1. HUNCERT
  2. PGP Windows rendszeren

PGP Windows rendszeren

A Windows rendszerekhez 2002 végén jelent meg a 8.0-ás verzió, de az itt szereplõ leírás célja, hogy a működés logikáját ismertesse meg, így egy verzióváltás esetén se legyen gondja annak, aki ez alapján ismerkedik meg a legendássá vált PGP szolgáltatásaival. Ennek szellemében nem ismertetjük az egyes levelezők alá beépülő működést, hanem az általánosan alkalmazható megoldást ajánljuk a használt levelezőprogramtól függetlenül.

Mindenek előtt szerezzük be megbízható helyről a telepíthető csomagot. Megbízható helynek lehet nevezni a PGPi.org honlapot. A letöltött fájl egy tömörített fájl, melyben a futtatható telepítő és egy aláírás (.sig fájl) található. Ezzel tudjuk majd ellenőrizni, hogy ki írta alá az alkalmazást.

Telepítés

A kicsomagolt futtatható telepítőt elindítva elkezdődik a telepítés. Választhatjuk az ilyen telepítéseknél megszokott alapbeállításokat, de most kíséreljünk meg egy kicsivel több időt szánni a telepítésre és a beállításokra. Ha nincs előző verzió telepítve a gépen, akkor a beköszönő ablak fogad bennünket, és kér, hogy lépjünk ki minden egyéb alkalmazásból. Lehetőleg csak a telepítő fusson, hogy ne zavarja semmi az operációs rendszerbe való beilleszkedését.

Image

Ha kiléptünk minden más futó alkalmazásból, akkor lépjünk tovább a telepítővel. A következő ablak a arra vonatkozik, hogy elfogadjuk-e a licenc feltételeket. Tudjuk, hogy ezt kevesen szokták elolvasni, ezért a lényegi részt kiemelve azt fontos tudni, hogy a non-profit és a nem kormányzati célú felhasználásra ingyenes a program használata (részletesen: nem profit orientált tevékenységhez diákoknak, oktatási intézményeknek, karitatív intézményeknek és szervezeteknek, és nem üzleti célból otthoni felhasználóknak). Ha felbukkan a licenc kérdést firtató ablak, akkor válasszuk a 'Later' (később) opciót, és folytassuk a munkát.

Image

Elfogadás után továbblépve a 'readme' fájl tartalma jelenik meg, mely segítséget ad a termékkel kapcsolatban. Mivel ez később is elolvasható (ld. dokumentációk), ezért lépjünk tovább a telepítésben.

Érzékeli a telepítő, hogy új felhasználóról van szó, és az alkalmazásnak többletfeladatai lesznek egy régi felhasználóhoz képest. Amennyiben mégis régi felhasználók volnánk csak más gépen használtuk a PGP-t, akkor az ott kimentett kulcs-fájlokat az új helyen is alkalmazhatjuk. Most úgy lépjünk tovább, mintha még nem lenne kulcsunk, mintha teljesen új felhasználók lennénk. Később megnézzük, hogyan kell a kulcsokat kimenteni az alkalmazásból.

Image

A „No, I'm a New User” választás után továbblépve már beállíthatjuk magunknak mindazt, amire szükségünk van az alkalmazásból (ez a változat többféle szolgáltatással is rendelkezik, pl. mail kliensekbe való integrálódás). A telepítés helyének beállítása után következik az egyes komponenseket felsoroló ablak:

Image

Ezután egy összesítő ablakban megnézhetjük a beállításainkat, és még visszaléphetünk, ha valamit másképpen szeretnénk beállítani. Továbblépve elkezdődik a telepítés első fázisa.

Mivel az Outlook és Outlook Express biztonságot növelő beállításai külön fejezetet érdemelnek az informatikai biztonság területén, ezért ebben a példában tekintsünk el attól, hogy ezekbe integráltan telepítjük a PGP-t. A telepített alkalmazás közvetlen beintegrálás nélkül is el tudja látni más mail-kezelő kliensprogram használata során is a feladatát. Amennyiben a kiválasztott mail-kezelőt nem találja meg a szokott helyen a telepítő, úgy rákérdez, és megadhatjuk az elérési útvonalat.

Image

Ha a telepítés befejeződött, akkor a számítógépet újra kell indítani, hogy már a betöltéskor megtörténjen a rendszerbe integrálódás, és ezután lépünk a következő fokra, amikor a rendszer lényegét jelentő kulcsok elkészítésébe foghatunk.

Kulcsgenerálás

ImageA PGP a nyilvános kulcsú kriptográfián alapszik. A kriptográfia az egyik legszélesebb területe az informatikai biztonságnak, és egyben sok jelentős matematikai megoldást vagy éppen problémát old meg és vet fel a témakör. Matematikai alapjainak ismerete nélkül annyit fogadjon el a laikus felhasználó, hogy adott a nyilvános kulcs (public key) mely arra való, hogy másokkal közöljük és mások közöljék velünk a saját nyilvános kulcsukat. Ezzel a kulccsal tudjuk majd a címzettnek küldendő információt titkosítani, és ha valaki nekünk akar küldeni adatot, akkor azt a mi nyilvános kulcsunkkal fogja titkosítani. Az így titkosított adatot csak az tudja elolvasni, akinek birtokában van a privát kulcs (private key). A privát kulcsra nagyon kell vigyázni, azt nem szabad kiadni a kezünkből! A privát kulccsal tudjuk majd úgy aláírni az adatot, hogy a fogadó fél a nyilvános kulcs ismeretében le tudja ellenőrizni, hogy azt valóban ki írta alá. A privát kulcsot majd egy jelszó is védeni fogja, így ennek ismerete nélkül magunk sem tudjuk használni, ezért fontos ennek a jelszónak a megjegyzése. Manapság egyre gyakoribb intelligens kártyákon vagy USB token-en tárolni az ilyen kulcsokat, mert így könnyebb a hordozhatóságot megoldani, és mégis biztonságosabb környezetben vannak a kulcsok, mint egy sima floppy lemezen.

 

A feltelepített alkalmazás Help menüje is ad segítséget a kulcskezelés mélyebb megismeréséhez, de az érdeklődők számtalan magyar nyelvű internetes leírás közül is válogathatnak, ha a kriptográfia tudományába akarják mélyebben beleásni magukat. Egy-két magyar nyelven kiadott könyv vagy egyetemi jegyzet és konferencia előadás is elérhető a témában. Indítsuk el a kulcsgenerálást:

Image

A szakemberek az Expert gombra kattintva finomhangolhatják igényeiket és beállításaikat. A gyorsabb sikerélmény és a kezdők számára teljesen megfelelő beállítások a következőkben végezhetők el a szakemberek választását követve:

Image

A szükséges adatok:

  • név, szabadon választható, de célszerű a sajátot megadni
  • e-mail cím, azt adjuk meg, ami a kimenő levelekben látszik, mert a kulcs ehhez lesz rendelve!
  • kulcs típusaRSA, de lehet Diffie-Hellman/DSS is; sebesség és biztonságbeli eltéréseik a kriptológusokat foglalkoztató témák, míg az RSA Legacy a régebbi formátumú RSA-t jelenti, amit kompatibilitási célból alkalmaznak a jelenlegi új verzióban
  • mérete, 2048, bár 1024 is elegendő az otthoni felhasználónak, és annak is optimális választás, aki nagyon sokszor használja, és az időnyerés fontosabb követelmény a kiemelt biztonságnál
  • lejárati idő, ha kompromittálódik, akkor mindenképpen cserélni kell, házi felhasználásra egyszerűbb örök kulcsot készíteni, a hozzá kapott vagy vásárolt certificate, azaz tanúsítvány már úgyis egy évre szól általában.

A titkos kulcs védelmére megadhatjuk azt a jelszót, amit a kulcs használatakor bekér a rendszer. A kulcsnak legalább 8 karakter hosszúnak kell lennie, és tartalmaznia kell számot is, valamint egy kis erősségmutató is jelzi, hogy a begépelt jelszó milyen erősségű. A véletlen elgépelés ellen a 'Confirmation' ablakban újra be kell gépelnünk a jelszót. A jelszót ezután jól meg kell jegyezni, nem feljegyezni!

Image

Vigyázzunk, hogy a billentyűzet milyen kiosztású, tehát 'z' és 'y' nehogy fordítva legyen az általunk megszokottnál és magyar ékezetes vagy angol-e a kiosztás. Ha nagyon szükséges, akkor a 'Hyde Typing' jelölőt szedjük ki, és nézzük meg, hogy biztosan az a jelszó került beállításra, amit mi akartunk. Természetesen ezt a műveletet jobb egyedül végezni egy kameramentes szobában, és a jelszóválasztással kapcsolatos tanácsokat átfutni a beállítás előtt.

Image

A kulcsgenerálás folyamata elindult, a háttérben zajló eseményekről a kriptológusok könyveket és konferenciákat tudnak megtölteni, de mi örülünk, hogy a kulcsok előálltak. A kulcsok úgyn. kulcsfájlokban kerülnek tárolásra, a nyilvános kulcsok a pubring.pkr, míg a titkos kulcsok a secring.skr fájlban. Alapesetben Gipsz_Jakab azonosítójú felhasználó kulcsfájljai a következő útvonalon érhetők el: C:\Documents and Settings\Gipsz_Jakab\My Documents\PGP. A kulcsok helyét megváltoztathatjuk a PGP tálcán az 'Options/Files' ablakban.

A PGPKeys elindítása után a Server menü 'Send to' sorával a kulcs nyilvános részét elhelyezhetjük a programba drótozott szerverek egyikén, amelyekről lekérdezhetjük mások kulcsát, és a mienket is lekérdezhetik azok, akik velünk akarnak kommunikálni.

Image

A kulcsok előálltak, így használatukba és terjesztésükbe foghatunk.

Használat

A következő lépésben térjünk rá a már régóta felbukkant új kis lakatot jelképező ikonra a tálcán:Image Az ikon más színű Windows XP rendszeren: Image

Image Image

 

 

 

Rákattintva egy menü gördül fel, melynek egyes szolgáltatásai minden aktív ablakra (Current Window) alkalmazhatók a rendszeren, így majd a megírt e-mail ablakára is. A vágólapra (Clipboard) is helyezhető kódolandó vagy kódolt adat, és ott is elvégezhető a kódolás (Encrypt), az aláírás (Sign), netán mindkettő (Encrypt & Sign), vagy az ellenőrzés (Decrypt & Verify).

Image

Image

Itt érdemes eljátszadozni a rendszerrel úgy, hogy egy tetszőleges szöveget kódolunk, dekódolunk, aláírunk, belejavítunk a kódolt adatba (ld. fenti képeken Jakab fizetését), és megnézzük, mi történik az ellenőrzés/dekódolás után, stb. Ide értjük azt is, amikor saját magunknak küldünk levelet a megírt levélre alkalmazva a 'Current Window' menüpont elemeit. A kulcsokkal történő tesztelésben segítenek a programmal feltelepült minta kulcsok (C:\Program Files\PGP Corporation\PGP for Windows 2000\Sample Keys).

 

A programhoz letöltött aláírást is ellenőrizhetjük, ha két klikkel illetjük a fájlt, mert erre automatikusan a kulcsszerverrel veszi fel a kapcsolatot a program, és ha sikeres az ellenőrzés, akkor ezt kapjuk (beemelés, megbízhatóság, aláírás ld. később):

Image

Ha a tesztelgetésen túljutottunk, akkor próbáljuk ki élesben is az alkalmazást, de ehhez előbb meg kell szereznünk a címzettnek kigondolt személy nyilvános kulcsát. Természetesen küldhetünk neki úgy levelet, hogy nem kódoljuk, csak aláírjuk. Ebben az esetben a címzettnek van szüksége a mi nyilvános kulcsunkra, hogy ellenőrizni tudja az aláírást. Fontos, hogy ebben az esetben az üzenetet más is láthatja, lehallgathatja, de megváltoztatás esetén az aláírás ellenőrzésekor lebukik az illető. A bizalmasság a kódolás, míg a hitelesség az aláírás felelőssége.

 

Az alkalmazható műveleteket a tálcáról a PGPKeys menüponttal érhetjük el. A 'Keys/Import...' (CTRL+M) menüpont alatt akár egy floppy-ról is beolvashatunk kulcsokat. Keresés esetén a 'Server/Search...' menüpontot hívhatjuk elő (CTRL+F), és rákereshetünk az ismerősünkre. A keresés adott szerveren történik, és a szerverek listáját bővíthetjük, ha tudjuk a bekért információkat az adott szerverről (ld. PGP tálcáról az 'Options/Servers' lehetőségeknél). A példa kedvéért legyen ismerősünk a PGP atyja:

Image

Ha megtaláltuk a keresett személy kulcsát, és az még érvényes, akkor kiválasztjuk egy klikkel és egy jobb klikkre megjelenő menüben az Import sort választjuk ki. Ezután a kulcs beemelésre kerül az általunk ismert kulcsok közé, de nem lehetünk biztosak benne, hogy ez valóban azé, akinek mi hisszük. A megnyugtató biztonságot az jelenti, ha a kulcs paraméterét leegyeztetjük az illetővel pl. telefonon. Ha kaptunk már az illetőtől személyesen egy névjegykártyát, amin szerepelt a PGP fingerprint (kulcs egyedi lenyomata) adat, akkor próbáljuk meg arról azonosítani a beemelt kulcsot, a lényeg, hogy valamilyen személyes avagy nagyon megbízható csatornán keresztül kell a fingerprint-hez jutni. A 'Keys/Properties...' (CTRL+I) alól csalható elő a kulcs tulajdonságait felsoroló ablak:

Image

Ha a fingerprint egyezik, akkor a kulcs megbízható, így az 'Untrusted' állapotból a 'Trusted'-be billenthetjük, de ehhez előbb alá kell írni a kulcsot ('Keys/Sign...', CTRL+S, ahol kulcsunk jelszavára emlékezni kell), és akkor az 'Invalid – Valid' is bizalommal lesz teli. Most már semmi sem gátolhat meg bennünket első éles digitálisan aláírt levelünk megírásában (részlet a demonstrációs célból írt levélből, melyet nem kódoltunk, csak aláírtunk, és lehetőleg ne küldjük el Phil-nek):

Image

Egy adott levelet a fogadó oldalon állva le tudjuk ellenőrizni a tálcáról előhívott 'Current Window/Decrypt & Verify' menüvel. Fontos megjegyezni, hogy amennyiben a címzett részére előállítjuk a kódolt adatot, azt már csak ő tudja dekódolni, tehát az olyan adatot, amit magunk is használni akarunk még célszerű megőrizni eredeti kódolatlan formájában is, vagy az e-mail-t magunknak is elküldeni, és így a mi nyilvános kulcsunkkal is kódolni.

Kulcsterjesztés

Már csak annyi van hátra, hogy a kulcsot más formában is terjesszük, mint a bedrótozott szerverekre történő felrakás. A nyilvános kulcsot elküldhetjük e-mail-ben is, ha a PGPKeys elindítása után a Server menü 'Send to' sorában a 'Mail Recipient'-t választjuk.

Az egyik legnépszerűbb megoldás a saját honlapra kirakni (bízni kell, hogy nem tudják lecserélni a támadók), így egy böngészővel is befogható a nyilvános kulcs és ezt bárki beemelheti magának. Ezt a megoldást cégek és magánszemélyek egyaránt alkalmazzák (ld. CERT esetében). Amennyiben telefonon egyeztetjük vagy névjegykártyánkon szerepeltetjük a fingerprint-et, úgy le is ellenőrizhető a kulcs valódisága. Amennyiben a kulcsfájlokat hordozni szeretnénk, úgy a 'Keys/Export...' (CTRL+E) alatt kimenthetjük ezeket, de óvjuk az adatokat a kompromittálódás ellen.

Image

Kiemelten fontos az ilyen adatok védelme, ha kimentésnél a titkos kulcsot is belementettük a fájlba (Include Private Key(s)). Erre akkor lehet szükség, ha valamiért át akarjuk vinni vagy mozgatni a kulcsokat egy másik rendszerbe. Bár kényelmesebbnek tűnhet, mégse válasszuk azt az utat, hogy e-mail-ben küldjük át magunknak a másik helyre ezeket az adatokat.

Program és kulcsok leszedése

Gépünk hardveres változása esetén, vagy netán szervízbe vitel előtt nem árt teljes mentést végezni a rendszerről, de az érzékeny adatokat nem ajánlatos a merevlemezen hagyni. Ilyen esetekben lehet szükség az érzékeny adatok és az azokat kezelő program törlésére (uninstall). Előbb mentsük el a kulcsfájlokat (mindent a C:\Documents and Settings\Gipsz_Jakab\My Documents\PGP mappából, ahol Gipsz_Jakab helyett a saját azonosítónk értendő). Ezután az uninstall kétféleképpen is megtörténhet. Ha a program telepítőjét indítjuk, akkor az felismeri, hogy már létezik a program a rendszerben és feljaánlja a módosítást (Modify), javítást (Repair) és végül a törlést (Remove).

Image

Másik megoldás a Windows Start menüből végezni a leszedést: Start/Settings/Control Panel/Add/Remove Programs (magyar nyelvű verzióban: Start/Beállítások/Vezérlőpult/Programok Hozzáadása...).

Remove-hoz helyezve a fekete gombócot, majd a Next gombra kattintva lekerül gépünkről a PGP, de a gépet újra kell indítanunk, hogy ez teljes mértékben megtörténjen.

Összefoglalás

Az alapkövetelményeknek eleget tettünk, ami a PGP használatát illeti. Összefoglalásképpen soroljuk fel a lépéseket:

  1. Program letöltése, telepítése gép újraindítása.
  2. Kulcspár generálása, jelszó megadása, szerverre töltéssel publikálás.
  3. Kulcs keresése, beemelése, lenyomat megbízható ellenőrzése, kulcs aláírása, bizalmasság bebillentése.
  4. Levél küldése, fogadása aláírással, vagy kódolva, saját példány kezelése.
  5. Kulcs hordozhatósága, egyéb módú közzététele vagy kimentése.
  6. Szükség esetén kulcsok törlése/mozgatása, program leszedése

Specialitások haladóknak

Említést kell tennünk arról, hogy a nyelvünk speciális ékezeteit nem mindig kezeli barátságosan minden program, ezért a PGP esetében is előfordulhat, hogy pl. az 'ő' és 'ű' betűink sérülnek az aláírt szövegben. Ilyen esetre ajánlható, hogy a szöveget írjuk meg, és a fájlt írjuk alá (pl. Intézőben jobb klikk a fájl nevén, és a PGP menüben a Sign választása, és létrejön az aláírás után egy .sig fájl), majd csatolva küldjük el e-mail-ben a fájlt és a hozzá tartozó aláírás fájlt. Amennyiben nem az Intézővel akarunk dolgozni, úgy a PGP tálcáról a PGPmail előhívásával végezhetjük el a fájl-szintű műveleteket. Ikonok sorrendben: PGPkeys (kulcskezelés), Encrypt (kódolás), Sign (aláírás), Encrypt and Sign (kódolás és aláírás), Decrypt/Verify (dekódolás/ellenőrzés), Wipe (biztonságos törlés), Freespace Wipe (szabad terület biztonságosan töröltté tétele). Ez utóbbi két szolgáltatás ahhoz kapcsolódik, hogy a sima törlés általában a kukába mozgatja a törölt adatokat, ahonnan visszahozhatók, a végleges törlés (pl. SHIFT+Delete) is visszahozható segédprogramokkal felhasználói szinten is. Bizonyos esetekben még fizikailag sérült lemezekről is vissza tudnak hozni adatokat az erre szakosodott cégek. A biztonságos törlést egyes szabványok is előírják kiemelt biztonságú rendszerek esetében.

Aki ezek után kedvet kapott a középhaladó szintre lépéshez, az kalandozzon el a tálcáról a PGP 'Options...' menüpontjára, és nézze végig, hogy milyen beállításokkal tudja finomhangolni a program működését (pl. az egyes szolgáltatásokhoz milyen billentyűkombináció társítható, hogy ne az egérrel klikkeljünk). A licencet vásárlók olyan kiegészítéseket is használhatnak, mint az intelligens kártyás kiegészítő szolgáltatás, amikor a kulcsok tárolása és használata kártyával is történhet.

A feltelepített program dokumentációs alkönyvtárában (c:\Program Files\PGP Corporation\PGP for Windows 2000\Documentation) található két angol nyelvű PDF fájl is a kriptológia alapjainak és a PGP program felhasználóknak szóló részletes ismertetésével. Ez utóbbi a Windows XP-re telepített módot mutatja be, de nincs jelentősebb különbség a Win2k-hoz képest. Ezekből a leírásokból minden egyéb kérdésre és program sajátosságra fény derülhet, amire ebben a rövidebb ismertetőben nem tértünk ki.

A kezdőknek sikeres alkalmazást kívánunk, és reméljük, hogy a PGP-n keresztül a jogszabályok és a mély matematika közötti ösvényt meg tudtuk mutatni a digitális aláírást körülvevő dzsungelben. Ezek után a helyes használattal már mindenki nagyobb biztonságban tudhatja leveleit és egyéb információit.