FLOSS Manuals

 English |  Español |  Français |  Italiano |  Português |  Русский |  Shqip

Tietoturvan perusteet

Päivittäinen PGP:n käyttö

Edellisissä luvuissa olemme selittäneet, miten voidaan tehdä asetukset turvalliselle sähköpostin käytölle Thunderbirdillä, PGP:llä ja Enigmaililla. Oletamme, että olet asentanut ohjelmat ja olet seurannut onnistuneesti asennusohjelman ohjeita luodaksesi salausavainparin, kuten edellisessä luvussa on kuvattu. Tässä luvussa kuvaillaan, kuinka voit käyttää suojattua Thunderbirdiä päivittäisessä elämässä suojataksesi sähköpostiviestintäsi. Keskitymme varsinkin:

  1. Liitetiedostojen salaaminen
  2. Tunnussanan kirjoittaminen
  3. Salatun sähköpostin vastaanottaminen
  4. Julkisten avainten lähettäminen ja vastaanottaminen
  5. Julkisten avainten vastaanottaminen ja liittäminen avainnippuun
  6. Julkisten avainten palvelinten käyttäminen
  7. Sähköpostien salaaminen tiettyä vastaanottajaa varten
  8. Salattujen viestien lähettäminen vastaanottajaa varten
  9. Automaattinen salaus tiettyjä vastaanottajia varten
  10. Vastaanotettujen viestien vahvistaminen
  11. PGP-avainten ilmoittaminen vanhentuneiksi
  12. Mitä teet hukattuasi salaisen avaimesi, tai unohdettuasi tunnussanasi
  13. Mitä teet kun salainen avaimesi on varastettu
  14. Avainten varmuuskopiointi

Ensin selitämme kaksi ikkunaa, jotka ilmestyvät aina, kun aloitat Thunderbirdin käytön sähköpostin salaamiseen.

Liitetiedostojen salaaminen

Ikkuna ponnahtaa esille aina, kun lähetät ensimmäistä kertaa salatun viestin, jossa on liitetiedostoja. Thunderbird kysyy teknisen kysymyksen, jossa kysytään tapaa, jolla salataan sähköpostin liitetiedostot. Toinen (oletusarvoinen) vaihtoehto on paras valinta, koska se yhdistää turvallisuuden korkeimpaan yhteensopivuuteen. Voit myös valita "käytä valittua menetelmää kaikkiin tuleviin liitetiedostoihin"-valintaa. Napsauta sen jälkeen "OK" ja sähköpostiesi pitäisi lähteä ilman viivästystä.

Tunnussanan kirjoittaminen

Turvallisuussyistä salaisen avaimen tunnussana kirjoitetaan vain tilapäisesti muistiin. Toisinaan alla oleva ikkunan ponnahtaa esille. Thunderbird kysyy sinulta salaisen avaimesi tunnussanaa. Tämän tulisi olla eri salasana kuin normaali sähköpostisi salasana. Tämä on salasana, jonka kirjoitit luodessasi avainparia edellisessä luvussa. Kirjoita salasana tekstilaatikkoon ja napsauta "OK".

Salattujen viestien vastaanottaminen

Sähköpostien salaamisen suorittaa automaattisesti Enigmail, ainoa toiminto jota tarvitaan on kirjoittaa salaisen avaimen tunnussana. Kuitenkin mikä tahansa salattu viestintä jonkun kanssa vaatii vaihtamaan ensin julkiset avaimet.

Julkisten avainten lähettäminen ja vastaanottaminen

On monta eri tapaa jaella julkinen avain ystäville tai kollegoille. Yksinkertaisin tapa on liittää avain sähköpostiin. Jotta vastaanottaja voi olla varma viestin tulleen sinulta, sinun tulisi kertoa heille henkilökohtaisesti avaimesta ja myös vaatia heitä vastaamaan viestiisi. Tämän pitäisi ainakin estää helpot väärennökset. Sinun täytyy päättää itse mikä varmistustaso on tarpeellinen. Tämä pätee myös, kun vastaanotat kolmansilta osapuolilta sähköposteja, joissa on julkisia avaimia. Ota vastaanottajaan yhteyttä jollain muulla viestintämenetelmällä kuin sähköpostilla. Voit käyttää puhelinta, tekstiviestejä, VoIP-puhelua tai jotain muuta menetelmää, kunhan olet varma, että puhut oikealle henkilölle. Puhelut ja kasvokkain tapaamiset toimivat parhaiten, kunhan ne ovat käteviä ja voidaan järjestää turvallisesti.

Julkisen avaimesi lähettäminen on helppoa.

1. Thunderbirdissä voit painaa kuvaketta.

2. Kirjoita sähköposti ystävällesi tai kollegallesi ja kerro heille, että olet lähettämässä julkisen PGP-avaimesi. Jos ystäväsi ei tiedä mitä tämä tarkoittaa, joudut ehkä selittämään sen heille ja antamaan linkin tähän dokumentaatioon.

3. Ennen kuin lähetät tämän viestin, paina OpenPGP > Attach My Public Key -valintaa viestien kirjoittamisen valikkopalkissa. Tämän vaihtoehdon viereen ilmestyy merkki . Katso esimerkkiä alla.

4. Lähetä sähköpostisi painamalla nappia .

Julkisten avainten vastaanottaminen ja lisääminen avainnippuun

Sanotaanpa, että saamme julkisen avaimen sähköpostilla kaveriltamme. Tämä avain näkyy Thunderbirdissä liitetiedostona. Vieritä viestiä alas ja näet välilehdet, joissa on yksi tai useampia tiedostonimiä. Tämän julkisen avaimen loppupääte on .asc, joka on eri loppupääte kuin PGP-allekirjoituksen loppupääte, joka on .asc.sig.

Katso esimerkkisähköpostia seuraavassa kuvassa, joka on vastaanotettu ja allekirjoitettu PGP-viesti, johon on liitetty julkinen avain. Näemme keltaisen palkin, jossa on varoitusviesti: "OpenPGP: vahvistamaton allekirjoitus, napsauta "Details"-nappia saadaksesi lisätietoa". Thunderbird varoittaa, että lähettäjää ei vielä tunneta, mikä on oikein. Tämä muuttuu, kun olemme hyväksyneet julkisen avaimen.

Mitä nämä oudot merkit tekevät sähköpostiviestissä? Koska Thunderbird ei vielä tunnista allekirjoitusta, se tulostaa koko allekirjoituksen raakamuodossa, aivan samassa muodossa kuin se on sen vastaanottanut. Tältä digitaalisesti allekirjoitetut PGP-viestit näyttävät niistä vastaanottajista, jotka eivät ole saaneet julkista avaintasi.

Tärkein asia tässä esimerkissä on löytää liitteenä oleva julkinen PGP-avain. Mainitsimme, että se on tiedosto, joka päättyy loppupäätteeseen .asc. Tässä esimerkissä se on ensimmäinen liitetiedosto vasemmalla, punaisen ympyrän sisältä. Sen kaksoisnapsauttaminen saa Thunderbirdin tunnistamaan avaimen.

Kun olemme napsauttaneet liitetiedostoa, seuraava ponnahdusikkuna ilmestyy.

Thunderbird on tunnistanut julkisen PGP-avaintiedoston. Napsauta "Import" lisätäksesi tämän avaimen avainnippuusi. Seuraavan ponnahdusikkunan pitäisi ilmestyä. Thunderbird ilmoittaa, että operaatio on onnistunut. Napsauta "OK" ja olet melkein valmis.

Palaamme takaisin Thunderbirdin ruutuun ja päivitämme tämän viestin näkymän napsauttamalla jotain muuta viestiä ja palaamalla takaisin esimerkkiviestiin. Nyt viestin pääosa näyttää erilaiselta (katso alla). Tällä kertaa Thunderbird tunnistaa allekirjoituksen, koska olemme lisänneet lähettäjän julkisen avaimen.

Vielä yksi asia täytyy tehdä. Vaikka Thunderbird tunnistaa nyt allekirjoituksen, meidän täytyy ilmoittaa luottavamme siihen, että allekirjoitus kuuluu oikealle henkilölle. Tämän vuoksi joudumme katsomaan alhaalla olevaa vihreää palkkia. Vaikka allekirjoitus toimii, se on silti UNTRUSTED.

Päätämme nyt luottaa tähän julkiseen avaimeen ja sen allekirjoittamiin viesteihin. Teemme tämän heti napsauttamalla "Details". Pieni valikko ilmestyy (katso alla). Tässä valikossa voimme napsauttaa vaihtoehtoa "Sign Sender's Key ...".

Kun olemme valitseet kohdan "Sign Sender's Key ..." ilmestyy toinen valintaikkuna. Siinä kysytään kuinka tarkkaan tämän avaimen aitous on tarkistettu. Tässä oppaassa ei käsitellä luottamustasojen ja luottamusverkkojen käsitteitä. Emme käytä tätä tietoa, joten voit valita "I will not answer". Valitse myös "Local signature (cannot be exported)". Napsauta nappia "OK" lopettaaksesi avaimen allekirjoittamisen. Tämä lopettaa julkisen avaimen hyväksymisen. Voit nyt lähettää salattuja viestejä tälle henkilölle.

Julkisen avaimen palvelinten käyttäminen

Toinen menetelmä julkisten avainten jakeluun on niiden laittaminen julkisten avainten palvelimelle. Tämän avulla kuka tahansa, jolla on sähköpostiosoitteesi, voi hakea julkisen avaimesi.

Seuraavien askelten avulla voit laittaa oman avaimesi avainpalvelimelle.

1. Mene avainten hallintaohjelmaan käyttämällä Thunderbirdin valikkoa ja napsauttamalla OpenPGP > Key Management

2. Avainhallintaikkuna tulee näkyviin ja näyttää tälle:

3. Sinun täytyy valita "Display All Keys by Default", jotta näet listan avaimistasi. Katso listassa omaa osoitettasi ja napsauta oikealla hiiren napilla osoitteen kohdalta. Valintaikkuna ilmestyy. Siinä on joitain vaihtoehtoja. Valitse kohta "Upload Public Keys to Keyserver".

4. Näet pienen alla olevan kaltaisen ikkunan. Oletusarvoinen avainten jakeluun tarkoitettu palvelin sopii hyvin. Paina "OK" ja jakele avaimesi maailmalle.

Katsoaksesi onko jollain sähköpostiosoitteella julkinen avain palvelimella, voit tehdä seuraavat asiat.

1. Mene avainten hallintaohjelmaan Thunderbirdin valikon avulla ja napsauta OpenPGP > Key Management

2. Valitse avainhallinnan valikkopalkissa Keyserver > Search for Keys

3. Tässä esimerkissä etsimme avaimen, joka kuuluu PGP-ohjelman luoneelle Philip Zimmermanille. Kun olemme kirjoittaneet hakukenttään sähköpostiosoitteen, napsautamme "OK". 

4. Seuraava ikkuna näyttää hakumme tulokset. Olemme löytäneet julkisen avaimen. Se on automaattisesti valittuna. Napsauta vain "OK" tuodaksesi avaimen.

5. Avaimen tuominen kestää jonkin aikaa. Sen tullessa valmiiksi näet ponnahdusikkunan, kuten alla. 

6. Lopullinen askel on allekirjoittaa tämä avain paikallisesti, näin osoitamme luottavamme siihen. Kun palaat avainhallintaan, varmista, että olet valinnut valinnan "Display All Keys by Default". Tämän jälkeen sinun pitäisi nähdä tuotu avain listassa. Napsauta oikealla hiiren napilla osoitetta ja valitse avain listasta.

7. Valitse kohta "I will not answer" ja "Local signature (cannot be exported)", jonka jälkeen voit napsauttaa "OK". Olet nyt valmis ja voit lähettää Philip Zimmermanille salattuja viestejä. 

Sähköpostien allekirjoittaminen vastaanottajaa varten 

Sähköpostien allekirjoittaminen digitaalisesti todistaa kaikille vastaanottajille, että olet viestin todellinen lähettäjä. Ne vastaanottajat, joilla on julkinen avaimesi, voivat varmistaa, että viestisi on aito. 

1. Tarjoa ystävillesi julkista avaintasi käyttäen aiemmin tässä luvussa kuvailtua menetelmää. 

2. Paina Thunderbirdissä kuvaketta .

3. Ennen kuin itse asiassa lähetät sähköpostin, valitse sähköpostieditorin valikkopalkista OpenPGP > Sign Message, jos se ei ole jo valmiiksi päällä. Kun olet laittanut tämän valinnan päälle napsauttamalla sitä, valintamerkki  ilmestyy. Napsauttaminen uudelleen ottaa taas salauksen pois päältä. Katso esimerkkiä alla. 

5. Napsauta nappia  ja alekirjoitettu viestisi lähetetään.

Salattujen viestien lähettäminen vastaanottajalle

1. Sinun olisi pitänyt vastaanottaa julkinen avain kollegalta tai ystävältä, jolle tahdot lähettää sähköposteja, sekä hyväksyä heidän julkinen avaimensa, käyttäen aiemmin tässä luvussa kuvailtua menetelmää. 

2. Napsauta Thunderbirdissä  kuvaketta.

3. Kirjoita sähköposti ystävälle tai kollegalle, jolta olet saanut aiemmin julkisen avaimen. Muista että viestin otsikkoriviä ei salata, vain viestin sisältö ja kaikki liitetiedostot. 

4. Ennen kuin lähetät viestin, voit laittaa päälle valinnan OpenPGP > Encrypt Message viestin kirjoitusikkunan valikkopalkista, jos se ei ole jo päällä. Kun olet laittanut tämän valinnan päälle, sen viereen ilmestyy merkki . Uudelleen napsauttamisen pitäisi ottaa salaus taas pois päältä. Katso kuvaa alla.

5.

Napsauta nappia  ja salattu viestisi lähetetään.

Automaattinen salaus tietyille vastaanottajille 

Tahdot ehkä usein varmistaa, että kaikki viestit tietylle vastaanottajalle salataan ja allekirjoitetaan. Tämä on hyvä käytäntö, sillä on helppoa unohtaa salauksen laittaminen päälle. Voit tehdä tämän muokkaamalla vastaanottajakohtaisia asetuksia. Tehdäksemme tämän voimme avata OpenPGP:n vastaanottajakohtaisten asetusten editorin. 

Valitse OpenPGP > Preferences Thunderbirdgin valikkopalkista.

Alla olevan kaltainen asetusikkuna ilmestyy. Meidän täytyy napsauttaa kohtaa "Display Expert Settings". 

Uusi valikkopalkki ilmestyy ikkunaan. Mene välilehteen "Key Selection" ja napsauta nappia, jossa lukee "Edit Rules..." 

Näemme nyt vastaanottajakohtaisten asetusten editorin (katso alla). Tällä editorilla voidaan määritellä miten tietyille vastaanottajille menevät vitstit lähetetään. Voimme nyt lisätä säännön, jonka mukaan tahdomme salata ja allekirjoittaa kaikki sähköpostit osoitteeseen maildemo@greenhost.nl

Napsauta ensin "Add"-nappia.

Nyt ikkuna, jossa voi tehdä uuden säännön, ilmestyy näkyviin.

Ensimmäiseksi meidän pitäisi kirjoittaa vastaanottajan sähköpostiosoite. Alla olevaan esimerkkiin olemme kirjoittaneet maildemo@greenhost.nl

Nyt pitäisi asettaa oletusarvoiset salausasetukset käyttäen alla olevia pudotusikkunoita. Ensin valitaan "Always" allekirjoitusta varten. Valitaan "Always" myös salausta varten. 

Lopulta voimme valita vastaanottajan julkisen avaimen, jolla viestit salataan. Älä unohda tätä tärkeää askelta, muuten sähköpostia ei salata. Napsauta nappia "Select Key(s)...". Avainvalintaikkuna ilmestyy. Ilmeisin avain valitaan oletusarvoisesti. Esimerkki-ikkunassa on tarjolla vain yksi julkinen avain. Voimme valita vaimia napsauttamalla pientä laatikkoa osoitteen vieressä. Tämän jälkeen napsautamme "OK" ja sulkea tähän käytetyt ikkunat. Asetukset on tehty. 

Saapuvien sähköpostien vahvistaminen

Saapuvien sähköpostien salauksen avaaminen on täysin automaattista ja läpinäkyvää. Mutta on selvästi tärkeää tarkastella onko viestiä itse asiassa allekirjoitettu tai salattu. Tämän voi tarkastaa katsomalla erikoispalkkia viestin sisällön yläpuolella. 

Toimivan allekirjoituksen voi tunnistaa viestin yläpuolella olevasta vihreästä palkista, kuten alla olevassa esimerkissä. 

Viimeinen esimerkkiviesti oli allekirjoitettu, mutta sitä ei oltu salattu. Jos viesti olisi ollut salattu, näkyisi tällainen palkki: 

Kun salattu viesti on jätetty allekirjoittamatta, se voi olla jonkun tekemä väärennös. Tilapalkki on harmaa, kuten alla olevassa kuvassa, ja se kertoo, että vaikka viesti lähetettiin turvallisesti salattuna, vietin lähettäjä voi olla joku muu kuin henkilö, jonka tiedot ovat "From"-otsakkeessa. Allekirjoitus on välttämätön, jotta viestin todellinen lähettäjä voidaan vahvistaa. Luonnollisesti on täysin mahdollista, että julkinen avaimesi on julkaistu verkossa ja annat ihmisten lähettää sinulle anonyymejä sähköposteja. Kuitenkin on myös mahdollista, että joku yrittää esiintyä ystävänäsi. 

Jos saat joltain tutulta allerkirjoitetun viestin ja sinulla on tämän henkilön julkinen avain, tilapalkista tulee keltainen ja sen näyttää varoitusviestin, mikä voi merkitä, että joku yrittää lähettää väärennettyjä viestejä! 

Joskus salaiset avaimet varastetaan tai ne hukkuvat. Avaimen omistajan pitäisi kertoa kavereilleen ja lähettää heille peruutussertifikaatti (tämä selitetään tarkemmin alla). Peruuttaminen merkitsee, että vanhaan avaimeen ei enää luoteta. Varas voi myöhemmin kokeilla silti lähettää väärin allekirjoitetun sähköpostin. Tilapalkki näyttää nyt tältä:

Kumma kyllä, mutta Thunderbird näyttää tässä tilanteessa silti vihreän tilapalkin! On tärkeää katsoa tilapalkin sisältöä, jotta on mahdollista ymmärtää viestin salauksen tila. PGP mahdollistaa vahvan turvallisuuden ja yksityisyyden, mutta vain jos olet varma sen käytöstä ja käsitteistä. Pidä silmällä tilapalkin varoitusviestejä. 

PGP-avainparin peruuttaminen

Joku on varastanut salaisen avaimesi. Kovalevysi kaatui ja menetit kaikki tietosi. Jos avaimesi on kadonnut, ei viestejä enää voi purkaa. Jos avain on varastettu, joku muu voi avata viestisi. Silloin täytyy tehdä uusi avainpari. Avainten luominen OpenPGP:llä Thunderbirdiin on selostettu tässä oppaassa. Ensin täytyy kuitenkin kertoa kaikille, että vanha avain on hyödytön tai jopa vaarallinen. 

Miten salaisen avaimen kadottua tai tunnussanan unohduttua on tehtävä?

Avainparia luotaessa OpenPGP-velho tarjoaa mahdollisuuden luoda peruutussertifikaatti. Tämä on erikoistiedosto, joka lähetetään muille siinä tapauksessa, että avain täytyy peruuttaa. Jos tästä tiedostosta on kopio, palautustiedoston lähettäminen voidaan yksinkertaisesti hoitaaa lähettämällä tiedosto liitteenä ystäville. Salattuja tiedostoja ei enää voi lähettää (koska salainen avain on hukassa). Mutta tällä ei ole merkitystä. Lähetä se normaalina sähköpostina. Peruutustiedoston voi tehdä vain avaimen haltija ja se on todiste siitä, että avaimen oikea haltija tahtoo peruuttaa sen. Tämän vuoksi se pitäisi yleensä pitää jemmassa. 

Jos sinulla ei ole peruutussertifikaattia, ei ole muuta vaihtoehtoa kuin ottaa henkilökohtaisesti yhteyttä kavereihin, ja vakuuttaa heille, että avaimesi on hukassa ja heidän ei enää pitäisi luottaa siihen. 

Mitä tehdä, kun salainen avain on varastettu 

Jos salainen avain on joutunut vääriin käsiin, tai pahemmassa tapauksessa salainen avain ja tunnussana, on tärkeää kertoa muille, että salattujen viestien lähettäminen täytyy lopettaa. Salaisella avaimellasin muut voivat purkaa sähköpostiesi salauksen, jos heillä on myös tunnussana. Tämä on totta myös menneisyydessä lähetettyjen viestien tapauksessa. Salasanan muraminen ei ole triviaalia, mutta se voi olla mahdollista, jos murtoa yrittävät hyvin resurssoidut tahot, kuten valtio tai iso organisaatio, tai jos tunnussana on heikko. Tässä tapauksessa kannattaa varautua pahimpaan ja olettaa, että salasana on murrettu. Lähetä peruutussertifikaatti kaikille ystävillesi tai ota heihin yhteyttä henkilökohtaisesti ja kerro heille tilanteesta. 

Jopa vanhan avainparin kumoamisen jälkeen voidaan varastettua avainta käyttää vanhojen viestien avaamiseen. Tämän vuoksi voi olla hyvä salata vanhat viestit uudestaan uudella avaimella. Tätä jälkimmäistä operaatiota ei käsitellä tässä oppaassa. Luku henkilökohtaisten tietojen suojaamisesta voi olla avuksi. Jos olet epävarma, voit hakea lisätietoa asiantuntijoilta tai verkosta.

Peruutussertifikaatin vastaanottaminen

Jos joku ystäväsi lähettää sinulle peruutusserfitikaatin, hän pyytää sinua olemaan enää luottamatta julkiseen avaimeensa. Nämä pyynnöt pitäisi aina hyväksyä ja "tuoda" sertifikaatti avaimen peruuttamiseksi. Tämä peruutusseertifikaatin vastaanottoprosessi on täsmälleen sama kuin julkisen avaimen vastaanottoprosessi, kuten on jo kuvailtu tässä luvussa. Thunderbird kysyy sinulta jos tahdot tuoda OpenPGP-avaintiedoston. Kun olet tehnyt niin, vahvistusikkuna ilmestyy kuten alla.

Valmistautuminen pahimpaan: avainten varmuuskopiot

Avaimesi varastoidaan yleensä kovalevylle tavallisina tiedostoina. Ne voivat kadota, jos tietokoneesi vahingoittuu. Tämän vuoksi on yleensä hyvä pitää varmuuskopioita avaimista turvallisessa paikassa, kuten kassakaapissa. Salaisen avaimen varmuuskopioinnilla on muitakin turvallisuusetuja. Jos pelkäät että läppäri tai pöytäkone on vaarassa joutua takavarikoiduksi, voit turvallisesti tuhota avainparisi. Sähköpostisi on heti lukukelvotonta. Myöhemmin voit hakea avaimesi kassakaapista ja tuoda ne uudelleen Thunderbirdiin.

Tehdäksesi varmuuskopion avainparistasi, voit ensin mennä avainten hallintaohjelmaan käyttäen Thunderbirdin valikkoa ja napsauttamalla OpenPGP > Key Management.

Sinun täytyy valita "Display All Keys by Default" saadaksesi listan kaikista avaimistasi. Etsi sähköpostisi tästä listasta ja napsauta oikealla hiiren napilla. Valintaikkuna ilmestyy joillain vaihtoehdoilla. Valitse vaihtoehto "Export Keys to File".

Nyt voimme tallentaa avainparin tiedostoon. Thunderbird kysyy tahdommeko laittaa mukaan myös salaisen avaimen. Jos tahdomme laittaa myös salaisen avaimen, voimme valita "Export Secret Keys".

Lopulta Thunderbird kysyy avaintiedoston sijaintia. Voit tallentaa avaintiedoston minne tahdot: verkkolevylle tai USB-tikulle. Muista vain piilottaa se muilta ihmisiltä.

There has been error in communication with Booktype server. Not sure right now where is the problem.

You should refresh this page.