#1 Pozbieraj elementy

Ten przewodnik opiera się na oprogramowaniu, które jest objęte darmową licencją; jest całkowicie transparentne i każdy może je skopiować lub stworzyć jego własną wersję. Dzięki temu jest lepiej zabezpieczone przed inwigilacją niż oprogramowanie komercyjne (takie jak Windows lub macOS). Więcej o wolnym oprogramowaniu dowiesz się na fsf.org.

Większość systemów operacyjnych GNU/Linux ma zainstalowane GnuPG, więc jeśli używasz jednego z tych systemów, nie musisz pobierać tego oprogramowania. Jeśli korzystasz z systemu macOS lub Windows, poniżej znajdziesz instrukcje pobierania GnuPG. Zanim jednak skonfigurujesz szyfrowanie przy pomocy tego przewodnika, musisz mieć zainstalowany na komputerze program do obsługi poczty mailowej. Wiele dystrybucji GNU/Linux, na przykład Icedove, ma już zainstalowany taki program, który może występować pod alternatywną nazwą Thunderbird. Takie programy to inny sposób uzyskiwania dostępu do tych samych kont mailowych, do których można uzyskać dostęp w przeglądarce (np. Gmail), ale zapewniają one dodatkowe funkcje.

Krok 1.A: Instalator

Krok 1.a Skonfiguruj program pocztowy dla swojego konta mailowego

Otwórz swój program pocztowy i postępuj zgodnie z instrukcjami instalatora (krok po kroku), który przeprowadzi konfigurację dla Twojego konta mailowego. Zwykle zaczyna się to od opcji „Ustawienia konta” → „Dodaj konto pocztowe”. Ustawienia serwera poczty e-mail należy uzyskać od administratora systemu lub w sekcji pomocy swojego konta mailowego.

Rozwiązywanie problemów

Instalator nie uruchamia się
Instalator można uruchomić samodzielnie, ale służąca do tego opcja menu ma inną nazwę w każdym programie pocztowym. Przycisk do uruchomienia będzie znajdował się w głównym menu programu, w sekcji „Nowy” lub podobnej, jako „Dodaj konto” lub „Nowe/istniejące konto e-mail”.
Instalator nie może znaleźć mojego konta lub nie pobiera mojej poczty
Zanim zaczniesz szukać pomocy w internecie, poproś inne osoby korzystające z Twojego programu pocztowego o określenie prawidłowych ustawień.
Nie mogę znaleźć menu
W wielu nowych programach pocztowych menu główne znajduje się pod obrazkiem przedstawiającym trzy ułożone poziomo paski.

Krok 1.b Zainstaluj GnuPG

Jeśli korzystasz z systemu GNU/Linux, GnuPG powinno być już zainstalowane i możesz przejść do Sekcji 2.

Jeśli jednak używasz komputera z systemem macOS lub Windows, musisz najpierw zainstalować program GnuPG. Wybierz swój system operacyjny poniżej i postępuj zgodnie z instrukcjami. W pozostałej części tego przewodnika kroki są takie same dla wszystkich systemów operacyjnych.

macOS

Użyj menedżera pakietów innej firmy, aby zainstalować GnuPG

Domyślny menedżer pakietów macOS utrudnia instalację GnuPG i innych bezpłatnych programów (takich jak Emacs, GIMP lub Inkscape). Aby ją ułatwić, zalecamy skonfigurowanie zewnętrznego menedżera pakietów Homebrew, aby zainstalować GnuPG. W tym celu użyjemy programu o nazwie Terminal, który jest preinstalowany w systemie macOS.

# Skopiuj pierwsze polecenie ze strony głównej Homebrew, klikając ikonę schowka, i wklej je w Terminalu. Kliknij „Enter” i poczekaj na zakończenie instalacji.

# Następnie zainstaluj GnuPG, wprowadzając następujący kod w Terminalu:
brew install gnupg gnupg2

Windows

Uzyskaj GnuPG, pobierając GPG4win

GPG4win jest pakietem oprogramowania do szyfrowania maili i plików, który zawiera GnuPG. Pobierz i zainstaluj najnowszą wersję, wybierając domyślne opcje, gdy pojawi się monit. Po zainstalowaniu możesz zamknąć wszystkie okna GPG4win.

GnuPG, OpenPGP, słucham?

Ogólnie rzecz biorąc, terminy GnuPG, GPG, GNU Privacy Guard, OpenPGP i PGP są używane zamiennie. Technicznie rzecz biorąc, OpenPGP (Pretty Good Privacy) to standard szyfrowania, a GNU Privacy Guard (często skracany do GPG lub GnuPG) to program implementujący ten standard. Większość programów pocztowych zapewnia interfejs dla GnuPG. Istnieje również nowsza wersja GnuPG o nazwie GnuPG2.

#2 Utwórz klucze

Robot z głową w kształcie kłódki trzymający klucz prywatny i publiczny

Aby korzystać z systemu GnuPG, potrzebujesz klucza publicznego i klucza prywatnego (nazywanych parą kluczy). Każdy z nich to długi ciąg losowo generowanych cyfr i liter, które są unikalne. Twój klucz publiczny i prywatny są połączone specjalną funkcją matematyczną.

Twój klucz publiczny nie przypomina klucza fizycznego, ponieważ jest przechowywany w internetowym katalogu zwanym serwerem kluczy. Ludzie pobierają go i używają wraz z GnuPG do szyfrowania maili, które do Ciebie wysyłają. Możesz myśleć o serwerze kluczy jak o książce telefonicznej: osoby, które chcą wysłać Ci zaszyfrowanego maila, mogą sprawdzić Twój klucz publiczny.

Twój klucz prywatny bardziej przypomina klucz fizyczny, ponieważ zachowujesz go dla siebie (na swoim komputerze). Używasz GnuPG i swojego klucza prywatnego do odszyfrowywania zaszyfrowanych maili wysyłanych do Ciebie przez inne osoby. Pod żadnym pozorem nie udostępniaj nikomu swojego klucza prywatnego.

Oprócz szyfrowania i odszyfrowywania możesz także używać tych kluczy do podpisywania wiadomości i sprawdzania autentyczności podpisów innych osób. Omówimy to bardziej szczegółowo w następnej sekcji.

Krok 2.A: Utwórz parę kluczy

Krok 2.A: Ustaw hasło

Krok 2.a Utwórz parę kluczy

Utwórz parę kluczy

Użyjemy wiersza poleceń w terminalu, aby utworzyć parę kluczy za pomocą programu GnuPG.

Niezależnie od systemu, z którego korzystasz – GNU/Linux, macOS czy Windows – terminal (Terminal w macOS, PowerShell w Windows) możesz uruchomić z menu aplikacji (w niektórych systemach GNU/Linux zadziała również skrót Ctrl + Alt + T).

# Wprowadź gpg —full-generate-key, aby rozpocząć proces.

# Przy pytaniu o rodzaj klucza, jaki chcesz utworzyć, wybierz opcję domyślną: 1 RSA oraz RSA.

# Wprowadź następujący rozmiar klucza: 4096, żeby był wystarczająco silny.

# Wybierz datę ważności; sugerujemy 2y (2 lata).

Postępuj zgodnie z instrukcjami, aby kontynuować konfigurację z danymi osobowymi.

W zależności od wersji GPG może być konieczne użycie —gen-key zamiast —full-generate-key.

Ustaw hasło

Na ekranie zatytułowanym „Passphrase” wybierz silne hasło! Możesz to zrobić ręcznie lub skorzystać z metody Diceware. Wpisanie hasła ręcznie jest szybsze, ale nie tak bezpieczne. Metoda Diceware zajmuje więcej czasu i wymaga użycia kości do gry, ale dzięki niej stworzysz hasło, które będzie znacznie trudniejsze od odgadnięcia przez osoby dokonujące ataku. Jeśli chcesz skorzystać z tej metody, przeczytaj sekcję „Make a secure passphrase with Diceware” w artykule autorstwa Micah Lee.

Jeśli chcesz wybrać hasło ręcznie, wybierz takie, które jesteś w stanie zapamiętać i które ma przynajmniej dwanaście znaków, w tym jedną małą literę, jedną wielką literę i jedną cyfrę lub znak interpunkcyjny. Nigdy nie wybieraj hasła, które zostało już wykorzystane przez ciebie gdzie indziej. Nie używaj rozpoznawalnych schematów, takich jak daty urodzin, numery telefonu, imiona zwierząt, słowa piosenek, cytaty z książek itp.

Rozwiązywanie problemów

GnuPG nie jest zainstalowane
Możesz to sprawdzić przy pomocy polecenia gpg —version. Jeśli GnuPG nie jest zainstalowane, wynik w większości systemów operacyjnych GNU/Linux będzie następujący lub podobny: Command ‚gpg’ not found, but can be installed with: sudo apt install gnupg. Zastosuj to polecenie i zainstaluj program.
Polecenie gpg —full-generate-key nie działa
Niektóre dystrybucje korzystają z różnych wersji GPG. Jeśli wyświetli się kod błędu z podobnym komunikatem gpg: Invalid option „—full-generate-key”, możesz spróbować skorzystać z następujących poleceń:
sudo apt update
sudo apt install gnupg2
gpg2 —full-generate-key
Jeśli to rozwiąże problem, korzystaj dalej z identyfikatora gpg2, a nie gpg, wykonując kolejne kroki z tego przewodnika.

W zależności od wersji GPG może być konieczne użycie —gen-key zamiast —full-generate-key.

Stworzenie hasła zajęło mi zbyt wiele czasu
To nic. Należy dobrze przemyśleć hasło. Kiedy już poczujesz, że możesz przejść dalej, wykonaj kroki po kolei od samego początku, żeby utworzyć klucz.
Jak mogę wyświetlić klucz?
Skorzystaj z następującego polecenia, żeby wyświetlić wszystkie klucze: gpg —list-keys. Twój klucz powinien się znajdować na tej liście; później znajdzie się tam również klucz Edwarda (Sekcja 3).
Jeśli chcesz wyświetlić tylko swój klucz, możesz skorzystać z polecenia gpg —list-key [your@email].
Możesz również wykorzystać polecenie gpg —list-secret-key, żeby wyświetlić swój klucz prywatny.
Więcej zasobów
Więcej informacji na temat tego procesu znajduje się w The GNU Privacy Handbook. Upewnij się, że korzystasz z „RSA and RSA” (domyślnie), ponieważ jest to nowsza i bezpieczniejsza opcja niż algorytmy zalecane w dokumentacji. Upewnij się również, że Twój klucz ma przynajmniej 4096 bitów, jeśli chcesz, żeby był bezpieczny.

Zaawansowane

Zaawansowane pary kluczy
Kiedy GnuPG tworzy nową parę kluczy, oddziela funkcję szyfrowania od funkcji podpisywania poprzez podklucze. Jeśli zachowasz ostrożność przy stosowaniu podkluczy, Twoja tożsamość GnuPG będzie jeszcze bardziej bezpieczna i szybciej wrócisz do sprawnego funkcjonowania po ujawnieniu klucza. Alex Cabal i Debian wiki publikują dobre przewodniki dotyczące konfigurowania bezpiecznych podkluczy.

Krok 2.B: Wgrywanie na serwer i generowanie certyfikatu

Krok 2.b Ważne kroki po utworzeniu kluczy

Wgraj klucz na serwer kluczy

Wgramy Twój klucz na serwer kluczy, więc osoba, która zechce wysłać Ci szyfrowaną wiadomość, będzie mogła pobrać Twój klucz publiczny z internetu. Istnieje wiele serwerów kluczy – możesz je wybrać w menu po wgraniu klucza – ale są to w większości kopie tego samego serwera. Możesz wybrać dowolny, ale dobrze jest zapamiętać ten, na który Twój klucz został wgrany pierwotnie. Warto pamiętać też o tym, że zsynchronizowanie informacji o nowo wgranym kluczu pomiędzy serwerami może potrwać kilka godzin.

# Skopiuj swój keyID: gpg —list-key [your@email] wyświetli informacje o Twoim publicznym („pub”) kluczu, w tym Twój keyID, który jest unikalnym ciągiem cyfr i liter. Skopiuj keyID, żeby skorzystać z niego w kolejnym poleceniu.

# Wgraj klucz na serwer: gpg —send-key [keyID]

Wyeksportuj klucz do pliku

Skorzystaj z następującego polecenia, żeby wyeksportować tajny klucz, który następnie zaimportujesz do swojego klienta pocztowego w kolejnym kroku. Aby uniknąć ujawnienia klucza, przechowuj go w bezpiecznym miejscu i zapewnij zaufaną metodę jego przenoszenia. Eksport swojego klucza możesz wykonać przy pomocy następujących poleceń:

$ gpg —export-secret-keys -a [keyID] > my_secret_key.asc
$ gpg —export -a [keyID] > my_public_key.asc

Wygeneruj certyfikat unieważniający

Na wypadek zgubienia lub ujawnienia klucza możesz wygenerować certyfikat, który na razie będziesz przechowywać w bezpiecznym miejscu na komputerze (przejdź do Kroku 6.C, żeby dowiedzieć się, jak najlepiej bezpiecznie przechowywać certyfikat unieważniający). Ten krok jest niezbędny do ochrony poczty e-mail, więcej na ten temat dowiesz się w Sekcji 5.

# Skopiuj swój keyID: gpg —list-key [your@email] wyświetli informacje o Twoim publicznym („pub”) kluczu, w tym Twój keyID, który jest unikalnym ciągiem cyfr i liter. Skopiuj keyID, żeby skorzystać z niego w kolejnym poleceniu.

# Wygeneruj certyfikat unieważniający: gpg —gen-revoke —output revoke.asc [keyID]

# Zobaczysz monit o przyczynę unieważnienia, zalecamy użycie opcji 1 = key has been compromised.

# Nie musisz podawać przyczyny, ale możesz to zrobić; następnie naciśnij „Enter” dla pustej linii i potwierdź swój wybór.

Rozwiązywanie problemów

Wgranie klucza na serwer kluczy nie powiodło się
Zamiast ogólnego polecenia do wgrywania klucza na serwer kluczy możesz skorzystać z bardziej precyzyjnego polecenia i dodać do niego serwer kluczy: gpg —keyserver keys.openpgp.org —send-key [keyID].
Mój klucz nie działa lub otrzymuję informację „permission denied”

Klucze gpg, jak wszystkie inne pliki lub foldery, podlegają regułom zarządzającym uprawnieniami. Jeśli takie reguły nie są ustawione prawidłowo, system może nie akceptować Twoich kluczy. Wykonaj kolejne kroki, żeby sprawdzić uprawnienia i poprawnie je zaktualizować.

# Sprawdź swoje uprawnienia: ls -l ~/.gnupg/*

# Ustaw uprawnienia na możliwość odczytu, zapisu i wykonywania operacji tylko przez Ciebie i nikogo innego. Są to zalecane uprawnienia dla Twojego folderu.
Możesz skorzystać z polecenia: chmod 700 ~/.gnupg

# Ustaw uprawnienia na możliwość odczytu i zapisu tylko przez Ciebie i nikogo innego. Są to zalecane uprawnienia dla kluczy w Twoim folderze.
Możesz skorzystać z następującego kodu: chmod 600 ~/.gnupg/*

Jeśli (z jakiegokolwiek powodu) Twój folder został utworzony w lokalizacji ~/.gnupg, musisz dodatkowo ustawić uprawnienia do wykonywania operacji dla tego folderu. Do otwierania folderów potrzebne są uprawnienia do wykonywania operacji. Więcej informacji o uprawnieniach znajdziesz w tym szczegółowym przewodniku.

Zaawansowane

Więcej informacji o serwerach kluczy
Możesz dowiedzieć się więcej na temat serwera kluczy z tego podręcznika. Możesz również wyeksportować klucz bezpośrednio do pliku na swoim komputerze.
Przenoszenie kluczy

Użyj poniższych poleceń do przeniesienia swoich kluczy. Aby uniknąć ujawnienia swojego klucza, przechowuj go w bezpiecznym miejscu i zapewnij zaufaną metodę jego przenoszenia. Import i eksport klucza można wykonać przy pomocy następujących poleceń:

$ gpg —export-secret-keys -a [keyID] > my_private_key.asc
$ gpg —export -a [keyID] > my_public_key.asc
$ gpg —import my_private_key.asc
$ gpg —import my_public_key.asc

Upewnij się, że wyświetlone keyID jest poprawne, a jeśli tak, przejdź dalej i dodaj do niego najwyższy poziom zaufania:

$ gpg —edit-key [your@email]

Ponieważ jest to Twój klucz, należy wybrać ultimate. Nie należy ufać żadnemu innemu kluczowi na tym poziomie.

Przejdź do sekcji Rozwiązywanie problemów w Kroku 2.B , żeby dowiedzieć się więcej na temat uprawnień. Przy przenoszeniu kluczy Twoje uprawnienia mogą się pomieszać, co może doprowadzić do wystąpienia błędów. Można tego łatwo uniknąć – wystarczy, że Twoje foldery i pliki będą miały odpowiednie uprawnienia.

#3 Ustaw szyfrowanie poczty mailowej

Program Icedove (lub Thunderbird) ma zintegrowaną funkcjonalność PGP, dlatego jest łatwy w obsłudze. Przejdziemy teraz przez kolejne kroki integracji i używania klucza z tymi klientami poczty mailowej.

Krok 3.A: Menu poczty mailowej

Step 3.A: Importuj z pliku

Step 3.A: Gotowe

Step 3.A: Rozwiązywanie problemów

Krok 3.a Ustaw szyfrowanie poczty mailowej

Po ustawieniu szyfrowania poczty mailowej zaczniesz mieć swój wkład w szyfrowany przesył danych w internecie. Najpierw pokażemy Ci, jak zaimportować swój tajny klucz do klienta poczty mailowej. Potem nauczysz się, jak otrzymać z serwerów klucze publiczne innych osób, żeby wysyłać i odbierać szyfrowane maile.

# Otwórz swojego klienta poczty mailowej i przejdź do opcji Narzędzia → Menedżer kluczy OpenPGP

# Wybierz Plik → Importuj tajne klucze z pliku

# Wybierz plik zachowany pod nazwą [my_secret_key.asc] w Kroku 2.B podczas eksportu swoich kluczy

# Odblokuj swoim hasłem

# Otrzymasz komunikat potwierdzający, że klucze OpenPGP zostały pomyślnie zaimportowane

# Przejdź do opcji Konfiguracja kont → Szyfrowanie „end-to-end”, upewnij się, że Twój klucz jest zaimportowany i wybierz Traktuj ten klucz jako klucz osobisty.

Rozwiązywanie problemów

Nie mam pewności, że import przebiegł poprawnie
Przejdź do opcji Konfiguracja kont → Szyfrowanie „end-to-end”. W tym miejscu sprawdzisz, czy Twój klucz osobisty powiązany z tym adresem mailowym został odnaleziony. Jeśli nie, możesz spróbować zaimportować go ponownie, korzystając z opcji Dodaj klucz. Upewnij się, że masz plik z poprawnym i aktywnym tajnym kluczem.

#4 Pora na próbę!

Ilustracja przedstawiająca osobę i kota w domu podłączonym do serwera

Teraz spróbuj wymienić się wiadomościami z programem komputerowym FSF o nazwie Edward, który potrafi korzystać z szyfrowania. Za wyjątkiem kroków opatrzonych dodatkową informacją, jest to ten sam proces, który będziesz przechodzić, korespondując z prawdziwymi osobami.

Krok 4.A Wyślij Edwardowi klucz.

Krok 4.a Wyślij Edwardowi swój klucz publiczny

Jest to krok, który nie będzie konieczny podczas korespondowania z prawdziwymi osobami. W menu swojego programu do poczty mailowej przejdź do opcji Narzędzia → Menedżer kluczy OpenPGP. W nowym oknie pojawi się lista z Twoim kluczem. Kliknij go prawym przyciskiem i wybierz opcję Wyślij klucze publiczne pocztą e-mail. Spowoduje to stworzenie wersji roboczej nowej wiadomości, takiej, która powstaje po wybraniu opcji Napisz, ale w załączniku znajdzie się plik z Twoim kluczem publicznym.

W polu „Do” wpisz adres edward-en@fsf.org. Dodaj przynajmniej jedno słowo (jakiekolwiek) do tematu i treści maila. Nic jeszcze nie wysyłaj.

Chcemy, żeby Edward był w stanie otworzyć maila z plikiem zawierającym Twój klucz, dlatego ta specjalna pierwsza wiadomość nie jest szyfrowana. Upewnij się, że szyfrowanie jest wyłączone, wybierając z rozwijanej listy w opcji Bezpieczeństwo brak szyfrowania. Po wyłączeniu szyfrowania wyślij wiadomość.

Zanim nadejdzie odpowiedź Edwarda, mogą minąć dwie czy trzy minuty. W międzyczasie możesz przejść dalej i sprawdzić sekcję Korzystaj mądrze tego przewodnika. Po otrzymaniu odpowiedzi przejdź do kolejnego kroku. Wszystkie kroki od tego momentu będą się powtarzać przy korespondencji z prawdziwymi osobami.

Kiedy otworzysz odpowiedź Edwarda, GnuPG może poprosić Cię o wprowadzenie hasła przed użyciem Twojego klucza prywatnego do odszyfrowania maila.

Krok 4.B Opcja 1. Zweryfikuj klucz

Krok 4.B Opcja 2. Zaimportuj klucz

Krok 4.b Wyślij testowego szyfrowanego maila

Otrzymaj klucz Edwarda

Do zaszyfrowania wiadomości do Edwarda potrzebny Ci jest jego klucz publiczny, więc musisz go pobrać z serwera kluczy. Możesz to zrobić na dwa sposoby:

Opcja 1. W odpowiedzi od Edwarda otrzymanej na Twojego pierwszego maila znajduje się klucz publiczny Edwarda. Po prawej stronie maila, tuż nad polem do wpisywania treści, znajdziesz przycisk „OpenPGP” z ikoną kłódki i małego kółka tuż obok. Kliknij go i wybierz Odkryj obok informacji: „Ta wiadomość zawiera podpis cyfrowy z kluczem, którego jeszcze nie masz”. Następnie pojawi się okno z informacjami dotyczącymi klucza Edwarda.

Opcja 2. Otwórz swojego Menedżera kluczy OpenPGP i w opcji Serwer kluczy wybierz Odkryj klucze online. W tym miejscu wprowadź adres mailowy Edwarda i zaimportuj jego klucz.

Opcja Zaakceptowany (niezweryfikowany) pozwoli dodać klucz do Twojego menedżera kluczy. Od teraz możesz z niego korzystać, żeby wysyłać szyfrowane maile i weryfikować cyfrowe podpisy Edwarda.

W nowym oknie z prośbą o potwierdzenie importu klucza Edwarda zobaczysz wiele różnych adresów e-mail powiązanych z jego kluczem. Jest to prawidłowe; możesz bezpiecznie zaimportować klucz.

Ponieważ mail została przez Ciebie zaszyfrowany przy pomocy klucza publicznego Edwarda, klucz prywatny Edwarda będzie niezbędny do odszyfrowania wiadomości. Edward to jedyna osoba, która ma jego klucz prywatny, więc tylko Edward może ją odszyfrować.

Wyślij Edwardowi zaszyfrowanego maila

Stwórz nową wiadomość w swoim programie do poczty mailowej zaadresowaną do edward-en@fsf.org. W temacie wpisz „Test szyfrowania” lub coś podobnego i napisz coś w treści maila.

Tym razem upewnij się, że szyfrowanie jest włączone, wybierając z rozwijanej listy w opcji Bezpieczeństwo wymaganie szyfrowania. Po włączeniu szyfrowania wyślij wiadomość.

Rozwiązywanie problemów

„Odbiorcy są nieprawidłowi, niezaufani lub nie zostali odnalezieni”
Może się pojawić komunikat o błędzie z podobną do powyższej lub następującą treścią: ”Nie udało się wysłać wiadomości z zastosowaniem szyfrowania „end-to-end”, ponieważ wystąpił błąd z kluczami następujących odbiorców…”. Możliwe, że próbujesz wysłać zaszyfrowaną wiadomość do osoby, której klucza publicznego jeszcze nie masz. Wykonaj powyższe kroki, żeby zaimportować klucz do swojego menedżera kluczy. Otwórz menedżer kluczy OpenPGP, żeby sprawdzić, czy na liście w nim znajduje się osoba, której chcesz wysłać maila.
Nie udało się wysłać wiadomości
Możesz otrzymać następujący komunikat podczas próby wysłania zaszyfrowanego maila: „Nie udało się wysłać wiadomości z zastosowaniem szyfrowania „end-to-end”, ponieważ wystąpił błąd z kluczami następujących odbiorców: edward-en@fsf.org”. Oznacza to zwykle, że klucz został przez Ciebie zaimportowany jako opcja niezaakceptowana (niezweryfikowana). Przejdź do Właściwości klucza, klikając prawym przyciskiem klucz w Menedżerze kluczy OpenPGP, i wybierz opcję Tak, ale nie zweryfikowano, czy jest to właściwy klucz w opcji Twoja akceptacja w dole okna. Wyślij maila ponownie.

Nie udało mi się znaleźć klucza Edwarda
Zamknij nowe okna, które pojawiły się po kliknięciu opcji Wyślij. Upewnij się, że masz połączenie z internetem, i spróbuj ponownie. Jeśli to nie zadziała, możesz pobrać klucz ręcznie z serwera kluczy i zaimportować go, korzystając z opcji Importuj klucz publiczny z pliku w Menedżerze kluczy OpenPGP.
Odszyfrowane wiadomości w folderze Wysłane
Chociaż nie możesz odszyfrować wiadomości zaszyfrowanych kluczem kogoś innego, Twój program poczty mailowej automatycznie zachowa kopię zaszyfrowaną Twoim kluczem publicznym, którą możesz wyświetlić w folderze Wysłane jak zwykłą wiadomość e-mail. Jest to normalne i nie oznacza, że Twój mail nie został zaszyfrowany.

Zaawansowane

Zaszyfruj wiadomość z wiersza poleceń
Jeśli wolisz, możesz zaszyfrować i odszyfrować wiadomości i pliki z wiersza poleceń. Opcja --armor umożliwia wyświetlenie zaszyfrowanej treści z wykorzystaniem zestawu zwykłych znaków.

Ważne: Wskazówki dotyczące bezpieczeństwa

Nawet jeśli zaszyfrujesz wiadomość e-mail, jej tytuł nie jest szyfrowany, więc nie umieszczaj w nim prywatnych informacji. Adresy, z których i na które wysyłasz wiadomość, również nie są szyfrowane, więc system inwigilacji nadal może wykryć, z kim się komunikujesz. Pracownicy służb prowadzących inwigilację będą również wiedzieli, że używasz GnuPG, nawet jeśli nie będą w stanie dowiedzieć się, o czym piszesz. Kiedy wysyłasz załączniki, możesz je zaszyfrować lub nie, niezależnie od wiadomości, w której je wysyłasz.

Żeby jeszcze bardziej ochronić się przed potencjalnymi atakami, możesz wyłączyć HTML. Zamiast tego możesz tworzyć treść maila w formie zwykłego tekstu. Żeby to zrobić w Icedove lub Thunderbird, przejdź do opcji Widok → Wyświetlaj wiadomości jako → Zwykły tekst.

Krok 4.C Odpowiedź Edwarda

Krok 4.c Otrzymaj odpowiedź

Kiedy Edward otrzyma Twoją wiadomość e-mail, skorzysta ze swojego klucza prywatnego do jej odszyfrowania, a następnie wyśle do Ciebie odpowiedź.

Zanim nadejdzie odpowiedź Edwarda, mogą minąć dwie czy trzy minuty. W międzyczasie możesz przejść dalej i sprawdzić sekcję Korzystaj mądrze tego przewodnika.

Edward wyśle Ci zaszyfrowaną wiadomość e-mail z komunikatem, że Twój mail został otrzymany i odszyfrowany. Twój klient poczty mailowej automatycznie odszyfruje wiadomość Edwarda.

Przycisk OpenPGP w wiadomości e-mail będzie miał zielony znacznik wyboru na kłódce, który oznacza, że wiadomość została odszyfrowana, oraz mały pomarańczowy znak ostrzegawczy, który oznacza, że klucz został przez Ciebie zaakceptowany, ale nie został zweryfikowany. Jeśli klucz nie został jeszcze przez Ciebie zaakceptowany, zobaczysz w tym miejscu mały znak zapytania. Kliknięcie przycisku spowoduje otwarcie okna, z którego możesz przejść również do właściwości klucza.

Krok 4.d Wyślij podpisanego testowego maila

GnuPGP umożliwia Ci podpisywanie wiadomości i plików, co pomaga zweryfikować Ciebie jako ich źródło oraz potwierdzić, że nie zostały naruszone w procesie wysyłki. Takie podpisy są silniejsze od ich krewnych na papierze – nie da się ich podrobić, ponieważ nie da się ich utworzyć bez Twojego klucza prywatnego (to kolejny powód, dla którego należy trzymać klucz prywatny w bezpiecznym miejscu).

Możesz podpisywać wiadomości wysyłane do dowolnej osoby, to świetny sposób, żeby dać innym znać, że korzystasz z GnuPGP i że można się z Tobą bezpiecznie komunikować. Jeśli osoby odbierające Twoją wiadomość nie mają GnuPGP, będą w stanie ją przeczytać i zobaczyć Twój podpis. Jeśli mają GnuPGP, będą w stanie również sprawdzić, czy Twój podpis jest autentyczny.

Aby podpisać wiadomość e-mail do Edwarda, utwórz dowolną wiadomość, wprowadź jego adres mailowy i kliknij ikonę ołówka obok ikony kłódki, żeby zmienić jej kolor na złoty. Jeśli podpisujesz wiadomość, GnuPG może poprosić Cię o wprowadzenie hasła przed wysłaniem wiadomości, ponieważ musi odblokować Twój klucz prywatny w celu złożenia podpisu.

W opcji Konfiguracja kont → Szyfrowanie „end-to-end” możesz wybrać domyślne cyfrowe podpisywanie wiadomości.

Krok 4.e Otrzymaj odpowiedź

Kiedy Edward otrzyma Twoją wiadomość e-mail, użyje Twojego klucza publicznego (który został mu wysłany przez Ciebie w Kroku 3.A), żeby sprawdzić, czy wysłana przez Ciebie wiadomość nie została naruszona, oraz zaszyfrować odpowiedź do Ciebie.

Zanim nadejdzie odpowiedź Edwarda, mogą minąć dwie czy trzy minuty. W międzyczasie możesz przejść dalej i sprawdzić sekcję Korzystaj mądrze tego przewodnika.

Odpowiedź Edwarda będzie zaszyfrowana, ponieważ woli korzystać z szyfrowania, kiedy tylko to możliwe. Jeśli wszystko pójdzie zgodnie z planem, wiadomość od niego powinna brzmieć „Twój podpis został zweryfikowany”. Jeśli Twój testowy e-mail był zaszyfrowany, wspomni o tym w pierwszej kolejności.

Kiedy otrzymasz i otworzysz wiadomość od Edwarda, Twój klient poczty e-mail automatycznie wykryje, że jest zaszyfrowana z użyciem Twojego klucza publicznego, a następnie skorzysta z Twojego klucza prywatnego, żeby ją odszyfrować.

#5 Poznaj sieć zaufania

Ilustracja przedstawiająca klucze połączone liniami tworzącymi sieć

Szyfrowanie poczty e-mail to potężna technologia, ale ma swoje słabe strony: wymaga sprawdzenia, czy klucz publiczny danej osoby naprawdę do niej należy. W przeciwnym razie nic nie powstrzymałoby osoby, która chce Cię zaatakować, przed stworzeniem adresu e-mail z imieniem i nazwiskiem kogoś, kogo znasz, stworzeniem do niego kluczy oraz podszyciem się pod tę osobę. Dlatego właśnie twórcy wolnego oprogramowania, którzy opracowali szyfrowanie poczty e-mail, stworzyli podpisywanie kluczy oraz metodę uwierzytelniania o nazwie sieć zaufania (Web of Trust).

Kiedy podpisujesz czyjś klucz, publicznie oświadczasz, że został przez Ciebie zweryfikowany i należy do tej właśnie osoby, a nie kogoś innego.

W procesach podpisywania kluczy i podpisywania wiadomości wykorzystywany jest ten sam rodzaj operacji matematycznych, ale mają one różne skutki. Dobrą praktyką jest podpisywanie swojej wiadomości e-mail, ale jeśli masz w zwyczaju podpisywać klucze innych osób, możesz przez przypadek potwierdzić tożsamość osoby, która się pod kogoś podszywa.

Osoby, które używają Twojego klucza publicznego, mogą sprawdzić, kto go podpisał. Jeśli będziesz długo używać GnuPGP, takich podpisów możesz mieć setki. Możesz uznać klucz za bardziej wiarygodny, jeśli ma wiele podpisów osób, którym ufasz. Sieć zaufania to konstelacja osób korzystających z GnuPG, połączonych ze sobą więziami zaufania budowanymi przy pomocy podpisów.

Sekcja 5: zaufaj kluczowi

Krok 5.a Zaakceptuj klucz

W menu programu do poczty mailowej przejdź do Menedżera kluczy OpenPGP i wybierz Właściwości klucza, klikając prawym przyciskiem klucz Edwarda.

W zakładce „Twoja akceptacja” możesz wybrać opcję Tak, zweryfikowano osobiście, że to właściwy odcisk klucza.

W ten sposób oświadczasz, że Twoim zdaniem publiczny klucz Edwarda naprawdę należy do Edwarda. Nie oznacza to wiele w tym wypadku, ponieważ Edward nie jest prawdziwą osobą, ale to dobra praktyka i w przypadku prawdziwych osób jest ona bardzo ważna. Więcej o akceptowaniu kluczy innych osób przeczytasz w sekcji o sprawdzaniu ID przed akceptacją.

Identyfikowanie kluczy: odciski i ID

Publiczne klucze innych osób identyfikuje się zwykle po odcisku klucza, który jest ciągiem znaków, np. F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (w przypadku klucza Edwarda). Swój klucz publiczny i inne klucze publiczne zachowane na Twoim komputerze możesz wyświetlić w Menedżerze kluczy OpenPGP programu do poczty mailowej. Przejdź do menu tej opcji, kliknij prawym przyciskiem klucz i wybierz Właściwości klucza. Dobrą praktyką jest udostępnianie swojego odcisku wraz z adresem mailowym – wtedy inni mogą sprawdzić, czy Twój klucz publiczny pobrany z serwera kluczy jest prawidłowy.

Czasami możesz spotkać się również z krótszą nazwą publicznych kluczy – keyID. Identyfikator keyID można wyświetlić bezpośrednio w oknie opcji do zarządzania kluczami. keyID to ciąg ośmiu znaków użyty wcześniej do identyfikacji; wcześniej był on bezpieczny, ale teraz nie można na nim polegać. Musisz sprawdzić pełny odcisk klucza osoby, z którą chcesz się skontaktować, w ramach procesu weryfikacji poprawności klucza. Spoofing, który polega na celowym generowaniu odcisku klucza z takimi samymi ośmioma ostatnimi znakami jak w innym kluczu, jest niestety częstym zjawiskiem.

Ważne: Co należy wziąć pod uwagę przy akceptacji klucza

Zanim zaakceptujesz klucz innej osoby, musisz mieć pewność, że klucz do niej należy i że osoba ta jest tą, za którą się podaje. Najlepiej by było, gdyby Twoja pewność opierała się na interakcjach i rozmowach z taką osobą oraz na obserwacji interakcji pomiędzy tą osobą a innymi. Kiedy akceptujesz klucz, poproś o pełny odcisk klucza publicznego, a nie tylko krótszy keyID. Jeśli masz ważny powód, żeby zaakceptować klucz osoby, którą znasz od niedawna, poproś ją o dowód tożsamości i upewnij się, że imię i nazwisko na dokumencie odpowiadają tym na kluczu publicznym.

Zaawansowane

Poznaj tajniki sieci zaufania
Niestety zaufanie nie rozprzestrzenia się między użytkownikami tak, jak wiele osób sobie to wyobraża. Jednym ze sposobów na wzmocnienie społeczności GnuPG jest głębokie zrozumienie sieci zaufania (Web of Trust) i akceptowanie kluczy z zachowaniem ostrożności, u tylu osób, na ile pozwalają okoliczności.

#6 Korzystaj mądrze

Każda osoba używa GnuPG trochę inaczej, ale ważne jest, żeby stosować kilka podstawowych zasad, żeby zachować bezpieczeństwo poczty mailowej. Jeśli się do nich nie zastosujesz, narażasz na ryzyko osoby, z którymi się komunikujesz, siebie i całą sieć zaufania.

Sekcja 6: Korzystaj mądrze (1)

Kiedy stosować szyfrowanie? Kiedy akceptować klucze?

Im więcej szyfrowanych wiadomości, tym lepiej. Jeśli szyfrujesz maile tylko czasami, każda szyfrowana wiadomość mogłaby wzbudzić podejrzenia służb prowadzących inwigilację. Jeśli większość Twoich wiadomości jest szyfrowana, osoby zajmujące się śledzeniem nie będą wiedziały, od której zacząć. Nie oznacza to, że szyfrowanie tylko części Twoich wiadomości nie jest pomocne – to świetny początek, który utrudnia masową inwigilację.

O ile nie chcesz zachować swojej tożsamości w tajemnicy (co wymaga innych środków ochronnych), nie ma powodu, żeby nie podpisywać każdej wiadomości, szyfrowanej lub nie. Umożliwiasz wtedy innym osobom korzystającym z GnuPG zweryfikowanie, czy wiadomość pochodzi od Ciebie. Podpisując się, w nieinwazyjny sposób przypominasz wszystkim o tym, że korzystasz z GnuPG, i pokazujesz, że popierasz bezpieczną komunikację. Jeśli często wysyłasz podpisane wiadomości osobom, które nie znają GnuPG, możesz również dołączyć link do tego przewodnika do swojego standardowego podpisu w mailu (tego tekstowego, nie tego kryptograficznego).

Sekcja 6: Korzystaj mądrze (2)

Uważaj na nieważne klucze

GnuPG sprawia, że maile są bezpieczniejsze, ale należy zwracać uwagę na nieważne klucze, które mogą dostać się w niepowołane ręce. Mail zaszyfrowany nieważnym kluczem może zostać przeczytany przez programy do inwigilacji.

W swoim programie mailowym wróć do pierwszego szyfrowanego maila wysłanego przez Edwarda. Ponieważ Edward zaszyfrował wiadomość z Twoim kluczem publicznym, wiadomość będzie miała zielony symbol u góry przycisku OpenPGP.

Kiedy korzystasz z GnuPG, sprawdzaj ten przycisk. Program ostrzeże Cię, jeśli otrzymasz maila podpisanego kluczem, któremu nie można ufać.

Skopiuj swój certyfikat unieważniający do bezpiecznego miejsca

Pamiętasz proces tworzenia swoich kluczy i zapisywania certyfikatu unieważniającego stworzonego przez GnuPG? Czas go skopiować do najbezpieczniejszego miejsca, jakie tylko uda Ci się znaleźć – dysk zewnętrzny lub wewnętrzny w bezpiecznym miejscu w domu może być odpowiedni. Nie używaj do tego urządzenia, które masz często przy sobie. Najbezpieczniejszy sposób, jaki znamy, to po prostu wydrukowanie certyfikatu unieważniającego i przechowywanie go w bezpiecznym miejscu.

Jeśli utracisz swój klucz prywatny albo zostanie on skradziony, będziesz potrzebować tego pliku z certyfikatem, żeby powiadomić innych o tym, że nie używasz już tej pary kluczy.

WAŻNE: DZIAŁAJ SZYBKO, jeśli ktoś zdobędzie Twój klucz prywatny

Jeśli zgubisz klucz prywatny albo ktoś go przechwyci (na przykład ukradnie go albo włamie się na Twój komputer), należy niezwłocznie go unieważnić, zanim zostanie wykorzystany do odczytania Twoich zaszyfrowanych wiadomości lub sfałszowania Twojego podpisu. W tym przewodniku nie ma informacji o tym, jak unieważnić klucz, ale możesz zastosować się do tych instrukcji. Po unieważnieniu utwórz nowy klucz i wyślij maile do wszystkich, z którymi zwykle korespondujesz, używając klucza, żeby powiadomić ich o sytuacji i przekazać swój nowy klucz.

Webmail i GnuPG

Kiedy korzystasz z przeglądarki, żeby dostać się do swojej skrzynki mailowej, korzystasz z webmail, programu mailowego przechowywanego na odległej stronie internetowej. W przeciwieństwie do webmail Twój program pocztowy na pulpicie jest uruchamiany na Twoim komputerze. Chociaż webmail nie może odszyfrować zaszyfrowanych maili, będzie je nadal wyświetlać w formie zaszyfrowanej. Jeśli korzystasz przede wszystkim z webmail, będziesz wiedzieć, że trzeba skorzystać z programu do poczty mailowej, kiedy otrzymasz wiadomość, której nie da się odcyfrować.

Dodaj klucz publiczny do swojej tożsamości online

Najpierw dodaj odcisk swojego klucza publicznego do podpisu w mailu, a następnie napisz wiadomość do przynajmniej pięciu osób o tym, że od teraz korzystasz z GnuPG i wspomnij o odcisku swojego klucza publicznego. Dołącz do wiadomości link do tego przewodnika i wyślij innym zaproszenie. Nie zapomnij o rewelacyjnej infografice, którą możesz udostępnić.

Zacznij dodawać odcisk swojego klucza publicznego wszędzie, gdzie pojawia się Twój adres mailowy: w mediach społecznościowych, na blogu, na stronie internetowej, na wizytówce. (My umieszczamy we Free Software Foundation nasze klucze na stronie zespołu). Chcemy stworzyć kulturę, w której czujemy, że czegoś nam brakuje, jeśli widzimy adres mailowy bez odcisku klucza publicznego.

Dobra robota! Poznaj kolejne kroki.