Kako svaki dan čitamo o tome kako pojedine agencije narušavaju privatnost Internet korisnika, vrijeme je da nešto učinimo po tome pitanju. Prvi korak je kriptiranje email poruka i komunikacije sa prijateljima. Naravno da ta zaštita nije 100% sigurna, no jako će otežati situaciju onima koji žele vidjeti te poruke. Kako to napraviti i koje programe koristiti, čitajte u nastavku teksta
U zadnje vrijeme, ako otvorite bilo koju web stranicu koja se bavi IT-om, moći ćete naći veliki broj članaka koji se tiču sigurnosti, nadgledanja email poruka i općenito Internet komunikacije. I u prošlom broju ovog časopisa smo pisali o NSA, Prismu, Edwardu Snowdenu i sličnim problemima koji muče korisnike Interneta. Sigurno se sada pitate kako se zaštititi? Kako učiniti email poruke zaštićenima i da li se uopće može nešto učiniti po tom pitanju? Odgovore na ova pitanja ćemo vam dati u nastavku teksta te vam pokazati postupak kako da kriptirate svoje poruke. Naravno da neke segmente Internet komunikacije nije moguće prikriti, no uz malo “hakiranja”, malo opreza i dodatnih programa možete povećati privatnost, a u krajnjem slučaju ćete ljudima koji nadgledaju poruke dati posla dok probiju zaštitu. Ako ju uopće uspiju probiti. Da li postoji alternativa? Naravno. Možete ne koristiti Internet, no realno nećete uspjeti. Ako ništa, zbog posla ili škole/fakulteta ćete se morati spojiti i biti online. Stoga, bacimo se na posao i pogledajmo što možemo učiniti.
Piše: Boris Plavljanić
Može li email biti 100% siguran?
Kada govorimo o email porukama i kriptiranju govorimo o mnogo faktora. Cijeli postupak kriptiranja nije jednostavan i ne može se gledati isto kao i kriptiranje podataka na tvrdom disku. Prije nego se pozabavimo time, treba obratiti pozornost na dvije kompanije – Lavabit i Silent Circle. Za one koji ne znaju, ove kompanije su pružale usluge email hostinga, odnosno mogli ste koristiti njihovu uslugu za primanje i slanje enail poruka i ta je komunikacija navodno bila kriptirana i zaštićena, no zbog problema sa zakonom su nedavno najavili gašenje servisa. Jedan od razloga, osim američkih zakona, je bio i taj što su oni garantirali da će učiniti sve da svaki njihov korisnik bude zaštićen do kraja, a pošto to ne mogu učiniti, odlučili su ugasiti servise. Pošteno od njih i bolje da ugase servis nego da lažu korisnicima. U čemu je stvar? Osim što vlasnici tih servisa mogu završiti u zatvoru jer kriptiraju podatke. Stvar je u tome da ne možete kriptirati cijelu email poruku. Ono što možete kriptirati je tijelo email poruke – to je onaj dio u kojem vi nešto napišete i pošaljete. Meta podaci ostaju nezaštićeni. Pod meta podacima podrazumijevamo IP adresu, vrijeme kada je email poruka poslana, kome je poslana (!!), na koji email servis je poslana, koji je naslov poruke… znači sve ono što nije tijelo poruke je nezaštićeno iz razloga što ako kriptirate te dijelove email poruke ona nije kompatibilna sa protokolima koje email poruke koriste i dolazi do problema. Poruka nikada neće biti doći do primatelja poruke, odnosno onoga tko je trebao primiti poruku. Druga situacija bi bila kada bi svi email provideri imali istu zaštitu i kada bi sve bilo kompatibilno, no tada bismo živjeli u idealnom svijetu. A ne živimo u takvom. Istina, NSA prati s kime se dopisujete i ako ste im zanimljivi (odnosno ako posumnjaju da ste terorist – što je očito vrlo čest slučaj ovih dana), onda vam probijaju šifru ili će natjerati pojedinca da im da šifru kako bi dekriptirali tijela poruke. Odgovor na pitanje iz podnaslova je “ne” – kriptiranje email poruka nije 100% sigurno i ne možete se do kraja zaštititi.
Njemačke kompanije i Kim Dotcom
Kako to obično biva, postoji veliki broj ljudi koji će učiniti sve da se odupru američkom nadgledanju Interneta i svakim danom ih je sve više. Ponajviše u Europi i Aziji, ali i mnogi Amerikanci koji nisu zadovoljni načinom na koji ih se tretira (prema zadnjim neslužbenim anketama, oko 60% amerikanaca se protivi nadgledanju i osjećaju se ugroženo). Onda se pitate kakve veze imaju njemačke kompanije i Kim Dotcom. Ne surađuju međusobno, no imaju vrlo slične namjere. Krenimo ipak redom.
Njemačka kompanija Deutche Telekom i njihov partner United Internet su nedavno iznijeli plan za izradu email servisa koji će ipak biti zaštićen od raznih agencija i koji bi trebao zaštititi oko dvije trećine Njemaca. O čemu se radi? Svaka komunikacija koja ide preko Amerike je u opasnosti. Jednostavno morate računati na to da će vam netko presresti komunikaciju ili će mu biti omogućeno da automatski obrađuje podatke koji se tamo nalaze. No, što ako se sva infrastruktura nalazi u Europi i nitko ne može do nje? Onda se pravila igre mijenjaju. Plan spomenutih njemačkih kompanija je stoga napraviti servis koji će biti zaštićen pomoću SSL protokola. Na koji način bi to funkcioniralo? Dvije trećine Njemaca koristi njemačke email providere za slanje email poruka, pa bi se njihove poruke kriptirale i dok god komunicirate sa ljudima unutar njemačke i dok oni koriste njemačke servise, poruke su zaštićene. Zajedno sa meta podacima. Naravno, ako poruku šaljete na bilo koji drugi email servis, ona ne može biti zaštićena. Čak bi se i arhiva poruka kriptirala i serverske farme bi bile u Njemačkoj, a ne izvan nje. Ako se serveri nalaze izvan Njemačke, onda spadaju pod zakone one zemlje gdje se nalaze. Da li je ovako nešto izvedivo? Je, iako sa dosta ograničenja. Njemački hakeri su uvjereni da kompanije to neće biti u stanju napraviti i da će se potrošiti previše novaca, a učinak neće biti onakav kakav bi trebao biti. Druga stvar je da sve članice unutar Europske unije prihvate ovaj plan i da se napravi zajednički europski email servis unutar kojeg će sve biti zaštićeno. Nažalost, teško je za očekivati tako nešto jer Europa, htjela to ili ne, dosta ovisi o Americi i suradnji s njome. Barem što se IT sektora tiče.
Drugi zanimljiv pokušaj je onaj Kim Dotcoma koji je poznat po svojem servisu Mega (nekada i po servisu MegaUpload zbog kojeg je skoro završio u zatvoru). CEO kompanije, Vikram Kumar, i Kim rade na servisu MEGA email, koji bi trebao pružiti svojim korisnicima potpunu zaštitu. Naravno, ova usluga bi bila u oblacima i isto bi bila sigurna dok šaljete email poruke onim ljudima koji koriste ovu uslugu (komunikacija se odvija unutar jednog email servisa i nema nikakvih problema), dok je problem kako napraviti sigurnu point-to-point komunikaciju. Ali nije stvar samo u tome – problemi su praktične prirode. Recimo, koristite Gmail ili Yahoo! Email i imate hrpu funkcionalnosti, od kojih je jedna pretraživanje email poruka po nekoj riječi. Očekivali biste tako nešto i od MEGA-ine usluge, zar ne? No, evo problema. Lako je pretraživati email poruke dok se one nalaze u običnom tekstu, no kada su kriptirane i server vidi hrpu nekih “čudnih znakova” i podataka, onda je čak i pretraživanje problem. Prvo se s vašim ključem sve poruke moraju dekriptirati, pa onda pretražiti i dati vam rezultat. To uzima vrijeme (čak i da čekate 10-ak sekundi, mnogima bi to bilo previše), a k tome biste i serveru trošili puno resursa. Dodajte još tome na stotine tisuća potencijalnih korisnika. Nije nemoguće izvesti tako nešto, ali je jako skupo. Kumar je rekao da neće odustati od toga da naprave ovu uslugu do kraja, ali ju neće pustiti u rad dok god ne naprave onako kako su si oni to zamislili. Što znači da bismo na ovu uslugu mogli čekati još godinu ili dvije, a možda čak i duže. U svakom slučaju, voljeli bismo vidjeti ovu uslugu, ako ništa, onda barem da zada glavobolju Amerikancima i pokaže im da ima onih koji žele da Internet ostane anoniman i da nitko nema pravo narušavati privatnost ljudi.
Point-to-point enkripcija
Point-to-point enkripcija dozvoljava kompanijama (i pojedincima) da stvore sigurnosni tunel između dva uređaja kroz koji se odvija komunikacija. To se radi iz razloga da niti jedan uređaj izvana ne može pogledati što se nalazi u tom komunikacijskom tunelu i poruka koja prolazi je kriptirana, odnosno da ju netko i presretne, vidio bi samo hrpu čudnih znakova i poruka mu ne bi imala smisla. Evo jedan primjer. Uzmite neku kompaniju koja ima veliki broj poslovnica. Kako će one međusobno komunicirati? Putem javne mreže sigurno neće jer si međusobno šalju brojeve raznih transakcija, kartica i druge povjerljive podatke. One moraju imati nekakvu kriptiranu komunikaciju i P2P je definitivno najbolja enkripcija koju mogu napraviti. Ista stvar je i sa email porukama – mora se nekako stvoriti tunel kroz koji će poruka proći, a da ju nitko ne može dekriptirati i vidjeti sadržaj. Rekli smo maloprije da se meta podaci ne mogu kriptirati i to je nešto s čime moramo živjeti.
Glavna prednost korištenja P2P enkripcije je definitivno sigurnost, ali to ne bi trebalo samo tako gledati. Ima još nekoliko razloga zašto kriptirati poruke. Nedavno je Google izjavio da oni koji koriste njihovu email uslugu moraju biti svjesni da će svaka poruka biti pregledana (odnosno skenirana od strane računala), ali ako bi te poruke bile kriptirane, onda on to ne bi mogao. Čak i da skeniraju poruke, rezultati bi im bili netočni. Ako ste vi u email poruci spomenuli riječ “računalo”, Google bi možda vidio “#d&/S@{“. Nažalost, još uvijek postoje ograničenja koja to ne dopuštaju.
Spomenimo samo da nije problem kod email poruka, nego općenito u poslovanju gdje je kriptiranje prijeko potrebno. Da, kriptiranje podataka povećava sigurnost, no samim time su i potrebe za hardverskim resursima veće. Kao prvo, podatke treba kriptirati i za to računalo troši resurse i vrijeme. Da bi to išlo koliko toliko brzo, hardver mora biti prilično dobar i obje strane, koje sudjeluju u komunikaciji, moraju imati iste sigurnosne standarde i protokole da bi ta komunikacija uopće bila moguća. To nažalost nije slučaj pa će različiti sustavi dosta teško komunicirati na taj način.
PGP
Ipak, nije sve tako crno i možete nešto učiniti po tom pitanju. Možete, recimo, koristiti PGP radi povećanja zaštite. PGP je skraćenica za “Pretty Good Privacy” i to je računalni program za kriptiranje podataka i autentifikaciju. PGP se još koristi i za potpisivanje poruke, kriptiranje i dekriptiranje email poruke itd. Ovaj način kriptiranja podataka napravio je Phil Zimmermann još davne 1991. godine.
PGP enkripcija koristi serijsku kombinaciju hash algoritama, kompresiju podataka, kriptiranje simetričnim ključem i na kraju kriptiranje sa javnim ključem. Vjerojatno su vas ovi pojmovi zbunili, ali ne brinite. Objasniti ćemo vam. Kada želite poslati poruku, prvo se izgenerira nasumični ključ (koji je najčešće vezan uz neku šifru, ime, email poruku…) s kojim se prvo poruka kriptira. Zatim se uzima javni ključ pa se poruka opet kriptira, i na kraju dobijete kriptiranu poruku koja je kompresirana i zaštićena da ju praktički nitko ne može dekriptirati bez ključa. Ovaj mehanizam radi u pozadini i ne treba vas previše brinuti, a ako vas zanimaju detalji, potražite na Internetu. Imate jako puno dokumenata koji su prilično detaljni gdje ćete vidjeti svaki korak kriptiranja poruke i način na koji se to radi. No, važnije je pitanje kako PGP povezati sa email porukom, pa pogledajmo kako se to radi. Korak po korak.
Thunderbird i PGP
Kao prvo, trebali biste koristiti email klijent, a ne webmail klijent kojem pristupate preko web preglednika. Najbolje vam je skinuti Thunderbird koji je besplatan, lagan (svega par megabajta) i može ga koristiti svako. Jedan od najvažnijih faktora sigurnosti je način na koji se spajate na poslužitelja email poruka, odnosno način na koji ćete se logirati. Kad god je moguće treba koristiti SSL (Secure Socket Layer) i TLS (Transport Layer Security) protokole. Ti protokoli će zaštititi vašu email šifru od treće strane kojia bi mogla presresti korisničko ime i šifru od vašeg računala do email poslužitelja. Ovako neće moći.
1) Konfiguriranje klijenta (Thunderbird)
Rekli smo da je Thunderbird besplatan softver iza kojeg stoji kompanija Mozilla pa ga možete skinuti sa službenih stranica (www.mozilla.org/thunderbird). Kada ste ga skinuli i instalirati, vrijeme je da ga podesite. Ne brinite, on će veći dio posla učiniti za vas, odnosno mnoge radnje su dobro automatizirane.
Kada pokrenete Thunderbird prvi puta, pojaviti će vam se čarobnjak koji će vam pomoći da povežete Thunderbird sa vašim email računom, odnosno računima. Pritisnite samo tipku “Skip this and use my existing email” i to će vas odvesti do ekrana za unos email podataka. Ako koristite Gmail, Yahoo! Email ili Hotmail, Thunderbird će automatski povući sve podatke, a vi samo morate upisati svoje ime i prezime, email adresu i šifru. Ako koristite neki drugi servis, tada morate unijeti nekoliko parametara: email adresu, korisničko ime, šifru, ime servera i protokol za primanje i slanje emaila. Te informacije možete dobiti na stranicama servisa koje koristite. Također, provjerite da li Thunderbird koristi SSL/TLS protokole. To ćete učiniti tako da odaberete Tools – Account settings – Server settings, te opciju “Security settings”. Također, unutar ovog menija možete vidjeti sve ostale postavke te ih mijenjati ukoliko imate potrebe za time.
Jedna napomena – SSL/TLS protokol će zaštititi vaše podatke od email klijenta (u ovom slučaju Thunderbirda) do servera email poslužitelja, no ne može vas zaštititi na serveru ili na računalu. Točnije, ako netko ima pristup serveru, on može vidjeti vaše email poruke i podatke što ovisi o razini podataka kojima može pristupiti. Dok na računalu možete imati keylogger ili neki slični softver koji može pratiti svaku tipku koju stisnete, ali na to morate sami paziti i propisno se zaštititi dodatnim softverima.
2) Kako kriptirati poruke koristeći PGP?
Jedna od najboljih metoda enkripcije je ona kod koje se koristi asimetrična enkripcija. Kod te enkripcije su potrebna dva ključa – jedan za kriptiranje poruke i drugi za dekripciju. Ključ za kriptiranje (javni ključ) se može slati putem Interneta i nema straha od toga da ga netko presretne jer s njime ne može dekriptirati poruku (problem bi bio kod simetrične enkripcije gdje se jedan ključ koristi za kriptiranje i dekriptiranje). Tajni ključ, onaj za dekripciju, se ne smije dijeliti. Detalji nisu bitni, no sa ovim pojmovima ćete se susresti kada pokrenet PGP. Da biste mogli kriptirati poruke, trebaju vam 3 alata:
– Alat koji vam dozvoljava generiranje tajnog ključa i upravljanje javnim ključevima vaših kontakata: gpg4win
– email klijent: Thunderbird
– alat, odnosno plugin, koji dozvoljava kriptiranje i dekriptiranje poruka unutar klijenta: enigmail
Nakon što ste instalirali gpg4win i importali plugin u Thunderbird, vrijeme je da aktivirate plugin. Pokrenite Thunderbird, pritisnite “Tools – addons”, pronađite enigmail i instalirajte (aktivirajte) ga.
3) Generiranje PGP ključa
Da biste poslali prvu kriptiranu poruku, morate podesiti još nekoliko stvari. Prvo je generiranje javnog i tajnog ključa. Unutar Thunderbirda nađite OpenPGP opciju, te odaberite Setup Wizard.
Otvara se čarobnjak koji nije dugačak ali ga morate “proći” kako bi Thunderbird i PGP znali kako kriptirati poruke. Prvo ipak morate odabrati da li želite potpisati sve vaše email poruke. Odaberite opciju “Yes, I want to sign all of my email”.
Zatim će vas Thunderbird pitati da li želite sve email poruke kriptirati ili samo neke. Naša preporuka je da sami odabirete koje poruke želite kriptirati, a koje ne. Opcija: “No, I will create per-recipient rules for those that sent me their public key”. Nakon toga se otvara ekran sa jednim tehničkim pitanjem oko formatiranja email poruke na koji samo pristisnite “Yes”. Nije previše važan koran.
I sada slijedi upozorenje Thunderbirda da nemate PGP ključ i sada ga morate izgenerirati. Samo odaberite opciju “I want to create a new key pair for signing and encrypting my email”. Da ste ti ključevi slučajno ne bi zloupotrijebili na vašem računalu u slučaju da netko fizički ima pristup istome, možete upisati “passphrase”, odnosno šifru. Svakako to učinite i neka bude malo složenija od šifri tipa “qwerty1234”. Pritiskom na tipku “next” doći ćete do kraja čarobnjaka i sve će biti spremno za slanje kriptiranih poruka, iako će vas još na kraju pitati da li želite izgenerirati certifikat. On vam omogućuje da onesposobite ključ ukoliko ga izgubite/zaboravite, pa ga spremite negdje na svoj disk. Vrijeme je za slanje poruke.
4) Slanje kriptirane poruke
Unutar Thunderbirda, da biste napisali poruku, morate odabrati opciju “write”. To vam otvara prozor za pisanje poruke. Taj prozor je isti, imali vi PGP instaliran ili ne, ali pri dnu u desnom kutu ćete vidjeti dvije ikonice – olovku i ključić. One vam omogućuju da potpišete i kriptirate poruku. Prije nego ju krenete pisati, samo pritisnite na te ikonice da postanu žute što označava da su aktivirane. Nakon toga napišite poruku. Ako pritisnete na tipku “send” i želite poslati poruku, a niste primatelju poruke dodijelili javni ključ, PGP će vas upozoriti da to napravite. Dovoljan je samo jedan klik miša na tipku “Download mising key”. Nakon toga ste spremni za slanje poruke, a ukoliko ste dodali šifru na ključeve (spomenuti passphrase), morate ga upisati i to je to. Poruka je poslana, a vaša privatnost koliko toliko zaštićena.