Pretty Good Privacy eli näin kryptaat sähköpostisi
Miksi PGP?
Edward Snowden, the NSA whistleblower who revealed his identity Sunday, first approached The Guardian s Glenn Greenwald in February and, by the journalist s account, said he had information that would be of great interest. But there was a problem. Snowden only wanted to communicate securely using PGP encryption, for which Greenwald didn t have the proper software installed at the time. In an interview with The Huffington Post, Greenwald acknowledged that he's no expert in using such technology and said that Snowden even provided a step-by-step email and video to help secure their communication. At that point, however, Greenwald didn't know what his would-be source had (or didn't have) and continued to prioritize other stories instead. HuffPo 10.6.2013
Miksi salaisin sähköpostini? Sähköpostit sijaitsevat aina palveluntarjoajan serverillä ja palveluntarjoaja pääsee niitä lukemaan halutessaan (tai määrättäessä) Ei tarvita NSA:n resursseja, jotta meilejä pääsee urkkimaan. Hakkeri voi poimia lähettämäsi viestit, jos käytät avointa wlan-verkkoa esim. kahvilassa Sähköposti-istunto voi jäädä väärään paikkaan auki, ulkopuoliset voivat päästä lukemaan viestisi esteettä. Salasanat on usein helppo arvata ja/tai murtaa. Lähdesuoja: jos lupaat, että keskustelu on kahdenvälistä ja luottamuksellista, mieti, onko se sitä todella Solidaarisuus: mitä enemmän kryptausta käytetään, sitä vähemmän se herättää huomiota/kiinnostusta. Kryptaus tekee massoittaisesta tietojen tallentamisesta järjetöntä.
Muista silti Sähköpostin kryptaus on vain yksi osa tietoturvaketjua. Vahvat salasanat, salattu SSL/TLS-yhteys, tiedostojen kryptaus, IM-palvelu kuten OTRt, VPN-verkko, Tailskäyttöjärjestelmä ja Tor mahdollistavat entistä turvallisemman viestinnän Kryptauksesta ei ole hyötyä, jos koneellasi on haittaohjelma tai key logger, joka nuuskii tietoja käyttäessäsi konetta Myös viestin vastaanottajan tietoturvan täytyy olla kunnossa
Kuva: EFF https://www.eff.org/pages/tor-and-https
PGP eli Pretty Good Privacy PGP = menetelmä/standardi, joka mahdollistaa sähköpostiviestien kryptaamisen ja sähköisen allekirjoittamisen Kryptaa viestin rungon ja sen liitteet E I kryptaa lähettäjän sähköpostiosoitetta, viestin aihetta tai muita metatietoja, kuten lähetysaikaa Asymmetric Public Key Encryption Jokainen tarvitsee oman avainparin, johon kuuluu julkinen ja salainen avain Salainen avain on suojattu tunnuslauseella Avain = tekstitiedosto (.asc)
Miten avainpari toimii? Heidi haluaa lähettää Lauralle salatun viestin. Heidi kirjoittaa viestin ja kryptaa sen Lauran julkisella avaimella. Laura avaa kryptauksen omalla salaisella avaimellaan.
Miten oma avainparin luodaan? Windowsille GPG4win www.gpg4win.org OS X:lle GPGTools www.gpgtools.org
Mistä vastaanottajan julkisen avaimen saa? 1. Julkinen avain on ladattu avainserverille. Jokaisella avaimella on ID, kuten 1A2BC34D. Avaimen voi hakea avainserveriltä ID:llä. ID:tä voi jakaa julkisesti missä vaan. 2. Avain = tekstitiedosto kokonaisen julkisen avaimen voi esim. julkaista omilla kotisivuillaan, lähettää sähköpostilla tai antaa muistitikulla
Miten voi tietää, että julkinen avain kuuluu oikealle omistajalleen? Open PGP toimii web of trust -periaatteella: PGP:n käyttäjät vahvistavat (sign) toistensa avaimien luotettavuuden: mitä enemmän vahvistuksia sitä varmempi voit olla omistajasta Vahvistaminen tapahtuu yleensä, kun tavataan kasvokkain > key signing partyt Voit tarkistaa, kuinka monta kertaa avain on vahvistettu ja päättää sitten, luotatko avaimen kuuluvan väitetylle omistajalleen
Nyt töihin! Mitä ohjelmia tarvitaan? 1. Webmail-osoite (esim. Gmail) 2. Sähköpostiohjelma/client viestien kirjoitukseen ja lähettämiseen (Mozilla Thunderbird) 3. GPG-ohjelma avainten luomiseen, hallintaan ja viestien kryptaamiseen (OS X: GPGTools, Windows: GPG4win) 4. Enigmail-lisäosa Thunderbirdiin, joka mahdollistaa GPG:n käytön Thunderbirdillä
Miltä kryptattu viesti näyttää?
Asennus pähkinänkuoressa Valitse webmail-osoite, jota haluat käyttää Lataa ja asenna Thunderbird, poista automaattinen luonnosten tallennus käytöstä Asenna Enigmail-lisäosa Thunderbirdiin Lataa ja asenna PGP-ohjelma (GPGTools tai GPG4win) Luo avainpari ohjeiden mukaan, keksi salaiselle avaimelle tunnuslause ja lataa julkinen avaimesi avainserverille Hae kaverin avain serveriltä Kryptaa viesti kaverin julkisella avaimella ja allekirjoita se Kun saat kaverisi lähettämän viestin, pura kryptaus
Seuraavaksi: pariutukaa! Tarkemmat ohjeet joko: Cryptoparty Handbook http://bit.ly/1awoit0 Ars Technican hyvät ohjeet sekä Windowsille että OS X:lle http://bit.ly/18e2qj4
Laita webmailissa IMAP-yhteys päälle
Thunderbirdin asetukset Laita luonnosten automaattinen tallentaminen pois käytöstä Varmista, että Thunderbird käyttää SSL/TLS-yhteyttä Poista muotoilujen mahdollisuus: kirjoita viestit defaultina plain text -muodossa
Autosave pois päältä! Thunderbird Preferences Composition -välilehdellä:
SSL/TLS-yhteys käyttöön! Tools Account Settings Server Settings -välilehdellä Poista HTML-muotoilut kirjoita plain textinä
Miten Enigmailin saa Thunderbirdiin? Helposti! Mene Thunderbirdissä Tools Add-Ons -valikkoon, hae Enigmail, asenna se ja käynnistä Thunderbird uudestaan. Huomaat, että Thunderbirdiin on ilmestynyt uusi OpenPGP-niminen valikko.
Kun luot uuden avaimen: Tärkeää: 1. Varmista, että Upload public key after generation -kohdassa on täppä. Silloin avaimesi ladataan suoraan avainserverille. (onnistuu myös jälkikäteen). 2. Vaihda Advanced options -kohdasta pituudeksi (length) 4096 defaultina olevan 2048:n sijaan. Mitä pidempi, sen parempi, vaikka kryptaus hidastuukin joillakin sekunnin kymmenyksillä.
Millainen on hyvä tunnuslause? Sarjakuva: xkcd.com
Mikä on GPG Keychain? Tuo kaverin julkinen avain importtoiminnolla Lataa oma julkinen avaimesi koneellesi Exporttoiminnolla Keychain Access -ohjelmat ovat avainrenkaita kuten nimikin kertoo. Ohjelmasta näet kaikki hallussasi olevat julkiset avaimet sekä oman avainparisi. Voit tarvittaessa myös luoda uuden avainparin itsellesi.
Onko julkinen avaimeni serverillä? Jos et ole varma onnistuiko avaimen lataus avainserverille, asian voi tarkistaa helposti: mene osoitteeseen pgp.mit.edu ja kirjoita oma sähköpostiosoittee si kenttään. Jos avain on ladattu serverille, haku palauttaa avaimentiedot.
Miten viesti kryptataan ja allekirjoitetaan? Valitse joko OpenPGP-valikosta Encrypt & Sign message......tai klikkaa kynää (allekirjoittaa) ja avainta (kryptaa) viestin alalaidassa
Miten kryptaus puretaan? Helppoa! Klikkaa vain saapunutta viestiä, niin ohjelma kysyy tunnuslausettasi. Kun annat oikean tunnuslauseen, ohjelma dekryptaa viestin.
Onko kaikki kunnossa? Kun avaat kryptauksen, Thunderbird ilmoittaa, onko allekirjoitus hyväksytty (Good signature). Joskus yläpalkissa voi lukea myös Untrusted mikä tarjoittaa, ettei lähettäjän julkista avainta ole vahvistettu (signattu). Yritä silloin vahvistaa muilla keinoilla, että viesti on tullut oikealta lähettäjältä.
Liitä oma julkinen avain sähköpostiin Jos et ole ladannut julkista avaintasi avainserverille (esim. siksi, ettet halua pitää osoitetta julkisesti kaikkien nähtävillä) voit lähettää viestikumppanillesi julkisen avaimesi tavallisen sähköpostin liitteenä. Thunderbirdin OpenPGP-valikossa sen voi liittää kätevästi näin
Onnistuiko?