Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Informace
Šifrování
19. června 2006, 00.00 | Dnes si o šifrování řekneme trochu víc; začneme praktickou ukázkou, jak v Mac OS X šifrovat, a teprve později si řekneme pro ty, koho to zajímá, něco málo víc o šifrách symetrických, nesymetrických, "s veřejným klíčem" a tak všelijak podobně.
Přednedávnem jsme si řekli, že je třeba mít na paměti, že pokud má někdo fysický přístup k našemu počítači, zabezpečení heslem je v zásadě... na nic: počítač lze restartovat do single-user režimu, v němž je v zásadě přístupné cokoli. V extrémním případě lze počítač otevřít, pevný disk vyndat, a jeho obsah přečíst jinde...
Proti tomu, kdo má (nebo může získat) fysický přístup k počítači, tedy existuje jediná ochrana – táž jako proti případnému zlovolnému administrátorovi: šifrování.
Dnes si tedy o šifrování řekneme trochu víc; začneme praktickou ukázkou, jak v Mac OS X šifrovat, a teprve později si řekneme pro ty, koho to zajímá, něco málo více o šifrách symetrických, nesymetrických, "s veřejným klíčem", a tak všelijak podobně.
Šifrování pošty
Šifrování e-mailových zpráv je snad vůbec nejjednodušší; je v tom ovšem malý háček. Vlastně dva malé háčky.
Prvý spočívá v tom, že aplikace Mail podporuje pro šifrování (a také pro elektronický podpis) standard S/MIME; ačkoli jeho podpora je velmi rozšířená, přece jen není dosud těžké narazit na někoho, jehož e-mailový klient tento standard nepodporuje. Také jsem zjistil, že některá z versí Outlooku (pochybuji, že by existoval mizernější poštovní klient, žel je ta věc dosti rozšířena) nezvládá dobře kódování češtiny v UTF-8, je-li zpráva zároveň podepsána. Netroufám si raději spekulovat o tom, proč tomu tak je :)
Druhý háček pak je v tom, že abyste mohli zprávy šifrovat, potřebujete cosi, co se nazývá certifikát. Certifikát není (a samozřejmě ani nemůže) být standardní součástí Mac OS X; každý, kdo jej chce, si někde musí získat certifikát vlastní. Práce s certifikáty (a podrobné vysvětlení o co vůbec jde) je záležitost na samostatný článek, který jim samozřejmě v budoucnosti věnujeme; zatím ale certifikáty dočasně odložíme do šuplíku "magie" :)
Máme-li již certifikát, objeví se při sestavování každé zprávy v okně automaticky dvojice tlačítek (na následujícím obrázku vpravo dole) – stisknutím levého si vyžádáme šifrování, stisknutím pravého elektronický podpis:
Samozřejmě, jelikož jsme si dosud nevysvětlili principy šifrování s veřejným klíčem (tuto "teoretickou přednášku" si necháme na příště), není na první pohled zřejmé, že šifrovat můžeme zprávy pouze pro ty, o jejichž certifikátech náš systém ví. Seznámit se však s cizím certifikátem je prajednoduché: stačí přijmout od něj alespoň jednu podepsanou zprávu.
Máme-li tedy certifikát (znovu připomínám, že způsob, jak jej získat, si popíšeme později), můžeme libovolnou zprávu "podepsat", a měli bychom tak standardně činit co nejčastěji – proto, že kdokoli, kdo od nás dostal alespoň jednu podepsanou zprávu, nám může psát šifrovaně.
Mac OS X standardně nepodporuje standard PGP; pro aplikaci Mail však existuje doplněk GPGMail (k sehnání na stránkách Sente), jenž elegantně doplní i tuto možnost:
My systému PGP také věnujeme samostatný díl seriálu, neboť vedle šifrování poštovních zpráv nabízí i řadu dalších služeb a možností (a také nefunguje tak "automaticky" jako S/MIME, v PGP se musíme o to, abychom měli k dispozici "certifikáty" pro ty, jimž chceme posílat zašifrované zprávy, postarat sami).
Šifrování celé domovské složky
Chceme-li, můžeme si vyžádat automatické šifrování kompletní domovské složky. Tato služba se jmenuje "File Vault", a je k dispozici prostřednictvím systémových předvoleb:
Šifrování souborů a složek
Mac OS X je standardně vybaven schopností šifrovat soubory a složky s využitím velmi kvalitního algoritmu AES-128; poměrně málo lidí to ale ví, protože tato schopnost je před uživatelem pečlivě skryta do aplikace... Disk Utility. Bohužel není k dispozici ani prostřednictvím Services či kontextové nabídky, a to je skutečně velká ostuda...
Nejjednodušší způsob, kterak zašifrovat složku, je ji prostě myší vhodit na ikonu aplikace Disk Utility. Alternativně můžeme přímo v této aplikaci zvolit příkaz "New / Disk Image from Folder" z nabídky "File" a požadovanou složku vybrat prostřednictvím standardního panelu. Pak již je postup jednoduchý: vybereme typ cílového obrazu (téměř vždy je ideální "compressed") a vyžádáme si šifrování tlačítkem "Save":
Aplikace si pak sama vyžádá zadání hesla – zde máme samozřejmě k dispozici službu generátoru hesel a ověření jejich kvality, o níž jsme si zde již povídali, stačí stisknout malé tlačítko s ikonkou klíče vedle pole pro vložení hesla – a uloží zašifrovaná data na disk (buď na určené místo, nebo vedle složky, již jsme šifrovali).
Poněkud dvousečná možnost je "Remember password (add to Keychain)" – zde musíme zvážit, o jak citlivá data se jedná. Označíme-li ji, aplikace automaticky uloží zvolené heslo do Keychainu; tam je sice naprosto v bezpečí (sám Keychain je standardně šifrován algoritmem Triple DES, který je považován za prakticky nezlomitelný), jenže samozřejmě se pak k zašifrovaným datům dostane kdokoli, kdo uhádne (nebo jinak zjistí) heslo pro přístup k samotnému Keychainu.
Záleží tedy na konkrétním příkladu: za běžných okolností je zajisté vhodné heslo do Keychainu uložit, abychom si je nemuseli pamatovat. U citlivějších dat však může být vhodné heslo přesunout do samostatného Keychainu "pro důležitá data", chráněného jiným heslem (i práci s Keychainem a jeho možnostem v budoucnosti věnujeme samostatný článek).
Někdy se nám může hodit takový zašifrovaný archiv, jehož obsah můžeme průběžně měnit: i to Mac OS X podporuje. Tento archiv se nazývá "sparse image"; můžeme jej vytvořit libovolně velký, a systém jej automaticky zvětší podle toho, kolik do něj uložíme souborů. Přesně tak je ostatně řešen i standardní systémový "File Vault".
Jen poznámka nakonec – ačkoli mně osobně se to nikdy nestalo, internetové zdroje hovoří o tom, že "sparse image" je hodně citlivý na pád systému (tj. že se může stát, že po např. vypnutí elektriky bude takovýto archiv zcela nečitelný). Používáte-li proto tyto disky (nebo File Vault), je časté zálohování velmi důležité... ale to ostatně platí vždy :)
Obsah seriálu (více o seriálu):
- Je to bezpečné?
- Základy zabezpečení Mac OS X
- Identifikace a autorizace
- Jak je to s administrátory
- Šifrování
- Co jsou to ty šifry?
- Černý vzadu, podpisy, a vůbec...
- Certifikáty
- Kde vzít certifikát?
- Certifikát Thawte
- Keychain
- Keychain Access
- Kolik keychainů máš, tolikrát jsi paranoikem
- Lepší konfigurace keychainů
- Jeden na neděli, jeden na všední den...
- WEP or weep
- AirPort a nastavení bezdrátové sítě
- WEP and weep...
- Externí router
- Slušný člověk nešifruje!
- Je ve vězení bezpečno
Tématické zařazení:
» Rubriky » Tipy a Triky