Néhány szó az FSFE-től: e-mail önvédelem megfigyelés ellen 2.

e-mail önvédelem infografika
Az előző cikk folytatásaként:

A tömeges megfigyelés sérti az alapvető jogokat és fenyegeti a szólásszabadságot. Ez az útmutató megtanít téged egy alapvető megfigyelés elleni önvédelemre: e-mail titkosítás. Miután befejezted, képes leszel kódolt e-maileket küldeni és fogadni, hogy egy megfigyeléssel foglalkozó ügynök vagy tolvaj, aki elfogja az e-mailjeidet, biztosan ne tudja elolvasni azokat. Mindössze egy internetkapcsolattal rendelkező számítógépre, egy e-mail fiókra és nagyjából negyven percre van szükséged.

Még ha nincs is semmi rejtegetnivalód, titkosítás használatával azon emberek magánszféráját segítesz megvédeni, akikkel kommunikálsz és, megnehezíted a tömeges megfigyelő rendszerek dolgát. Ha valami fontosat szeretnél elrejteni, jó helyen jársz. Ezek ugyanazok az eszközök, amelyeket a közérdekű bejelentők használnak a személyazonosságuk megvédésére, miközben felfedik az emberjogi visszaéléseket, a korrupciót és más bűncselekményeket.

A titkosítás használata mellett a megfigyelés politikai fellépést igényel a rólunk gyűjtött adatok mennyiségének csökkentése érdekében. Ám az első kulcsfontosságú lépés saját magad megvédése és a kommunikációd megfigyelésének a lehető legnehezebbé tétele. Ez az útmutató segít neked ebben. Kezdőknek szánták, de ha már ismered a GnuPG alapjait vagy tapasztalt szabad szoftver használó vagy, élvezni fogod a haladó tippeket és a barátaid tanításához készült útmutatót.

#1 Szerezd be a darabokat

Ez az útmutató szabad licencű programra támaszkodik. Teljes átlátható, és bárki lemásolhatja vagy elkészítheti a saját verzióját. Ez biztonságosabbá teszi a megfigyeléstől, mint a zárt szoftverek (például a Windows vagy a Mac OS). Hogy megvédd a szabadságod és saját magad a megfigyeléstől, javasoljuk, hogy váltsd szabad szoftver operációs rendszerre, mint amilyen a GNU/Linux. Tudj meg többet a szabad szoftverekről az fsf.org-on.

GNU/Linux
A legtöbb GNU/Linux operációs rendszer telepített GnuPG-vel rendelkezik, így neked nem kell letöltened. A GnuPG beállítása előtt szükséged lesz az IceDove asztali e-mail program telepítésére. A legtöbb GNU/Linux disztribúción telepítve van, bár előfordulhat, hogy Thunderbird alternatív néven. Az e-mail programok egy másik módja ugyanazon e-mail fiók elérésének, amit böngészőn keresztül tudsz elérni (például Gmail), ám extra funkciókat biztosítanak.

Mac OS és Windows
A kezdéshez szükséged lesz az IceDove nevű e-mail program telepítésére. A rendszereden lehetséges, hogy alternatív néven, Thunderbirdként ismert.

Ha rendelkezel e-mail klienssel, átugorhatsz az 1.b lépésre.

1.a lépés: e-mail kliens beállítása az e-mail fiókodhoz

e-mail kliens telepítő
Nyisd meg az e-mail kliensedet és kövesd a lépésről-lépésre vezető varázslót, amely beállítja a programot az e-mail fiókodhoz.

Az alábbiakat keresd szerver oldalon, mikor beállítod a fiókodat: SSL, TLS vagy STARTTLS. Ha nem látod ezeket, akkor is képes leszel titkosítás használatára, de ez azt jelenti, hogy az e-mail rendszeredet üzemeltetők nem követik a biztonságod és magánszférád védelmére vonatkozó ipari szabványokat. Javasoljuk, hogy küldj nekik egy barátságos levelet, melyben az e-mail szervered számára történő SSL, TLS vagy STARTTLS engedélyezéséről kérdezed őket. Tudni fogják, miről beszélsz, tehát ez akkor is megér egy kérdést, ha nem vagy rendszerbiztonsági szakértő.

Hibaelhárítás

Nem indul el a varázsló
Magad is elindíthatod, de az erre szolgáló menü e-mail programonként eltérő. Az indító gomb a program főmenüjében lesz „Új” vagy hasonló néven, „Fiók hozzáadás” vagy „Új/létező e-mail fiók” elnevezéssel.

(Thunderbirdben a varázslót a Fájl menü → Új almenü → Meglévő postafiók lehetőséggel tudod elindítani. A fordító.)

A varázsló nem látja az e-mail fiókomat vagy nem tölti le a leveleimet
Az interneten történő keresgélés előtt azt javasoljuk, kérdezd meg a megfelelő beállításokat olyanoktól, akik ugyanazt a levelező rendszert használják, mint te.

Nem látod a megoldást a problémádra?
Tudasd velünk a visszajelzési oldalon.

1.b lépés: a GnuPG beszerzése

GNU/Linux
Ugorj a következő lépésre.

Mac OS
A GPGTools egy csomagkezelő, amely tartalmazza a GnuPG-t. Töltsd le és telepítsd, mindenhol hagyd az alapértelmezett opciókat. Telepítés után miben ablakot bezárhatsz, ami létrejött közben.

Windows
A GPG4Win egy csomagkezelő, amely tartalmazza a GnuPG-t. Töltsd le és telepítsd, mindenhol hagyd az alapértelmezett opciókat. Telepítés után miben ablakot bezárhatsz, ami létrejött közben.

1.c lépés: az Enigmail plugin telepítése az e-mail kliensedhez

Az e-mail programod menüjében válaszd a Kiegészítőket (az Eszközök menüben lehet). Győződj meg róla, hogy bal oldalon a Kiterjesztések legyen kiválasztva. Látod az Enigmailt? Ha igen, hagyd ki ezt a lépést.

Ha nem, írd be az „Enigmail” szót a jobb felül lévő keresőbe. A találatok közül telepítheted. Indítsd újra az e-mail kliensedet, ha végeztél.

e-mail kliens eszközök menü

e-mail kliens kiegészítők

e-mail kliens Enigmail telepítés

Hibaelhárítás

Nem találom a menüt
Sok új e-mail programban a főmenüt három egymás alatti vízszintes csík jelöli.

Furán néznek ki az e-mailjeim
Az Enigmail jellemzően nem szépen jeleníti meg a HTML-t, amely formázza az e-maileket, így lehetséges, hogy az automatikus HTML formázás ki van kapcsolva. HTML-lel formázott e-mail titkosítás vagy aláírás nélküli elküldéséhez nyomd le a Shift gombot a levélírás kiválasztásakor. Ezután úgy tudsz e-mailt írni, mintha az Enigmail ott sem lenne.

Nem látod a megoldást a problémádra?
Tudasd velünk a visszajelzési oldalon.

#2 Készítsd el a kulcsaidat

A GnuPG rendszer használatához egy publikus és egy privát kulcsra (együtt kulcspárnak nevezik) lesz szükséged. Mindkettő egy hosszú, véletlenszerűen generált számokból és betűkből álló karaktersorozat, amelyek egyediek számodra. A publikus és a privát kulcsod egy speciális matematikai függvény által kerül összekötésre.

A publikus kulcsod nem hasonlít egy fizikai kulcsra, mert a szabadban, egy kulcskiszolgálónak nevezett online könyvtárban kerül tárolásra. Az emberek letöltik és használják a GnuPG-vel együtt, hogy titkosított üzeneteket küldjenek neked. A kulcsszervert képzeld el egy telefonkönyvnek: az emberek, akik titkosított üzenetet akarnak küldeni neked, megkereshetik a publikus kulcsodat.

A privát kulcsod már jobban hasonlít egy fizikai kulcsra, mert magadnál tárolod (a számítógépeden). A GnuPG-t és a privát kulcsodat együtt használva tudod dekódolni a másoktól kapott titkosított e-mailjeidet. Soha ne oszt meg a privát kulcsodat senkivel, semmilyen körülmények között!

A titkosítás és a visszafejtés mellett arra is használhatod ezeket a kulcsokat, hogy aláírj üzeneteket vagy ellenőrizd mások aláírásának hitelességét. A következő szakaszban erről többet fogunk beszélni.

GnuPG kulcspár illusztráció

2.a lépés: készíts kulcspárt

Az Enigmail beállítás varázslónak automatikusan el kellene indulnia. Amennyiben mégsem tenné, válaszd az Enigmail → Beállításvarázsló menüpontot az e-mail kliensed menüjében. Nem muszáj elolvasnod a felbukkanó szöveget, ha nem szeretnéd, viszont a varázsló következő ablakaiban lévőeket hasznos lenne. Kattints a Tovább gombra az alapértelmezett beállításokkal.

A Kulcs létrehozás ablakban erős jelszót válassz! Manuálisan is meg tudod csinálni vagy használhatod a Dicaware módszert. A manuális módszer gyorsabb, de kevésbé biztonságos. A Diceware használata tovább tart és dobókockát igényel, de támadó által nehezebben kitalálható jelszót eredményez. A használatához olvasd el Micah Lee cikkének „Make a secure passphrase with Diceware” fejezetét.

Ha magadnak szeretnél jelszót választani, valami olyat találj ki, amit könnyen megjegyzel, legalább 12 karakteres, egy-egy kisbetűt, nagybetűt, számot vagy írásjelet tartalmaz. Soha ne válassz olyan jelszót, amit máshol már használsz. Ne használj felismerhető mintákat, például születésnapok, telefonszámok, házi kedvencek nevei, dalszövegek, könyves idézetek és hasonlóak.

A programnak egy kis időre lesz szüksége, amíg befejezi a következő lépést a Kulcs létrehozás ablakban. Amíg vársz, csinálsz valamit a számítógéppel: kezdj filmet nézni vagy böngészni. Minél többet használod a számítógéped ezen a ponton, annál hamarabb készül el a kulcs.

Amikor a kulcs elkészült képernyő megjelenik, válaszd a Visszavonási tanúsítvány készítését és mentsd el egy biztonságos helyre a számítógépeden (javasoljuk, hogy készíts egy Tanúsítvány visszavonás mappát a saját könyvtáradban és tartsd is ott). Ez a lépés kulcsfontosságú az e-mail önvédelmed szempontjából, ahogy megtudhatod az ötödik szakaszból.

Hibaelhárítás

Nem találom a menüt
Sok új e-mail programban a főmenüt három egymás alatti vízszintes csík jelöli. Az Enigmail egy Eszközök nevű menüben lehet.

A varázsló nem találja a GnuPG-t
Indítsd el a szoftvertelepítésre használt programodat és keresd meg, majd telepítsd a GnuPG-t. Ezután indítsd újra az Enigmail beállítás varázslót az Enigmail → Beállításvarázsló menüponttal.

Furán néznek ki az e-mailjeim
Az Enigmail jellemzően nem szépen jeleníti meg a HTML-t, amely formázza az e-maileket, így lehetséges, hogy az automatikus HTML formázás ki van kapcsolva. HTML-lel formázott e-mail titkosítás vagy aláírás nélküli elküldéséhez nyomd le a Shift gombot a levélírás kiválasztásakor. Ezután úgy tudsz e-mailt írni, mintha az Enigmail ott sem lenne.

További források
Ha problémád adódott az útmutatónkkal vagy csak többet szeretnél megtudni, nézd meg a Enigmail wiki: instructions for key generationt.

Nem látod a megoldást a problémádra?
Tudasd velünk a visszajelzési oldalon.

Haladó

Parancssoros kulcsgenerálás
Ha előnyben részesíted a parancssor használatát a jobb szabályozhatóság miatt, kövesd az alábbi dokumentációt a GNU Privacy Handbookból. Győződj meg róla, hogy az alapértelmezett RSA és RSA opciót használd, mert újabb és biztonságosabb, mint a dokumentáció által ajánlott algoritmusok. Szintén ellenőrizd, hogy a kulcson legalább 2048 bites vagy 4096, ha extra biztonságot szeretnél.

Haladó kulcspárok
Amikor a GnuPG új kulcspárt készít, felosztja a titkosítást és az aláírást alkulcsokon keresztül. Ha körültekintően használod az alkulcsokat, sokkal nagyobb biztonságban tarthatod a GnuPG azonosságodat, és sokkal gyorsabb a kompromittált kulcs utáni helyreállítás. Alex Cabal és a Debian wiki jó útmutatókat biztosít egy biztonságos alkulcs konfiguráció beállításához.

2.b lépés: a publikus kulcsod feltöltése kulcskiszolgálóra

Az e-mail kliensed menüjében válaszd az Enigmail → Kulcskezelő menüpontot.

Kattints jobb egérgombbal a kulcsodra és válaszd a „Nyilvános kulcsok feltöltése kulcskiszolgálóra” lehetőséget. Használd az alapértelmezett kulcsszervert a felugró ablakban.

Most már ha valaki küldeni akar neked egy titkosított üzenetet, le tudja tölteni a publikus kulcsodat az internetről. Több kulcskiszolgálót választhatsz a menüben a feltöltésekor, ám ezek egymás másolatai, tehát nem számít, melyiket használod. Néha azonban óráig eltart, amíg szinkronba kerülnek egymással új kulcs feltöltésekor.

Hibaelhárítás

A folyamatjelző nem halad/A folyamat nem ér véget
Zárd be a feltöltési ablakot, győződj meg róla, hogy csatlakozol az internethez és próbáld újra. Ha nem működik, próbáld meg másik kulcsszerver kiválasztásával.

A kulcsom nem jelenik meg a listában
Próbáld bejelölni a „Alapértelmezésben az összes kulcs megjelenítése” lehetőséget.

További dokumentáció
Ha problémád adódott az útmutatónkkal vagy csak többet szeretnél megtudni, nézd meg az Enigmail dokumentációt.

Nem látod a megoldást a problémádra?
Tudasd velünk a visszajelzési oldalon.

Haladó

Kulcsfeltöltés parancssorból
A kulcsaidat parancssorból is fel tudod tölteni kulcskiszolgálóra. Az sks weboldal fenntart egy listát magas szinten összekapcsolt kulcsszerverekről. Közvetlenül is exportálhatod a kulcsodat a számítógépedről mint egy fájlt.

GnuPG, OpenPGP, micsoda?

Általában a következő kifejezéseket szinonimaként használjuk: GnuPG, GPG, GNU Privacy Guard, OpenPGP és PGP. Technikailag az OpenPGP (Pretty Good Privacy) a titkosítási szabvány, és a GNU Privacy Guard (gyakran GPG-re vagy GnuPG-re rövidítve) a program, amely megvalósítja a szabványt. Az Enigmail egy beépülő program az e-mail kliensedhez, amely felületet biztosít a GnuPG-hez.

#3 Próbáld ki!

Most egy teszt levelezést fog folytatni egy Edward nevű számítógépes programmal, aki tudja, hogyan kell használni a titkosítást. Ha külön nincs feltüntetve, ezek ugyanazok a lépések, amelyeket valódi, élő személlyel történő levelezéskor követsz.

e-mail küldés illusztráció

3.a lépés: küldd el Edwardnak a publikus kulcsodat

Ez egy különleges lépés, amit nem kell végrehajtanod valódi emberrel történő levelezéskor. A levelező programod menüjében menj az Enigmail → Kulcskezelő menüpontra. Látnod kellene a kulcsodat a megjelenő listában. Kattints rá jobb egérgombbal és válaszd a „Nyilvános kulcsok elküldése e-mailben” opciót. Ez egy piszkozatot fog készíteni, majd csak rá kell kattintanod a Küldés gombra.

Címezd az üzenetet az edward-en@fsf.org-ra. Írj legalább egy tetszőleges szót a tárgyba és az e-mail törzsébe. Még ne küldd el az üzenetet!

A lakat ikonnak a bal felső sarokban sárgának kell lennie, jelezve, hogy a titkosítás be van kapcsolva. Ebben az első, különleges üzenetben azt szeretnénk, ha az titkosítatlan lenne, tehát kattints az ikonra a kikapcsoláshoz. A lakat ikon szürke lesz egy kék ponttal rajta, jelezve, hogy az alapértelmezett beállítások megváltoztak. Miután kikapcsoltad a titkosítást, kattints a Küldés gombra.

Két-három percig is eltarthat, mire Edward válaszol. Amíg válaszol, érdemes lehet megnézned az útmutató Használd jól részét. Miután válaszolt, térj vissza a következő lépésre. Innentől kezdve pontosan azt fogod csinálni, mintha élő emberrel leveleznél.

Mikor megnyitod Edward válaszát, a GnuPG kérni fogja a jelszavadat, mielőtt a privát kulcsoddal fejti vissza azt.

3.b lépés: teszt titkosított e-mail küldése

Írj egy új e-mailt a levelező programodban, címzed az edward-en@fsf.org-ra. A tárgy legyen Titkosítás teszt vagy valami hasonló, és írj valamit az e-mail törzsbe is.

A lakat ikon a bal felső sarokban sárga, azt jelezve, hogy a titkosítás be van kapcsolva. Ezentúl ez lesz az alapértelmezett beállításod.

A lakat mellett észrevehetsz egy ceruza ikont. Nemsokára rátérünk.

Kattints a Küldés gombra. Az Enigmail egy megjelenő ablakban azt mondja: „A címzett nem érvényes, nem megbízható vagy nem található”.

Ahhoz, hogy titkosított e-mailt küldj Edwardnak, szükséged van a publikus kulcsára. Tehát az Enigmaillel le kell töltened a kulcskiszolgálóról. Kattints a Hiányzó kulcsok letöltése lehetőséges és használd az alapértelmezett kulcsszervert. Miután megtalálta a kulcsokat, válaszd az elsőt (a Kulcsazonosító C-vel kezdődik), majd válaszd az OK-t. Válaszd az OK-t a következő ablakban is.

Visszatértél a „A címzett nem érvényes, nem megbízható vagy nem található” ablakra. Jelöld be a jelölőnégyzetet Edward kulcsa előtt és kattints a Küldésre.

Mivel az e-mailt Edward publikus kulcsával titkosítottad, Edward privát kulcsa szükséges a visszafejtéséhez. Edward az egyetlen a privát kulcsával, tehát rajta kívül senki más nem tudja visszafejteni az e-mailt.

Hibaelhárítás

Az Enigmail nem találja Edward kulcsát
Zárd be az ablakot, ami a Küldés gombra kattintva jelent meg. Győződj meg róla, hogy csatlakozol az internethez és próbáld újra. Ha ez nem működik ismételd meg a folyamatot egy másik kulcskiszolgálóval.

Visszafejtett üzenetek vannak az Elküldött levelek mappában
A más kulcsával titkosított üzeneteket nem tudod visszafejteni, ám a levelező programod automatikusan készít egy mentést a te publikus kulcsoddal titkosítva, amelyet normális üzenetként látsz az Elküldött üzenetek mappában. Ez normális, és nem jelenti azt, hogy az e-mailed titkosítás nélkül került volna elküldésre.

További források
Ha problémád adódott az útmutatónkkal vagy csak többet szeretnél megtudni, nézd meg a Enigmail wikit.

Nem látod a megoldást a problémádra?
Tudasd velünk a visszajelzési oldalon.

Haladó

Titkosított üzenet parancssorból
Üzeneteket és fájlokat parancssorból is tudsz titkosítani és visszafejteni, ha ezt szeretnéd. Az --armor paraméter megjeleníti a titkosított kimentet a szokásos karakterkészlettel.

Fontos: biztonsági ötletek

Még ha titkosítod is az e-mailedet, a tárgy nem kerül titkosításra, tehát ne írj bele személyes adatokat. A küldő és címzett szintén nem kerül titkosításra, tehát a megfigyelő rendszer még mindig ki tudja találni, kivel kommunikálsz. A megfigyeléssel foglalkozó ügynökök tudni fogják, hogy GnuPG-t használ, még akkor is, ha nem tudják kitalálni, mit írsz. Amikor mellékleteket küldsz, az Enigmail felajánlja a választást, hogy titkosítani szeretnéd-e azokat vagy sem, függetlenül az aktuális e-mailtől.

3.c lépés: válasz érkezése

Mikor Edward megkapja az e-mailedet, a privát kulcsát használva visszafejti, majd a publikus kulcsodat (amit a 3.a lépésben küldtél el neki) használva titkosítja a válaszodat.

Két-három percig is eltarthat, mire Edward válaszol. Amíg válaszol, érdemes lehet megnézned az útmutató Használd jól részét.

Mikor megkapod Edward válaszát, nyisd meg az e-mailt. Az Enigmail automatikusan észlelni fogja, hogy a publikus kulcsoddal lett titkosítva és a privát kulcsodat használva fogja visszafejteni.

Figyeld meg a sávot, amit az Enigmail mutat neked az üzenet fölött Edward kulcsának állapotáról.

3.d lépés: teszt aláírt e-mail küldése

A GnuPG lehetővé teszi, hogy aláírd az üzeneteket és a fájlokat, annak ellenőrzésére, hogy azok tőled valóak és nem manipulálták őket útközben. Ezek az aláírások erősebbek, mint a papíron lévő társaik. Ezeket ugyanis nem lehet hamisítani, mivel lehetetlen őket elkészíteni a privát kulcsod nélkül (újabb ok a privát kulcsod biztonságban tartására).

Bárkinek szánt üzenetet aláírhatsz, tehát ez egy nagyszerű mód az emberek tájékoztatására, hogy GnuPG-t használsz, és biztonságosan tudnak veled kommunikálni. Ha nem használnak GnuPG-t, akkor is látni fogják az üzenetedet és az aláírásodat. Ha használnak, képesek lesznek az aláírásod hitelességének ellenőrzésére is.

Hogy aláírj egy Edwardnak szóló e-mailt, címezz neki egy üzentet, majd kattints a lakat melletti ceruza ikonra, hogy arany színű legyen. Ha aláírsz egy üzenetet, a GnuPG kérni fogja a jelszavadat a küldés előtt, mivel szüksége van a privát kulcsod feloldására az aláíráshoz.

A lakat és a ceruza ikonokkal eldöntheted, hogy egy üzenet titkosított legyen, aláírt, mindkettő vagy egyik sem.

3.e lépés: válasz érkezése

Mikor Edward megkapja az e-mailedet, a publikus kulcsodat (amit a 3.a lépésben küldtél el neki) fogja használni, hogy ellenőrizze az aláírásod hitelességét és azt, az üzenetedet nem manipulálták.

Két-három percig is eltarthat, mire Edward válaszol. Amíg válaszol, érdemes lehet megnézned az útmutató Használd jól részét.

Edward válasza titkosítva fog megérkezni, mivel a titkosítás használatát részesíti előnyben, amikor lehetséges. Ha minden a terv szerint halad, így szól: „Your signature was verified.” („Az aláírásod ellenőrzésre került.” A fordító.) Ha a teszt aláírt e-mailed titkosítva is volt, először azt fogja említeni.

#4 Ismerd meg a bizalmi hálót

Az e-mail titkosítás egy hatékony technológia, de van egy gyengesége: szüksége van annak ellenőrzésére, hogy egy személy publikus kulcsa valóban az övé-e. Máskülönben nem lenne mód meggátolni, hogy egy támadó e-mail címet hozzon létre a barátod nevével, kulcsokat készítsen vele és megszemélyesítse a barátodat. A szabad szoftver programozók, akik az e-mail titkosítást fejlesztették, ezért alkották meg a kulcs aláírást és a bizalmi hálót (Web of Trust).

Mikor aláírod valakinek a kulcsát, nyilvánosan kijelented, ellenőrizted, hogy a kulcs hozzá tartozik és nem másvalakihez.

Az aláíró kulcsok és az aláírt üzenetek ugyanazt a típusú matematikai műveletet használják, de teljesen más hatással. Jó gyakorlat, ha általában aláírod az e-mailjeidet, de ha óvatlanul emberek kulcsait írod alá, véletlenül egy csaló azonosságáért is kezességet vállalhatsz.

Azok az emberek, aki használják a publikus kulcsodat, láthatják, kik írták alá. Hosszú idejű GnuPG használata után a kulcsodnak akár több száz aláírása is lehet. Megbízhatóbbnak tekintheted a kulcsot, ha sok olyan embertől van aláírása, akikben megbízol. A bizalmi háló olyan GnuPG felhasználók konstellációja, akik aláírásukkal fejezik ki a bizalmukat és ilyen bizalmi láncokkal kapcsolódnak egymáshoz.

bizalmi háló illusztráció

4.a lépés: kulcs aláírás

A levelező programod menüjében menj az Enigmail → Kulcskezelő menüpontra.

Kattints jobb egérgombbal Edward publikus kulcsára és válaszd a Kulcs aláírása… lehetőséget a helyi menüben.

A megjelenő ablakban válaszd a „Nem kívánok válaszolni” lehetőséget és kattints az OK gombra.

Most újra a Kulcskezelő menüben kell lenned. Válaszd a Kulcskiszolgáló → Nyilvános kulcsok feltöltése lehetőséget és kattints az OK-ra.

Eredményesen kijelentetted, hogy elhiszed, Edward publikus kulcsa valóban Edwardhoz tartozik. Ez nem sokat jelent, mert Edward nem valódi személy, de jó gyakorlat.

Kulcsok azonosítása: ujjlenyomat és azonosító

A publikus kulcsok általában a kulcs ujjlenyomatuk alapján kerülnek azonosításra, amely egy ehhez hasonló karaktersorozat: F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (Edward kulcsához). Megnézheted a publikus kulcsod ujjlenyomatát és más, a számítógépedre mentett publikus kulcsok ujjlenyomatait a levelező programod Enigmail menü → Kulcskezelő menüpontjából, majd a kulcson jobb egérklikk után a Kulcs tulajdonságai lehetőséget választva. Jó gyakorlat az e-mail címeddel együtt az ujjlenyomatodat is megadnod, így az emberek duplán ellenőrizhetik, hogy a megfelelő publikus kulcsot töltik le a kulcsszerverről, mikor a tiédet keresik.

Láthatsz olyat is, hogy a publikus kulcsokra a kulcsazonosítójukon hivatkoznak, amely egyszerűen az ujjlenyomat utolsó nyolc karaktere (C09A61E8 Edwardnál). A kulcsazonosító közvetlenül a Kulcskezelő ablakból látható. Ez a kulcsazonosító olyan, mint az ember utóneve (hasznos rövidítés, de lehet, hogy nem egyedi az adott kulcshoz), míg az ujjlenyomat valóban egyedien azonosítja a kulcsot a félreértés lehetősége nélkül. Ha csak a kulcs azonosítója van meg, még mindig utána nézhetsz a kulcsnak (valamint az ujjlenyomatának), ahogy a 3. lépésben tetted. Ám ha több lehetőség is megjelenik, szükséged lesz annak a személynek az ujjlenyomatára, akivel kommunikálni próbálsz, hogy ellenőrizd, melyiket kell használni.

Fontos: mire figyelj kulcs aláíráskor

Mielőtt aláírod valakinek a kulcsát, biztosnak kell lenned benne, a kulcs valóban hozzá tartozik, és az, akinek mondja magát. Ideális esetben ez a bizalom a vele történő beszélgetésből vagy közte és mások közötti beszélgetést látva jön létre idővel. Kulcs aláírásakor mindig a teljes publikus kulcs ujjlenyomatot kérd, ne csak a rövidített kulcs azonosítót. Ha fontosnak érzed aláírni valakinek a kulcsát, akivel csak most találkoztál, kérd el tőle az igazolványát, hogy az azon lévő név egyezik-e a publikus kulcson lévővel. Az Engimailben őszintén válaszolj az ablakban megjelenő „Hogyan ellenőrizte, hogy az aláírandó kulcs tényleg a megadott személyé?” kérdésre.

Haladó

A bizalmi háló mestere
Sajnos a bizalom nem terjed úgy a felhasználók között, ahogy sokan gondolják. A GnuPG közösség erősítésének egyik legjobb módja a bizalmi háló alapos megismerése, és annyi ember kulcsának körültekintő aláírása, amennyit a körülmények engednek.

Tulaj megbízhatóság beállítása
Ha eléggé megbízol valakiben, hogy aláírd a kulcsát, tulaj megbízhatóság szintet tudsz hozzárendelni az Enigmail Kulcskezelő ablakában. Kattints jobb egérgombbal a személy kulcsára, menj a „Kulcsmegbízhatóság beállítása…” menüpontra, válaszd ki a bizalmi szintet, majd kattints az OK-ra. Ezt csak akkor tedd meg, ha úgy érzed, alaposan megismerted a bizalmi hálót.

#5 Használd jól

Mindenki kicsit másként használja a GnuPG-t, de az fontos, hogy kövess néhány alapvető gyakorlatot az e-mail biztonságod fenntartása érdekében. Ha nem követed ezeket, azon személyek magánszféráját veszélyezteted, akikkel kommunikálsz, ahogy a sajátodat is, valamint ártasz a bizalmi hálónak.

publikus kulcs névjegy illusztráció

Mikor titkosítsak? Mikor írjak alá?

Minél több üzenetedet titkosítod, annál jobb. Ha csak alkalmanként titkosítasz e-maileket, minden titkosított üzenet felkeltheti a megfigyelő rendszerek figyelmét. Ha minden vagy a legtöbb e-mailed titkosított, a megfigyelést végzők nem tudják, merre kezdjék. Ez nem azt jelenti, hogy csupán néhány e-mailed titkosítása nem hasznos. Ez egy nagyszerű kezdet, és nehezebbé teszi a tömeges megfigyelést.

Azon kívül, ha nem akarod felfedni a személyazonosságod (amely egyéb óvintézkedéseket kíván), nincs okod nem aláírni minden üzenetet, függetlenül attól, titkosítod-e azokat. Ráadásul a GnuPG-vel rendelkezőknek lehetőségük vannak annak ellenőrzésére, hogy az e-mail valóban tőled jött. Az aláírás nem tolakodó módon emlékeztet mindenkit arra, hogy GnuPG-t használsz és támogatást mutatsz a biztonságos kommunikációnak.

Légy óvatos az érvénytelen kulcsokkal

A GnuPG biztonságosabbá teszi az e-mailt, de még mindig fontos az érvénytelen kulcsok ellenőrzése, amelyek illetéktelen kezekbe is kerülhettek. Az érvénytelen kulcsokkal titkosított e-mail olvasható lehet a megfigyelő programoknak.

A levelező programodban menj vissza az első titkosított e-mailre, amit Edwardtól kaptál. Mivel Edward a publikus kulcsoddal titkosított, egy üzenet lesz a tetején az Enigmailtől, amely nagy valószínűséggel azt mondja: „Enigmail: Az üzenet egy része titkosított.”

GnuPG használatakor váljon szokásoddá a sávra pillantani. A program ott fog figyelmeztetni, ha nem megbízható kulccsal titkosított e-mailt kaptál.

Másold a visszavonási tanúsítványodat más biztonságos helyre

Emlékszel, mikor létrehoztad a kulcsaidat és elmentetted a visszavonási tanúsítványt, amelyet a GnuPG készített? Itt az ideje a nálad lévő legbiztonságosabb digitális tárolóra másolni. Az ideális eszköz egy pendrive vagy lemez otthon, egy biztonságos helyen, nem egy olyan, amelyet rendszeresen magaddal viszel.

Ha a privát kulcsod eltűnik vagy ellopják, szükséged lesz erre a tanúsítvány fájlra, hogy tudasd az emberekkel, többé nem használod azt a kulcspárt.

e-mail visszafejtés illusztráció

Fontos: cselekedj gyorsan, ha valaki megszerzi a privát kulcsodat

Ha elveszted a privát kulcsodat vagy más szerzi meg (mondjuk lopás vagy számítógép feltörés útján), fontos, hogy azonnal visszavond, mielőtt valaki elolvassa vele a titkosított e-mailjeidet vagy meghamisítja az aláírásodat. Ez az útmutató nem tartalmazza, hogyan vonj vissza egy kulcsot, de követheted ezeket az utasításokat. Miután elkészültél a visszavonással, készíts egy új kulcsot és küldj mindenkinek egy e-mailt az új kulcsod másolatával, akivel gyakrabban használod, hogy biztosan tudjanak róla.

Webmail és GnuPG

Ha web böngészőt használsz az e-mailjeid eléréséhez, webmailt használsz, egy e-mail programot, amelyet távoli weboldalon tárolnak. A webmaillel ellentétben az asztali levelező programod a saját számítógépeden fut. Bár a webmail nem tud visszafejteni titkosított e-maileket, titkosított formában akkor is megjeleníti azokat. Ha elsősorban webmailt használt, tudni fogod, hogy meg kell nyitnod az e-mail kliensedet, ha kódolt e-mailt kapsz.

Ez a cikk egy fordítás, némi aktualizálással. Az eredetit az FSF-től itt találod.

A sorozat részei: