You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2005-9

Iikka Salmela

Sähköpostin salaus

Johdanto

Sähköpostia verrataan julkisuudeltaan viestintävälineenä usein postikorttiin. Matkan varrella lähettäjältä vastaanottajalle on useimmiten monta pistettä, joissa ulkopuoliset (esimerkiksi palvelinten ylläpitäjät) voivat päästä käsiksi selväkielisiin sähköpostiviesteihin. Mm. tästä syystä monet yritykset ovat ottaneet sähköpostin salauksen käyttöönsä jo aikoja sitten. Yksityishenkilötkin käyttävät sähköpostin salausta jatkuvasti enemmän. Sähköpostin ohella muita yleisiä salauskohteita ovat tiedostot ja kiintolevyt, joiden salausmenetelmistä kertoo Jarno Rikama enemmän harjoitustyössään #2005-2.

Harjoitustyössä käsitellään kahta vakiintunutta menetelmää sähköpostin salaamiseen, PGP:tä ja S/MIME:ä, sekä kahta eri sähköpostiohjelmistoa, joissa niitä voidaan käyttää. Tärkein peruste tutkittujen ohjelmien ja tekniikoiden valintaan on niiden ilmaisuus. Kuka tahansa voi ottaa ne käyttöönsä ja käyttää niitä sähköpostinsa salaamiseen tässä mainitulla tavalla.

Erilaisia sähköpostin salaamiseen tarjolla olevia sovelluksia on suuri määrä. PGP ja S/MIME ovat kuitenkin vakiintuneet selkeästi yleisimmin käytetyiksi tekniikoiksi. Menetelmät eivät ole yleensä käytettävissä webmail-sovelluksissa, mutta poikkeuksiakin löytyy, esim. OpenPGP-yhteensopiva [HushMail | http://www.hushmail.com/]. PGP:stä on valittu työssä käytettäväksi vapaa GnuPG.

Pääpaino työssä on luonnollisesti PGP:tä ja S/MIME:ä käyttävissä ohjelmissa. Lisäksi esitetään tiiviisti PGP- ja S/MIME-tekniikoiden yleiset ominaisuudet, käsitellään lyhyesti avaimien hallintoa sekä S/MIME-sertifikaattien hankintaa. Lähtötilanteena oletetaan, että GnuPG on jo asennettu järjestelmään aiemmin. GnuPG on saatavilla binäärimuotoon paketoituna useimpiin yleisiin käyttöjärjestelmiin sekä lähdekoodina.

Testialustana on käytetty Microsoft Windows XP -käyttöjärjestelmää ja Ubuntu Breezy Badger -Linux-jakelua [UBU].

Salausmenetelmät

PGP

Pretty Good Privacy, PGP, perustuu julkisen avaimen periaatteelle. Kullakin käyttäjällä on julkinen avain, jota muut käyttäjät käyttävät ko. käyttäjälle osoittamiensa viestien salaamiseen. Käyttäjä saa purettua julkisella avaimellaan salatun viestin omalla yksityisellä avaimellaan. Purkuvaiheessa käytetään salasanaa, joka liitetään aina yksityiseen avaimeen avainparia luodessa. [PGP]

Käyttäjän on luotava itselleen PGP-avainpari, jotta hän voi alkaa käyttää PGP:tä viestien salaamiseen. Avainten luominen onnistuu esimerkiksi komentorivityökaluilla (gpg-ohjelmiston avulla) tai tähän voidaan käyttää jotain muuta työkalua. Enigmail sisältää graafisen käyttöliittymän avainten hallinnointiin (OpenPGP Key Management). Tämän avulla käyttäjä voi luoda itselleen uusia avainpareja

S/MIME

S/MIME (Secure MIME) on laajennos MIME-standardille (Multimedia Internet Mail Extensions). S/MIME-varmenteissa käytetään X.509-muotoa. Perustavaa laatua oleva ero PGP:hen on, että varmenne yleensä hankitaan ulkopuoliselta taholta (esim. joltain varmenteita myöntävältä yritykseltä, esim. Thawte, Verisign) toisin kuin PGP:ssä, jossa jokainen huolehtii itse omien avaimiensa generoimisesta. Luonnollisesti yrityksen sisäisessä käytössä voidaan käyttää itse luotuja varmenteita. [SM]

S/MIME-varmenteita tarjoaa yksityishenkilöille maksutta useampikin taho. Tässä työssä olen käyttänyt S/MIME-testissä salaussertifikaattina Thawten verkkosivuilta ladattavissa olevaa vaihtoehtoa. Lue lisää S/MIME-varmenteen hankinnasta. [THA]

PGP-avainten ja sertifikaattien hallinnoinnista

PGP-avainparia luotaessa voidaan määrittää voimassaoloaika, jonka avainpari on voimassa. Avaimet voidaan määrittää myös ikuisesti voimassa oleviksi. Käyttäjän kannattaa avainparia luodessa luoda ns. purkuvarmenne (revocation certificate), jonka avulla PGP-avainpari voidaan haluttaessa mitätöidä. Jos avainpariin liitetty salasana unohtuu, purkuvarmenteen luominen ei ole mahdollista. Siksi sellainen kannattaa luoda heti avainta luotaessa. Jos käyttäjä unohtaa avaimeensa liittyvän salasanan, avain on arvoton, eikä edes käyttäjä itse saa purettua itselleen osoitettuja viestejä.

S/MIME-varmenne myönnetään rajallisen mittaiselle ajanjaksolle, jonka jälkeen varmennetta ei enää voida käyttää.

Testatut ohjelmistot

Työssä on otettu lähempään tarkasteluun Mozilla Thunderbird -sähköpostiohjelmisto [MozTB] sekä siihen saatavilla oleva ilmainen laajennos, Enigmail [EM], joka helpottaa PGP-salauksen käyttöä ohjelmassa. Lisäksi tarkastellaan Mozilla Thunderbirdin S/MIME-ominaisuuksia. Toinen työssä testattu sähköpostiohjelma on Evolution Mail [EVO], jossa Mozilla Thunderbirdin tavoin voidaan käyttää PGP:tä ja S/MIME:ä.

Mozilla Thunderbird

Enigmail [EM] on ilmainen laajennos Mozilla Mail- tai Mozilla Thunderbird -ohjelmistoihin. Näiden ohjelmien käyttäjät voivat käyttää Enigmailia viestien sähköiseen allekirjoittamiseen ja salaamiseen PGP:n avulla. Työn Enigmail-osuudessa on käytetty Enigmailin versiota 0.93.0 sekä Mozilla Thunderbird -sähköpostiohjelman 1.0.7-versiota. (Uusimmat versioit: Enigmail 0.95.5 ja Thunderbird 2.0)

Enigmail-laajennos käyttää toiminnassaan apuna GnuPGP:tä. Laajennos integroituu osaksi Mozilla Thunderbird -ohjelmistoa ja luo yläpalkkiin oman OpenPGP-valikkonsa. GnuPG on asennettava ennen Enigmailin asennusta. Tämänhetkinen GnuPG:n versio Windowsille on ladattavissa osoitteesta ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.2.exe. [GPG] (nyt: ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.9.exe )

Enigmail-laajennokseen liittyy monipuolinen joukko asetuksia, jotka kannattaa käydä läpi ennen käyttöä. Julkisen ja yksityisen PGP-avaimen luomisen jälkeen on muutettava lisäksi sähköpostiohjelman asetukset sopiviksi.

Ohje PGP-salatun ja allekirjoitetun viestin lähettämiseen Mozilla Thunderbird -sähköpostiohjelmistolla.

Ennen kuin sähköpostin salaaminen S/MIME-varmenteiden avulla on mahdollista, käyttäjän on hankittava itselleen varmenne. Tämän jälkeen Mozilla Thunderbirdin asetukset oli konfiguroitava. Kun asetukset oli saatu kuntoon, testattiin S/MIME-salatun ja -allekirjoitetun viestin lähettämistä Mozilla Thunderbirdillä.

Evolution Mail

[Evolution Mail | http://www.gnome.org/projects/evolution/ ] on Gnome-työpöytäympäristöön integroituva sähköposti- ja ajanhallintaohjelmisto, joka on kehitetty lähinnä Microsoft Office Outlookin korvaajaksi. Tässä työssä käsittelen Ubuntu Breezy Badger-jakelun mukana tulevaa Evolution Mailin versiota 2.4.1.

Evolution Mail sisältää Mozilla Thunderbirdin tavoin tuen GnuPGP:lle, mutta se ei esimerkiksi tarjoa Enigmailin kaltaista käyttäjäystävällistä tapaa avaimien hallinnointiin. Mikäli käyttäjällä ei ole entuudestaan PGP-avainparia, sellainen voidaan luoda esim. komentoriviltä (gpg --gen-key). Tässä käytetään edellisessä kohdassa Enigmail-laajennoksen avulla luotua avainparia, mutta avainten hallinnointi voidaan luonnollisesti hoitaa komentorivin kautta tai jotain muuta apuohjelmaa käyttäen.

Evolution Mailin asetusten muokkaus PGP:lle varten oli suoritettava ensimmäiseksi. Sen jälkeen voitiin testata PGP-salatun ja allekirjoitetun viestin lähettämistä ja purkamista.

S/MIME-salausta käytettäessä, Evolution Mail -ohjelmiston asetukset oli muokattava aluksi. Tämän jälkeen voitiin lähettää S/MIME-salattu ja -allekirjoitettu viesti ohjelmiston avulla.

Lopuksi

PGP-salauksessa Enigmail + Mozilla Thunderbird -yhdistelmä tuntui testijakson perusteella helpommalta omaksua, koska Evolution Mail ei sisällä sisäänrakennettua mekanismia PGP-avainten hallinnointiin. Avainten luominen, tuominen etc. komentorivityökalujen avulla tuntuu vaivalloiselta, kun on tottunut Enigmailin tarjoamaan graafiseen käyttöliittymään. PGP toimii molemmissa ohjelmistoissa moitteettomasti, mutta jos käyttäjä haluaa muokata asetuksia syvällisemmin, Enigmail antaa siihen enemmän mahdollisuuksia kuin Evolution Mail, jossa käyttäjä joutuu esimerkiksi hoitamaan suurimman osan avainten hallinnointiin liittyvistä asioista sähköpostiohjelman ulkoisilla työkaluilla.

Kumpikin testatuista ohjelmistoista tukee S/MIME-salausta oletuksena ja konfigurointi on pääsääntöisesti hyvin yksinkertaista. Hankalimmalta osuudelta tuntuikin varsinaisen S/MIME-varmenteen hankinta.

Itselläni on ollut PGP-avaimet jo jonkin aikaa, mutta käyttö on ollut toistaiseksi varsin vähäistä etupäässä sen vuoksi, koska vastapuolella ei ole ollut PGP:tä käytössä. Enigmail on oiva työkalu PGP:n käyttöä aloittelevalle ja helpottaa varmasti salausjärjestelmän käyttöönottoa.

Lähteet

Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 01 Oct 2009 - 16:07:49 - IikkaS?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback