawidłowo złożony, a treść korespondencji nie uległa zmianie, Thunderbird poinformuje cię o tym fakcie, za pomocą symbolu zamkniętej koperty oraz zielonego paska OpenPGP widocznego tuż nad nagłówkami wiadomości.

Identyfikator cyfrowy S/MIME

Podpisywanie i szyfrowanie poczty metodą X.509 (S/MIME) wymaga, aby użytkownik posiadał indywidualny certyfikat cyfrowy wystawiony przez zewnętrzny urząd certyfikacji lub dział IT firmy, w której jest zatrudniony. W tym miejscu wyjaśnijmy jeszcze, że w odniesieniu do certyfikatów poczty bardzo często stosuje się również nazwę identyfikator cyfrowy.

Wybierz certyfikat cyfrowy wystawiony przez zaufane centrum certyfikacji, które jest rozpoznawany przez popularne przeglądarki internetowe i klientów poczty elektronicznej. W przeciwnym razie odbiorca wiadomości zobaczy komunikat, że wiadomość została podpisana certyfikatem, który nie jest zaufany dla programu pocztowego.

Jak zatem pozyskać taki identyfikator, aby zabezpieczyć prywatną korespondencję? Oferta darmowych certyfikatów jest niestety niewielka. Thawte zaprzestał wystawiania popularnych niegdyś certyfikatów Personal Email Certificates. Godne polecenia wydają się natomiast identyfikatory Free Secure Email Certificate (S/MIME) wydawane przez Comodo na platformie Instant SSL.

Certyfikaty Comodo rozpoznawane są przez 99% programów pocztowych, w tym Microsoft Outlook, Thunderbird oraz Windows Mail. Free Secure Email Certificate jest darmowy do użytku osobistego. Każdy taki certyfikat, nie tylko ten wystawiony przez Comodo, możesz zapisać na komputerze w magazynie certyfikatów lub na karcie inteligentnej.

Certyfikaty komercyjne

Jeśli jednak chcesz zabezpieczyć firmową pocztę potrzebujesz certyfikatu Corporate Email Security za 12 dolarów rocznie. Możesz również zapoznać się z komercyjną ofertą certyfikatów pocztowych wydawanych przez polskie centra certyfikacji: Krajową Izbę Rozliczeniową, PPWP (Sigillum) czy Unizeto Technologies (Certum). Podstawowy certyfikat Basic ID w Unizeto kosztuje 39 zł netto. Proces weryfikacji odbywa się na podstawie wskazanego adresu e-mail. Z kolei Certyfikat Professional ID (49 zł netto) wymaga rozszerzonej weryfikacji tożsamości zamawiającego, dzięki czemu w certyfikacie zostaje zawarta informacja o imieniu i nazwisku jego właściciela.

Certyfikat Symantec Digital ID może być używany również do podpisywania i szyfrowania dokumentów utworzonych w edytorze tekstu Word oraz plików ZIP spakowanych w programie PKWare.

Rejestracja darmowego certyfikatu. W celu uzyskania darmowego certyfikatu Comodo Free Secure Email Certificate wejdź na stronę https://secure.instantssl.com/products/frontpage?area=SecureEmailCertificate, a następnie wypełnij krótki formularz. Zalecamy użycie przeglądarki Internet Explorer, która pozwala wskazać magazyn przechowywania certyfikatów osobistych użytkownika.

W Chrome, aplikacja domyślnie próbuje zapisać identyfikator cyfrowy na karcie inteligentnej. Ze względów bezpieczeństwa jest to pożądane działanie, choć nie wszyscy czytelnicy dysponują czytnikiem i kartami procesorowymi.

Certyfikat Comodo

Certyfikat Comodo

Instalacja w magazynie. Wróćmy do naszego przykładu, w którym certyfikat cyfrowy wystawiony przez Comodo zostanie zapisany w magazynie certyfikatów systemu Windows. W trakcie rejestracji wprowadź swoje imię i nazwisko (bez polskich znaków), adres e-mail oraz kraj pochodzenia. Rozwiń opcje dodatkowe (Advanced Private Key Options) a następnie wybierz magazyn certyfikatów (Microsoft Enhanced Cryptographic Provider v1.0) oraz długość klucza szyfrującego (Key Size, 2048). Na koniec w polu Revocation Password wprowadź hasło, którego użyjesz jeśli zajdzie potrzeba unieważnienia certyfikatu.

Na wskazany adres e-mail otrzymasz wiadomość z odnośnikiem, który pozwoli ci dokończyć proces wystawiania i instalacji certyfikatu cyfrowego na komputerze. Wymaga to podania hasła, które znajdziesz w treści wiadomości.

Zarządzanie certyfikatami. Uruchom ponownie przeglądarkę Internet Explorer, a następnie przejdź do okna Opcje internetowe | Zawartość | Certyfikaty. Na karcie Osobisty znajdziesz wszystkie swoje certyfikaty osobiste zainstalowane w magazynie certyfikatów Windows. Z tego miejsca, za pomocą Kreatora eksportu certyfikatu, możesz wyeksportować klucz prywatny z certyfikatem i zapisać go na dysku.

S/MIME w Outlook. Identyfikator cyfrowy S/MIME umożliwia wysyłanie cyfrowo podpisanych i zaszyfrowanych wiadomości w większości popularnych programów pocztowych. Nie inaczej jest w przypadku klienta Microsoft Outlook, który aby zapewnić autentyczność przesyłanej korespondencji wymaga jedynie drobnej konfiguracji.

Ustawienia aplikacji. Wejdź w opcje ustawień programu, a następnie wybierz kolejno Centrum zaufania | Ustawienia Centrum zaufania, zakładkę Zabezpieczenia poczty e-mail i dalej Ustawienia. Wprowadź nową nazwę ustawień zabezpieczeń oraz wybierz format kryptograficzny S/MIME. Na koniec wskaż identyfikator cyfrowy, który będzie używany w trakcie podpisywania i szyfrowania wiadomości.

W tym miejscu możesz również zaznaczyć dwie opcje: Szyfruj treść i załączniki wysyłanych wiadomości oraz Dodaj podpis cyfrowy do wysyłanych wiadomości. Dzięki temu Outlook, jeśli nie wskażesz inaczej, automatycznie zaszyfruje i/lub podpisze całą tworzoną korespondencję.

Ustawienia SMIME Outlook

Ustawienia SMIME Outlook

Podpisywanie e-maili. W programie Outlook utwórz nowy e-mail. Wprowadź odbiorcę wiadomości, tytuł oraz jej treść. Aby zabezpieczyć korespondencję przejdź na wstążkę Opcje. W sekcji Uprawnienie wybierz Podpis, aby złożyć cyfrowy podpis pod wiadomością.

Szyfrowanie wiadomości. Funkcja Szyfruj umożliwia zaszyfrowanie korespondencji, ale podobnie jak w przypadku OpenPGP wymaga dodania do magazynu klucza publicznego dla identyfikatora cyfrowego adresata wiadomości.

Microsoft Outlook przechowuje certyfikaty w książce adresowej. Są one skojarzone z adresami e-mail nadawców. Poproś znajomego o wysłanie podpisanej wiadomości e-mail. Otwórz korespondencję, a następnie kliknij prawym przyciskiem myszy pole Od. W kolejnym kroku z menu wybierz Dodaj do kontaktów programu Outlook.

Na wstążce Kontakt kliknij Certyfikaty, aby wyświetlić listę zaimportowanych certyfikatów (identyfikatorów cyfrowych), które możesz użyć do wysyłania zaszyfrowanej poczty do tego adresata. Zapisz zmiany i zamknij okno kontaktu. Jeśli wpis dotyczący tej osoby już istnieje w książce adresowej, w oknie Wykryte zduplikowane kontakty wybierz opcję Aktualizuj.


Zobacz również