Šifrování zpráv a elektronické podepisování

Rychlý návod k šifrování a podepisování zpráv v aplikaci eM Client

Šifrování zpráv - smyslem zašifrování obsahu zprávy je zajistit, aby si potenciálně citlivé informace v ní nepřečetl nikdo, komu nejsou určeny.

I pokud používáte zabezpečenou síť, existuje riziko, že zprávy (včetně těch, co obsahují například přihlašovací údaje) mohou být zachyceny třetí stranou. Díky šifrování si obsah zprávy dokáže přečíst jen ten, komu byla určena, takže i kdyby zprávu někdo zachytil, tak se k jejímu obsahu nedostane.

Elektronické podepisování je proces, díky kterému můžete mít jistotu, že obsah zprávy nebyl cestou pozměněn. Jedná se o digitální kód přiložený ke zprávě pro ověření identity odesílatele.

Šifrování a podepisování zpráv vychází primárně z konceptu kryptografie s veřejným klíčem (známá také jako asymetrická kryptografie). Tento koncept využívají oba šifrovací protokoly, které eM Client podporuje - PGP a S/MIME.

V systému asymetrické kryptografie dostane každý uživatel dva klíče propojené e-mailovou adresou uživatele:

  • soukromý klíč, který je potřeba uchovávat v bezpečí a neměl by být nikdy nikomu prozrazen - používá se na digitální podepsání odchozích zpráv nebo na dešifrování příchozích zpráv;
  • veřejný klíč, který musí být rozeslán ostatním lidem, se kterými chce uživatel komunikovat. S veřejným klíčem je možné ověřit digitální podpis ve zprávě od uživatele a posílat danému uživateli šifrované zprávy.

Toto rozdělení klíčů je důležitým základem pro šifrování i podpis zpráv.

Proč a kdy používat šifrování

Šifrování zpráv byste měli používat vždy, když chcete mít jistotu, že nikdo bez přístupu k vašemu soukromému klíči (a heslu k němu) si zašifrovanou zprávu určenou vám nebude schopen přečíst, a to ani na vašem počítači. Toto platí i pro poskytovatele e-mailové schránky, protože obsah zprávy je v případě zašifrování bezpečný po celé cestě svého putování.

Proč byste měli používat elektronické podepisování zpráv

Za prvé tím dáte příjemci zprávy jistotu, že zpráva, kterou od vás obdržel, nebyla podvržena a naopak, pokud někdo pošle podepsanou zprávu vám, můžete snadno ověřit jeho identitu a můžete si být jisti, že vám zpráva dorazila přesně v tom znění, v jakém ji odesílatel poslal. Elektronické podpisy ověřují identitu účastníků komunikace, ovšem jako takové NEŠIFRUJÍ obsah e-mailů.

Co je PGP

PGP je jednou z dostupných kryptografických metod pro šifrování a digitální podpisy. PGP je akronym pro "Pretty Good Privacy" neboli "Dost dobré soukromí" a bylo vynalezeno už v roce 1991. Přesto, že je dnes spojováno zejména s e-mailovou komunikací, PGP lze aplikovat na libovolné texty nebo soubory.

PGP využíva asymetrickou kryptografii, takže pracuje se dvěma klíči – soukromý klíč pro elektronické podepisování a rozšifrování příchozích zpráv a veřejný klíč pro zašifrování zpráv a ověření podpisů.

Každý PGP klíč obsahuje jedinečný „otisk prstu“ (Fingerprint), který tvoří krátká posloupnost písmen a číslic. Když posíláte veřejný klíč skrze nezajištěný komunikační kanál, což je v zásadě i e-mail, je velmi důležité ověřit jeho pravost – ujistit se, že klíč nebyl po cestě pozměněn, což by ohrozilo bezpečnost budoucí komunikace.

Chcete-li ověřit pravost klíče, Fingerprint na straně odesílatele a na straně příjemce by měly být porovnány odlišným komunikačním kanálem, například hovorem přes telefon.

PGP lze pro e-mail použít dvěma způsoby:

  • PGP/MIME je standard, který povoluje šifrování a podpis celé zprávy včetně příloh, formátovaného textu a vložených obrázků,
  • Inline PGP je jednodušší mechanismus, který šifruje pouze prostý text, ale ne přílohy.

Pro maximální kompatibilitu eM Client podporuje příjem i odesílání zpráv oběma způsoby.

Jak nastavit PGP v eM Clientu:

eM Client 8 vám umožňuje jednoduše nastavit šifrování pro jakýkoliv účet. Pokud ještě nemáte pár PGP klíčů, můžete si jej rovnou vytvořit, nebo importovat již existující klíče.

Nastavení šifrování

V prvním kroku se můžete rozhodnout, zda vytvořit nový pár klíčů, importovat existující klíče z předešlé aplikace, anebo pokračovat bez šifrování.

Pár klíčů můžete kdykoliv vytvořit nebo importovat i později, v sekci Menu > Nastavení > Podepisování a šifrování > Certifikáty a klíče.

Vytvoření nového páru klíčů

Pro nový pár klíčů musíte vytvořit heslo.

PGP používá heslo k zašifrování vašeho soukromého klíče, čímž ho nebude moci používat nikdo mimo vás. Heslo je rovněž potřebné k rozšifrování příchozích zpráv nebo k elektronickému podepisování vašich odchozích zpráv.

Můžete určit i velikost klíčů ve vašem páru.

Velikost klíče určuje délku daného klíče v kryptografickém algoritmu. Větší klíč je vždy bezpečnější, ale potrvá trochu déle ho vygenerovat a prodlouží čas potřebný k zašifrování a rozšifrování zpráv.

Uložte si svůj soukromý klíč

V tomto kroku můžete uložit svůj soukromý klíč na bezpečné místo.

Jakmile začnete používat v e-mailovém účtu PGP, všechny zašifrované příchozí zprávy mohou být dešifrovány pouze pomocí soukromého klíče a hesla. Pozor - v případě ztráty soukromého klíče už nikdy nebudete moci dešifrovat a číst zprávy zašifrované tímto párem klíčů.

To se týká taky zašifrovaných zpráv, které byly odeslány přes eM Client, jelikož aplikace šifruje vaší odeslanou kopii ve složce Odeslané pomocí vašeho veřejného klíče.

Pár klíčů se uloží do ASC souboru, který je nutno bezpečně archivovat. Můžete jej uložit do Dokumentů ve vašem zařízení, je ovšem lepší mít i externí zálohu pro případ, kdy by zařízení bylo ukradeno nebo poškozeno - např. na chráněném cloudovém úložišti, externím USB, apod.

Pokud klíč neuložíte teď, můžete se k tomu kdykoliv vrátit přes Menu > Nastavení > Podepisování a šifrování > Certifikáty a klíče.

Sdílejte svůj veřejný klíč

Pro zašifrování zprávy potřebujete veřejný klíč příjemce zprávy. Stejně tak pokud chcete přijímat šifrované zprávy vy, musíte distribuovat svůj veřejný klíč.

Klíče můžete distribuovat samostatně a obeslat všechny potřebné kontakty, anebo můžete použít naši unikátní vyhledávací službu pro veřejné klíče - eM Keybook.

Stačí nahrát váš veřejný klíč na eM Keybook, který nejenom poskytne váš veřejný klíč uživatelům, kteří by vám chtěli poslat šifrovanou zprávu, ale taky automaticky vyhledá veřejné klíče kontaktů, kterým byste chtěli poslat šifrovanou zprávu vy.

Co je eM Keybook

eM Keybook je vyhledávací služba a registr veřejných klíčů provozovaný společností eM Client. Je to online služba pro nahrávání a spravování veřejných klíčů, díky které vám může kdokoliv jednoduše poslat šifrovanou zprávu a vy můžete snadno získat veřejné klíče těch, kterým chcete psát šifrované zprávy vy.

Všimli jsme si, že i když je funkce PGP šifrování v eM Clientu již dlouho, pracuje s ní pouze malá část uživatelů. Nejčastějším důvodem pro nepoužívání PGP byla právě složitost vyměňování klíčů - jak odesílatel, tak příjemce potřebují vlastní pár klíčů a k tomu veřejné klíče druhé strany. A absolvovat proces výměny klíčů s každým kontaktem zvlášť je mimořádně nepraktické.

Proto jsme vytvořili eM Keybook. Cílem je ulehčit, zpřístupnit a zrychlit distribuci veřejných klíčů pro každého, kdo chce posílat šifrované zprávy.

eM Keybook ukládá veřejné klíče, které jste nahráli a umožňuje výměnu veřejných klíčů mezi všemi uživateli aplikace eM Client. Pokud kontakt, kterému chcete poslat šifrovanou zprávu, má svůj veřejný klíč v eM Keybook registru, eM Client automaticky stáhne a použije příslušný klíč.

Veřejný klíč můžete nahrát při vytváření páru klíčů, nebo kdykoliv později přes Menu > Nastavení > Podepisování a šifrování > Certifikáty a klíče. V okně Správa certifikátů/Klíče můžete pomocí tlačítka ‘Nahrát do eM Keybook’ distribuovat svůj veřejný klíč všem uživatelům aplikace eM Client.

Klíče můžete rovněž kdykoliv odstranit v sekci Menu > Nastavení > Podepisování a šifrování > eM Keybook – stačí vyhledat klíče pro příslušnou e-mailovou adresu a zvolit ‘Odstranit z eM Keybook’, čím se klíče odstraní z celé služby.

eM Keybook neukládá a nemá přístup k žádnému z vašich soukromých klíčů nebo hesel. Nikomu nedává přístup k vašim šifrovaným zprávám a neukládá je na naše servery.

eM Keybook není certifikační autorita a nevydává nové certifikáty.

Distribuce klíčů

Jakmile tedy máte vše nastaveno, budete chtít rozeslat svůj Veřejný klíč lidem, se kterými si plánujete posílat zprávy.

Můj známý i já používáme eM Client a eM Keybook

To je ten nejjednodušší případ – pokud oba nahrajete své klíče na eM Keybook, automaticky dostanete možnost příslušný veřejný klíč stáhnout a použít jakmile vložíte e-mailovou adresu přítele do řádku Nová adresa při psaní nové šifrované zprávy a kliknete Odeslat.

Můj známý používá starší verzi aplikace eM Client, nebo jinou aplikaci.

V tomto případě můžete svůj klíč jednoduše odeslat přes Menu > Nastavení > Podepisování a šifrování > Moje certifikáty/klíče. Přes dvojklik na daný certifikát otevřete detail certifikátu, klikněte “Odeslat” a vyberete příjemce. Příjemce této zprávy si bude moci jednoduše importovat přiložený klíč v eM Clientu do úložiště ostatních klíčů, nebo do jakékoliv jiné aplikace.

Důležité:

Snažte se vždy ověřit přijaté klíče i přes jiné kanály než e-mail, např. přes telefon. Jednoduše si zavoláte a porovnáte "otisky prstu" klíčů (k nalezení v detailu klíče).

Posílání šifrovaných e-mailů

Poté, co si vyměníte klíče se svými kontakty, můžete začít posílat podepsané a/nebo šifrované emaily. Při psaní nové zprávy pak uvidíte v nástrojové liště tlačítka pro šifrování (ikonka se zámkem) a digitální podpis (ikonka s pečetí).

Jakmile uživatel zadá šifrovanou zprávu k odeslání, eM Client automaticky vybere odpovídající kryptografickou technologii na zašifrování – S/MIME nebo PGP – podle veřejných certifikátů a klíčů příjemců.

Pokud pro dané příjemce nejsou k dispozici validní veřejné klíče, objeví se varovná hláška s touto informací předtím, než se zpráva opravdu odešle.

Pro digitální podpis se automaticky použije první detekovaný klíč, ale můžete jej vybrat i manuálně, pokud jich používáte více pro tu samou adresu.

Různé formáty PGP pro šifrování

V případě použití technologie PGP se můžete rozhodnout mezi formáty PGP/MIME a Inline PGP.

eM Client automaticky vybere nejvhodnější nejlepší možnost, což je ve většině případů PGP/MIME, se kterým lze šifrovat i formátování textu a přílohy.

Inline PGP je jednodušší formát, která šifruje prostý text a je lepší ji použít pokud chcete maximalizovat kompatibilitu s jinými programy.

Automatický výběr lze změnit v Menu > Zpráva > Formát PGP.

Čtení podepsaných/šifrovaných zpráv

Čtení podepsané či šifrované zprávy je v eM Clientu velmi jednoduché. Digitální podpis se automaticky ověří, jakmile e-mail otevřete. Pro ověření podpisu je potřeba mít veřejný klíč odesílatele uložený v programu nebo v operačním systému. Pokud je podpis validní – tzn. zpráva nebyla po cestě nijak změněna – objeví se pod hlavičkou zprávy informace o tom, že „Tato zpráva byla podepsána“.

Pro čtení šifrované zprávy potřebuje program soukromý klíč uživatele, který je zabezpečen heslem. Po vložení hesla se zpráva dešifruje a načte se její obsah.

Chtěli byste nám pomoct s lokalizací do jakékoliv cizí řeči? Napište nám!