Kaip išsaugoti savo privatumą elektroniniuose laiškuose (II dalis) - S/MIME

Išsiųsti elektroniniai laiškai keliauja per visą eilę kompiuterinių sistemų. Dažniausiai nežinome ir nesukame sau galvos dėl to kur jie pabuvoja, kokį kelią nukeliauja ir kur kokius pėdsakus palieka per tas kelias sekundes kol pagaliau patenka į laiško gavėjo pašto dėžutę, kurią jei laiškas nėra koduotas panaudojant elektroninį saugumo sertifikatu gali skaityti pašto serverio administratoriai, vyriausybinės organizacijos, jūsų viršininkas, gudresnis kaimynas tyliai sėdintis jūsų namų Wi-Fi tinkle ar prie gretimo staliuko geriantis kavą pilietis kavinėje suteikiančioje nemokamą Wi-Fi prisijungimą prie interneto ar pagaliau tie, kas teisėtai ar neteisėtai turi jūsų elektroninio pašto paskyros prisijungimo duomenis.

Dažnas nenorėtų, kad bet kas skaitytų jo laiškus ir savo privatumą labai vertina, bet aklai tiki, kad elektroninio pašto paslaugos tiekėjas yra nekaltas ėriukas ir užgulęs krūtine saugo savo klientų elektroninių laiškų turinį, o jei ir netiki tuo gūžčioja pečiais sakydamas „o ką aš galiu čia pakeisti?“. Pakeisti galima, tiems kurie nežino kodėl tai reikėtų daryti - patarčiau šį straipsnį pradėti skaityti nuo pirmosios jo dalies.

Šioje dalyje papasakosiu kaip įdiegti S/MIME[1] - asimetrinį[2] skaitmeninį elektroninio pašto saugumo sertifikatą OS X ir iOS sistemose, kurio pagalba galėsite sustiprinti savo siunčiamų laiškų apsaugą neleisdami jų skaityti bet kam. Šiame straipsnyje nepasakosiu apie PGP tipo sertifikatus, nes norint pastaraisiais naudotis reikia diegti specialias programas ir priedus kitoms aplikacijoms ir todėl, kad dažnai nervina, ypač pradžioje, PGP įsidiegę piliečiai kurie žaidžia/eksperimentuoja ir kas savaitę sau išduoda po naują sertifikatą.

Jei esate Windows ar Linux sistemų vartotojas – instrukcijas kaip įdiegti skaitmeninius elektroninio pašto sertifikatus, be vargo, rasite internete, pvz.: instrukcijos Windows vartotojams (anglų kalba). Norint siųsti skaitmeniniu elektroninio pašto saugumo S/MIME sertifikatu koduotą laišką reikia, kad gavėjas taip pat naudotų S/MIME ir tas elektroninis adresas turėtų sertifikatą, o jūs gavėjo viešąjį raktą priskirtą tam el.pašto adresui. Norint siųsti skaitmeniniu sertifikatu pasirašytus laiškus - laiško gavėjui nebūtina turėti S/MIME sertifikatą.

Kaip gauti S/MIME skaitmeninį saugumo sertifikatą

Nemokamai suteikiančių skaitmeninį saugumo sertifikatą nėra daug - aš naudoju Comodo CA Ltd. todėl jį ir naudosiu pavyzdyje. Jei norite mokamo - pasirinkimas kur kas platesnis. Skaitmeninį elektroninio pašto saugumo sertifikatą už ~70-100 LTL metams galite įsigyti iš įvairių tiekėjų. Skirtumas tarp mokamo ir nemokamo labai menkas. Mokame, prie informacijos rašomi vartotojo, kuriam priklauso tas elektroninio pašto adresas vardas ir pavardė, o nemokamame tik elektroninio pašto adresas, kuriam šis sertifikatas yra suteiktas.

  • Naršyklėje atidarykite Comodo CA Ltd. svetainės nemokamo S/MIME sertifikato formos puslapį
  • Užpildykite reikiamus laukus teisingai nurodydami savo vardą ir pavardę (šveplai, nes raidžių su diakritiniais ženklais sertifikatas nepriima). Nurodykite tikrus duomenis, nes priešingu atveju laiško gavėjas negalės jūsų identifikuoti.
  • Lauke „Email Address“ įrašykite savo elektroninio pašto adresą, kuriam norite išsiimti sertifikatą. Adresą rašykite lygiai taip pat kaip jis parašytas jūsų elektroninio pašto aplikacijoje (didžiosios ir mažosios raidės turi skirtumą ir Vardenis@Pavardenis.lt nėra tas pats kaip vardenis@pavardenis.lt)
  • Nurodykite savo šalį pasirinkdami iš sąrašo, pvz.: Lithuania
  • Lauke „Private Key Options“ palikite reikšmę 2048 (High Grade)[3]
  • Laukeliuose „Revocation Password“ du kartus įveskite slaptažodį. Šis slaptažodis bus reikalingas sertifikato atšaukimo atvejui jei kas nors pavogė jūsų kompiuterį ar kitaip užvaldė jūsų sertifikatą.
  • jei norite gauti Comodo naujienas - palikite varnelę prie „Comodo Newsletter“
  • Perskaitykite sutarties sąlygas ir jei sutinkate uždėkite „varnelę“ prie I ACCEPT ir spauskite Next.
  • Po poros minučių gausite elektroninį laišką su nuoroda, kur jungtis ir slaptažodį
  • Nueikite nurodytu adresu, įveskite slaptažodį ir spauskite ant „Submit & Continue“ mygtuko.
  • Šis veiksmas į jūsų naršyklėje nurodytą failų atsisiuntimo aplanką patalpins sertifikato failą.

Kaip įdiegti S/MIME sertifikato failą OS X

  • Paspauskite pele (taip lyg norėtumėte jį atidaryti) ant sertifikato failo
  • Įveskite sertifikato slaptažodį, kurį nurodėte svetainėje
  • jei pareikalaus įveskite kompiuterio administratoriaus paskyros vardą ir slaptažodį

Dabar sertifikatas įdiegtas jūsų Mac kompiuteryje ir jį peržiūrėti galite atidarę Keychain Access aplikaciją (ją rasite Applications/Utilities). Sertifikatai OS X Keychain Access aplikacijoje

Jei sertifikatą norite naudoti iOS įrenginyje - turite jį eksportuoti .p12 formatu.

  • Pažymėkite sertifikatą kurį norite eksportuoti
  • Paspauskite dešinį pelės klavišą ir iš atsidariusio meniu pasirinkite Export “el. pašto adresas” nurodykite vietą kur norite eksportuoti ir spauskite save. S/MIME sertifikato eksportavimas iš OS X Keychain Access aplikacijos
  • Įveskite slaptažodį, kurio reikės norint įdiegti sertifikatą kitame įrenginyje Apsaugome eksportuojamą S/MIME sertifikatą slaptažodžiu
  • Įveskite kompiuterio administratoriaus slaptažodį, kuris suteiks sertifikato eksportavimui reikalingą prieigą prie Keychain Access saugomo sertifikato

Jei turite įrenginį, kuriam reikia kito formato, prieš išsaugodami sertifikatą nurodykite kokiu formatu jį išsaugosite.

Kaip įdiegti S/MIME sertifikato failą iOS

Norint įdiegti S/MIME skaitmeninį elektroninio pašto saugumo sertifikatą iOS įrenginyje turite naudotis ne žemesne kaip iOS 5 versija ir jums reikės sertifikato .p12 formatu. Tokiu formatu sertifikatą gauti galite išeksportavę jį Mac kompiuteryje.

  • A Išeksportuotą failą persiųskite sau elektroniniu pašto adresu kurį galite gauti iOS įrenginyje;
  • BGavę laišką iOS įrenginyje paspauskite ant prie laiško prisegto sertifikato failo
  • C Lange „Install Profile“ paspauskite ant Install
  • DAtsidariusiame „Unasigned Profile“ lange spauskite ant Install Now
  • EĮveskite iOS įrenginio atrakinimo kodą (jei reikia)
  • FĮveskite slaptažodį, kurį nurodėte eksportuodami sertifikatą į .p12 formatą Mac kompiuteryje.
  • GLange „Profile Installed“ galite pažiūrėti įdiegto saugumo sertifikato duomenis. Jei rašo, kad „Not Trusted“ - galite tai ignoruoti.

Žingsniai diegiant S/MIME sertifikatą iOS įrenginyje

Norėdami sertifikato duomenis peržiūrėti vėliau ar sertifikatą ištrinti: Settings > General nustatymų pasirinkimų apačioje spauskite ant Profiles

Kaip naudotis sertifikatu OS X Mail aplikacijoje

Įdiegę S/MIME sertifikatą OS X Keychain Access aplikacijoje, OS X Mail aplikaciją uždarykite ir vėl atidarykite.

  • Jei OS X Mail prašys leidimo prieiti prie Keychain Access saugomų duomenų - sutikite arba paspausdami Allow arba Always Allow, jei nenorite, kad Mail kaskart paleidžiant šito klaustų. OS X Mail aplikacija prašo leidimo prieiti prie Keychain Access saugomų sertifikatų
  • Atidarykite naujo laiško kūrimo langą
  • Naujo laiško lange, dešinėje pusėje pamatysite atsiradusias dvi papildomas piktogramas OS X Mail aplikacijos naujo laiško langas jei įdiegti S/MIME sertifikatai Šių piktogramų aktyvumas gali keistis priklausomai nuo to ar pasirinktas elektroninio pašto adresas iš kurio siųsite laišką turi sertifikatą ar neturi:
    S/MIME piktogramų reikšmės OS X Mail aplikacijoje
  • A - pasirinktas elektroninio pašto adresas neturi įdiegto sertifikato
  • B - pasirinktas elektroninio pašto adresas turi sertifikatą ir yra išsaugotas laiško gavėjo viešasis raktas, bet laiškas siunčiamas nepasirašytas ir nekoduotas
  • C - pasirinktas elektroninio pašto adresas turi sertifikatą ir yra išsaugotas laiško gavėjo viešasis raktas - laiškas bus siunčiamas pasirašytas, bet ne koduotas
  • D - pasirinktas elektroninio pašto adresas turi sertifikatą ir yra išsaugotas laiško gavėjo viešasis raktas - laiškas bus siunčiamas pasirašytas ir koduotas
  • E - pasirinktas elektroninio pašto adresas turi sertifikatą, bet nėra išsaugotas laiško gavėjo viešasis raktas - laiškas bus siunčiamas pasirašytas, bet ne koduotas
  • F - pasirinktas elektroninio pašto adresas turi sertifikatą ir yra išsaugotas laiško gavėjo viešasis raktas - laiškas bus siunčiamas nepasirašytas, bet koduotas (retas, bet įmanomas pasirinkimas)

Jei pasirinkto elektroninio pašto adreso sertifikatas yra sukurtas ir išsaugotas Keychain Access aplikacijoje įjungti ar išjungti kodavimą ar laiško pasirašymą sertifikatu galit paspaudę ant šių piktogramų. Piktograma su spynele simbolizuoja laiško kodavimą (užrakinta - koduotas, atrakinta - nekoduotas), o dešiniau jos esanti piktograma rodo ar laiškas bus pasirašomas sertifikatu ar ne (jei piktogramos viduje yra varnelė - pasirašomas, jei kryžiukas - nepasirašomas).

Jei siunčiate pasirašytą, bet ne koduotą laišką, laiško gavėjui nebūtina naudoti S/MIME sertifikato. Kaip laiško gavėjas matys ir ar matys, kad laišką pasirašėte, jei jis nenaudoja S/MIME sertifikato priklauso nuo gavėjo naudojamos pašto aplikacijos: jis gali prie jūsų adreso matyti specialų simbolį. Jei gavėjas naudoja el.pašto aplikaciją nepalaikančią S/MIME, laiške jūsų parašą jis matys kaip prisegtą smime.p7s failą.

Taip pasirašytas, bet ne koduotas laiškas atrodo Internetinėje Google pašto svetainėje, kuri nepalaiko S/MIME (dėl žinomų priežasčių)
Taip pasirašytas, bet ne koduotas laiškas atrodo Internetinėje Google pašto svetainėje, kuri nepalaiko S/MIME (dėl žinomų priežasčių)
Taip atrodo pasirašytas ir koduotas laiškas Internetinėje Google pašto svetainėje. Kadangi ji nepalaiko S/MIME - laiško turinio nematome ir atitinkamai jo nemato nei Google nei bet kas kas turi priėjimą prie jūsų pašto, bet neturi sertifikato (būtent tai ko mes ir siekiame.)
Taip atrodo pasirašytas ir koduotas laiškas Internetinėje Google pašto svetainėje. Kadangi ji nepalaiko S/MIME - laiško turinio nematome ir atitinkamai jo nemato nei Google nei bet kas kas turi priėjimą prie jūsų pašto, bet neturi sertifikato (būtent tai ko mes ir siekiame.)

Kaip naudotis sertifikatu iOS Mail aplikacijoje

Norint naudotis į iOS įrenginį įdiegtu sertifikatu, iOS Mail aplikacijoje reikia nurodyti, kad ji naudotų sertifikatą:

  • Atidarykite Settings aplikaciją
  • Nueikite į Mail, Contacts, Calendars
  • Paspauskite ant elektroninio pašto paskyros, kuriai esate įdiegę sertifikatą ir norite jį naudoti
  • Spauskite ant Account > Advanced
  • Ekrano apačioje:
    • S/MIME perjukite į ON
    • Jei norite sertifikatu pasirašyti el.pašto laiškus Sign perjunkite į ON ir nurodykite tam elektroninio pašto adresui priskirtą sertifikatą
    • Grįžkite į praeitą langą
    • Jei norite siųsti koduotus el.pašto laiškus Encrypt perjunkite į ON ir nurodykite tam elektroninio pašto adresui priskirtą sertifikatą
    • Grįžkite į praeitą langą ir spauskite Advanced > Account > Done

Dabar, jei įjungėte abi S/MIME funkcijas galite siųsti sertifikatu pasirašytus laiškus, o jei iOS įrenginyje turite išsaugoję gavėjo viešąjį elektroninio pašto raktą tai ir koduotus laiškus.

Jei norite rašyti S/MIME sertifikatu pasirašytus laiškus - turite išsaugoti viešąjį adresato raktą. Jei nesate gavę iš to adresato S/MIME sertifikatu pasirašyto laiško ir žinote kad jis jį naudoja bei norėtumėte korespondenciją elektroniniais laiškais su juo koduoti - paprašykite, kad jis tokį laišką atsiųstų.

Gavę tokį laišką paspauskite ant jo siuntėjo vardo > sekančiame lange spauskite ant View Certificate > Install. Turite būti tikri, kad tai laiškas siųstas būtent to žmogaus, kuriam priklauso tas elektroninio pašto adresas. Kai viešasis raktas įdiegtas, vietoje Install matysite Remove Viešojo S/MIME rakto diegimas iOS. Kairėje galime raktą įdiegti; Dešinėje galime raktą pašalinti.

Tai, kad gautas el.laiškas koduotas ir pasirašytas, arba tik pasirašytas - matysite iš piktogramų šalia siuntėjo vardo/adreso. Tai, kad gautas el.laiškas koduotas ir pasirašytas, arba tik pasirašytas - matysite iš piktogramų šalia siuntėjo vardo/adreso. Kairėje tik sertifikatu pasirašytas laiškas, o dešinėje sertifikatu pasirašytas ir koduotas laiškas.

iOS nėra patogu junginėti S/MIME nustatymus todėl nurodykite kokie jums tinkamiausi. Atminkite, kad jei nurodysite kad laiškus siųsti ir pasirašytus ir koduotus, bet neturite el.laiško gavėjo (arba vieno iš laiško gavėjų, jei jie keli) viešojo S/MIME rakto - laiškas bus siunčiamas tik pasirašytas, bet ne koduotas.

Kairėje pusėje - laiškas bus išsiųstas koduotas, nes adresato el.pašto adreso viešasis S/MIME raktas įšsaugotas iOS įrenginyje. Dešinėje pusėje raudonai parodoma, kad neturite gavėjo viešojo rakto ir elektroninis laiškas bus išsiųstas nekoduotas.

Ką reikia prisiminti naudojantis skaitmeniniais elektroninio pašto apsaugos sertifikatais

  • Savo S/MIME skaitmeninį sertifikatą turite saugoti ir niekam neleisti prie jo prieiti bei turėti atsarginę jo kopiją. Jei raktą ištrinsite ar įsigysite naują kompiuterį ir neturėsite rakto - negalėsite perskaityti jums siųstų, šio sertifikato viešuoju raktu užkoduotų, laiškų. Tai galioja ir pasibaigusio termino sertifikatams.
  • Jei įtariate, kad kažkas naudojasi jūsų sertifikatu (pvz pavogė kompiuterį, kuriame jūs „per neapsižiūrėjimą“ nebuvote įdiegę vartotojo slaptažodžio ir kitų apsaugos priemonių) - raktą tuojau pat atšaukite. Informaciją kaip tai padaryti rasite sertifikatą išdavusios institucijos svetainėje.
  • Nėra būtinybės koduoti visus laiškus, tačiau jei laiško tekstas konfidencialus ir nenorite, kad kas nors kitas (išskyrus tą kam jis skirtas) jį perskaitytų - koduokite.
  • Jei koduotą el.laišką siunčiate ne vienam gavėjui ir neturite nors vieno adresato viešojo rakto - laiškas bus išsiųstas nekoduotas. Būkite dėmesingi ir atkreipkite dėmesėį į OS X Mail piktogramas ar iOS įrenginio laiško gavėjų adresų fono spalvą.
  • Koduotų laiškų negalėsite perskaityti eilės elektroninio pašto paslaugas teikiančių kompanijų internetinių pašto aplikacijų versijose kai el.paštą skaitote naudodami naršyklę. Taip pat naudodami naršyklę koduotų laiškų išsiųsti negalėsite. (Bet kam tos naršyklės, kai tiek iOS Mail, tiek OS X Mail - puikios aplikacijos, o ir kiti rimti aplikacijų kūrėjai savo sukurtose elektroninio pašto aplikacijose įdiegia S/MIME palaikymą).

Saugaus visiems pašto. Neleiskite bet kam knistis jūsų smėlio dėžėje.


  1. S/MIME (Secure/Multipurpose Internet Mail Extensions) - elektroninio pašto saugumo protokolas skirtas apsaugoti nuo elektroninio pašto turinio perėmimo, nesankcionuoto skaitymo ir klastojimo. S/MIME protokolą, MIME protokolo pagrindu, sukūrė RSA Data Security, Inc.  ↩

  2. Asimetrinio raktu atveju naudojama raktų pora - duomenys, šiuo atveju elektroninio laiško turinys, užkoduojamas vienu raktu (viešu laiško gavėjo raktu), bet laiško turiniui atkoduoti naudojamas laiško gavėjo privatus raktas, kuris saugomas jo kompiuteryje(uose) ir/ar iOS įrenginyje(uose). Duomenims užkoduotiems simetriniu raktu reikalingas tas pats raktas tiek jo užkodavimui tiek ir jo iškodavimui ir šis apsaugos būdas nėra toks patikimas.  ↩

  3. Remiantis Lenstra paskaičiavimais 2048 bitų rakto iškodavimas, „brute force“ būdu gali trukti iki 6-ų kvadrilijonų metų - tai ilgiau nei gyvuos musų visata nuo pat jos sukūrimo, manoma, kad mūsų visata gyvuos kiek daugiau nei 13,75 milijardų metų. Jei 2048bitų kodą pradėtumėte iškoduoti, naudodami vidutinio pajėgumo kompiuterį su 2.2GHz AMD Opetron procesoriumi, nuo didžiojo sprogimo tai dabar būtumėte atlikę 1/468481 dalį iškodavimo darbo. Tarkim, naudojami galingesni super/kvantiniai kompiuteriai ir net ne vienas jų norint „nulaužti“ jūsų raktą, ir vis tiek tai truktų gerokai ilgiau nei kad jums reikėtų jaudintis dėl tos informacijos saugumo. Vaizdingumo dėlei galite pažiūrėti video klipą, kaip atrodytų 2048bitų rakto iškodavimo procesas jei pradėtumėte iškodavimą visatos susikūrimo (didžiojo sprogimo) metu. ↩

Apytikslis skaitymo laikas (neskaičiuojant vaizdo įrašų žiūrėjimo): 10 minučių.
Pasidalinti straipsniu:

Apie Ramūną Blavaščiūną

Fotografijos, geros technikos ir kavos mylėtojas, didelę savo laisvalaikio dalį skiriantis straipsnių „Mac Arena“ rašymui.

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*