Bezpečná komunikace s GnuPG

Úvod k bezpečné komunikaci

Proč používat bezpečnou komunikaci? Odpovím otázkou a proč ne? Posílání emailů je podobné jako posílání pohlednice, tedy zpráva není nijak chráněna před zvě­davci. Takovou zprávu lze přečíst, aniž by se o tom adresát nebo odesílatel dozvěděl. Ovšem zpráva chráněná programem GnuPG (GPG) je podobná dopisu v obálce, ale je samozřejmě lépe chráněna a je nemožné, aby takovou zprávu někdo nepovolaný přečetl. Pokud je ještě podepsá­na, tak máte jistotu, že pochází od odesílatele. Jistě si dovedete představit situaci, kdy zákazník si objedná nějaké zboží (software) u obchodníka a zaplatí na číslo účtu, které mu obchodník poslal e-mailem. Ovšem HACKER změnil číslo účtu na svůj účet a vesele inkasuje peníze. Na obrázku na straně 19 je zašifrovaný a podepsaný email tak, jak ho vidí oprávněný příjemce. Vše probíhá zcela automaticky bez větší námahy. Tento program je zdarma, bez certifikačních poplatků. Bezpečnost je na nejvyšší úrovni, tedy je to nerozluštitelné i pro CIA, FBI, MI5 ap. GPG je založen na asymetrické kryptografii. Tato je založena na prvočíslech a obtížnosti rozkladu součinu dvou prvočísel. Používá soukromý a veřejný klíč dle standardu IETF RFC 4880 šifrování příloh dle RFC 3156. Veřejný klíč je možné zveřejnit na http://zmsoft.cz/gpg.html. Zde popisuji multiplatformní nástroje, lze je tedy používat ve WINDOWS i v LINUXu zadarmo a legálně i ke komerčním účelům (tedy zde není žádné omezení). Pomocí programu GnuPG lze také šifrovat soubory a vytvářet si tak zabezpečené zálohy apod. S GPG lze posílat elektronické digitálně podepsané faktury. E-mailem si nechat zasílat zůstatky na ban­kovních účtech, lékařské zprávy, výpisy z trestních rejstříků, výši vkladů pojištění atd.

Co budete potřebovat:

1. GnuPG - GPG (GNU Privacy Guard) vychází z PGP (Pretty Good Privacy). Jedná se o open-source programový balík pro bezpečnou komunikaci a předávání dat. Umožňuje šif­rování a dešifrování, podepisování a kontrolu podpisu různých dat, třeba emailů. Internet: http://www.gnupg.org/
2. THUNDERBIRD - vynikající poštovní program (náhrada za outlook express), umožňuje psát v různých znakových sadách (např. UTF-8), pak se to v zahraničí správně zobrazuje (Internet http://www.czilla.cz/).
3. ENIGMAIL - doplněk k thunderbirdu pro šifrování pošty a správu klíčů. GPG pracuje s kroužky na klíče! Má kroužek veřejných klíčů a kroužek s tajným klíčem.

Co je digitální podpis

Digitální podpis je bezpečnostní mechanismus, který je nezfalšovatelný a je založen na asymetrické kryptografii. Digitální podpis zaručuje, že zpráva nebyla změněna a autorem zprávy je opravdu osoba, která je podepsaná. Byl vytvořen jako náhrada klasického ručního podpisu, který je pro každou osobu jedinečný, ale je zfalšovatelný. V prostředí Internetu při elektronické komunikaci je obtížné ověřit, zda odesílatelem zprávy je skutečně ten, který je napsán. Také není možno zjistit, zda informace v elektronické komunikaci nebyla pozměněna nebo dokonce někým odposlechnuta (přečtena). Digitální podpis (zaručený elektronický podpis) a šifrování řeší tuto problematiku a je moderní součástí profesionální elektronické komunikace. Existují dva standardy:

1. X.509 certifikáty - S/MIME
2. OpenPGP certifikáty dle RFC 4880

GPG používá standard OpenPGP popsaný v RFC 4880 a 3156 pro šifrování a digitální podpisy. Odesílatel podepíše zprávu svým klíčem (musí znát heslo). Příjemce zprávy ověří digitální podpis veřejným klíčem odesílatele, který je veřejně dostupný na Internetu. Takže digitální podpis je „výtah zprávy“ SHA-1 až SHA-512 za použití tajného klíče odesílatele (podepsání) a veřejného klíče příjemce (zašifrování) při použití asymetrické kryptografie. Příjemce musí pro ověření dig. podpisu získat veřejný klíč odesílatele, nejlépe ze serveru veřejných klíčů (keyserver).

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Dobrý den,
dne 12. 12. 2006 nám bylo zaplaceno za software. Pro plnou funkčnost je třeba se zaregistrovat dle instrukcí na: http://zmsoft.cz/. Obvykle to provádí správce sítě, pokud jím nejste vy, tak prosím, přepošlete tento email také správci počítačové sítě.

Výpis z účtu 1115011026/0800
Číslo účtu příjemce 1115011026/0800
Přeji hezký den

Zdeněk Maršík
Květná 1843
688 01 Uherský Brod

Tento email je digitálně podepsán veřejným klíčem:
ID (keyID): E43A40DF
UID (User ID): Zdenek Marsik (Urbo: Uhersky Brod)
Otisk prstu (fingerprint): A858 94F9 5D73 DD88 D8D0 D791 AF02 99C3 E43A 40DF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFFgR3PrwKZw+Q6QN8RAh+vAKCrEfSe3o1fJA5/7LEYQlIerdrU2wCdE2kK K3ZgTVZTcspPdVyRYAoSbJU=ZOQj
-----END PGP SIGNATURE-----

To tučné je digitální podpis!!! Ty znaky je třeba si představit jako čísla, každý znak jedno číslo.

Z výše uvedeného vyplývá, že nejbezpečnější formou elektronické komunikace je zašifrování zprávy a její digitální podepsání. Aby mohla být zpráva u odesílatele zašifrována, je potřeba mít veřejný klíč příjemce. K podepsání slouží odesílatelův tajný klíč. Aby mohla být digitálně podepsaná zpráva ověřena (ověření správnosti digitálního podpisu) u příjemce, je potřeba, aby příjemce měl k dispozici veřejný klíč odesílatele. Proto je nejlepší svůj veřejný klíč umístit na Internetu na server klíčů, například na GPG veřejné klíče. Tuto adresu je též možno využít pro vyhledávání veřejných klíčů nejen z ČR ale z celého světa. Pak při potřebě veřejného klíče se poštovní klient automaticky zeptá a stáhne potřebný veřejný klíč, viz obrázek.

Toto není digitální podpis. Není to ani elektronický podpis, ani zaručený elektronický podpis. Je to pouze naskenované razítko a podpis, které jsou vloženy do dokumentu. Pokud jste se domnívali, že tohle digitální podpis, tak je tato kniha pro vás již nyní obrovským přínosem.