Szyfrowanie poczty: Thunderbird, GPG i Enigmail

O konieczności zabezpieczania naszych własnych danych nie będę pisał za wiele. Aby zapewnić swoje bezpieczeństwo w domu korzystamy z dobrych zamków, antywłamaniowych drzwi i okien a także systemów alarmowych połączonych z monitoringiem. Niestety nad bezpieczeństwem w świecie cyfrowym już się tak mocno nie skupiamy. Korzystamy z tego samego hasła na wielu portalach, często podrzędna poczta ma ten sam klucz co wszystkie nasze pieniądze. A przesyłając dane pocztą elektroniczną, również te wrażliwe, takie jak PESEL, seria numer dowodu osobistego, skany różnych dokumentów, nie zwracamy uwagi na to jak jest zabezpieczona nasza poczta. Działając w ten sposób bardzo szybko możemy stać się celem ataku na nas samych. Kradzież tożsamości jest wtedy ułatwiona.
Aby zabezpieczyć się przed atakami na nas, nasze życie, nasze pieniądze należy działać na wiele sposobów. Jednym z nich jest np stosowanie unikalnych i skomplikowanych haseł systematycznie zmienianych i nie przekazywanych innym osobom. Sposób jak sobie to ułatwić opisałem w artykule o KeePassie. Kolejnym sposobem jest szyfrowanie poczty elektronicznej. Nie zawsze konieczne jest szyfrowanie każdej wiadomości, ale na pewno tych w których przesyłamy wrażliwe dane.

Szyfrowanie asymetryczne. Klucze generowane są parami:

  1. Klucz publiczny, który przekazujemy wszystkim,  z którymi się komunikujemy i chcemy szyfrować korespondencję. Służy on szyfrowaniu przez inne osoby wiadomości, których jesteśmy odbiorcami. Nie da się przy jego użyciu odszyfrować wiadomości. Do tego konieczny jest:
  2. Klucz prywatny, który mamy tylko my i nie możemy go nikomu przekazać. Warto go mieć w zabezpieczonym miejscu. Może to być np.: kontener VeraCrypt (o tym kiedy indziej). Oczywiście jeżeli ten klucz stracimy, nie będziemy mieli już możliwości odszyfrowania wiadomości, które były zaszyfrowane przy pomocy klucza publicznego z tej pary kluczy.

Klucz publiczny możemy umieścić na swojej stronie, przekazać pocztą elektroniczną i zachęcać jak najwięcej osób również do korzystania z szyfrowania poczty.

Aplikacje jakie potrzebujemy do prowadzenia bezpiecznej korespondencji:

  1. Thunderbird
  2. GPG4Win
  3. Dodatek do Thunderbirda: Enigmail

Oczywiście nie tylko z tych aplikacji musimy korzystać. Są również inne, które mogą spełnić powyższe zadania, ale opisuje te, które znam i które wiem jak skonfigurować.

Instalujemy Thunderbirda, konfigurujemy swoje konto pocztowe. Następnie z domyślnymi ustawieniami instalujemy GPG4Win. Jest to aplikacja kryptograficzna, która będzie przy użyciu naszych kluczy szyfrowała i deszyfrowała pocztę. Po zainstalowaniu powyższych instalujemy dodatek do Thunderbirda.

Po ponownym uruchomieniu klienta poczty Thunderbird zapyta nas czy chcemy skonfigurować teraz Enigmail:

Kolejno aplikacja zapyta nas w jaki sposób chcemy konfigurować dodatek. Zalecam wybranie ustawień dla początkujących. Mają jedno konto pocztowe możemy utworzyć klucze tylko dla niego, w przypadku skonfigurowanego klienta dla większej ilości kont kreator zapyta nas dla którego chcemy przeprowadzić konfigurację.

Po wybraniu konta musimy wprowadzić hasło, które będzie chroniło nasze klucze. Im bardziej skomplikowane tym bezpieczniejsze są nasze wiadomości. Zachęcam klucz wygenerować poprzez aplikację KeePass. Dzięki temu będziemy mieli trudne hasło, którego nie musimy pamiętać. Generowanie kluczy może chwilkę potrwać. Po chwili kreator poinformuje nas o zakończonym tworzeniu kluczy. Możemy zamknąć kreator i zacząć korzystać z szyfrowania naszej poczty.

Podczas tworzenia nowej wiadomości mamy teraz dodatkowe opcje oferowane przez Enigmail:

Oczywiście wiadomości nie zaszyfrujemy, ponieważ potrzebujemy do tego klucza publicznego udostępnionego przez adresata wiadomości, ale za to już możemy wysyłając wiadomość podpisywać ją swoim kluczem oraz dołączać swój klucz publiczny. Dzięki temu każdy kto będzie miał nasz klucz publiczny będzie już mógł szyfrować pocztę, którą do nas wysyła.

Oczywiście każda próba skorzystania z klucza będzie skutkować koniecznością wprowadzenia hasła jakie podaliśmy podczas generowania kluczy.

 

Od tej chwili możemy już korzystać z poczty zabezpieczonej szyfrowaniem oraz podpisem, dzięki czemu będziemy mieli pewność, że wiadomość przychodząca faktycznie pochodzi od naszego znajomego.

Poniżej widać przykładową wiadomość otrzymaną z adresu, którego klucza publicznego nie posiadamy a która została podpisana. W załączniku też został przesłany klucz publiczny, który jak widać można łatwo zaimportować.

Po imporcie klucza publicznego jak widać wiadomość również podpisana i niezaszyfrowana wygląda następująco:

 

Od tej pory możemy się już cieszyć bezpiecznymi wiadomościami. A jakby ktoś chciał podejrzeć nasze wiadomości bez naszego klucza to zobaczy to:

 

Oczywiście w razie awarii dysku będziemy mieli problem z odczytem wiadomości, dlatego warto klucz prywatny wyeksportować i przechowywać w bezpiecznym miejscu. Świetnie do tego nadaje się kontener utworzony przy pomocy aplikacji np: VeraCrypt. Wtedy takie dane możemy trzymać w dowolnym miejscu a nawet poprosić znajomych aby nam je przechowali jako kopię zapasową. Oczywiście bez hasła 😉

 

A za pomoc w pisaniu artykułu dziękuję koledze saCOOOLowi 😉

3 comments / Add your comment below

  1. Masz ustawione szyfrowanie poczty? jeśli tak, to z tego co pamiętam załączniki się szyfrują z automatu. SPRAWDZONE: dokładnie tak jak mówię, w gmailu w ogóle nie widać załączników ale jak odszyfruję pocztę w thunderbirdzie to załączniki są 😀

  2. Cześć,
    Podobne pytanie do tego, które zadał p.Tadeusz. Jak spowodować szyfrowanie załączników? Sprawdzałem – szyfrowanie działa ok, dopóki nie dodamy złączników.
    Bez załączników – mail dolatuje na skrzynkę – jeśli nie mamy klucza to tak jak na screenie, jak mamy to pyta o hasło – tu jest ok. Ale.. jeśli dodaję załącznik np. pdf to Thunderbird krzyczy, że nie mógł wysłać wiadomości. Podobny komunikat jest jeśli pisząc maila dam “zapisz jako” – wtedy krzyczy, że nie mógł zapisać w szkicach. Jak usunę załącznik (nie wyłączając szyfrowania Enigmail->Szyfrowanie wiadomości) szkic zapisuje się poprawnie, wysyłanie również działa co napisałem wyżej. Może to kwestia jakichś ustawień? Wygląda to tak, jakby Enigmail domyślnie wspierał tylko szyfrowanie zwykłego tekstu (treści maila).

    Mój workaround:
    Kleopatra -> Szyfruj/Podpisz , wskazujemy plik, wskazujemy jakim kluczem szyfrować / podpisać (podpisz dla mnie, podpisz dla innych – tu podajemy adres odbiorcy – wcześniej trzeba mieć zaimportowany klucz publiczny odbiorcy) i klikamy szyfruj/podpisz. Powstały plik z rozszerzeniem .gpg załączamy do maila i wysyłamy ale jako niezaszyfrowany mail.

    Pozdrawiam,
    Michał

Leave a Reply

Your email address will not be published. Required fields are marked *