Az e-mailek aláírásáról és titkosításáról konyhanyelven

A HupWiki-ből...

(ezen írás sok egyszerűsítést és pongyola fogalmazást tartalmaz, ha valaki egyszerűbben el tudná mesélni, jó lenne :)

(A későbbi pontosítóktól, átfogalmazóktól azt kérem, hogy az alap cikk maradjon teljesen egyszerű, konyhanyelven megírt kerek egész. Ha egyes részeit tovább szeretnétek cizellálni akkor tegyetek bele egy részletesebben linket, de kérem hogy ott is maradjon meg a laikusoknak szánt megfogalmazási stílus.)

Tartalomjegyzék 1 Bevezetés 2 Digitális aláírás és titkosítás 2.1 PGP/GPG 2.2 X.509-es tanúsítvány 2.2.1 Bizalom hálója „WoT” (Cacert/Thawte) 3 Külső hivatkozások

Bevezetés

Ha e-mail-t küldünk egymásnak, az több levelező szerveren is keresztül megy mire eléri a postafiókunkat. Egy e-mail elküldése leginkább egy képeslap feladásához hasonlítható, amit bárki elolvashat és megváltoztathat akinek a szerverén áthalad vagy tárolódik (a postafiókban).

Ahhoz, hogy biztosak lehessünk abban, hogy az üzenetet ténylegesen az adta fel aki a feladó sorban szerepel és az üzenetet nem írta át senki útközben, szükség van a szöveg digitális aláírására.

Ahhoz, hogy az üzenetet rajtunk kívül más ne tudja elolvasni, szükség van a tartalom titkosítására.

Sokan felesleges nyűgnek tekintik ezeket a dolgokat, mondván, hogy "Eddig is megvoltam nélküle", vagy "Mások sem használják". Ezen érvekre reagál a következő szócikk: Miért használjon mindenki digitális aláírást?

Digitális aláírás és titkosítás

Két népszerű és szabványos megoldásról van tudomásom. Az egyik lehetséges megoldás a PGP vagy GPG felhasználása. A másik megoldás az X.509-es tanúsítványok használata.

PGP/GPG

Ezt a megoldást úgy használhatjuk, hogy el kell készíteni egy „kulcspárt” ami egy titkos és egy nyilvános kulcsból áll. A nyilvános kulcsot szét kell osztani minden olyan személynek, akinek digitális aláírással ellátott levelet szeretnénk küldeni. Valamint be kell szereznünk mindenkinek a nyilvános kulcsát egyenként, akinek titkosítva szeretnénk levelet küldeni vagy ellenőrizni szeretnénk az általa küldött e-mail feladójának hitelességét.

A beszerzett kulcsokról a beszerzés pillanatában egyenként el kell döntenünk, hogy a kulcs tényleg attól származik, akitől reméltük a kulcs érkezését. Majd a döntésünk alapján a levelező programunk minden alkalommal ellenőrzi, hogy az e-mail tartalma a feladótól származik-e és nem módosította más.

A PGP/GPG-nél is létezik a „bizalmi háló” idegen szóval „Web of Trust”, amikor a résztvevők kölcsönösen, személyes találkozót követően, aláírhatják egymás nyilvános kulcsait. Így ha a címzett már rendelkezik egy számára hitelesnek elfogadott kulccsal de a feladó nyilvános kulcsát nem ismeri személyesen, de például egy központi nyilvános kulcsokat tároló szerverről letöltötte - az itt tárolt kulcsok semmilyen ellenőrzésen nem estek át a szervert üzemeltetők által -, és a kulcs alá van írva, hitelesítve van azzal a nyilvános kulccsal amiről a címzett tudja hogy a kulcs gazdája megbízható, feltételezheti, hogy a feladó kulcsa is hiteles.

X.509-es tanúsítvány

Ha ezt választjuk, akkor egy „mindenki” által elfogadott szervezetnél kell igényelnünk egy tanúsítványt. Ezek a szervezetek azért „mindenki” által elfogadottak, mivel a levelező programok automatikusan (a megkérdezésünk nélkül) elfogadják a szervezet tanúsítványait valódinak.

Ez a módszer előnye, mivel nem kell a címzettnek létrehoznia a saját „bizalmi hálóját” elég ha a hitelesítő szervezetben megbízik, és a hátránya is, ugyanis legtöbbször nincs sok lehetőség az ilyen szervezetek ellenőrzésére.

Először csak az e-mail kerül bele a tanúsítványba és a név nem. Ahhoz, hogy a név is bekerülhessen, a tanúsítvány igénylőjének személyazonosság ellenőrzésén kell átesnie.

A személyazonosság ellenőrzésének egyik módja a „bizalom hálója” idegen kifejezéssel „Web of Trust” vagy röviden „WoT”.

Bizalom hálója „WoT” (Cacert/Thawte)

Ennek a működése úgy néz ki, hogy

• a tanúsítványkiadó szervezetnek vannak „megbízható” személyei, akik a jegyzők (notary) vagy hitelesítők (assurer)
• ezek a személyek a tanúsítvány igénylőjével személyes találkoznak
• ott a szervezet szabályainak megfelelően ellenőrzik a személyazonosságát az igénylőnek
• amennyiben a személyazonosság megfelelő, meghatározott pontszámot adhat az igénylőnek
• miután a tanúsítvány igénylője megszerzett bizonyos pontszámot (több hitelesítő személlyel való találkozás után) - általában 50 pont, az utána igényelt tanúsítványba már belekerülhet a neve is az e-mail cím mellett
• ha a megfelelő pontszámot (általában minimum 100 pont) eléri egy személy akkor hitelesítő válhat belőle is és más tanúsítvány igénylőnek adhat pontot

Nekem két szervezetről van tudomásom, ahol ingyen lehet hozzájutni ilyen tanúsítványhoz. Az egyik a Cacert.org (sajnos a cikk írása időpontjában e szervezet tanúsítványait nem fogadja el minden levelező program) és a Thawte.

A hitelesítők tudnak segíteni a szervezetek weboldalain való eligazodásban és a tanúsítvány megszerzésében.

Ha valakinek sikerült felkeltenem az érdeklődését, mindkét szervezetnél tudok hitelesíteni. szimszon az oregpreshaz pont eu -nál kereshettek.

(köszönet Borisznak, hogy felhívta a figyelmemet egy pontatlanságra.)

Külső hivatkozások

• Tanúsítvány beszerzése Firefox böngészővel Thawte-től lépésről lépésre
• Tanúsítvány használata Thunderbird levelező programmal lépésről lépésre
• Tanúsítvány használata Horde webmaillel lépésről lépésre
• FireGPG-ről tömören - titkosítás, aláírás egyszerűen

• És egy komoly leírás a témáról: S/MIME alapú biztonságos elektronikus levelezés