Co to je?
Zdá se, že s rozšířením mobilních telefonů a sociálních sítí používají lidé emailovou komunikaci méně a méně. Emaily ale stále poskytují rychlý a snadný způsob, jak komunikovat s okolím. Vývoj bezpečnostních prvků emailové komunikace navíc dává našim komunikačním kanálům velké výhody.
Proč se tím zabývat?
Stejně jako jakákoliv jiná komunikace, i emaily mohou být zachyceny. Přihlédneme-li k tomu, že emaily putují přes mnoho sítí, jak přes ty zabezpečené, tak nezabezpečené, neměli bychom je považovat za bezpečnou formu komunikace. To, co autority zjistí ze zadrženého emailu, samozřejmě závisí na jeho obsahu a formě. Pokud zpráva obsahuje citlivé informace, může to vést k raziím, zatýkání nebo vyšetřování. Mail je zároveň velmi snadný způsob, jak zmapovat komunikační síť, a to jednoduše na základě toho, kdo si s kým píše, jak často a o čem. Bezpečnostní a/nebo anonymizační opatření mohou snížit nebezpečí, které emailová komunikace skýtá.
Jak na to?
Jak přistupovat k emailové komunikaci se odvíjí od tvých potřeb. Můžeš hledat bezpečnost, anonymitu a pokud je to možné, tak obojí. Anonymity dosáhneš nejlépe anonymním prohlížením internetu, anonymními remailery nebo používáním rozepsané (draft) pošty. Bezpečnost zvýší šifrování emailu a/nebo použití kódovaného jazyka. Je možné dosáhnout obojího – například odesláním zprávy v kódovém jazyce prostřednictvím anonymního mailu.
a) Remailery
Anonymní remailery (např. QuickSilver, paranoia remailer, Mixmaster, noreply) vezmou zprávu a předají ji adresátovi, aniž by zobrazily její původ. Různé druhy remailerů poskytují různé strategie anonymity a soukromí. Záleží tudíž na konkrétním remaileru. Než si nějaký Remailer vybereš a použiješ, důrazně doporučujeme ho nejdříve prověřit. Remailery fungují podobně jako proxy servery. Vezmou původní zprávu, odejmou z ní tvou IP adresu a hlavičku a poté ji odešlou adresátovi. Některé využívají více stupňů a přeposílají zprávy do vícero bodů, než ji odešlou konečnému adresátovi.
Exituje několik základních typů remailerů:
- Pseudonymní remailery, které prostě zamění jméno odesilatele za jiné. Příjemci umožňují odpovědět.
- Cyberpunkové remailery odstraňují odesilatelovu adresu, odešlou zašifrovanou zprávu remaileru, který ji dešifruje a následně odešle adresátovi. Tento způsob umožňuje přidávat další a další remailery a vytvářet tak řetěz, přes který zprávy putují, což zvyšuje tvou anonymitu a obvykle nezanechává log. Na druhou stranu adresát nemůže na tuto zprávu odpovědět.
- Mixminionové remailery, které používají programy k tomu, aby anonymizovaly mailovou komunikaci. Navíc umožňují na zprávu odpovědět.
- Webové remailery jsou v podstatě webovými stránkami, které ti umožní odeslat zprávy anonymně. Je velmi snadné je používat, ale zároveň neposkytují takové bezpečí, jako regulérní remailery.
b) Složka rozepsané (drafts)
Jinou možností je používat ve skupině jeden email se složkou rozepsané pošty. Zamezíte skenování odchozí pošty, jak to provádí NSA v Americe, protože zprávy, které si vyměníte, nebudou nikdy odeslány, ale budou pouze uloženy ve složce rozepsané. Pozitivní na této možnosti je, že na rozdíl od remailerů nevyžaduje speciální programy. Je však nezbytné dbát zvýšené opatrnosti při zakládání a přihlašování do takové emailové schránky. Nevýhodou je, že k dosažení naprosté anonymity schránky je nezbytné, aby všichni, kdo do ni přistupují, dbali bezpečnostních pravidel.
Pokud nedůvěřuješ schopnostem ostatních zachovat anonymizační praxi při přístupu do schránky, je tato možnost nevhodná. Když bude schránka kompromitována, může být kompromitována všechna vaše konverzace.
Bez ohledu na to, zda ke komunikaci používáte remailery nebo draft složky je dobré řídit se následujícími pravidly:
- Přes email (ani jiné digitální zařízení) nikdy nic neplánujte. To provádějte výhradně tváří v tvář. Komunikační kanály využívejte nanejvýš k plánování takových setkání.
- Používejte nekonkrétní, zavádějící či kódovaný jazyk. Nikdy anonymními maily neodesílejte jména nebo jakékoliv osobní informace.
- Nikdy neuvádějte datum, čas ani místo vašeho setkání. Určete si pro takové informace kódované názvy.
- Bezpodmínečně přistupujte k mailu anonymně (tzn. přes Tor, se změněnou MAC adresou…).
- Nenechávejte si ve schránce maily, pokud nejsou nezbytně nutné. Mažte je průběžně.
- Jakmile vaše schránka posloužila svému účelu, smažte veškerý její obsah a účet zrušte.
c) PGP šifrování
Emaily jsou odesílány v prostém textu. To znamená, že každý, kdo má přístup k serveru, přes který prochází tvůj email (nebo tyto servery monitoruje za použití sniffing packets), může obsah tvého mailu číst. PGP může zmírnit škody a ochránit obsah tvému emailu před zvídavými zraky. Základem PGP šifrování jsou dva klíče. Veřejný a soukromý. Ty zveřejníš nebo pošleš konkrétní osobě svůj veřejný klíč, což je v podstatě série číslic a písmen. Tím tento klíč učiníš přístupný komukoli, kdo by od tebe chtěl přijmout zašifrovanou zprávu. Soukromý klíč si uschováš, nejlépe v nějakém šifrovaném oddíle.
Když ti někdo bude chtít odeslat šifrovanou zprávu, použije tvůj veřejný klíč k tomu, aby ji zašifroval. Tuto zprávu pak může dešifrovat pouze tvůj soukromý, bezpečně uložený, klíč. Pro kohokoliv jiného (servery, fízly a jiné čmuchaly) bude zpráva vypadat jako změť nesmyslných číslic a písmen.
Nastavení PGP v Thunderbirdu
Nejprve budeš potřebovat emailový klient Thunderbird. Dále nainstalovaný plugin Enigmail a GNUGP software. Poté, co budeš tyto programy mít, otevři Thunderbird. V menu otevři možnost OpenPGP a klikni na Možnosti (Preferences). Zde by mělo být propojení s binárním GNUPG, vyber možnost Procházet (Browse) a najdi GNUPG program, který sis nainstaloval v prvním kroku. Nyní si můžeš vygenerovat veřejný a soukromý klíč. V menu OpenPGP vyber možnost Správa klíčů (Key Management). Následně v generovacím menu vyber Nový pár klíčů (New Key Pair). Vyber emailovou adresu, ke které budeš chtít klíč vygenerovat a klikni na Generovat klíč (Generate Key). Po několika minutách bude tvůj klíč vytvořený. Budeš také moci vytvořit certifikát o ukončení platnosti klíče, který zruší veřejný klíč v případě, že by byl soukromý klíč kompromitován. Tuto možnost doporučujeme.
Až budeš chtít odeslat email, napiš ho v Thunderbirdu běžným způsobem. Klíč v pravém dolním rohu okna ti umožní zprávu zašifrovat a označit PGP klíčem. Jestliže svítí zeleně, znamená to, že je PGP aktivované. K tomu, abys vyhledal něčí veřejný PGP klíč, vyber možnost Správce klíčů (Key Management) v menu OpenPGP. V nabídce Keyserver klikni na tlačítko Hledat. Vyhledávat můžeš podle jména nebo mailové adresy. Poté si můžeš přidat adresátův veřejný klíč do svého správce klíčů. Tento postup ti umožní zašifrovat zprávu pro dotyčnou osobu.
Jak je PGP bezpečné?
Šifrování je typicky velmi obtížné prolomit. Existují důkazy o tom, že FBI (a podobné bezpečnostní složky) nejsou momentálně schopné dešifrovat moderní PGP. Je zde ale určitá možnost, že počítače, kterými disponuje například NSA, mohou PGP prolomit. O tom ale zatím neexistují žádné důkazy (je však pravděpodobné, že kdyby se jim to podařilo, tajily by to, aby zabránily tomu, že by lidé PGP rázem přestali důvěřovat a používat ho, takže kdo ví). V zákoně není uvedeno, že bys byl povinný vydat svá hesla vyšetřovatelům, to ale neznamená, že to po tobě nebudou chtít. Proto se na tuto možnost připrav například vytvořením skrytého šifrovaného oddílu. A nejlépe za všech okolností drž jazyk za zuby!
Na druhou stranu prolamování šifry nebo donucování podezřelých k vydání hesla není mnohdy potřeba. Bezpečnostní složky používají keyloggery a další software k tomu, aby získali šifrovací klíče a hesla jiným způsobem. Jediným preventivním opatřením proti těmto útokům je dobře opevnit svůj systém a dbát správného bezpečnostního chování. Čím více budeme používat PGP, tím neviditelnější naše komunikace bude. Takže vstříc PGP.
Poznámka: Jsou mezi námi skupiny i jednotlivci, kteří používají Gmail. Ten důrazně nedoporučujeme. Gmail skenuje veškerou mailovou komunikaci, aby mohl poskytovat uživatelům reklamní sdělení přesně na míru. Tohle v kombinaci s množstvím informací, které o tobě Google nashromáždí při běžném brouzdání internetem pomocí trackerů pouze zvyšuje bezpečnostní rizika. Gmail svá data vyšetřovatelům předal například v případě soudu se skupinou Mt. Hope Infinity, čímž ukázal svou pravou tvář. Google je vždy ochoten pomáhat státnímu represivnímu aparátu. Proto se mu vyhýbej obloukem. Používej mailové servery jako například Riseup.net který je spravován antiautoritáři, kteří kladou důraz na bezpečnost a aktivně vzdorují policii tam, kde Google spolupracuje.
ODKAZY
- https://cs.wikipedia.org/wikia/Asymetrická_kryptografie (Jak funguje šifrování – česky)
- https://cs.wikipedia.org/wiki/Pretty_Good_Privacy (Česky o tom, jak funguje PGP)
- https://en.wikipedia.org/wiki/Anonymous_remailer (Podrobněji o remailerech)
- http://www.zvedavec.org/techpor2003/04/568-jak-na-to-pgp.htm (Český návod na PGP šifrování)
- https://freedom.press/encryption-works (Podrobněji o různých způsobech šifrování – OTR, PGP…)