Kaip išsaugoti savo privatumą elektroniniuose laiškuose (III dalis) – PGP

PGP ir S/MIME suteikia galimybę apsaugoti duomenų vientisumą ir konfidencialumą. Esminis skirtumas tarp šių standartų glūdi pasitikėjimo modelyje ir naudojimo sudėtingume.

S/MIME raktu pasitikima, jei už jį laiduoja sertifikavimo tarnybos. Tarnybų, kuriomis pasitikima, sąrašas platinamas kartu su operacinėmis sistemomis, programomis ir aplikacijomis. Jei bent viena iš šių sertifikavimo tarnybų yra pažeidžiama ar netinkamai atlieka patikrą, visa pasitikėjimo sistema tampa nesaugia. Žinoma, sertifikavimo tarnybos patikros procedūroms ir saugai yra keliami griežti reikalavimai, tačiau yra buvęs ne vienas atvejis, kai nusikaltėliai įsilaužę arba apgavę kurią nors sertifikavimo tarnybą ir neteisėtai gavo jiems nepriklausantį sertifikatą.

PGP atveju jūs pats turite patikrinti kiekvieno rakto braižą, o raktus, kuriais pasitikite, skaitmeniškai pasirašyti. Šio patikrinimo kokybė nulemia tolesnį duomenų saugumą. Ne visuomet yra galimybė patikrinti visus raktus, todėl palengvinimui galima naudoti pasitikėjimo tinklo modelį. Formuojant pradinį pasitikėjimo tinklą kiekvienas raktas tvirtinamas individualiai suteikiant pasitikėjimo lygį (pilną arba dalinį). Vėliau raktais bus pasitikima ir tuomet, kai už juos laiduoja kiti raktai, kuriais jūs jau pasitikite. Tam reikia laidavimo iš bent vieno rakto, kuriuo pasitikite pilnai, arba bent iš trijų raktų, kuriais pasitikite dalinai. PGP leidžia pilnai kontroliuoti kuo pasitikite, tačiau jo naudojimas reikalauja daugiau pastangų, nei S/MIME.

Net ir stipriausia saugumo sistema gali būti nesaugi jei naudojama neteisinga ar atmestinai, todėl patys turite įvertinti kokio lygio saugumo ir sudėtingumo sistema jums tinka.

PGP Formatai

Naudodami PGP galite užšifruoti ar skaitmeniškai pasirašyti bet kokius duomenis, tačiau šiuo atveju apsiribosime populiariausiu panaudojimo atveju – elektroninių laiškų apsauga. Elektroninius laiškus užšifruoti ir skaitmeniškai pasirašyti galima dvejais formatais: PGP/MIME ir tekstiniu. Tekstinis formatas atrodo taip:

—–BEGIN PGP SIGNED MESSAGE—– Hash: SHA1

Šis tekstas yra patvirtintas skaitmeniniu parašu.

—–BEGIN PGP SIGNATURE—– Version: GnuPG/MacGPG2 v2.0.20 (Darwin)
Version: GnuPG/MacGPG2 v2.0.20 (Darwin)

iQEcBAEBAgAGBQJSH7SfAAoJECTq9Afk5U+v0rUH/3rzMq3tddYWJejCIhuSJLz9
WRKYssvvE0e8Qez+CHekh5Nf7NkOJ8Tr+XyHVWkXVwLA5ueeha105hU7BgN07fiX
3WTKzczXqnqIYgmgmdHhJpRwTyAE/YPnJASH3hTWEcu6gu7gWQE/SO0VEGMXVJW5
pAI+dt0Ul+UOfPNMA762zbbGFTDfESZQzkA/7OTsiIC62z0I2Pz+se4ib0zNfdlV
65Cvt8Lpqw6Y4RcjsOk4q/IsX05nkIychnO5Gh4jPrSf4CKujeicf4ZGDCAJ3kCE
eCC3HXKNm4Rksf7xUWX79QMKE+ehQZfckIHTKurFXpflKP4QAofwyzeJUeDQQtk=
=0+7U
—–END PGP SIGNATURE—–

Tokio formato žinutę lengva įterpti į laišką, net jei pašto programa visiškai nesupranta PGP formato. Tačiau toks formatas turi ir keletą trūkumų:

• PGP antraštės bjauroja laiškus;
• Persiunčiant laišką gali būti keičiamas jo turinys ir jei nepasivarginama išmesti nebegaliojančio skaitmeninio parašo antraščių PGP įskiepiai rodys įkyrias klaidas;
• Nėra efektyvaus būdo nustatyti ar naudojamas PGP, reikia atlikti antraščių paiešką visame laiško tekste;
• Tekstinės antraštės netinka ne tekstinio formato priedų skaitmeniniam pasirašymui.

Tekstinio formato trūkumams spręsti buvo sukurtas PGP/MIME. MIME tai el. pašto išplėtimas, leidžiantis laiškais siųsti daugiau nei lotyniškais rašmenimis parašytą tekstą. MIME pagalba laiškus galima rašyti skirtingomis koduotėmis, o kartu su tekstu siųsti ir priedus. PGP/MIME tai turinio tipų aibė žyminti šifruotą ar skaitmeniškai pasirašytą turinį arba raktus. Iš esmės PGP/MIME reiškia, kad šifruoti duomenys ar skaitmeninis parašas bus siunčiami kaip atskiri priedai. PGP/MIME ir S/MIME veikimo principai labai panašūs. Tai iš esmės išsprendė tekstinio formato problemas:

• Išlaikomas originalus laiško formatas be pašalinių antraščių tekste.
• Persiunčiant laišką skaitmeninio parašo priedas gali būti lengvai pašalinamas. Net jeigu skaitmeninio parašo priedas paliekamas, jis neturės ryšio su persiunčiamu turiniu, todėl nebus rodomos klaidos.
• Pagal priedo tipą atpažįstama ar reikalingas skaitmeninio parašo tikrinimas arba turinio dešifravimas.
• Vieningu formatu galima skaitmeniškai pasirašyti bet kokio formato priedus.

PGP/MIME turi ir keletą trūkumų, dėl kurių kartais tenka naudoti tekstinį PGP formatą:

• Prastas suderinamumas su senomis el. pašto programomis, kurios nesupranta PGP/MIME formato. Laiško turinys būna tuščias, matomi tik atskiri priedai.
• Naudojant naršyklę nėra galimybės apsaugoti laiškus siunčiant iš naršyklės (pvz. Gmail).

Mac OS X skirta PGP programinė įranga

GPG tai atvira ir nemokama alternatyva komercinei šifravimo programai PGP. Mac OS X 10.6 ir naujesnėms versijoms skirtą programų rinkinį „GPGTools“ galite parsisiųsti iš [gpgtools.org] puslapio.

Diegimas

1. Atidarykite parsisiųstą programos paketą:
2. Iškvieskite diegimo programą „Install.pkg“:
3. Atsidariusiame diegimo vedlyje, spauskite „Continue“:
   
4. Spauskite „Install“:
   
5. Įveskite sistemos naudotojo slaptažodį ir spauskite „Install Software“:
   
6. „GPGTools“ programų rinkinio diegimas baigtas, spauskite „Close“:
   

Raktų poros generavimas

PGP veikimas pagrįstas asimetriniais kriptografijos algoritmais kurie naudoja raktų porą sudarytą iš viešo ir slapto raktų. Viešas raktas, naudojamas duomenų užšifravimui arba skaitmeninio parašo patikrinimui, turėtų būti iš anksto perduotas naudotojams su kuriais bendrausite naudodami PGP. Slapto rakto be jūsų neturėtų turėti niekas kitas, jis naudojamas duomenų dešifravimui ir skaitmeniniam pasirašymui.

1. Programų sąraše suraskite ir iškvieskite raktų saugyklos programą „GPG Keychain Access“:
2. Raktų saugykloje jau yra įkeltas GPGTools komandos viešasis raktas. Jei norite sugeneruoti savo raktų porą, paspauskite piktogramą „New“:
3. Įveskite savo duomenis ir spauskite „Generate key“:
4. Du kartus įveskite slaptažodį, kuriuo apsaugosite slaptąjį raktą ir spauskite „OK“. Tai yra pagrindinė jūsų slaptojo rakto apsauga, todėl labai svarbu, kad slaptažodis būtų ilgas ir sunkiai atspėjamas.
5. Palaukite, kol bus sugeneruota raktų pora. Atsitiktinių skaičių generatoriui pagelbėsite, jei kol laukiate chaotiškai judinsite pelę arba spaudinėsite klaviatūrą.
6. Baigus raktų poros generavimą, galite pažiūrėti informaciją apie ją. Pažymėkite raktų poros įrašą ir paspauskite „Info“ piktogramą:
7. Atkreipkite dėmesį į „Key ID“ (dažnai naudojami tik paskutiniai 8 simboliai) ir „Fingerprint“ (rakto braižas), tai parametrai, pagal kuriuos identifikuojamas ir tikrinamas viešasis raktas.

Viešojo rakto publikavimas

Norint patikrinti skaitmeniškai pasirašytus duomenis arba išsiųsti šifruotą informaciją, reikalingas gavėjo viešasis raktas, todėl reikia pasirūpinti, kad toks raktas būtų lengvai randamas. Vienas iš lengviausių ir populiariausių metodų – viešojo rakto publikavimas PGP raktų serveriuose.

1. Raktų saugykloje pažymėkite raktą, kurį norite publikuoti, paspauskite dešinį pelės klavišą (arba ctrl+paspaudimas) ir pasirinkite „Send public key to Keyserver“:
2. Per kelias minutes raktas bus automatiškai išplatintas tarp PGP serverių. Pabandykite jį surasti viename iš serverių, pavyzdžiui pgp.mit.edu
3. Palyginkite viešojo rakto braižą (angl. „fingerprint“) su raktų saugyklos informacija (raktų poros generavimo 7 žingsnis):

Viešojo rakto suradimas

Jei norite surasti kito naudotojo viešąjį raktą, jums reikia žinoti el. pašto adresą arba viešojo rakto ID ir rakto braižą. Šiuos duomenis turėtų būti gauti saugiu metodu, pavyzdžiui susitikus „akis į akį“.

1. Iš raktų saugyklos programos meniu pasirinkite „Key > Search for key…“:
2. Įveskite el. pašto adresą arba viešojo rakto ID ir spauskite „Search key“:
3. Jei rezultatuose atitinka el. pašto adresas ir viešojo rakto ID spauskite „Retrieve key“:
4. Viešasis raktas įdiegtas, spauskite „Close“:
5. Paspauskite „Info“ piktogramą ir palyginkite parsisiųsto viešojo rakto braižą (1) su iš anksto žinomu bei nustatykite pasitikėjimo lygį (2):
6. Dabar galėsite naujam adresatui siųsti šifruotus laiškus bei patikrinti jo skaitmeninį parašą.

Laiškų siuntimas

1. Rašydami naują laišką atkreipkite ar naudojamas OpenPGP (1) ir ar galimas laiško skaitmeninis pasirašymas bei šifravimas (2). (informaciją apie piktogramų reikšmes rasite straipnyje Kaip išsaugoti savo privatumą elektroniniuose laiškuose (II dalis) – S/MIME)
2. Jei reikia, įveskite savo slaptojo rakto slaptažodį:
3. Laiškas buvo skaitmeniškai pasirašytas naudojant PGP/MIME. Jei atidarysime laišką programoje, kuri nesupranta PGP, pavyzdžiui Gmail pašte, skaitmeninio parašo priedas nėra interpretuojamas. Tačiau galime parašyti atsakymą įterpdami atskirai sugeneruotą tekstinio formato PGP skaitmeninį parašą:

   Skaitmeniškai pasirašomas laiškas rašytas tik lotyniškomis raidėmis, nes Lietuviškos abėcėlės simbolius el. pašto programos siunčiant perkoduoja, todėl gautas laiškas neatitiktų skaitmeninio parašo.

4. „Mail“ programa su anksčiau įdiegtu GPGTools įskiepiu atpažįstą turinį ir jo skaitmeninį parašą tekstiniu PGP formatu. Jei skaitmeniškai pasirašytas turinys buvo modifikuotas, bus rodoma perspėjimas (laiškas nr. 2):

PGP naudojimo patarimai

1. Nenaudokite PGP be reikalo, nes ne kiekvienas adresatas galės patikrinti skaitmeniškai pasirašytus laiškus. Kartais norint perduoti šifruotus duomenis užtenka „rar“ archyvo su geru slaptažodžiu.
2. Nepublikuokite ir nenaudokite testavimo metu sugeneruotų raktų, jie tik teršia raktų saugyklas ir mažina pasitikėjimą jūsų adresu.
3. Naudokite stiprius slaptažodžius slaptajam raktui apsaugoti ir neatskleiskite jų kitiems asmenims. Rekomenduojame naudoti ilgą frazę į ją įmaišant didžiąsias, mažąsias raides, skaičius ir specialiuosius simbolius, pavyzdžiui: nuskinkMANj@zmin4,baltojivarnele
4. Nurodykite raktų galiojimo laiką, tokiu būdu ribojama galima žala, jei prarandama slaptojo rakto kontrolė. Baigiantis galiojimo terminui naująjį raktą galite skaitmeniškai pasirašyti su senuoju.
5. Saugokite savo slaptąjį raktą net ir pasibaigus galiojimo laikui, antraip negalėsite perskaityti ir senų šifruotų laiškų.
6. Jei atlikote kruopščią rakto patikrą, skaitmeniškai pasirašykite patikrintą viešąjį raktą savuoju ir publikuokite jį, tokiu būdų kiti žmonės galės pasitikėti šiuo raktu naudodami pasitikėjimo tinklo modelį.