Oto skrócony poradnik darmowego szyfrowania prywatnych maili z użyciem programów do obsługi poczty elektronicznej. To zadziała z każdym kontem mailowym.
Po co szyfrować maile?
- Bezpieczeństwo danych – jeśli ktoś dostanie się na Twoje konto mailowe nie będzie w stanie przeczytać treści lub załączników twoich maili (i użyć ich przeciwko tobie, np. do wyłudzenia). Podobnie, jeśli w wyniku jakiejś awarii/włamania twoje maile wyciekną publicznie do Internetu.
- Ochrona przed korporacyjną machiną inwigilacyjną – twój (i twojego adresata) dostawca usług mailowych nie będzie mógł czytać twoich maili, więc nie będzie cię profilował, śledził, uczył sztucznej inteligencji na podstawie tego, co ktoś do ciebie napisał, itp.
- Ochrona przed wścibskim okiem urzędnika – w przypadku systemowej inwigilacji państwowej.
Czy istnieje powszechny standard szyfrowania maili?
Tak, najpopularniejszym jest PGP („Pretty Good Privacy”) i tym się tu zajmiemy.
Jak to działa?
Ten opis będzie uproszczony i skrócony, aby docierał do zwykłego śmiertelnika. ;)
PGP to szyfrowanie asymetryczne. To znaczy, że wymaga dwóch kluczy (klucz to takie bardzo długie hasło przechowywane w pliku). Pierwszy to klucz prywatny. Taki klucz przechowuje się w sekrecie, bo to on pozwala rozszyfrować maile (to takie tajne hasło). Drugi to klucz publiczny. Ten klucz wysyła się innym, z którymi chce się korespondować w zaszyfrowany sposób. To instrukcja dla komputera jak zaszyfrować dane, abyś mógł(-ła) je potem odczytać swoim kluczem prywatnym.
Reasumując:
- Klucz prywatny jest tajny. Trzeba go mieć tylko u siebie i zrobić sobie jego kopię, aby nie przepadł (np. na osobnym dysku, płycie, nie w Internecie).
- Klucz publiczny można pokazać całemu światu.
- Jak ktoś chce do ciebie napisać zaszyfrowanego maila, to musi mieć twój klucz publiczny.
- Jak ty chcesz do kogoś napisać zaszyfrowanego maila, to też musisz mieć jego klucz publiczny.
- Klucze publiczne można wysyłać komuś jako zwykły załącznik do niezaszyfrowanego maila.
A co to jest podpis cyfrowy?
Mail oprócz zaszyfrowania może być podpisany cyfrowo (może być naraz zaszyfrowany i podpisany, albo tylko jedno z nich). Podpis cyfrowy to taki dowód, że ten kto napisał tego maila miał twój klucz prywatny. To znaczy, że to raczej ty byłeś(-aś) autorem. Nawet jeśli ktoś pozna hasło do twojego maila, to nie będzie w stanie wysłać z twojego adresu podpisanego maila (bo będzie mu brakować jeszcze twojego klucza prywatnego, który trzymasz w sekrecie). Banki często wysyłają wiadomości podpisane cyfrowo.
Które maile jest sens szyfrować?
- Takie, które zawierają jakieś prywatne informacje (finanse, sprawy poufne, zdrowie, dane osobiste, jak numery dokumentów, numery telefonów, prywatne zdjęcia i skany dokumentów).
- Takie, które twój adresat będzie umiał rozszyfrować (ma do tego program).
- Jeśli twój dostawca usług mailowych obsługuję automatyczne szyfrowanie wszystkich nadchodzących wiadomości („inbound encryption”), to możesz ustawić sobie szyfrowanie wszystkiego i zwiększyć tym samym bezpieczeństwo swojego konta e-mail. To nie zaszyfruje maili, które wysyłasz innym (tylko te, które ktoś do ciebie wysłał). Mało jest jednak kont, które to oferują (szczególnie darmowych).
Jakich programów użyć?
Są różne, ale ja polecę (i opiszę poniżej) popularne i darmowe:
- Thunderbird (pod Windows, MacOS lub Linux na komputerze) – wersja polska jest dostępna na polskiej podstronie tutaj.
- K-9 Mail na Androida (na telefonie) – wersja w Sklepie Play będzie po polsku.
Na telefonie, aby działało szyfrowanie trzeba zainstalować też OpenKeychain.
Jak użyć Mozilla Thunderbird?
Po skonfigurowaniu swojego konta w programie (ten opis zakłada, że masz już to zrobione) wybierz z menu „Narzędzia” i tam „Konfiguracja kont”. W sekcji „Domyślna tożsamość” usuń tymczasowo „Imię i nazwisko”. Po prostu zostaw to pole puste.
Teraz z górnego menu wybierz „Narzędzia” i tam „Menedżer kluczy OpenPGP”. W nowym okienku wybierz „Generuj” i „Nowa para kluczy”. Wybierz dla jakiego maila wygenerować klucz (jeśli masz więcej niż jedno konto), zaznacz dla ułatwienia, że klucz nie wygasa, typ „RSA”, rozmiar na „4096”. Wygeneruj klucz, powinien się pojawić już na liście w okienku menedżera.
Wybierz z góry „Plik” i tam „Wykonaj kopię zapasową tajnych kluczy do pliku”. To zapisze do pliku klucz prywatny, który będzie można potem gdzieś schować jako kopię zapasową. Ten klucz wgramy też na telefon (podłączając telefon kablem do komputera, odblokowując na nim ekran i kopiując tymczasowo na niego ten plik z komputera). Ten plik jest tajny, nie dawaj go nikomu i nie wysyłaj do przez komunikatory. Thunderbird spyta o hasło, jakim go zabezpieczyć. Jeśli chcesz używać tego klucza na telefonie (czytać zaszyfrowane maile), to ustaw jakieś proste i krótkie hasło, aby nie irytowało Cię częste jego wpisywanie przy otwieraniu zaszyfrowanych maili. Normalnie nie polecam łatwych haseł, ale telefon musi być chroniony innymi sposobami (blokada ekranu, szyfrowanie pamięci itp.), a nie tego typu hasłem, więc tutaj dałbym sobie na luz.
Zamknij menedżera kluczy w programie Thunderbird i wróć do menu „Narzędzia” i „Konfiguracja kont”. Możesz wypełnić na powrót pole „Imię i nazwisko”, jeśli coś tam wcześniej było. W ten sposób uniknęliśmy, aby w kluczu znajdowało się twoje imię. Wybierz też sekcję „Szyfrowanie end-to-end”. W sekcji „OpenPGP” wybierz klucz, który przed chwilą wygenerowałeś(-aś). Kliknij „Opublikuj”, aby mógł go zobaczyć cały świat (po tej czynności na maila może przyjść prośba o potwierdzenie, to jest w porządku, potwierdź).
Niżej zaznacz, aby domyślnie szyfrowanie było wyłączone dla nowych maili, będziesz je sobie włączać na żądanie (czyli pisząc do ludzi, którzy wiedzą, jak używać szyfrowania, jak ty teraz). Pozostałe opcje pozostaw domyślne.
Gotowe, w oknie tworzenia nowej wiadomości znajdziesz teraz guziki:
- „Załącz”, a tam „Mój klucz publiczny OpenPGP” – wybierz to, jeśli chcesz adresatowi wysłać oprócz wiadomości swój klucz publiczny w załączniku. Jak go dostanie będzie mógł wysyłać wiadomości zaszyfrowane do ciebie.
- „Zaszyfruj” – ten mail będzie zaszyfrowany. Widoczne (niezaszyfrowane) może pozostać pole nadawcy i tematu, ale treść i załączniki będą zaszyfrowane. Możesz to zrobić, jeśli masz klucz publiczny adresata.
- „Podpis” – podpisz cyfrowo ten mail (to nie znaczy koniecznie, że będzie zaszyfrowany, patrz wyjaśnienie podpisywania powyżej).
Jeśli otrzymasz od kogoś jego klucz publiczny możesz go zapamiętać w Thunderbird klikając dwa razy na załącznik (zazwyczaj jest to plik o zakończeniu „.asc”). Nie klikaj zawsze w byle jakie załączniki. Upewnij się najpierw, że mail jest od osoby, na którą to wygląda (sprawdź adres „Od”) i że ją znasz. Po zapamiętaniu będziesz mógł(-ła) szyfrować maile wysyłane do tej osoby.
Istnieje też funkcja szukania kluczy publicznych po adresie e-mail. W menu wybierz „Narzędzia” i tam „Menedżer kluczy OpenPGP”. Tam w menu „Serwer kluczy” wybierz „Wykryj klucze w Internecie” i podaj adres e-mail rozmówcy (nie swój). To zadziała tylko jeśli tamta osoba opublikowała swój klucz publiczny (popatrz powyżej w tym opisie, miejsce gdzie klika się „Opublikuj”).
Jak użyć K-9 Mail na telefonie?
Na telefonie, na który wgrałeś(-aś) plik z kluczem prywatnym, otwórz najpierw program OpenKeychain. Tam znajdź guzik z plusikiem i „Importuj z pliku”. Kliknij ikonkę folderu u góry i wybierz swój klucz prywatny (znajdziesz go w katalogu, w którym go umieściłeś(-aś) zgrywając go z komputera). Powinien się normalnie otworzyć i pojawić na liście jako „Moje klucze”. Jest tam też opcja usuwania hasła z tego klucza, jeśli podawanie hasła z jakichś powodów nie jest dla ciebie i nie chcesz takiego dodatkowego zabezpieczenia.
Idź do aplikacji K-9 Mail i wejdź w „Ustawienia”. Wybierz swoje konto. Wybierz „Szyfrowanie typu end-to-end”. Włącz „aktywuj wsparcie dla OpenPGP”. Wybierz klucz dodany do OpenKeychain. Gotowe.
Od teraz możesz szyfrować wiadomości do osób, których klucz publiczny telefon zapamiętał. W oknie tworzenia nowej wiadomości przy nadawcy będzie przekreślona kłódka. To znaczy, że mail wyśle się niezaszyfrowany. Pacnięcie w nią zmieni ją w zieloną, zamkniętą kłódkę. Taki mail będzie zaszyfrowany.
Jeśli ktoś wyśle Ci swój klucz publiczny, to w K-9 wystarczy otworzyć taki załącznik dotykając go (jak w Thunderbird), aby go zapamiętać na telefonie. Wszystkie klucze pojawiają się potem w aplikacji OpenKeychain.
Jeśli irytują cię powiadomienia od aplikacji OpenKeychain (np. o zapamiętaniu hasła), wejdź w ustawienia Androida, znajdź ustawienia powiadomień dla każdej z aplikacji i poszukaj OpenKeychain. Tam można je wyłączyć.
Pamiętaj aby na końcu skasować ten plik z kluczem prywatnym z telefonu (ten, który skopiowałeś(-aś) z komputera).
Udanego szyfrowania!