Безпека в мережі/Захищена електронна пошта

Матеріал з Вікіпідручника

«Легше плакать, як ніхто не бачить»
Тарас Шевченко[1]

«Якщо ви вважаєте, що у вас немає чого приховувати, попередьте мене:
так я знатиму, що вам не можна довірити жодної таємниці»

Mikko Hypponen[2]

Захищена електронна пошта забезпечує дві важливі речі:

  • Можливість знати, що ваші листи можуть прочитати лише ті, кому ви їх надсилаєте. Використовувати захищену електронну пошту — це ніби класти ваш лист у конверт перед надсиланням: він надсилається у такій формі, щоб по дорозі його не могли читати. У скриньці адресата він зберігається теж «у конверті», тобто його не зможуть читати навіть ті, хто зламає скриньку цієї людини.
  • Можливість перевірити, що лист прийшов дійсно від тієї людини, яка заявлена в листі. Адже в електронній пошті поле «From: » дуже легко підробити. При використанні захищеної пошти лист надсилається з електронним підписом, який може поставити тільки його власник. Цей підпис є незалежним від скриньки, якою користується людина.

Як це працює?[ред.]

Будь-яка безпека інформації, яка передається через мережу, заснована на використанні шифрування. Наприклад, коли ви бачите у вашій переглядачці адресу, яка починається з https://, переглядачка застосовує шифрування для обміну інформацією з цією веб-сторінкою. Навіть Вікіпедію планують перевести на такі з'єднання для всіх відвідувачів. В наш час шифрування використовується на кожному кроці — від захищених веб-сайтів до програм віддаленого доступу та відео/аудіодзвінків.

Одним з найпоширеніших стандартів шифрування в електронній пошті є OpenPGP. Щоб використовувати захищену електронну пошту, вам треба заінсталювати собі одну з програм для роботи з електронною поштою, яка підтримує такі функції. Одною з найпопулярніших програм до електронної пошти є Mozilla Thunderbird. Загалом, використання такої програми для доступу до пошти має багато переваг над роботою у вебній переглядачці: наприклад, ви маєте можливість зберігати листи на своїй машині й переглядати їх навіть без доступу до Міжмережжя.


У всіх по ключику[ред.]

Відкритий ключ можна передати будь-кому. Закритий ключ, який розкодовує повідомлення, зберігається тільки у адресата.

Все це можливо завдяки одному простому механізму. Власники електронних скриньок в програмі до пошти генерують собі ключ (невеликий файл на комп'ютері), який складається з двох половинок: відкритої і закритої. Закритий ключ — це як пароль, тільки значно довший і міцніший, і генерується програмою. Він зберігається у вас на комп'ютері, і нікому не передається.

Натомість, відкритий ключ ви пересилаєте своїм друзям і знайомим, щоб вони могли надіслати вам захищеного листа, а також просите, щоб вони переслали вам свої відкриті ключі. Ви також можете опублікувати свій відкритий ключ на власному веб-сайті.

Хитрість в тому, що будь-який відкритий ключ може тільки закодувати листа перед надсиланням, але не розкодувати його.

Щоб прочитати листа, який вам надіслали, потрібен ваш закритий ключ, а він є тільки у вас.

Відкриті ключі зазвичай публікуються у вільний доступ — щоб якомога більше людей могли надіслати вам захищену пошту. А закритий ключ тримається тільки в себе, до того ж він захищений паролем, який знаєте тільки ви, і більше ніхто.

Так ми можемо мати якусь гарантію того, що принаймні «по дорозі» чужі люди нашу пошту не читатимуть.

Як скористатись?[ред.]

Інсталяція програм[ред.]

  1. Заінсталюйте Mozilla Thunderbird і під'єднайте до неї вашу електронну скриньку (це має бути неважко: просто ввести ім'я, адресу й пароль при запуску);
  2. Через менеджер додатків Thunderbird встановіть Enigmail (кнопка меню ☰ → Додатки):
    Під час встановлення Enigmail також завантажить і встановить Gnu Privacy Guard (відому також як GPG). Це компонент, який власне здійснює саме шифрування. На більшості систем Gnu/Linux GPG вже встановлено.[3]

Програми заінстальовано. Переходимо до найважливішого моменту налаштування.

Створення ключів[ред.]

При першому запуску Thunderbird з встановленим Enigmail відкриється вікно налаштування Enigmail. Вам буде запропоновано створити персональний ключ.

Постарайтесь придумати надійний пароль для захисту свого закритого ключа. Це робиться для того, щоб ніхто крім вас не міг скористатись вашим закритим ключем для розшифрування вашої інформації. Цей пароль повинен бути дійсно міцним: складатись із 3-4 слів, які вам не складно запам'ятати, але які комусь іншому буде неможливо вгадати.

Обмін ключами[ред.]

Ви можете розіслати свій відкритий ключ усім своїм близьким і знайомим, і попросити, щоб вони прислали вам свої відкриті ключі. Для цього у віконці «Key management» треба вибрати ваш ключ і натиснути «Send Public Keys by Email»:

Програма відкриє віконце з новим листом, у додатку якого буде ваш відкритий ключ. Ви просто надсилаєте його як звичайний лист з приєднаним файлом. В листі можете зазначити, що ви не збираєтесь робити нічого екстравагантного, а просто дбаєте про безпеку власних даних.

Щоб імпортувати чийсь ключ, який прийшов вам на скриньку, достатньо клацнути правою кнопкою мишки на приєднаний до листа файл і вибрати "Import OpenPGP Key":

Надсилання й отримання пошти[ред.]

Тут все досить просто. Захищені листи створюються так само, як і звичайні — через функцію «Створити». У вікні створення повідомлення у вас тепер з'явиться рядок кнопок «Enigmail», де можна вмикати/вимикати шифрування. Якщо ви пишете листа до когось, чий відкритий ключ у вас є, шифрування листа буде увімкнено автоматично:

OpenPGP дає можливість не тільки зробити лист захищеним через шифрування, а й долучити до нього ваш підпис. Це дуже важлива функція, оскільки вона захищає від різних шахрайські схем, коли приходить лист нібито від когось із друзів, але насправді лист надісланий зловмисником щоб, наприклад, змусити людину перерахувати кудись гроші або надати якусь вразливу інформацію (паспорт, кредитна картка і т.п.).

Цифровий підпис дає можливість мати більш-менш надійне свідчення того, що лист не фальшивий. Підпис генерується на основі змісту самого повідомлення, яке ви надсилаєте, згідно із вашим закритим ключем, доступ до якого є тільки у вас. Якщо навіть раптом повідомлення хтось перехопив і поміняв, підпис автоматично стає недійсним, бо він містить всередині криптографічний відбиток оригінального змісту повідомлення. А поміняти підпис неможливо, бо закритий ключ тільки у вас. При тому перевірити автентичність підпису можуть усі, у кого є ваш відкритий ключ.

Коли вам приходить захищене повідомлення, програма автоматично його розкодовує й перевіряє, чи відповідає воно підпису відправника (якщо він є). Для розкодування вона спитає пароль до вашого закритого ключа.

Примітки[ред.]

  1. [1]
  2. Виступ Mikko Hypponen’а на TED у жовтні 2013
  3. Окрім пошти, GPG дасть вам можливість також зашифрувати будь-який файл на вашому комп'ютері (це можна використовувати для надійного зберігання пін-кодів і тому подібного)