Share
Bildekreditter: E-mail Selvforsvar - Free Software Foundation.
Etter Snowden-åpenbaringene i 2013 begynte jeg å se på å forbedre personvernet til min e-postkommunikasjon. I utgangspunktet utforsket jeg å installere min egen private e-postserver (Tuts +). Til slutt lærte jeg at sikring av e-postserveren din er vanskelig, og det er avgjørende for nå å fokusere på kryptering per melding.
Dette er den første opplæringen til en serie der jeg fokuserer på å kryptere e-posten din. I denne veiledningen vil jeg introdusere de generelle konseptene for kryptering og hvordan de kan brukes til å sikre og verifisere e-postene våre. I den andre opplæringen veileder jeg deg gjennom installering av krypteringsprogramvare på datamaskinen din og begynner å sende dine første meldinger.
Vi vil også utforske krypteringsbasert nettbasert e-post og styrke "web av tillit", og da bytter vi emner litt for å kryptere Internett-aktivitetene dine ved hjelp av et VPN. Til slutt, som en del av serien om å administrere dine digitale eiendeler etter døden, bruker vi det vi har lært å skape en sikker buffer for viktig informasjon for dine etterkommere i nødstilfeller.
I denne serien refererer jeg gjentatte ganger til en stor ressurs satt opp av Electronic Frontier Foundation (EFF), kalt The Surveillance Self Defense Guide. Du vil kanskje også lese en av deres forklaringer, En introduksjon til offentlig nøkkelkryptografi og PGP, som denne veiledningen paralleller. Jeg har prøvd å gjøre denne opplæringen litt enklere å lese.
Helt ærlig er arkitekturen i vårt globale e-postsystem ikke bygget for personvern eller autentisering. Faktisk vil jeg argumentere for at den er fundamentalt ødelagt på måter vi må overhale for den moderne digitale kommunikasjonsalderen. Inntil da er den beste måten å beskytte vårt privatliv og godkjenne vår kommunikasjon, Pretty Good Privacy, også kjent som PGP.
Aktivist og teknikerkspert Phil Zimmerman oppfunnet PGP i 1991. Den amerikanske regjeringen forfulgte ham for sitt arbeid, og det er verdt å lese om sitt arbeid og historien.
I denne opplæringen skal jeg forklare grunnleggende om PGP og hvordan du kan bruke det for å sikre konfidensialiteten til kommunikasjonen din i et overvåkingssamfunn og også hvordan du autentiserer identiteten til personer du kommuniserer med.
Husk, jeg deltar i diskusjonene nedenfor. Hvis du har et spørsmål eller et emneforslag, vennligst legg inn en kommentar nedenfor. Du kan også følge meg på Twitter @ reifman eller email meg direkte.
PGP er et krypteringssystem som opererer med et par nøkler som opererer symmetrisk. Et par nøkler er referert til som en privat nøkkel og en offentlig nøkkel. Folk må holde deres private nøkkel trygt og sikkert, ikke delt med noen. De kan imidlertid dele sin offentlige nøkkel på anerkjente offentlige nøkkelutvekslinger og personlig.
Vanligvis installerer PGP-brukere noen form for kommersiell eller åpen kildekode krypteringsprogramvare som er kompatibel med OpenPGP-standarden. GnuPG er en felles implementering av OpenPGP. Noen av bildene jeg bruker i opplæringen er fra Free Software Foundations GnuPG Email Self Defense infographic.
Du kan bruke PGP-programvaren til å sende krypterte meldinger. Programvaren din vil kryptere utgående meldingen med mottakerens offentlige nøkkel.
Meldingen i seg selv vil sprette rundt Internett som gibberish, indecipherable til alle uten mottakerens private nøkkel.
Enhver overvåkingsmyndighet som fanger opp meldingen, vil ikke kunne dechifisere innholdet.
Når mottakeren mottar meldingen gibberish, vil de bruke PGP-programvaren med sin private nøkkel og din offentlige nøkkel for å dekryptere meldingen.
Hvis du tillater at din private nøkkel faller i feil hender, vil andre kunne imitere deg ved å sende krypterte meldinger på dine vegne. De vil også kunne lese konfidensielle meldinger sendt til deg med kryptering.
Din private nøkkel kan bli stjålet uten at du skjønner det. Hvis for eksempel malware er plassert på datamaskinen, kan kriminelle eller regjeringens spioner oppnå det ulovlig. Du ville aldri vite det.
Det er veldig viktig å beskytte din private nøkkel med et utrolig sterkt passord. Når Edward Snowden skriver inn sitt passord under et teppe i Citizenfour, beskytter han sitt private nøkkelpassord fra mulig videoovervåkning.
Hvis din private nøkkel, kanskje lagret på en bærbar eller tommelfingerstasjon, blir stjålet, vil passordet ditt sakte gjerningsmenn fra å få tilgang til det. Men til slutt vil de kunne få tilgang til den.
Hvis du noensinne har oppdaget at din private nøkkel er blitt kompromittert, kan du varsle andre om å bevare tilliten, som vi vil diskutere nærmere nedenfor.
PGP vil ikke kryptere emnelinjen eller Til: adresselinje for krypterte meldinger, noen ganger kalt meldings-konvolutten. Derfor vil PGP ikke skjule hvem du vet, med mindre du har mulighet til å utveksle anonyme offentlige nøkler med personer som bruker anonyme e-postadresser som bare får tilgang til e-posten sin med Tor for å skjule deres IP-adresse.
Digitale signaturer kan godkjenne at en melding ble sendt av personen som har avsenderens private nøkkel og verifisere at meldingen ikke har blitt manipulert med.
Vanligvis gjøres dette ved å generere en kryptografisk hash av den opprinnelige meldingen og deretter kryptere isen med avsenderens private nøkkel (omvendt av det som er gjort for å kryptere meldingslegemet). Dette kalles signering av meldingen. Bildet nedenfor er fra Wikipedia.
Selv små endringer i meldingen endrer radikalt hash.
Når mottakeren mottar meldingen, dekrypterer de hash med avsenderens offentlige nøkkel og verifiserer resultatet. Hvis hash er riktig, viser det seg at personen som har avsenderens private nøkkel, sendte meldingen. Hvis hash er feil, har meldingen blitt manipulert med - eller den ble ikke sendt av den påståtte avsenderen.
Din evne til å stole på PGP er avhengig av påliteligheten til den offentlige nøkkelen du mottok fra avsenderen. Hvis jeg for eksempel har sendt deg en offentlig nøkkel, og NSA avlyste meldingen og erstattet den med sin offentlige nøkkel, kunne de begynne å sende krypterte meldinger til deg som du tror, er fra meg. Eller hvis du har utvekslet krypterte meldinger med vennen din og deres private nøkkel er blitt kompromittert, kan andre lese dine private meldinger.
Dette kan være svært viktig hvis du er spion eller aktivist.
Nøkternes troverdighet er kjent som Web of Trust.
Hvis du leser om PGP, ser du nevnte mytologiske "nøkkelpartier" (sannsynligvis organisert av Jake Applebaum). Du vil sannsynligvis aldri bli invitert til en. (Jeg har faktisk møtt Jake et par ganger, men jeg er ikke kult nok til å bli invitert til sine nøkkelpartier.)
De fleste av oss små folk bruker nøkkel servere for å utveksle våre nøkler. Brukere som vi stoler på, kan digitalt signere offentlige nøkler til andre mennesker vi ønsker å sende beskjed til, og dette gjør at vi kan ha viss sikkerhet om gyldigheten av bestemte offentlige nøkler.
Til slutt er den eneste måten å være sikker på at du har en persons offentlige nøkkel, å bytte den med seg personlig.
Imidlertid er det noen interessante nye tjenester som prøver å forbedre nettverket av tillit, som jeg vil se gjennom i kommende episoder.
Jeg håper du føler deg inspirert til å sikre e-posten din. Komme opp i neste veiledning, veileder jeg deg gjennom å installere krypteringsprogramvare på datamaskinen din, lage ditt første nøkkelpar og komme i gang med å sende dine første sikre meldinger.
Ta gjerne inn dine spørsmål og kommentarer nedenfor. Du kan også nå meg på Twitter @ reifman eller email meg direkte. Du kan finne mine andre opplæringsprogrammer ved å bla gjennom min Tuts + instruktørside.
Accentsconagua