. : komodo : . Linux page - Linux-Open Source-návody, tipy, triky ...
logo slackware.org

**** . . . vitaj na stránke kde hlavnou témou je Linux, Open Source a podobné veci . . . ****

*** . . p r i v a c y . . ***


# verejný kľúč - public key #

- niečo málo o bezpečnosti a súkromí na internete -

Keďže u väčšiny ľudí, čo sa posielania e-mailov týka, prevláda názor "prečo by som mal šifrovať maily, veď nepíšem nič dôležité, keď niekto chce tak nech si to prečíta ..." rozhodol som sa napísať ďalší článok na propagáciu ochrany súkromia a bezpečnosti na internete. Áno dobre ste si všimli, ďalší, pretože už ich bolo napísaných asi 1 000 005 a keďže si myslím že ľudia túto problematiku stále podceňujú tak tento bude 1 000 006-ty.

Nebudem tu rozpisovať podrobné technické detaily, chcem len popísať niektoré z možných zneužití komunikácie na internete a možnosti ochrany z hľadiska bežného užívateľa.

Echelon

Hovorí vám niečo toto slovo ? Že nie tak potom čítajte ďalej Systém známy ako "ECHELON" je sledovací (odpočúvací) systém ktorý založili krajiny Anglicko, USA, Kanada, Australia a Nový Záland.

Satelitné prijímacie stanice a špionážne satelity systému vedia sledovať akýkoľvek telefonát, fax, internetové spojenie, alebo e-mail poslaný kýmkoľvek a sledovať jeho obsah. Keďže ECHELON funguje celosvetovo, krajiny si medzi sebou vymieňajú získané informácie, môže sa stať že pošlete kámošovi mail kde sa v texte objaví slovo bomba. Systém ktorý má na starostoi sledovanie obsahu mailov váš mail zkontroluje a zistí že obsahuje niektoré zo slov ktoré ma v slovníku a môže sa stať že všetky ďalšie maily už bude automaticky ukladať - pre prípad žeby ich mohli niekedy v budúcnosti použiť proti vám. Tak toto sa mi fakt vôbec nepáči. Alebo žeby som bol až taký paranoik ?? Možno, ale trochu paranoie nikoho nezabije :-)

Ako sa brániť ?

Šifrovanie

Čo je vlastne šifrovanie ? Je to prevedenie textu ktorý chcete poslať na zašifrovaný, čiže taký aby nedával žiadny význam popr. iný ako mal pôvodne. A samozrejme aby sa dal následne dešifrovať na text pôvodný, ale len tým kto má správny kľúč.

Vo všeobecnosti sa používajú dva spôsoby šifrovania. A to symetrické šifrovanie a asymetrické šifrovanie.

Symetrické šifrovanie

Využíva jeden šifrovací kľúč, ktorý sa používa na zašifrovanie aj na dešifrovanie. Keďže sa šifrovací kľúč musí nejako dostať odo mňa ku dotyčnému na druhej strane(aby mohol správu dešifrovať), cestou sa môže zatúlať do nepovolaných rúk a je po utajení. Preto táto metóda nieje veľmi bezpečná, aj keď sa používa, ale len v kombinácii s asymetrickým šifrovaním.

Asymetrické šifrovanie alebo tiež PKI (Public KeyInfrastructure)

Využíva na rozdiel od symetrického šifrovania dvojicu kľúčov tzv. key pair. Kľúč pomocou ktorého sa šifruje sa nazýva verejný kľúč (public key) a kľúč ktorý slúži na dešifrovanie je súkromný kľúč (private key). Verejný kľúč, ako už z názvy vyplýva je prístupný verejne, teda si ho majiteľ zverejní na web stránke, pošle ho dotyčnému mailom, alebo ho pošle na tzv. key server, kde sú verejné kľúče voľne dostupné na stiahnutie.?

Princíp je v tom že správa zašifrovaná verejným kľúčom nieje týmto kľučom spätne dešifrovateľná. Na to sa musí použiť vyššie spomenutý súkromný kľúč, ktorý ale vlastní len človek ktorému je správa určená.

a takto nejako vyzerá správa po zašifrovaní

pôvodný text

ahoj

zašifrovaný text

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.2.1 (GNU/Linux)

hQIOA+x4vXkwzMNVEAf8D9pFwlGaPYxnNj+eUqqDOtUopbDJm+GbbVdTzP6efz1I eeBYnHNyYlPnHBOTbBeS0AoruH/xQ1ETN9LP3oJqtMkL74+c0Szu3gc1bfn7/AfR bLwrJSjpqi4Dulj0w0uW5z590Zs61+prxAkd2joCKetCT9D8Xv6Y1KtDSy4sgWZ/ 2IfuCgTh9gRnJJoV/NgjSq9Qt2GiVE3KgsYSfdCL6D4QBSiT8Mmesjxzv0llL5Ut UWwZqsQub1tMBK8NdKQUl6G2qlPiVHsP4VDcIbmneN2aSQbwIE8tMfw6FQ0yiDr2 58YQfLWDycp8Xs6ijFmoWKIQcxmjqKhHqictJieRrQf+PVoX/dUUNSd1GtTIO6T7 Z6wg/mCOOcsnLUOx6ATjxrI9NOGYpYcbZ2DhU3AUZHgcLcj9f6xwF4DERxEF4Zfc VyWe2y/hqcD7Q9S3oMm2oEwjHpdIOMKFE+mmzMPZZWLo1QYBkRBF45yURlaCl69i xh7TYzgjVULSptvVk3gqbWNgzyPTDUSDk30Yt7j32E0NNLMjBj0YerNu15GN+lD2 TFurKTZ3DhRnlBlnMLLGryH2lKaH2X0OwUUZji1NBkG6eFLhE6lsG9jsX/pU6JXi mBNp6MJponPeH7EO+OaxwI2ARfJTf94tRqpJ+wFxOY40Cr9FVBRmViMzdoPZHSFm c9JBATo9W9mUJ/nhwaYUu8sOI9Tj7HcZb4w7FJJvT2tA2kOlHOwjJ/ZzjEev/Zoa ZHPCFI7oS6It37d46BYpzODJkgs= =KQ8k

-----END PGP MESSAGE-----

čo poviete, trošku rozdiel nie ?

Digitálny podpis

Tu sa už nejedná ani tak o to aby správa bola zašifrovaná, ale aby sme mali istotu že správu ktorú sme dostali a je vnej napísané že nám ju poslal Janko Hraško(nenapadlo ma iné meno J) ďalej už len J.H., tak skutočne bude jasné že nám ju poslal J. H. a nie niekto úplne iný ktorý sa len zaneho vydáva. Ale ako na to ?

Existujú tzv. hashovacie funkcie(MD5 a ďalšie), ktoré robia tzv. odtlačok správy (message digest, správne by malo byť akýsi výcuc(výťah zo správy)). Ide o to že na vstupe dostane napr. MD5 nejaký ľubovoľne dlhý text a na výstupe dostaneme jej odtlačok s presne definovanou dĺžkou (dĺžka odtlačku je stále rovnaká, nezávisí na veľkosti správy). Stačí zmeniť v správe čo len jedno písmeno a odtlačok bude hneď iný. Ale pri tej istej správe bude stále rovnaký. Tak máme zaručené že ak by sa správa po ceste k nám čo i len trochu zmenila tak to zistíme.

Tento odtlačok sa následne zašifruje súkromným kľúčom (nie verejným ako pri šifrovaní !!!) a tento zašifrovaný odtlačok sa pripojí na koniec správy. Teraz je jednoznačne dané že nám správu poslal J. H. pretože nikto iný nevie vytvoriť taký istý podpis ,keďže nemá súkromný kľúč J. H..

takto vyzerá správa s priloženým digitálnym podpisom

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

tu je text správy
.
.
.
koniec textu

a tu je ten vyššie popísaný digitálny podpis

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE/L9yqLy7GnyorcF8RAgNIAJ0QZ+otEgZka7DbOCqgzNsEdj00bACgkEDM X952HRZzf1KAfXZDQjEi21c= =kQBm

-----END PGP SIGNATURE-----

Ale ako zistíme že spleť znakov na konci správy je digitálny podpis J. H. ? Rozšifrujeme podpis verejným kľúčom J. H., keďže tento je voľne k dispozícii. Použijeme tú istú hashovaciu funkciu akú použil J. H. a získame odtlačok správy ktorú sme dostali. Ten porovnáme s tým ktorý bol priložený na konci správy a ak súhlasia tak je jasné, že správu nám neposlal nikto iný ako J. H.. Ale len v prípade že J. H. nebol blbý a nenechal svoj súkromný kľúč na diskete niekde na stole ku ktorému má každý prístup. V takom prípade sa už môže ako J. H. podpisovať hocikto.

Toto je asi najväčšia nevýhoda digitálneho podpisu oproti klasickému. Pri klasickom podpise môže zasiahnuť grafológ a povedať že tento podpis niekto sfalšoval, lebo sú tam iné ťahy a iný tlak pera atď. Ale pri digitálnom podpise sa zneužitie bude dokazovať asi veľmi ťažko, takže pozor na to kde mate uložené vaše súkromné kľúče.

SSL

SSL - SSL (Secure socket layer) tzv. pripojenie cez zabezpečenú vrstvu. Ďalší zo spôsobov zabezpečenia integrity prenášaných dát. Rozdiel je v tom že SSL sa využíva hlavne pri prenose dát medzi vašim web browserom a web serverom, pri prihlasovaní sa pomocou hesla na váš mailový server atď..

Nebudem tu popisovať princíp, to by bolo na dlhšie. Len asi toľko, že sa tak isto využíva princíp verejných a súkromných kľúčov, ktoré si ale overuje medzi sebou váš web browser a web server s ktorým komunikuje. Používa sa hlavne tam kde sa prenášajú rôzne citlivé dáta a dôležité informácie, ako heslá a hlavne v internet bankingu, kde by pri zachytení komunikácie mohlo dôjsť k oveľa väčším škodám ako len k prezradeniu textu mailu v súkromnej komunikácii.

Praktické využitie

Čo sa týka zabezpečenia SSL tak s tým si starosti nemusíte robiť, pretože to je súčasťou skoro každého webového prehliadača. Akurát pri stránkach kde máte na výber tak radšej zvoľte možnosť použiť zabezpečené pripojenie. Adresa stránky potom namiesto http:// začína https:// kde s značí secure, teda zabezpečené. Pri mailových servroch, ktoré majú tú možnosť je lepšie takisto nastaviť vo vašom mailovom klientovi používanie SSL pri prihlasovaní.

V prípade kódovania pošty a podpisovania je situácia iná aj keď nie zúfalá. Asi najznámejším projektom ktorý vznikol je projekt PGP (Pretty Good Privacy - Celkom dobré súkromie), ktorého autorom je Phil Zimmermann . Ide o software ktorý je previazaný s vašim obľúbeným mailovým klientom a automaticky po napísaní správy ju podpíše a zašifruje. Prijaté správy tak isto automaticky dešifruje a overí digitálny podpis, takže práca s ním je úplne v pohode aj pre menej skúsených užívateľov. Asi jediná práca pre vás je vygenerovať si už vyššie spomínaný key pair teda súkromný a verejný kľúč. Súkromný kľúč poriadne uschovať, a verejný ako inak zverejniť.

Na Linuxe sa vo väčšej miere ale používa software GnuPG - GNU Privacy Guard, čo je vlastne Open Source alternatíva k PGP a je sním aj kompatibilné. Teda správa zašifrovaná s PGP bude dešifrovateľná s GnuPG a naopak.

Použitie GnuPG sa mi zdá v poslednej dobe bezpečnejšie keďže sa objavujú správy že americká vláda má v pláne, hlavne po útokoch na WTC, zakomponovať do softwaru PGP tzv. backdoor, teda zadné dvierka aby americká tajná služba mohla dešifrovať všetky maily zašifrované systémom PGP, čo sa mne osobne vôbec nepáči. Oni sa obhajujú ako ináč ochranou proti teroristom ....

No nieje toho práve málo, ako som písal na začiatku, ale aj tak som do tejto témy len trochu načrel, pretože téma bezpečnosti a ochrany súkromia by bola na niekoľko sto strán.

- ešte tu je zopár zaujímavých liniek, ktoré odporúčam pozrieť -

slovenský preklad správy Európskeho Parlamentu o Echelone + čo to ošifrovaní

http://www.uid0.sk/echelon/echelon_ep_sk.html

stránky projektov PGP

http://www.gnupg.org/
http://www.pgp.cz/
http://www.pgpi.org/
http://www.openpgp.org/


 
Valid HTML 4.01! Valid CSS!