Share
Bildkrediter: E-mail Självförsvar - Free Software Foundation.
Efter Snowden-uppenbarelserna i 2013 började jag leta efter att förbättra sekretessen för mina e-postkommunikationer. Ursprungligen utforskade jag att installera en egen privat e-postserver (Tuts +). I slutändan lärde jag mig att säkra din e-postserver är svår och det är kritiskt att just nu fokusera på kryptering per meddelande.
Detta är den första handledningen i en serie där jag fokuserar på att kryptera din e-post. I denna handledning presenterar jag de allmänna koncepten om kryptering och hur de kan användas för att säkra och verifiera våra e-postmeddelanden. I den andra handledningen guidar jag dig genom att installera krypteringsprogramvaran på din dator och komma igång med att skicka dina första meddelanden.
Vi kommer även att undersöka krypteringen av webbläsarbaserat e-post och stärka "webbsidan för förtroende", och sedan byter vi ämnen lite för att kryptera dina Internetaktiviteter med hjälp av en VPN. Slutligen, som en del av serien om hantering av dina digitala tillgångar efter din död, använder vi det vi har lärt oss för att skapa en säker cache av viktig information för dina efterkommande vid nödsituationer.
I denna serie ska jag upprepade gånger hänvisa till en stor resurs som upprättats av Electronic Frontier Foundation (EFF), The Surveillance Self-Defense Guide. Du kanske också vill läsa en av deras förklarare, En introduktion till Public Key Cryptography och PGP, som denna speciella handledning paralleller. Jag har försökt att göra denna handledning lite enklare att läsa.
Uppriktigt sagt är arkitekturen i vårt globala e-postsystem inte byggt för integritet eller autentisering. Faktum är att jag skulle argumentera för att det är fundamentalt bruten på sätt som vi behöver översyna för den moderna digitala kommunikationsåldern. Fram till dess är det bästa sättet att skydda vår integritet och autentisera vår kommunikation Pretty Good Privacy, även känd som PGP.
Aktivist och tekniker Expert Phil Zimmerman uppfann PGP 1991. Amerikanska regeringen förföljde honom för sitt arbete, och det är värt att läsa om sitt arbete och historien.
I denna handledning kommer jag att förklara grunderna i PGP och hur du kan använda den för att säkerställa konfidentialiteten hos dina kommunikationer i ett övervakningssamhälle och också hur man autentiserar identiteten hos personer du kommunicerar med.
Tänk på att jag deltar i diskussionerna nedan. Om du har en fråga eller ett ämnesförslag, vänligen skriv en kommentar nedan. Du kan också följa mig på Twitter @ reifman eller maila mig direkt.
PGP är ett krypteringssystem som fungerar med ett par tangenter som fungerar symmetriskt. Ett par tangenter kallas en privat nyckel och en allmän nyckel. Människor måste hålla sin privata nyckel säker och säker hela tiden, inte delad med någon. De kan emellertid dela sin offentliga nyckel på välrenommerade offentliga nyckeltal och personligen.
Vanligtvis installerar PGP-användare någon form av kommersiell eller öppen källkrypteringsprogramvara som är kompatibel med OpenPGP-standarden. GnuPG är ett gemensamt genomförande av OpenPGP. Några av de bilder jag använder i handledningen är från Free Software Foundations GnuPG Email Self Defense infographic.
Du kan använda din PGP-programvara för att skicka krypterade meddelanden. Din programvara kommer att kryptera det utgående meddelandet med din mottagarens allmänna nyckel.
Meddelandet i sig kommer att studsa runt Internet som gibberish, indecipherable till någon utan mottagarens privata nyckel.
Varje övervakningsmyndighet som avlyssnar meddelandet kommer inte att kunna dechiffrera innehållet.
När din mottagare får meddelandet gibberish, kommer de att använda sin PGP-programvara med sin privata nyckel och din allmänna nyckel för att dekryptera meddelandet.
Om du tillåter att din privata nyckel faller i fela händer, så kommer andra att kunna imitera dig genom att skicka krypterade meddelanden på dina vägnar. De kommer också att kunna läsa konfidentiella meddelanden som skickas till dig med kryptering.
Din privata nyckel kan bli stulen utan att du förstår det. Till exempel, om skadlig programvara placeras på din dator, kan brottslingar eller regeringens spioner få det olagligt. Du skulle aldrig veta.
Det är mycket viktigt att skydda din privata nyckel med ett otroligt starkt lösenord. När Edward Snowden skriver in sitt lösenord under en filt i Citizenfour skyddar han sitt privat nyckellösenord från eventuell videoövervakning.
Om din privata nyckel, kanske lagrad på en bärbar dator eller en mini-enhet, blir stulen, kommer ditt lösenord att sakta gärningsmän från att komma åt det. Men i slutändan kommer de att kunna komma åt den.
Om du någonsin upptäcker att din privata nyckeln har äventyras kan du meddela andra att bevara nätet av förtroende, som vi kommer att diskutera vidare nedan.
PGP kommer inte att kryptera ämnesraden eller Till: adressrad i krypterade meddelanden, ibland kallade meddelandekuvertet. Därför kommer PGP inte att dölja vem du vet om du inte har möjlighet att utbyta anonyma offentliga nycklar med personer som använder anonyma e-postadresser som bara får tillgång till deras email med Tor för att dölja sin IP-adress.
Digitala signaturer kan verifiera att ett meddelande skickades av den person som innehar avsändarens privata nyckel och verifiera att meddelandet inte har manipulerats med.
Vanligtvis görs detta genom att generera en kryptografisk hash för det ursprungliga meddelandet och sedan kryptera hashen med avsändarens privata nyckel (omvänden av vad som görs för att kryptera meddelandekroppen). Detta kallas att signera meddelandet. Bilden nedan är från Wikipedia.
Även små ändringar i meddelandet förändrar radikalt hash.
När mottagaren tar emot meddelandet dekrypterar han hash med avsändarens allmänna nyckel och verifierar resultatet. Om hash är korrekt visar det sig att den person som innehar avsändarens privata nyckel skickade meddelandet. Om hash är felaktigt har meddelandet manipulerats - eller det skickades inte av den påstådda avsändaren.
Din förmåga att lita på PGP beror på pålitligheten hos den offentliga nyckeln du fått från avsändaren. Om jag till exempel mailade dig min offentliga nyckel - och NSA avlyssnade meddelandet och ersatte det med sin offentliga nyckel - kunde de börja skicka krypterade meddelanden till dig som du skulle tro är från mig. Eller om du har bytt ut krypterade meddelanden med din vän och deras privata nyckeln har äventyras kan andra läsa dina privata meddelanden.
Det kan vara väldigt viktigt om du är en spion eller en aktivist.
Tangenternas trovärdighet är känt som Trust of Web.
Om du läser om PGP ser du nämnda mytologiska "nyckelpartier" (förmodligen organiserad av Jake Applebaum). Du kommer sannolikt aldrig att bli inbjuden till en. (Jag har faktiskt träffat Jake ett par gånger men jag är inte cool nog för att bli inbjuden till hans nyckelpartier.)
De flesta av oss små människor använder nyckelservrar för att utbyta våra nycklar. Användare som vi litar på kan digitalt signera de offentliga nycklarna till andra personer vi vill meddela, och det här tillåter oss att ha viss säkerhet om giltigheten hos specifika offentliga nycklar.
I slutändan är det enda sättet att vara säker på att du har någons faktiska offentliga nyckel att utbyta den med dem personligen.
Det finns dock några intressanta nya tjänster som försöker förbättra webben av förtroende, vilket jag kommer att granska i kommande episoder.
Jag hoppas att du känner dig inspirerad för att säkra ditt mail. När du kommer fram i nästa handledning guidar jag dig genom att installera krypteringsprogram på din dator, skapa ditt första nyckelpar och komma igång med att skicka dina första säkra meddelanden.
Var snäll och posta dina frågor och kommentarer nedan. Du kan också nå mig på Twitter @ reifman eller maila mig direkt. Du hittar mina andra handledning genom att bläddra på min Tuts + instruktörssida.
Accentsconagua