Tento článek vznikl na základě četných dotazů čtenářů, kteří potřebují chránit svá data. Hodnotu informací v dnešním „zlém“ světě není potřeba připomínat – firmy jsou ochotné vynaložit nemalé částky, aby se o nich konkurence nedozvěděla citlivé informace. Představíme práci s programy PGP a Bfa97.
I obyčejní lidé ale chtějí chránit své soukromí. Proto si nyní popíšeme, jak zamaskovat svá data. V dnešním článku představíme programy PGP a Blowfish Advanced 97 (dále jen Bfa97). PGP se hodí spíše pro šifrování e-mailové komunikace, Bfa97 je naopak určen pro šifrování souborů. Hlavně začátečníkům v oblasti šifrování dat doporučuji před přečtením tohoto článku „
Úvod do problematiky šifrování“.
PGP: úvod
Program PGP je v základní verzi freeware, pokud je používán pro nekomerční účely. Je přizpůsoben k šifrování e-mailové komunikace, ale lze ho s úspěchem využít i pro šifrování souborů. Historie PGP je hodně zmatená a proto zájemcům vřele doporučuji například www.pgp.cz/cojepgp.
Jak zašifrovat první e-mail? Nejprve je potřeba stáhnout nejnovější verzi PGP (v tomto případě verzi 7.0.3) a nainstalovat ji. Na konci instalace se instalátor zeptá, zda chceme vytvořit klíč, jestli již nějaký svůj máme nebo jestli ho chceme vytvořit později. Zvolíme později. Co to ten klíč vlastně je? PGP klíč se skládá ze dvou částí - soukromý (neboli privátní) a veřejný. Veřejný klíč slouží k samotnému šifrování a můžete ho zveřejnit. Naopak k soukromému klíči byste měli mít přístup pouze vy a nikdo jiný. Soukromý klíč slouží k rozšifrování zašifrovaných dat. Více si povíme dále.
Také se nás zeptá, jestli chceme poslat klíč na root server. K čemu to je? PGP.cz a další servery ukládají veřejné klíče. Když vám pak někdo chce poslat šifrovanou zprávu a zná váš e-mail, může si váš veřejný klíč stáhnout z toho serveru a nemusí o zaslání prosit vás.
Spustíme PGPKeys - zřejmě zde uvidíte spousty klíčů, které nejsou vaše ani vašich znamých - jsou to ukázkové klíče a klidně je můžeme smazat.
Nyní si vytvoříme svůj pár klíčů - Ctrl+N nebo Keys - New Key.
Vypíšeme jméno a e-mailovou adresu - tyto údaje budou čitelné z veřejného klíče. PGP nám dá vybrat ze dvou možných šifer: Diffie-Hellman/DSS nebo RSA. Je doporučeno vybrat první z nich, protože je bezpečnější. Nyní máme vybrat "Key pair size" - zde volím zlatou střední cestu a vybírám 2048 bitovou šifru - mějte na paměti, že vybráním více bitové šifry sice docílíte vyšší bezpečnosti, ale také jisté nepohodlnosti, protože samotné šifrování bude trvat déle. Nyní máme vybrat dobu expirace - to je doba, po které se klíč znehodnotí - zde nechám na vašem uvážení. A nyní musíme vyplnit "passphrase", což je vlastně heslo k vašemu klíči, které budete potřebovat při šifrování a rozšifrování. Samozřejmostí je, že čím je heslo delší, tím lepší. Jakmile vše potvrdíme, vytvoří se nám klíč.
OK, pár klíčů (keypair) máme vytvořený. Pokud byste tento klíč hledali na vašem disku, tak ho najdete v adresáři "PGP Keyrings", který bude v adresáři, kam jste PGP nainstalovali. Nezapomeňte ho zazálohovat – později můžete tento adresář nakopírovat zpět a klíče se znovu načtou.
PGP: co teď s ním můžeme dělat?
Za prvé můžete šifrovat soubory na disku, i když k tomu není PGP přímo přizpůsobeno a může to být velmi těžkopádné, nepraktické a pomalé. Ale jde to. Stačí kliknout pravým tlačítkem na soubor a zvolit PGP – Encrypt - zvolit klíč, kterým chceme soubor zašifrovat (může jich být více, za chvíli se dozvíte, jak importovat cizí veřejné klíče), popřípadě ještě můžeme zvolit některou z možností jako např. "Wipe", což původní soubor nenávratně vymaže z disku (bez možnosti jeho obnovy). Dáme OK a soubor se zašifruje - na velikosti souboru záleží, jak dlouho bude operace trvat, proto se PGP hodí spíše pro malé soubory (emailové přílohy apod.). Druhým způsobem šifrování souborů je šifrování přes PGPTools.
Za druhé lze šifrovat text – v našem případě tedy většinou e-mailovou komunikaci. Využijete to, pokud chcete, aby se nikdo nedozvěděl o vaší vzájemné korespondenci s další osobou, nebo aby si administrátor sítě v zaměstnání nečetl na mailserveru naši poštu. Nebo také pouze k tomu, abychom věděli, že daný e-mail psal ten člověk, kterého myslíme - k tomu slouží elektronický podpis.
Aby vzájemná šifrovaná komunikace byla možná, je potřeba, abyste vy i váš protějšek měli vytvořené veřejné klíče. Jednou možností je stažení ze serveru a druhou je přímé poslání klíče. Veřejný klíč z našeho keypairu vydolujeme takto: volba PGPKeys - klikneme pravým na náš záznam a vyberem "Export" a uložíme např. ve formatu ASCII. To je veřejná forma klíče, který příteli pošleme. Můžeme ho poslat jako soubor nebo jako text. Klíč není nic jiného než posloupnost znaků, které mají určitou pevně danou strukturu. Náš veřejný klíč tedy můžeme poslat jako text a bude vypadat nějak takto:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 6.5.8 for non-commercial use <http://www.pgp.com>
mQGiBD8XxbkRBAD+ewfeFI9CblnkK7t18h7u5kItBxxDjlOk3nkwjgFiEfr657kc
4Iwwexi7vhlWJC24K0b61GwQlPKROs/s3CUnWTDAWJTJxJVESAfivG2IKMjG/cva
eE6EddKkepSEQpbZvb9RGVPY0gwSrUtgX9WRFaJ+dyDiUGiFxZmpM+l4AQCg/6iK
dRRIYnnX+GWC3RE+FFwkEccD/23dg+BOhHqsDKHeBEFTYTYEclOHyfs8iGJXhK8H
...........
h7p6GS2xfb+ogA+JsFRFzfNRBhW3qSCZS8/K0OonKQZ4cnQBplXcPvMI+HwQyeuD
3lP3t6MXp0AUS1w0F2DlrGtMFmyDG8SQ78JaVyTbMGeyj3euxJ7w163PsDMdxDG6
fqpAqoGHkokARgQYEQIABgUCPxfFuQAKCRCDJ1OB2m+apV1RAKDy+bYIPRa0OToI
GIGa5PZLTC/3nQCfcTh/6pcoGhTnDzJ+IhLkKF21dW0=
=Qti0
-----END PGP PUBLIC KEY BLOCK-----
Výstup je zkrácený, aby nezabíral příliš místa. Protějšek si tento klíč musí „připevnit“ na svojí klíčenku (PGPKeys), aby ho mohl používat. Pokud byl veřejný klíč poslán jako soubor, je možné ho importovat automaticky tak, že spustíme dotyčný soubor. Pokud byl klíč poslán jako text je nejlepší ho uložit do souboru a v PGPKeys zvolit Keys - Import... nebo Ctrl+M. Příteli se klíč objeví v PGPkeys (klíčenka) a může ho používat. To samé uděláme my s přítelovým veřejným klíčem.
Ještě je důležité zmínit jednu věc a tou jsou tzv. fingerprints. Co když při posílání klíče našemu příteli někdo odchytil vzájemnou komunikaci a vytvořil jiný klíč, který se ovšem jmenuje stejně? Přítel nemůže poznat, že má naprosto jiný klíč než ten, který jsme poslali my. To by lehce vedlo k prozrazení dat. Právě tomu ale můžeme zamezit ověřením otisků prstů (fingerprints). Tuto informaci získáme v PGPKeys - Ctrl+I, kde zvolíme v rámečku Fingerprints "hexadecimal" (otisk je pak přehlednější) a tuto informaci pošleme příteli, který si otisk porovná s otiskem klíče, který jsme mu poslali. Otisk může vypadat např. takto: 8F93 6D8B A114 C3DD 1147 573F 8427 5381 DA6F 9AA5.
Tak a teď už nic nebrání v tom, abychom spolu mohli šifrovaně komunikovat. PGP se integruje i přímo do Microsoft Outlooku, takže je vše velmi pohodlné. Pokud nepoužíváte Outlook, ale např. přímo webové rozhraní, lze text šifrovat přes schránku. Napíšete text např. v Poznámkovém bloku a uložíte do schránky (Ctrl+C) a pak v liště kliknete na Clipboard - Encrypt (popř. Encrypt&Sign pokud chcete šifrovaný text ještě podepsat). Takže například věta: "Šifrujeme s Živě" může vypadat zašifrovaná třeba takto:
-----BEGIN PGP MESSAGE-----
Version: PGPfreeware 6.5.8 for non-commercial use <http://www.pgp.com>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=Bt8+
-----END PGP MESSAGE-----
Tento text pak už jen zkopírujete do těla e-mailu a druhá strana ho podobným způsobem přes clipboard rozšifruje.
Celou dobu se zde bavíme o základní verzi PGP, která umožňuje zhruba to, co zde bylo řečeno. Ale k PGP patří ještě pár dalších programů jako např. PGPfone, který šifruje hlasovou komunikaci.
Samozřejmostí je, že pokud váš přítel nebude užívat Windows, ale např. GNU/Linux a šifruje soubory pres GNU alternativu GnuPG (gpg), tak si klidně můžete psát, protože programy jsou navzájem kompatibilní.
Ještě bych chtěl upozornit, že není radno si hrát se změnou času ve Windows – může se vám potom stát, že nepůjde šifrovat a budete dlouho přemýšlet, čím to může být. Pokud se vám to stane, stačí čas zase vrátit „do reality“.
Blowfish Advanced 97: úvod
Tento program zde zmiňuji, protože jsem ho využíval předtím, než sem poznal výhody PGP. Možná někomu přijde zastaralý, ale podle mého názoru stále dobře splňuje svoji úlohu a není potřeba na něm něco měnit. Alternativami k tomuto programu jsou např. DataSafe nebo E-Crypt.
Bfa97: co umí?
Snadno lze tento program využít k šifrování menších souborů na disku, pokud třeba nemáte vytvořený PGP klíč a nechcete si ho vytvářet. Šifrování má pár zajímavých možností jako např. "Stealth Filenames", což změní výsledný název souboru na řetězec náhodných znaků. Další zajímavostí je možnost zadávat heslo skládající se nejen ze znaků, ale také z kláves – můžete mít tedy heslo např. „Esc – a – x –Pause“. S tím zpravidla „narušitelé“ soukromí příliš nepočítají.
