Enigmail
Enigmail je doplněk pro Mozilla Thunderbird, který umožňuje práci s GnuPGP pro podepisování a autentizaci zpráv. Na této stránce vás Civenka provede instalací a základním používáním Enigmailu.
První kontakt s PGP
Když váš poštovní klient Mozilla Thunderbird dostane zprávu podepsanou PGP, se kterým neumí pracovat, uvidíte pouze vypsané informace v textové podobě (jako -----BEGIN PGP SIGNED MESSAGE----- apod.), například takto:
Aby se poštovní klient naučil pracovat s PGP, musí mít nainstalován a nakonfigurován vhodný doplněk.
Instalace
Pro Mozillu Thunderbird existuje doplněk pro práci s PGP nazvaný Enigmail. Domovská stránka s řadou informací je na https://enigmail.net.
GnuPG
Prvním krokem je instalace GnuPG (Gnu Privacy Guard - Open source varianta PGP), který má domovskou stránku https://www.gnupg.org/, kde jsou i instalační soubory ke stažení. Postup je jednoduchý, vše stačí ponechat ve standardním nastavení a klikat OK - další - další - další - další - další - instalovat - další - dokončit.
Instalace pro MS Windows (gpg4win-2.3.1.exe) vypadá takto (kliknutím na obrázek se zobrazí v plné velikosti):
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
Enigmail
V druhém kroku je istalováno rozšíření Enigmail do poštovního klienta Mozilla Thunderbird. Postup je následující (kliknutím na obrázek jej zobrazíte ve větší velikosti):
|
1. Z menu Nástroje vybrat Správce doplňků.  |
2. Do vyhledávacího políčka napsat Enigmail a stisknout klávesu Enter.  |
|
3. Mezi vyhledanými rozšířeními najít Enigmail a kliknout na Instalovat.  |
4. Instalace vyžaduje restart, takže kliknout na odkaz Restartovat  |
|
5. Úspěšně nainstalovaný doplněk je vidět v záložce Rozšíření.  |
6. Konfigurace bude řešena později, takže kliknout na Zrušit.  |
Používání Enigmail
V této části jsou popsány základní úkony.
Vytvoření vlastního PGP klíče
Každý kdo chce s pomocí PGP podepisovat nebo dostávat zašifrované správy, musí mít vytvořen svůj PGP klíč (skládá se z privátního a veřejného klíče). Postup je následující:
|
1. V menu Enigmail vybrat Správa klíčů.  |
2. V otevřeném okně vybrat z menu Vytvořit volbu Nový pár klíčů.  |
|
3. Vybrat účet uživatele, zaškrtnout, že nový klíč patří k této identitě, zadat silné heslo pro přístup k privátnímu klíči, zaškrtnout Platnost klíče nekončí.  |
4. Přepnout na záložku Rozšířené a ujistit se, že je nastavena velikost klíče na 4096 a typ klíče RSA a kliknout na tlačítko Vytvořit.  |
|
5. Potvrdit, že klíč má být opravdu vytvořen. 
|
6. Počkat, než bude klíč vytvořen  |
|
7. Vytvořit revokační certifikát (pro odvolání platnosti) kliknutím na Generování certifikátu 
|
8. Vybrat místo k uložení revokačního certifikátu.  |
|
9. Autentizovat (potvrdit) požadavek na vytvoření revokačního certifikátu zadáním dříve zvoleného hesla. 
|
10. Odkliknout potvrzení o vytvoření revokačního certifikátu  |
|
11. Nyní je vidět přidaný klíč (tučné písmo znamená, že je k dispozici privátní klíč)  |
12. Dále je potřeba veřejný klíč dát k dispozici ostatním - k tomu se běžně používá keyserver. Kliknout v menu Keyserver na Odeslat veřejné klíče.  |
|
13. Ponechat přednastavený keyserver a potvrdit odeslání tlačítkem OK.  |
14. Odesílání chvíli potrvá ...  |
Vlastník PGP klíče nyní může podepisovat odesílané zprávy a také přijímat zašifrované zprávy (příslušný veřejný klíč je publikován na keyserveru).
Ověřování veřených klíčů
PGP neobsahuje žádné centrální prvky jako PKI, proto ověření veřejných klíčů ostatních účastníků je na nich samých.
Pokud přijde podepsaná zpráva a Enigmail daný veřejný klíč nemá k dispozici (setkává se s ním poprvé), je zobrazen žlutý pruh sdělující, že podpis nebylo možné ověřit. Uživatel musí nejprve veřejný klíč importovat tlačítkem Import:
Enigmail nabídne stažení z keyserveru - ponechat přednastavený a kliknout na OK
Pokud se daný klíč na keyserveru nachází, následuje informace o úspěšném importu jednoho klíče:
Nyní již Enigmail umí ověřit správnost podpisu, ale i když má veřejný klíč k dispozici, neví nic o jeho důvěryhodnosti. Proto je zobrazen tyrkysový pruh informující o správném nedůvěryhodném podpisu.
PGP je typicky používáno k osobní komunikaci, proto by se nyní měl adresát zprávy setkat s odesílatelem (nebo jej kontaktovat jiným vhodným způsobem) a ověřit si, jaký PGP klíč s jakým ID a jakým otiskem (fingerprintem) používá. Standardním krokem po ověření je podepsat svým PGP klíčem PGP klíč odesílatele:
|
1. V dialogu, který se otevře po volbě Správa klíčů v menu OpenPGP, je potřeba kliknout pravým tlačítkem na importovaný klíč a v kontextovém menu vybrat Podepsat klíč  |
2. Nyní je nutné pečlivě zkontrolovat zda souhlasí poskytnuté ID klíče a jeho otisk. Dále pak nastavit "jak moc" bylo vlastnictví uvedené osoby ověřeno a kliknout na OK.  |
Podpisy a způsob ověření identity vlastníka PGP klíče jsou pak používány při vyhodnocování důvěry ostatními uživateli PGP, kteří sice daného vlastníka ani jeho PGP klíč neznají, ale zato už znají osoby, které jeho PGP klíč podepsaly. Ověřování a podepisování PGP klíčů nahrazuje centrální autoritu PKI (root CA). Po podpisu cizího veřejného klíče je potřeba jej opět zaslat na keyserver (stejný postup jako u svého vlastního veřejného klíče).
Podpis, který bylo možno ověřit a je důvěryhodný, Enigmail indikuje zeleným pruhem:
Každou další zprávu, podepsanou již ověřeným PGP klíčem, bude možno důvěryhodně ověřit automaticky.
Podepisování a šifrování zpráv
Při vytváření nové zprávy přidal enigmail menu, kde lze zaškrtnou, zda má být zpráva podepsána (ikonka tužky) a/nebo šifrována (ikonka visacího zámku). Také můžete připojit vlastní veřejný klíč rovnou ke zprávě (pro případ, že nechcete klíč předávat přes keyserver, což chvíli může trvat).
Poznámka: Pro zašifrování zprávy musít Enigmail znát veřejné PGP klíče všech adresátů - pokud nějaký není k dispozici, je třeba jen neprve získat.
Takto vypadá doručená zašifrovaná zpráva (zde si můžete všimnout, že je adresát paranoidní a má nastaveno zadávání hesla k privátními klíči PGP při každém použití)
Po dešifrování je vidět původní obsah (zde si můžete všimnout, že adresát ještě nemá veřejný klíč odesílatele):
Speciality
Popis zajímavých možností, které pro běžné používání nejsou potřeba, ale hodí se.
Používání stejného PGP klíče pro více e-mailových adres
Pokud někdo využívá více e-mailových adres a chce používat svůj PGP klíč pro všechny, musí si přidat další identitu (identity). Například Civenka chce kromě adresy civenka@civ.zcu.cz používat také civenka@civenka.cz:
|
1. V kontextovém menu u daného klíče kliknout na Vlastnosti klíče.  |
2. Kliknout na Vyberte akci a Spravovat ID uživatele.  |
|
3. Nyní je vidět pouze jediná identita Anna Nováková (Civenka) civenka@civ.zcu.cz. Kliknout na Přidat  |
4. Vyplnit nové údaje a kliknout na OK.  |
|
5. Nová identita ja nastavena jako hlavní (první v seznamu) a je zobrazována pro daný klíč. Pokud je potřeba změnit hlavní identitu, stačí označit identitu a kliknout na Nastavit hlavní  |
6. Celkový výsledek.  |
Přenos PGP klíčů mezi více zařízeními
Pokud chcete PGP používat na více zařízeních současně nebo měníte používaný hardware, je potřeba PGP klíče přenést. K tomu slouží funkce exportovat klíče do souboru a importovat klíče ze souboru. Při přenosu ze zařízení A na zařízení B je postup následující:
|
1. Na zařízení A ve správci klíčů označit všechny klíče určení k exportu (funguje např. Ctrl+A k označení všech), kliknout na Soubor a volbu Exportovat klíče do souboru.  |
2. Zvolit Exportovat soukromé klíče, čímž se do exportu dostanou jak soukromé, tak i veřejné klíče.  |
|
3. Vybrat umístění souboru  |
4. Přenést soubor na zařízení B a ve správci klíčů kliknout na Soubor a volbu Importovat klíče ze souboru (na obrázku je i vidět, že seznam klíčů je nyní prázdný).  |
|
5. Vybrat soubor s exportovanými klíči.  |
6. Na zařízení B jsou nyní stejné klíče jako na zařízení A.  |
Poznámky:
- Důležité je přenést privátní klíč, což stačí udělat jednorázově.
- Veřejné klíče podepsané vlastním privátním klíčem lze na všech zařízeních stahovat také z keyserverů.
Používání flashdisku pro uložení klíčů
Pokud je potřeba používat PGP na více počítačích současně, např. pracovní stanice a notebook, je nepraktické uchovávat veřejné i privátní klíče na několika místech současně. Nehledě na nutnost zabezpečit citlivé údaje na všech počítačích.
Upozornění: Následující postup je komplikovanější a neměl by se do něj pouštět žádný začátečník.
Cílem je nastavit programový balík GnuPG nebo gpg4win, aby vždy hledalo na flashdisku místo ve standardním c:\gnupg nebo ~/.gnupg. Následující příklady předpokládají, že obsah zmíňených adresářů byl přesunut na flashdisk do adresáře gnupg.
MS Windows (GnuPG)
- Vytvořit v registrech klíč
HKEY_CURRENT_USER\Software\GNU\GnuPG
- Do vytvořeného klíče zadat položku HomeDir, která specifikuje adresář obsahující informace o klíčích (zde např. f:/gnupg). Mlčky předpokládejme, že MS Windows flashdisku přiřadí vždy stejné písmeno (obvykle tomu tak je).
MS Windows (gpg4win)
- Nastavit systémovou proměnnou GNUPG
GNUPGHOME=f:\gnupg
Linux
- Vytvořit symbolický link (pro systém, který připojí flashdisk jako /media/usb0).
ln -s /media/usb0/gnupg ~/.gnupg
Správnou funkčnost lze ověřit příkazem
gpg --version ... Home: f:/gnupg ...
Po provední těchto kroků už stačí pouze přijít ke správně nakonfigurovanému počítači, připojit flashdisk a používat PGP. Pokud není připojen, PGP nebude schopno pracovat.
