Podniky, které používají e-mail jako hlavní komunikační kanál, musí zajistit bezpečnost informací obsažených v jejich e-mailech. Díky šifrování PGP můžete zvýšit bezpečnost své e-mailové korespondence.

Co je šifrování PGP a jak funguje?

Šifrování PGP nabízí vynikající způsob ochrany informací a šifrování e-mailů. PGP (pretty good privacy) bylo původně vyvinuto v roce 1991 Philem Zimmermannem jako softwarový program pro šifrování e-mailů. V průběhu let se PGP etablovalo jako název pro tuto metodu šifrování.

Šifrování PGP je založeno na protokolu veřejného klíče, kde se k šifrování a dešifrování zpráv používá pár klíčů (veřejný a soukromý klíč). Veřejný klíč je k dispozici potenciálním e-mailovým kontaktům a je přímo přenášen nebo nahráván na externí klíčový server. Tento klíč umožňuje vašim kontaktům šifrovat e-maily, které vám posílají. Přístup k soukromému klíči máte pouze vy a ten je obvykle chráněn heslem. Umožňuje vám dešifrovat e-maily, které jsou adresovány vám a byly zašifrovány veřejným klíčem.

Osoba, se kterou komunikujete, by také měla používat PGP. Tímto způsobem vám může poskytnout přístup ke svému veřejnému klíči, což umožní bezpečné odesílání a přijímání e-mailů od obou stran. Protokol veřejného klíče je popisován jako asymetrický postup, protože obě zúčastněné strany používají různé klíče.

Zabezpečení e-mailů pomocí PGP se na první pohled může zdát jako velká námaha, ale existují pluginy, které vám proces šifrování PGP usnadní. Dva z těchto pluginů jsou FlowCrypt a Mailvelope. Mnoho velkých poskytovatelů e-mailových služeb také nabízí vlastní pluginy PGP, které jsou vybaveny asistenty pro nastavení.

K čemu lze šifrování PGP použít?

Asymetrické šifrování, jako je PGP, se v oblasti IT používá již delší dobu. Níže uvádíme některé z nejoblíbenějších případů použití.

  1. Šifrování důvěrných zpráv: šifrování e-mailů a jiných typů zpráv je jedním z hlavních způsobů použití PGP.
  2. Šifrování souborů a souborových systémů: kromě šifrování zpráv lze PGP použít také k šifrování souborů uložených na lokálních úložných zařízeních nebo na serveru.
  3. Digitální podpisy: PGP se také často používá ke kontrole pravosti zprávy nebo souboru. Pomocí podpisu PGP můžete zjistit, zda zpráva skutečně pochází od osoby, která ji odeslala. Kromě toho můžete také zjistit, zda byla během odesílání zachycena a případně změněna. Podpisy PGP lze také použít k ověření pravosti souborů (například programů).

Jak nastavit šifrování PGP

Mnoho e-mailových klientů nyní obsahuje balíček šifrování PGP, který obsahuje snadno srozumitelné pokyny k nastavení. Pokud však váš poskytovatel e-mailových služeb neposkytuje pokyny k nastavení PGP, můžete postupovat podle níže uvedených kroků. Následující návod k PGP představuje obecný přístup k nastavení šifrování PGP.

Šifrování PGP pomocí softwaru

Krok 1: vyberte a nainstalujte příslušný software PGP

Nejprve musíte najít software PGP, který je kompatibilní s vaším operačním systémem i e-mailovým klientem. Open-source řešení GnuPG (GNU Privacy Guard), které bylo vydáno v roce 1997, je skvělou volbou pro uživatele Linuxu. Starší verze 1.4 je předinstalována na mnoha systémech. Nejnovější verzi si však můžete stáhnout z oficiálních webových stránek GnuPG. Uživatelé operačních systémů Windows nebo OS X mohou také najít binární soubory na webových stránkách GnuPG. Tyto soubory lze použít k instalaci systémově specifických programů Gpg4win a MAC GPG, které jsou založeny na GnuPG.

Krok 2: vygenerujte pár klíčů

Po instalaci programu PGP lze vytvořit pár klíčů. V systému Linux otevřete příkazový řádek a použijte příkaz pro generování klíčů uvedený v příručce k programu. Tento příklad je pro GnuPG:

sudo gpg --gen-key
bash

Poté vyberte typ šifrování, který chcete použít. Výchozí nastavení (RSA a RSA) byste měli měnit pouze v případě, že máte dostatečné znalosti o různých typech šifrování a jejich fungování.

Nyní zadejte délku klíče v bitech. Čím vyšší hodnota, tím bezpečnější klíče. Vyšší hodnota však také vede k pomalejšímu výkonu. Bezpečnostní experti doporučují délku 4096 bitů pro klíče RSA.

Dále zadejte dobu platnosti klíčů a jméno a e-mailovou adresu, ke kterým má být klíčový pár přiřazen. Nakonec je třeba potvrdit správnost zadaných údajů a vybrat heslo pro soukromý klíč. Toto heslo budete později potřebovat k dešifrování e-mailů.

Pokud používáte Windows a mac OS X, proces generování klíčů spustíte pomocí grafického uživatelského rozhraní. Bez ohledu na to, jaký software PGP a platformu používáte, ve většině případů budete vyzváni k použití náhodných zadání z klávesnice nebo pohybů myší k vygenerování klíče.

Krok 3: sdílejte veřejný klíč se svými kontakty

Vytvořené klíče můžete v systému Linux spravovat buď pomocí terminálu, nebo pomocí programu Seahorse (pro Gnome/Unity) nebo grafického rozhraní KGpg (pro KDE). Příkaz pro soukromý klíč pomocí GnuPG je:

sudo gpg --list-secret-keys
sudo -K
bash

a pro veřejný klíč:

sudo gpg --list-keys
sudo -K
bash

Kromě toho, že si můžete prohlédnout seznam klíčů, můžete je také přímo exportovat. Vytvořený soubor*.asc* můžete odeslat jako přílohu e-mailu svým kontaktům nebo nahrát na certifikační server. Pokud kontakt obdržel váš veřejný klíč a má program pro správu klíčů, může vám posílat šifrované zprávy. Chcete-li posílat šifrované e-maily stejnému kontaktu, budete potřebovat jeho veřejný klíč.

Online šifrování PGP

Místo programů, které si instalujete do svého systému, můžete také použít online nástroje PGP k vytváření párů klíčů, šifrování e-mailů nebo dešifrování e-mailů, které obdržíte. Níže se podíváme na webovou službu PGP Key Generator.

PGP Key Generator je program v jazyce JavaScript, který umožňuje generování párů klíčů a lze jej spustit ve většině webových prohlížečů. Tuto službu s otevřeným zdrojovým kódem můžete využívat zdarma a bez nutnosti registrace.

Nejprve zadejte požadované specifikace klíčů do formuláře Možnosti. Poté klikněte na Generovat klíče, aby se spustil proces generování klíčů. Po dokončení procesu budete moci zobrazit veřejný klíč a svůj soukromý klíč.

Obrázek: Web tool for PGP encryption generator
PGP Key Generator (Source: https://pgpkeygen.com/)

Jelikož se jedná o webovou službu s otevřeným zdrojovým kódem, odborníci mohou kdykoli nahlédnout do zdrojového kódu. To znamená, že mohou průběžně hodnotit, jak bezpečný a spolehlivý generátor je. Jelikož se však jedná o aplikaci JavaScript, existuje také prostor pro obavy z kyberkriminality. Pokud se zločincům podaří identifikovat bezpečnostní mezery ve webové službě, mohou tyto mezery zneužít k útoku na váš systém a získání citlivých informací.

Šifrování PGP pro e-mailové klienty

Pokud dáváte přednost komunikaci prostřednictvím e-mailových služeb, jako jsou Gmail, Yahoo a Outlook, je rozšíření prohlížeče Mailvelope dobrou volbou pro šifrování PGP. Tento doplněk je založen na OpenPGP.js (implementaci standardu OpenPGP v jazyce JavaScript) a je k dispozici pro prohlížeče Google Chrome, Microsoft Edge a Mozilla Firefox.

Po instalaci rozšíření se na panelu nástrojů vašeho prohlížeče zobrazí ikona Mailvelope. Pomocí této ikony můžete přistupovat k uživatelskému rozhraní, kde můžete vytvářet, importovat a spravovat své vlastní klíče i veřejné klíče svých obchodních partnerů. Je také možné nahrát veřejné klíče na server veřejných klíčů.

Obrázek: Mailvelope interface in Firefox browser
With Mailvelope, you can generate, import and export keys. (Source: Mailvelope extension for Firefox)

Po instalaci Mailvelope bude doplněk automaticky vyhledávat zprávy PGP, když se přihlásíte ke svému účtu prostřednictvím prohlížeče. Proces skenování vyhledá a zobrazí konkrétní prvky pro šifrování a dešifrování e-mailů PGP. V nastavení můžete povolit nebo zakázat šifrování PGP pro Gmail, Outlook a další e-mailové poskytovatele.

Šifrování PGP na mobilních zařízeních

Chcete-li používat šifrování PGP na zařízeních iOS a Android, potřebujete e-mailového klienta, který podporuje software pro správu klíčů a šifrování PGP. Níže se podíváme na dvě aplikace (jednu pro každý operační systém), které můžete použít k ukládání a správě klíčů PGP svých kontaktů.

PGPro (iOS)

PGPro je aplikace pro iOS, kterou lze použít k vytváření, správě a exportu klíčů PGP. Aplikace je open source a vychází ze standardu OpenPGP. S touto aplikací jsou všechny zprávy a klíče uloženy na vašem lokálním zařízení.

Po instalaci aplikace z App Store můžete nakartě Keychain generovat nebo importovat nové páry klíčů PGP. V části Encryption(Šifrování) můžete pomocí veřejného klíče šifrovat zprávy a v části Decryption(Dešifrování) můžete pomocí soukromého klíče zprávy dešifrovat.

Obrázek: PGPro encryption menu
PGPro user interface (Source: Apple App Store product image)

OpenKeychain (Android)

OpenKeychain je skvělou volbou pro uživatele Androidu. Tato open-source aplikace je také založena na standardu Open PGP.

Po instalaci aplikace můžete přejít do sekce Klíče, kde můžete prohlížet, importovat a spravovat všechny své klíče. Přejděte do sekce Šifrování/Dešifrování, kde můžete šifrovat nebo dešifrovat zprávy a soubory.

Obrázek: OpenKeychain user interface
OpenKeychain user interface (Source: Google Play product image)

Šifrované zprávy vs. šifrované připojení

Mnoho uživatelů se domnívá, že pro šifrování e-mailů postačují certifikátySSL/TLS. Tyto certifikáty však šifrují pouze přenosovou cestu e-mailu. To znamená, že zprávy mohou být zachyceny třetími stranami a přečteny v prostém textu.

Ačkoli SSL/TSL certifikáty šifrují pouze přenosovou cestu, umožňují šifrování prvků, které nejsou šifrovány pomocí PGP. Mezi tyto prvky patří informace o odesílateli, příjemci a předmětu. Kombinace šifrování PGP a SSL/TSL je optimálním řešením pro ochranu obsahu vašich e-mailů. Další informace o šifrovaném přenosu naleznete v našem článku Digitálního průvodce o šifrování e-mailů pomocí SSL/TLS.

Přejít do hlavního menu