Enigmail
Enigmail je doplněk pro Mozilla Thunderbird, který umožňuje práci s GnuPGP pro - podepisování a autentizaci zpráv. Na této stránce vás Civenka provede instalací a základním používáním Enigmailu.
První kontakt s PGP
Když váš poštovní klient Mozilla Thunderbird dostane zprávu podepsanou PGP, se kterým neumí pracovat, uvidíte pouze vypsané informace v textové podobě jako -----BEGIN PGP SIGNED MESSAGE----- apod.), například takto:
Aby se poštovní klient naučil pracovat s PGP, musí mít nainstalován a nakonfigurován vhodný doplněk.
Instalace
Pro Mozillu Thunderbird existuje doplněk pro práci s PGP nazvaný Enigmail. Domovská stránka s řadou informací je na https://enigmail.net.
GnuPG
Prvním krokem je instalace GnuPG (Gnu Privacy Guard - Open source varianta PGP), který má domovskou stránku https://www.gnupg.org/, kde jsou i instalační soubory ke stažení. Postup je jednoduchý, vše stačí ponechat ve standardním nastavení a klikat OK - další - další - další - další - další - instalovat - další - dokončit.
Instalace pro MS Windows (gpg4win-2.2.5.exe) vypadá takto (kliknutím na obrázek se zobrazí v plné velikosti):
Enigmail
V druhém kroku je istalováno rozšíření Enigmail do poštovního klienta Mozilla Thunderbird. Postup je následující (kliknutím na obrázek jej zobrazíte ve větší velikosti):
1. Z menu Nástroje vybrat Správce doplňků. |
2. Do vyhledávacího políčka napsat Enigmail a stisknout klávesu Enter. |
3. Mezi vyhledanými rozšířeními najít Enigmail a kliknout na Instalovat. |
4. Instalace vyžaduje restart, takže kliknout na odkaz Restartovat |
5. Úspěšně nainstalovaný doplněk je vidět v záložce Rozšíření. |
6. Konfigurace bude řešena později, takže kliknout na Zrušit. |
Používání Enigmail
V této části jsou popsány základní úkony.
Vytvoření vlastního PGP klíče
Každý kdo chce s pomocí PGP podepisovat nebo dostávat zašifrované správy, musí mít vytvořen svůj PGP klíč (skládá se z privátního a veřejného klíče). Postup je následující:
1. V menu Enigmail vybrat Správa klíčů. |
2. V otevřeném okně vybrat z menu Vytvořit volbu Nový pár klíčů. |
3. Vybrat účet uživatele, zaškrtnout, že nový klíč patří k této identitě, zadat silné heslo pro přístup k privátnímu klíči, zaškrtnout Platnost klíče nekončí. |
4. Přepnout na záložku Rozšířené a ujistit se, že je nastavena velikost klíče na 4096 a typ klíče RSA a kliknout na tlačítko Vytvořit. |
5. Potvrdit, že klíč má být opravdu vytvořen.
|
6. Počkat, než bude klíč vytvořen |
7. Vytvořit revokační certifikát (pro odvolání platnosti) kliknutím na Generování certifikátu
|
8. Vybrat místo k uložení revokačního certifikátu. |
9. Autentizovat (potvrdit) požadavek na vytvoření revokačního certifikátu zadáním dříve zvoleného hesla.
|
10. Odkliknout potvrzení o vytvoření revokačního certifikátu |
11. Nyní je vidět přidaný klíč (tučné písmo znamená, že je k dispozici privátní klíč) |
12. Dále je potřeba veřejný klíč dát k dispozici ostatním - k tomu se běžně používá keyserver. Kliknout v menu Keyserver na Odeslat veřejné klíče. |
13. Ponechat přednastavený keyserver a potvrdit odeslání tlačítkem OK. |
14. Odesílání chvíli potrvá ... |
Vlastník PGP klíče nyní může podepisovat odesílané zprávy a také přijímat zašifrované zprávy (příslušný veřejný klíč je publikován na keyserveru).
Ověřování veřených klíčů
PGP neobsahuje žádné centrální prvky jako PKI, proto ověření veřejných klíčů ostatních účastníků je na nich samých.
Pokud přijde podepsaná zpráva a Enigmail daný veřejný klíč nemá k dispozici (setkává se s ním poprvé), je zobrazen žlutý pruh sdělující, že podpis nebylo možné ověřit. Uživatel musí nejprve veřejný klíč importovat tlačítkem Import:
Enigmail nabídne stažení z keyserveru - ponechat přednastavený a kliknou na OK
Pokud se daný klíč na keyserveru nachází, následuje informace o úspěšném importu jednoho klíče:
Nyní již Enigmail umí ověřit správnost podpisu, ale i když má veřejný klíč k dispozici, neví nic o jeho důvěryhodnosti. Proto je zobrazen tyrkysový pruh informující o správném nedůvěryhodném podpisu.
PGP je typicky používáno k osobní komunikaci, proto by se nyní měl adresát zprávy setkat s odesílatelem (nebo jej kontaktovat jiným vhodným způsobem) a ověřit si, jaký PGP klíč s jakým ID a jkaým otiskem (fingerprintem používá). Standardním krokem po ověření je podepsat svým PGP PGP klíč odesílatele:
1. V dialogu, který se otevře po volbě Správa klíčů v menu OpenPGP, je potřeba kliknout pravým tlačítkem na importovaný klíč a v kontextovém menu vybrat Podepsat klíč |
2. Nyní je nutné pečlivě zkontrolovat zda souhlasí poskytnuté ID klíče a jeho otisk. Dále pak nastavit "jak moc" bylo vlastnictví uvedené osoby ověřeno a kliknout na OK. |
Podpisy a způsob ověření identity vlastníka PGP klíče jsou pak používány při vyhodnocování důvěry ostatními uživateli PGP, kteří sice daného vlastníka ani jeho PGP klíč neznají, ale zato už znají osoby, které jeho PGP klíč podepsaly. Ověřování a podepisování PGP klíčů nahrazuje centrální autoritu PKI (root CA). Po podpisu cizího veřejného klíče je potřeba jej opět zaslat na keyserver (stejný postup jako u svého vlastního veřejného klíče).
Podpis, který bylo možno ověřit a je důvěryhodný, Enigmail indikuje zeleným pruhem:
Podepisování a šifrování zpráv
TODO: