Wyłącz podsłuch

Ostatnie doniesienia na temat programów szpiegowskich rządu Stanów Zjednoczonych to zapewne czubek góry lodowej. Nie tylko dlatego, że została ujawniona dopiero część dokumentów wykradzionych przez Edwarda Snowdena. Trzeba pamiętać, że jest znacznie więcej krajów i instytucji zaangażowanych w podobną działalność. Jedyną różnicą może być skala oraz fakt, że lepiej niż amerykańska Agencja Bezpieczeństwa Narodowego (NSA) chronią one swoje tajemnice.

Działalność służb specjalnych to tylko część problemu, z punktu widzenia przeciętnego internauty wcale nie najważniejsza. Poważniejszym zagrożeniem może być monitorowanie komunikacji przez strony, które nie podlegają państwowej kontroli: korporacje internetowe, cyberprzestępców, prywatne firmy nie tylko z sektora bezpieczeństwa. Podsłuchiwanie niezabezpieczonej komunikacji jest na tyle proste, że hakerzy, nawet bez wielkiego zaplecza instytucjonalnego, mogą filtrować przepływające przez sieć informacje w celu wykradzenia poufnych danych prywatnych czy tajemnic handlowych.

Warto także pamiętać, że komunikaty wysyłane e-mailem czy komunikatorem zazwyczaj podróżują przez sieć zupełnie otwartym tekstem, tak jak kartka pocztowa wysłana bez koperty. Dlatego każdy administrator czy pracownik twojego usługodawcy internetowego, potencjalnie ma wgląd w treść wysyłanych przez ciebie wiadomości.

O własną prywatność warto zadbać, tym bardziej że nie jest to trudne. Prężne środowisko obrońców prywatności w sieci w ciągu ostatnich kilkunastu lat opracowało zestaw potężnych narzędzi kryptograficznych. Pozwalają one uszczelnić kanały komunikacji na tyle, że masowy podsłuch prewencyjny, jaki uprawiają np. służby specjalne, staje się niemożliwy.

W artykule pokazujemy, w jaki sposób prowadzić szyfrowaną korespondencję na podstawie mechanizmu OpenPGP, który bazuje na kryptografii klucza publicznego. To znaczy, że do kodowania i dekodowania korespondencji są używane dwa odrębne klucze cyfrowe. Pierwszy, do kodowania, to klucz publiczny, który można dać każdemu. Drugi, do deszyfrowania, to zabezpieczony tajnym hasłem klucz prywatny, który zachowujesz dla siebie. W ten sposób każdy może zakodować wiadomość, którą możesz odczytać tylko ty. Wymieniając się kluczami publicznymi z korespondentem, można utworzyć bezpieczny kanał wymiany informacji. Standard OpenPGP ma wiele kompatybilnych implementacji. W warsztatach pokażemy, jak korzystać z niego w programie pocztowym, w przeglądarce obsługującej pocztę przez WWW oraz w smartfonie z Androidem.

Ponadto krok po kroku wyjaśniamy konfigurację i korzystanie z komunikatora Jitsi (aplikację można pobrać z serwisu PC Format Programy), który umożliwia szybkie utworzenie kodowanego kanału komunikacji, także głosowej i wideo, bez potrzeby samodzielnej wymiany kluczy kryptograficznych.

Jeśli chcesz zabezpieczać przed inwigilacją korespondencję prowadzoną za pomocą desktopowej aplikacji pocztowej, najlepiej skorzystaj z programu Mozilla Thunderbird wraz z wtyczką Enigmail, która zapewnia obsługę szyfrowania OpenPGP z poziomu aplikacji pocztowej.

Zainstaluj najnowszą wersję programu Mozilla Thunderbird – spod adresu www.mozilla.org/pl/thunderbird. Pamiętaj, by uruchomić instalator z prawami administratora, klikając prawym klawiszem na ikonie pobranego programu oraz wybierając z menu Uruchom jako administrator. Po pierwszym uruchomieniu dodaj za pomocą kreatora konto pocztowe, z którego chcesz prowadzić szyfrowaną korespondencję.

Teraz musisz zainstalować pakiet GPG4Win – spod adresu www.gpg4win.org. Proces sprowadza się do potwierdzania kolejnych komunikatów. Po zakończeniu zamknij instalator, przejdź do Thunderbirda i kliknij kolejno Menu, Dodatki. Następnie w polu Szukaj we wszystkich dodatkach wpisz Enigmail i naciśnij [Enter], a na końcu naciśnij przy pierwszym trafieniu.

Po ponownym uruchomieniu programu pocztowego pojawi się kreator. Zaznacz Nie, dziękuję i kliknij Dalej oraz Zakończ. W menu Thunderbirda znajdziesz nową grupę ustawień – OpenPGP. Rozwiń ją i wybierz polecenie Zarządzanie kluczami. W następnej kolejności w oknie o nazwie Zarządzanie kluczami OpenPGP kliknij Generowanie, Nowa para kluczy.

W oknie Generowanie klucza OpenPGP, w polach Szyfr oraz Szyfr potwierdzenie wpisz hasło zabezpieczające klucz prywatny. Następnie kliknij Wygeneruj klucz i potwierdź Generuj klucz. Aby przyspieszyć ten proces, przełącz się do przeglądarki i posurfuj trochę po sieci. Na końcu kliknij Generuj certyfikat w celu utworzenia narzędzia do unieważnienia kluczy w razie naruszenia poufności klucza prywatnego.

Teraz zostaniesz poproszony o odblokowanie klucza prywatnego hasłem zdefiniowanym w poprzednim kroku, co kończy generowanie certyfikatu. Aby zobaczyć swój klucz w oknie Zarządzanie kluczami OpenPGP, zaznacz: Pokaż wszystkie klucze domyślnie. Jeśli chcesz utworzyć kopię zapasową (zalecane!), kliknij Plik, Eksportuj klucze do pliku.

Aby nawiązać poufną korespondencję, musisz wymienić się z partnerem kluczami publicznymi, które służą do szyfrowania wiadomości. Aby wysłać klucz e-mailem, otwórz okno zarządzania kluczami OpenPGP (patrz krok 1) i z menu kontekstowego swojego klucza wybierz Kopiuj klucze publiczne do schowka. Następnie wklej zawartość schowka do e-maila i wyślij

Alternatywnie możesz wybrać polecenie Wyślij klucz publiczny w wiadomości, aby wysłać klucz w postaci pliku ASC. Aby dodać klucz osoby, z którą planujesz korespondować, skopiuj go do schowka (jeśli otrzymałeś plik ASC, otwórz go wcześniej w Notatniku). Następnie w oknie zarządzania kluczami PGP wybierz polecenie Edycja, a potem Importuj klucze ze schowka.

Po zakończonej wymianie kluczy publicznych można rozpocząć bezpieczną korespondencję. Aby wysłać szyfrowany list, kliknij, przytrzymując klawisz [Shift], przycisk Napisz. W ten sposób otworzysz edytor w trybie czystego tekstu, co gwarantuje pełne szyfrowanie treści. Następnie podaj adres odbiorcy, którego klucz publiczny dodałeś do swojego pęku kluczy.

Po zakończeniu edytowania e-maila kliknij ikonę OpenPGP w oknie edycyjnym i zaznacz opcję Szyfruj wiadomość. Możesz także podpisać wiadomość, co pozwoli odbiorcy zweryfikować, czy otrzymał ją od ciebie (aby sprawdzić podpis, musi mieć twój klucz publiczny). Po dobraniu opcji kliknij OK i Wyślij, co spowoduje zaszyfrowanie i wysłanie korespondencji.

Aby odszyfrować wiadomość zakodowaną twoim kluczem publicznym, kliknij ją w folderze z odebranymi wiadomościami. Pojawi się okienko, w którym wpisujesz hasło zdefiniowane podczas tworzenia pary kluczy (krok 2 poprzedniego warsztatu).

Aby móc odczytywać wiadomości na innym komputerze, musisz mieć na nim narzędzie obsługujące OpenPGP, a także przenieść do niego klucz prywatny (do odszyfrowywania) oraz publiczny (aby móc go udostępniać), co jest możliwe za pomocą polecenia eksportu klucza. W oknie Zarządzaj kluczami OpenPGP zaznacz swoją parę kluczy i kliknij kolejno przyciski: Plik, Eksportuj klucze do pliku. W następnym oknie – Ostrzeżenie OpenPGP – kliknij Eksportuj klucze prywatne.

Jeśli korespondujesz za pomocą aplikacji online jednego z popularnych dostawców poczty, takich jak: Google, Microsoft czy Yahoo, użyj narzędzia Mailvelope – adres www.mailvelope.com – wyspecjalizowanej implementacji OpenPGP do użycia wewnątrz przeglądarki internetowej. Program pozwala na wymianę bezpiecznych wiadomości z dowolnym klientem OpenPGP, np. z Enigmail dla Thunderbirda.

Mailvelope jest dostępny w formie rozszerzenia do przeglądarki Chrome lub Firefox. W celu zainstalowania otwórz sklep z dodatkami przeglądarki, której używasz, i za pomocą wyszukiwarki znajdź i zainstaluj Mailvelope. Aby wejść do panelu konfiguracji, kliknij ikonę dodatku (symbol kłódki z kluczykiem) w oknie przeglądarki i wybierz Options.

Zanim przystąpisz do szyfrowania poczty, musisz zainstalować parę kluczy OpenPGP. Jeśli korzystasz już z innej implementacji OpenPGP, np. opisanej w poprzednim warsztacie aplikacji GPG4Win, możesz zaimportować używany już klucz, klikając w panelu opcji zakładkę Import Keys. Kod możesz albo wkleić do widocznego pola tekstowego, albo kliknąć Wybierz plik i wskazać plik ASC z parą kluczy. Na końcu kliknij Submit.

W ten sam sposób importujesz klucze publiczne osób, z którymi chcesz prowadzić szyfrowaną korespondencję. Po zaimportowaniu kluczy należy przejść do zakładki Display Keys i sprawdzić, czy poprawnie się wyświetlają. W Mailvelope możesz także wygenerować parę kluczy. Kliknij zakładkę Generate Key. Wprowadź nazwę, e-mail oraz hasło i kliknij Submit.

Jeśli chcesz nawiązać korespondencję, musisz oprócz dodania do rozszerzenia klucza publicznego swojego znajomego udostępnić mu własny klucz publiczny. W tym celu w zakładce Display Keys zaznacz swoją parę kluczy. Następnie kliknij przycisk Export, wybierz Send public key by mail, a w oknie z kluczem naciśnij Copy to Clipboard przycisk lub Create file, aby wysłać klucz w pliku ASC.

Teraz możesz już podjąć wymianę poufnych wiadomości. Aby zaszyfrować e-mail, wejdź do swojego konta internetowego, np. Gmaila, i utwórz wiadomość. Gdy znajdziesz się w polu edycyjnym, pojawi się ikonka z symbolem kartki i ołówka. Kliknij ją w celu wywołania edytora Mailvelope. Pozwoli on napisać treść lokalnie, dzięki czemu pozostanie ona tajemnicą także dla dostawcy usług.

Po wpisaniu wiadomości kliknij ikonę z symbolem zamkniętej kłódki. W oknie, które się pojawi, znajduje się lista z kluczami publicznymi dodanymi do Mailvelope. Wybierz z niej odbiorcę i kliknij Add. Następnie naciśnij OK, a na końcu Transfer w celu przeniesienia zaszyfrowanego tekstu do okna edycji wiadomości w interfejsie internetowym. Następnie wyślij wiadomość jak zwykły list.

Dekodowanie wiadomości jest jeszcze prostsze. Gdy rozszerzenie Mailvelope wykryje w e-mailu, widocznym w interfejsie WWW, ciąg znaków sugerujący tekst szyfrowany, pokoloruje zakres na żółto i wyświetli ikonę. Aby odcyfrować wiadomość, kliknij tę ikonę, a w oknie, które się pojawi: wpisz hasło chroniące twój klucz prywatny.

Szyfrowanie poczty elektronicznej jest nie tylko domeną desktopowych klientów tej poczty. Bezpieczną korespondencję możesz także prowadzić na tablecie lub smartfonie z Androidem. Do tego celu będziesz potrzebował dwóch aplikacji: niezależnego klienta poczty K9 Mail oraz APG (Android Privacy Guard), mobilnej implementacji OpenPGP. Obydwie aplikacje zainstaluj ze sklepu Google Play.

W pierwszej kolejności skonfiguruj konto pocztowe, np. Gmail, w aplikacji K9 Mail. Cała czynność sprowadza się do podania adresu, hasła i nazwy użytkownika, jaka ma być wyświetlana w wychodzącej poczcie. Następnie przejdź do aplikacji APG w celu skonfigurowania kluczy OpenPGP.

Po pierwszym uruchomieniu aplikacji musisz zainstalować w niej parę kluczy. Możliwe jest wygenerowanie kluczy w aplikacji. W tym celu kliknij kolejno ikonę Opcje i polecenie Manage Secret Keys. Na tym ekranie ponownie naciśnij ikonę Opcje i wybierz polecenie Create Key. Naciśnij przycisk Set Pass Pharse i wpisz hasło.

Teraz naciśnij User IDs i podaj nazwę klucza oraz adres e-mailowy, potem kliknij Keys. Jeśli chcesz wzmocnić kodowanie, zmień wartość Key Size na 2048-bit. Jeśli nie, naciśnij OK w celu akceptacji domyślnego algorytmu i siły klucza, a na końcu naciśnij Save. Utworzony klucz pojawi się na liście Manage Public Keys.

Chcąc korzystać na Androidzie z tej samej pary kluczy co na desktopie, musisz wyeksportować w pececie zarówno prywatny, jak i publiczny klucz do pliku ASC (patrz 5 krok pierwszego warsztatu), a następnie przenieść go na smartfon. Dobrą drogą jest użycie synchronizacji plików przez Dysk Google, która odbywa się przez bezpieczne łącze SSL.

Po pobraniu pliku na telefon otwórz aplikację Dysk Google i naciśnij właściwą ikonę. Pojawi się lista aplikacji, które mogą obsłużyć otwierany plik. Na liście znajdź i kliknij APG. Gdy APG spyta, co robić z kluczami, wybierz Import Secret Keys. Zaimportowany klucz pojawi się na liście Manage Secret Keys.

Aby móc podjąć korespondencję, musisz zaimportować do programu także klucz publiczny osoby, z którą zamierzasz korespondować. Poproś ją o przesłanie ci klucza w załączniku ASC. Następnie w oknie aplikacji pocztowej K9 Mail kliknij Zapisz i zapamiętaj komunikat informujący, w jakim miejscu został zachowany plik.

Przełącz się do APG, kliknij Opcje i wybierz Manage Public Keys. Po ponownym naciśnięciu Opcji kliknij Import Keys. Następnie naciśnij ikonę Folderu i za pomocą dowolnego menedżera plików wskaż klucz przeznaczony do importu. Potwierdź, naciskając OK.

Mechanizm szyfrowania jest gotowy do pracy. W związku z tym uruchom klienta poczty K9 Mail i kliknij ikonę Nowy mail. Jak zobaczysz, poniżej paska do wpisania adresata pojawiło się pole Szyfruj. Zaznacz je. Po naciśnięciu przycisku wysyłania e-maila pojawi się lista kluczy, którymi możesz zaszyfrować wiadomość. Zaznacz właściwy i kliknij OK.

Dekodowanie wiadomości jest równie proste. Po otrzymaniu w K9 Mail wiadomości, która jest zaszyfrowana, zobaczysz obok przycisk Deszyfruj. Naciśnij go i w okienku Pass Pharse wpisz hasło zabezpieczające klucz prywatny.

Na telefonie z Androidem możesz korzystać nie tylko z OpenPGP, ale także z prostszego w zastosowaniu narzędzia TextSecure. Bezpłatna aplikacja, którą można zainstalować ze sklepu Google Play, integruje się z mechanizmem wymiany wiadomości Androida i pozwala na wymianę kodowanych SMS-ów i MMS-ów. Do identyfikacji rozmówcy nie jest potrzebny login, wystarczy numer telefonu. Jeśli rozpoczniesz wymianę wiadomości z odbiorcą, który także ma zainstalowany TextSecure, aplikacja zaproponuje włączenie bezpiecznego, szyfrowanego kanału.

Aplikacja Jitsi (program można pobrać z serwisu PC Format Programy) pozwala na czatowanie z wykorzystaniem szyfrowanego kanału dzięki zastosowaniu mechanizmu OTR (Off The Record). Dostępna jest dla wszystkich systemów operacyjnych. Do działania wymaga zainstalowanego środowiska uruchomieniowego Java JRE.

Szyfrowaną komunikację tekstową można prowadzić w każdej usłudze komunikatora. Jeśli chcesz dodać konto, które pominąłeś na etapie instalacji, kliknij Plik, Dodaj nowe konto. Do użycia z komunikatorem dobrze się nadaje konto Google Talk, które obsługuje otwarty protokół XMPP. Jitsi potrafi na podstawie tego konta nawiązywać bezpieczne połączenia audio i wideo.

Aby dodać konto Google, z listy Sieć wybierz Google Talk. Następnie wpisz nazwę użytkownika oraz hasło. Pamiętaj jednak, że w sytuacji, gdy masz włączoną weryfikację dwuetapową konta Google, musisz wygenerować hasło dla tej aplikacji i zaznaczyć pole Zapamiętaj hasło.

Możesz także założyć niezależne konto XMPP na stronie ( http://jit.si), które działa identycznie. Wypełnij widoczny tam formularz i kliknij Create Account. Aby dodać konto, kliknij Plik, Dodaj nowe konto, a następnie z listy Sieć wybierz XMPP, po czym wpisz podaną w formularzu nazwę użytkownika: konto@jit.si oraz utworzone hasło. Potwierdź wszystko, klikając Dodaj. Konto XMPP może bez problemu łączyć się z kontaktami Google Talk.

Jeśli dodałeś do programu istniejące konto, zobaczysz listę kontaktów. Natomiast w przypadku nowego konta musisz dodać kontakty. W tym celu kliknij Plik, Dodaj kontakt. Następnie na liście Wybierz konto zaznacz utworzone konto, w polu ID or Number wprowadź login kontaktu. Po zakończeniu kliknij Dodaj.

Chcąc ochronić komunikację przed podsłuchem, warto pamiętać także o podstawowych zabezpieczeniach, takich jak SSL, czyli szyfrowany protokół wymiany informacji z serwerem. Wiele serwisów, np. Google czy Facebook, domyślnie korzysta z bezpiecznego połączenia SSL (można rozpoznać je po nazwie protokołu https:// przed adresem). Dzięki temu ryzyko podsłuchania komunikacji przesyłanej w obrębie tej usługi jest niewielkie. Oczywiście tak długo, jak długo usługodawca nie daje skanować swojej sieci wewnętrznej albo nie udostępnia dobrowolnie informacji ze swoich serwerów. Nawet w sytuacji współpracy usługodawcy np. z amerykańskim wywiadem elektronicznym NSA szyfrowanie połączenia chroni przed podsłuchem ze strony innych tajnych służb czy wścibskich hakerów. Aktywację bezpiecznego połączenia można zautomatyzować, korzystając z wtyczki HTTPS Everywhere, która jest dostępna do Firefoksa i Chrome. Narzędzie wymusza bezpieczne połączenie wszędzie tam, gdzie jest to technicznie możliwe, m.in. w Wikipedii.

Rozmowę rozpocznij, klikając dwukrotnie ikonę kontaktu na liście. Gdy otworzy się okienko rozmowy, możesz wymieniać otwarte komunikaty. Jeśli chcesz nawiązać bezpieczne, szyfrowane połączenie, kliknij kłódkę na pasku narzędzi.

Jeśli chcesz mieć 100-proc. pewność, że osoba, z którą rozmawiasz, jest tą, za którą się podaje, musisz jeszcze wymienić kody weryfikacyjne. W oknie rozmowy kliknij Secure chat i wybierz Uwierzytelnij kontakt. Poproś swojego rozmówcę, by zrobił to samo.

Do uwierzytelnienia kontaktu i wymiany potrzebujesz dodatkowego, zaufanego kanału komunikacji. Najlepiej, jeśli byłaby to zabezpieczona kryptograficznie wymiana e-maili, ale w praktyce wystarczy telefon lub SMS. W oknie Uwierzytelnij kontakt są podane dwa ciągi znaków – cyfrowe odciski palca.

Przez telefon upewnij się, że kod twojego rozmówcy zgadza się z tym, co on sam widzi w oknie, a także zweryfikuj, czy twój kod jest poprawny. Jeśli tak, skopiuj kod rozmówcy do pola formularza poniżej i kliknij przycisk Uwierzytelnij kontakt. Od tego momentu wymiana informacji jest w 100 proc. zabezpieczona i zweryfikowana.

Aby podczas szyfrowanej rozmowy tekstowej włączyć komunikację głosową, w oknie rozmowy kliknij słuchawkę. Kliknięcie kamery powoduje uruchomienie rozmowy wideo, a miniatury monitora udostępnianie ekranu.

Podczas rozmowy z wykorzystaniem protokołów multimedialnych konieczna jest dodatkowa weryfikacja. Jeśli ikonka zrtp widoczna poniżej obrazu jest pomarańczowa, kliknij ją. Zobaczysz wówczas hasło. Następnie kliknij Clear. Pojawią się litery. Uzgodnij z partnerem, czy widzi na swoim ekranie te same znaki.

Jeśli tak, kliknij Potwierdź. Gdy ikonka zmieni kolor na zielony – zrtp, kliknij X, aby zamknąć panel. Po zakończeniu rozmowy rozłącz się, klikając czerwoną słuchawkę. Jeśli chcesz zawsze rozmawiać w kanale szyfrowanym, kliknij Secure chat i zaznacz Automatycznie inicjuj komunikację prywatną.