Hlavní navigace

Rychlokurz: PGP - pretty good privacy

1. 4. 2001

Sdílet

"Veliteli Zachycena zpráva... je šifrovaná programem PGP". "Počítači Dekóduj"."Dekóduji Čas do dokončení 3 856 452 let". V dnešním, poněkud rozsáhlejším Rychlokurzu se zaměříme ...
"Veliteli Zachycena zpráva... je šifrovaná programem PGP". "Počítači Dekóduj".
"Dekóduji Čas do dokončení 3 856 452 let".

V dnešním, poněkud rozsáhlejším Rychlokurzu se zaměříme na šifrování zpráv a
dat. Jakožto čerstvý držitel elektronického certifikátu vám dnes vysvětlím, jak
dosáhnouti na internetu vlastního "soukromí".

Programů na šifrování souborů, komunikace, e-mailů můžeme najít spousty. Avšak
jeden se stal synonymem pro bezpečnou komunikaci PGP ("Pretty Good Privacy",
česky volně přeloženo "Dost Dobré Soukromí"). Název v sobě skrývá hlavní funkci
programu pomoci vám udržet si na veřejné síti soukromí. Soukromí pro komunikaci
s přáteli, s obchodními společníky, nebo třeba i s milenkou či vaší láskou. A
jak říká Béda Trávníček "Je to zadarmo". Tedy přesněji, zadarmo pro nekomerční
účely...


Teorie

Ač nerad, tentokrát se musíme prokousat touto neoblíbenou částí. Určitě jste se
ve svém okolí setkali se slovy jako elektronický podpis, certifikát, klíč... Co
to však znamená?

Odedávna se lidé pokoušeli před ostatními z různých příčin některé informace
utajit, a naopak jiným tyto informace předat. Ať už generál armády nebo nevěrný
manžel mají spoustu důvodů pro to, aby se jejich zpráva dostala do rukou právě
jen a jen adresátovi a nikomu jinému. Proto vzniklo šifrování.


Šifrování

Jak tedy můžete zprávu zašifrovat? Například tak, že kolegovi pošeptáte, že
každé písmenko ve zprávě posunete o tři v abecedě. Zpráva nebude čitelná a
kolega, pokud si zapamatuje číslo "tři", bude moci zprávu opět složit a
přečíst. Ono číslo "tři" je vlastně takovým jednoduchým klíčem. Tímto klíčem
zprávu zakódujete a kolega jí stejným klíčem opět odkóduje. Tomuto způsobu se
říká "symetrické" šifrování stejný klíč pro zašifrování i rozkódování zprávy.

Cítíte však, že takové kódování je velmi slabé. Navíc musíte kolegovi tento
klíč nějak bezpečně předat. Je-li ve vedlejší kanceláři, můžete jít a hodně
potichu mu ho pošeptat. Pokud je na druhé straně zeměkoule máte problém. Pokud
někdo uloví váš klíč, může vám nejen číst soukromou korespondenci, ale i
podvrhovat zprávy jakoby posílané i zašifrované od někoho jiného.

Představte si však, že existuje způsob kódování, při němž máte klíče dva. Jeden
klíč veřejný, určený pouze pro zakódování a který rozdáte svým známým. A druhý
klíč tajný (soukromý), určený pouze pro rozkódování, který nikomu neřeknete a
budete ho střežit jako oko v hlavě. Něco jako když máte poplašné zařízení, jež
se zakóduje jedním heslem, ale odblokovat ho musíte jiným. Máte tedy klíče dva
veřejný, kterým můžete zprávu pouze zašifrovat, a soukromý, jímž zase můžete
tuto zprávu pouze rozšifrovat. Rozšifrujete však pouze zprávu, která byla
zakódována vaším veřejným klíčem žádným jiným. Tomuto šifrování se říká
"asymetrické", protože na rozdíl od "symetrického" používáme jiný klíč pro
zakódování a jiný pro dekódování.


Od teorie k praxi

Pokud tedy nainstalujeme PGP (v našem případě verzi PGP freeware 7.0.3),
přiměje nás instalátor nejdříve vygenerovat oba klíče (soukromý/veřejný). Ty si
uložte, uschovejte a nikomu nedávejte. Po restartu zjistíme, že nám v liště
přibyla ikonka PGP . Navíc se vám ve vašem e-mailovém programu objeví funkce
pro zašifrování a podepsání mailu (tedy pokud používáte jeden z následujících
programů: MS Outlook a Outlook Express, Eudora nebo ICQ). Jestliže používáte
jiný, nezoufejte. Zašifrujete svou zprávu sice pracněji, ale také spolehlivě.

PGP používá "asymetrické" šifrování. V čem jsou výhody? Obrovská výhoda tkví v
předávání klíčů. Na rozdíl od klasického "symetrického" šifrování se s veřejným
klíčem vůbec nemusíte tajit, můžete ho rozdávat a rozesílat do širokého a
dalekého okolí. Třeba ho připojovat ke každému mailu. S tímto klíčem totiž
vůbec nikdo vaši poštu nepřečte (nerozkóduje).


Co s veřejným klíčem

Pokud tedy dostanete mail, kde bude připojen nějaký takovýto text

BEGIN PGP PUBLIC KEY BLOCK

Version: PGPfreeware 7.0.3 for non-commercial use
+GLO3MNCpofvP45VpYWL8Ul1JFrBw0eh0ZVkFt9cnODMJy16XySfJ/WKduXtAAUR

............

J/WKduXtAQFrYAQAiExm7bvOrXVmFevzQYeBg9iXbN/6hKVwAANiCrgdRf8T0UQy

END PGP PUBLIC KEY BLOCK

tak to neznamená, že se autor mailu zbláznil, ale že vám posílá svůj veřejný
klíč "PGP PUBLIC KEY". Pokud budete mít nainstalované PGP, můžete tímto klíčem
zašifrovat zprávu a víte, že ji rozšifruje jen on.

Přejdeme-li k praxi jak získáme svůj veřejný klíč v takovéto podobě? Pravým
tlačítkem myši klikneme na ikonu « PGP Keys. Objeví se nám naše úložiště klíčů.
Zde máme uloženy jak veřejné klíče ostatních lidí, tak i náš veřejný a soukromý
klíč. Na něj klikneme pravým tlačítkem a z menu zvolíme Export. Určíme soubor,
kam chceme veřejný klíč uložit, zkontrolujeme, že NEMÁME zaškrtnutou volbu
Include Private Key (Přiložit Soukromý klíč) a stiskneme Save (Uložit). Veřejný
klíč máme uložený v souboru, odkud ho můžeme vzít a použít třeba jako součást
e-mailové vizitky.

Na internetu také existují servery určené pro uchovávání a předávání veřejných
klíčů. Můžeme tedy nejen náš klíč posílat v textové podobě mailem, ale také ho
zveřejnit na serevru na internetu, odkud si ho může vzít každý, kdo ho bude
potřebovat. Jak? V programu pro správu klíčů (pravý klik na « PGP Keys) najdeme
svůj klíč, klikneme na něj opět pravým tlačítkem a v položce Send To (Poslat)
zvolíme server, na který náš klíč chceme poslat.

Pokud naopak nějaký cizí veřejný klíč potřebujeme najít, tak v tomtéž programu
stiskneme CTRL+F, určíme, co hledáme a ... ejhle ... klíčů obvykle nalezneme
víc, než potřebujeme.


Šifrování

Konečně tedy k vlastnímu šifrování. Jak už jsem uvedl v teorii (dávali jste
pozor?), k zašifrování zprávy pro vašeho kolegu Pepu potřebujete jeho veřejný
klíč. Najdeme ho a vložíme do Úložiště klíčů. Vezmeme zprávu, kterou chceme
kolegovi bezpečně poslat, označíme ji a klávesovou zkratkou CTRL+C zkopírujeme
do schránky Windows. Nyní opět pravý klik myší na ikonu « Encrypt & Sign
(Zašifrovat a podepsat) nebo jen Encrypt (Zašifrovat). Najdeme Pepu (adresáta)
a přetáhneme jeho klíč do spodního okénka Recipients (Příjemci) a stiskneme
[OK]. Pokud jsme zvolili i podepsání, můžeme být ještě dotázáni na heslo k
našemu soukromému klíči. Nyní máme zašifrovanou zprávu ve schránce namísto té
původní, a můžeme jí vložit (CTRL+V) kam potřebujeme.

Například zpráva "AHOJ" vypadá zakódovaná takto:

BEGIN PGP MESSAGE

Version: PGPfreeware 7.0.3 for non-commercial use
hQCMAySfJ/WKduXtAQP+LozPuin1w7vWqUGVsLREgXlSlY5i9aKbMpo8j4e/LUYA
6msX7CQudmdkI3ZkAWu7wISpHbYLvphV0D7cMHj6+ajE9e0nUM7crLjt6cHy2SUs
1HY0YlScV7WS92s8UGHSWJtJLJMaDeI4nhlKu6eKjbg5rqhzx9Hu0EUkV2/Am0Wk
HNGEseHcbdqJmwpuhgFvcXPE3a5sP1MKZqWToD8=
=sT+H

END PGP MESSAGE

Používáme-li používáme některý z mailových programů, do nichž existuje PGP
plug-in, máme situaci velmi zjednodušenou. V liště ikonek nám přibydou ikonky
pro zašifrování (Encrypt) a pro podepsání (Sign) . Pokud je aktivujeme, mailový
program nám sám vybere klíče příslušné k adresátům zprávy, my pouze potvrdíme a
je hotovo.


Dešifrování

Jestliže dostanete zprávu, která vypadá na pohled podobně jako výše uvedený
příklad (začíná textem "BEGIN PGP MESSAGE"), vězte, že jste právě dostali
zprávu zašifrovanou. Pokusíme se ji tedy společně dešifrovat.

Máme-li mailový program, který má nainstalované PGP, stačí jen zprávu otevřít a
kliknout na ikonku dešifrovat (Decrypt) , a je to. Pokud takový program nemáme,
nevadí. Označíme zprávu a zkopírujeme text do schránky (CTRL+C). Dále pravý
klik myší na ikonu « Decrypt & Verify (Dešifruj a ověř). Proběhlo-li vše v
pořádku, na obrazovce uvidíme dešifrovanou zprávu.


Elektronický podpis

Víme, co znamená pojem klíč (veřejný i soukromý). A co je tedy elektronický
podpis? Dejme tomu, že chci zaručit adresátovi, že jsem tuto zprávu skutečně
psal já a že ji cestou nikdo nezměnil. Toto můžu udělat tak, že zprávu
elektronicky podepíši to znamená, že udělám jakýsi kontrolní "otisk" a ten
ještě zašifruji svým soukromým klíčem. Ten znám jenom já, a tedy tento podpis
nemůže nikdo zfalšovat. Adresát pak může mým veřejným klíčem "otisk" znovu
rozkódovat a porovnat s "otiskem" došlé zprávy. Pokud si odpovídají, vím, že
zprávu nikdo nepozměnil a že ji skutečně odeslal ten, kdo ji podepsal. Jak
vidíte, elektronický podpis není jen potvrzení identity odesilatele, ale
obsahuje navíc i inforamci o podepsané zprávě. A onen "otisk" má takovou
vlastnost, že když někdo upraví byť jediné písmenko ve zprávě, "otisk" se
radikálně změní.

Jak tedy zprávu podepsat? Opět nejdříve univerzální metoda text označím a
zkopíruji do schránky Windows (CTRL+C). Pravý klik na ikonu « Clipboard « Sign
(Podepsat) nebo Encrypt & Sign (Zašifrovat a podepsat). Pokud ještě navíc
šifrujeme, zvolíme adresáta, pro něhož zprávu šifrujeme. Pak zapíšeme heslo
chránící soukromý klíč pro podepsání a potvrdíme tlačítkem OK. Nyní máme ve
schránce Windows již podepsanou zprávu, kterou můžeme kamkoli vložit pomocí
(CTRL+V).

Pokud tedy podepíši zprávu "AHOJ", dostanu následující podpis (PGP SIGNATURE)

BEGIN PGP SIGNED MESSAGE
Hash: SHA1
AHOJ
BEGIN PGP SIGNATURE
Version: PGPfreeware 7.0.3 for non-commercial use
iQA/AwUBOpLLwNln11gzQ6L2EQJb0ACfZqwNpsgmBOmZ98FFYU/aOzEjX8AAmQH2
mb3DgpVg3ef6uPWcJD2MfkYB
=GIzz
END PGP SIGNATURE

Ověření, že přijatá podepsaná zpráva je autentická, provedeme obdobně jako
dříve. Pravý klik myší na ikonu « Decrypt & Verify (Dešifruj a ověř). Pokud je
vše v pořádku, objeví se nám okénko s potvrzením správnosti.

V současné době byl zákonem postaven elektronický podpis na úrověň skutečného
podpisu (bohužel státní správa zatím není na uvedení do praxe připravena).
Získat takový podpis je však poněkud složitější. Musíte se obrátit na některého
z oficiálních vydavatelů elektronického podpisu (certifikační autoritu), kde
ověří vaši identitu. Pak vám vygenerují a předají oba klíče (váš veřejný klíč
si uschovají). Tyto klíče jsou potom uznávané jako oficiální a vy je můžete
používat pro komunikaci s úřady (například pro podání daňového přiznání).
Princip je stejný, jen klíče za vás vytvoří někdo jiný, kdo se pak úřadům
zaručuje, že ten a ten veřejný klíč patří opravdu Pepovi Novákovi z Bohnic, a
ne někomu jinému.


Závěr

Naprosto si uvědomuji, že dnešní díl byl poměrně dost složitý. Navíc jsme se
jen lehce dotkli problematiky šifrování zpáv a správy klíčů. Berte tento
Rychlokurz jako takové pozvání do světa za zrcadlem a doufám, že vám pomůže v
prvních krocích. Jak se však říká v jednom filmu: "Můžu vám pouze otevřít
dveře. Projít už musíte sami".


Byl pro vás článek přínosný?