Jihomoravský kraj Krajský úřad Jihomoravského kraje Žerotínovo náměstí 3, 301 82 Brno MANUÁL Šifrovaná komunikace PGP MS Outlook Datum zpracování: 16. března 2018 Zpracoval: Bc. Tomáš Kovařík OKŘ, oddělení KOC Ing. Lukáš Plhoň OKŘ, oddělení KOC
Předpoklady Je nutné mít nainstalovaný OS Windows a nastaven MS Outlook pro příjem a odesílání emailových zpráv. Přístup k internetu a práva správce k pracovní stanici pro instalaci. Jak na instalaci PGP pro MS Outlook Pro možnost šifrování pomocí PGP v MS Outlook se instaluje balíček GPD4Win, který je ke stažení pod tímto odkazem. Instalační balíček obsahuje více aplikací, z kterých se pro základní funkčnost instalují následující: GnuPG šifrovací nástroj Kleopatra správce klíčů pro OpenPGP a X.509(S/MIME) GpgOL plugin pro MS Outlook 2003/2007/2010/2013 (pouze pro 32 bit verze) V případě využívání 64 bit verzi MS Outlook 2010/2013, je nutné naistalovat Outlook- Privacy-Plugin (OPP) po instalaci balíčku GPG4Win. Jedná se o Beta verzi, která může generovat chybové hlášení. Aktuální verze je ke stažení zde. Vytvoření vlastního PGP certifikátu Po instalaci PGP4Win otevřete aplikaci Kleopatra. Zde pro vytvoření vlastního PGP certifikátu (veřejný a soukromý klíč) zvolte postup: File -> New certificate. Následně zvolte Create a personal OpenPGP key pair a v následujícím okně vyplňte údaje. V dalším okně 1
vyberte Advanced Settings, kde zvýšíte hodnotu RSA na 4096 bits. Změnu potvrdíte OK a pokračujte stiskem Next. Po zkontrolování parametrů stiskněte Create key. Během generování klíče budete vyzváni k zadání a potvrzení hesla, sloužícího pro autentizaci vlastníka certifikátu. Jestliže jsou všechny údaje zadány správně, dojde k vytvoření klíčového páru v aplikaci Kleopatra. 2
Import PGP certifikátů Jestliže máte již vlastní pár klíčů je možnost je naimportovat do aplikace Kleopatra přes volbu File -> Import Certificates Pro import veřejného PGP klíče příjemce zvolte Import Certificates a vyberte stažené veřejné klíče ze stránek pro šifrovanou komunikaci zde. Po importu se seznam veřejných klíčů zobrazí v aplikaci Kleopatra. Kontrola PGP certifikátů Po importování všech veřejných klíčů je nutné provést kontrolu otisku klíče (fingerprint) přes možnost pravý klik a položka Certificate Details. V nabídce a záložce Overview 3
zkontrolujte, zda uvedený Fingerprint je stejný jako na stránkách pro šifrovanou komunikaci zde. V poli fingerprint by se měly nacházet tyto hodnoty pro: e-mail: stanek.ales@kr-jihomoravsky.cz C7DD 8AAF 1324 D51B 418C 21D4 6E2B 0846 7CF0 A979 e-mail: kovarik.tomas@kr-jihomoravsky.cz 392E 7199 9BBE E236 DD7C 91FF 6C2A EB89 8652 B4F7 e-mail: plhon.lukas@kr-jihomoravsky.cz 9D85 7958 BC9D 0C99 96EA F0F9 F51C 4787 FE95 46BD 4
Nastavení důvěryhodnosti certifikátů Po ověření otisku klíče je nutné nastavit důvěryhodnost u certifikátů. V programu Kleopatra pravým klikem na importovaný certifikát zvolte Change Owner Trust a z nabídky vyberte I believe checks are very accurate (full trust). Nastavení důvěryhodnosti je nutné provést u každého z na importovaných certifikátů. Nastavení kódování pro odesílání zprávy Po instalaci, vygenerování klíče a ověření vložených klíčů je třeba nastavit kódování e-mailu v aplikaci MS Outlook. V MS Outlook v záložce Soubor zvolte položku Možnosti a v této vyberte záložku Upřesnit. V záložce Upřesnit v oddílu Mezinárodní možnosti je třeba u položky Upřednostňované kódování pro odesílání zprávy zvolit hodnotu Unicode (UTF-8). 5
Manuál instalace PGP do Outlooku byl zpracován dle příručky a informací uvedených na stránkách Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Odkaz na zdroj: NÚKIB. PGP. Šifrování e-mailových zpráv pomocí PGP v aplikacích MS Outlook a Mozzilla Thunderbird pod OS Windows [online]. 2015-06-01 verze 1. 1. [cit. 2018-03-16]. Dokument ve formátu PDF. Dostupné z: https://www.govcert.cz/download/aktuality/container-nodeid- 585/c5a0ifrovc3a1nc3adpgp.pdf 6
Jak na šifrování e-mailu Předpoklady Je nutné mít nainstalován program GPG4Win, vygenerovaný klíč a mít naimportovány klíče osoby, se kterou požadujeme komunikovat šifrovaně. Zápis běžné zprávy Podepsání zprávy Přepneme na kartu GpgOL. Následně stiskneme tlačítko Sign. Následně se nám objeví doplněk GpgOL. Pokud máme správně importovány klíče, tak se zde objeví. Stiskneme tlačítko OK. Jsme vyzváni k zadání svého hesla, které jsme si nastavili při tvorbě PGP certifikátu. 7
Připojení šifrované přílohy Pro připojení šifrované přílohy je nutné postupovat dle tohoto návodu. Pokud vložíme přílohu běžným způsobem, tak příloha nebude šifrována! V kartě GpgOL zvolíme Encrypted file. Vybereme soubor. Následně GpgOL automaticky vybere náš certifikát a certifikát příjemce. Dáme OK, a pokud jsme vyzváni, zadáme heslo. V přílohách se nám objeví zašifrovaný soubor s koncovkou gpg. 8
Zašifrování zprávy 9
Zpráva je nyní kompletně zašifrována. Zprávu odešleme. 10
Dešifrování přijaté zprávy Pro dešifrování zprávy je postup opačný než při šifrování. Viz obrázky. 11
12 Datum: 16. března 2018
Pokud je připojena příloha z nabídky u přílohy vybereme možnost Decrypt: 13
Následně jsme vyzváni k výběru místa pro uložení souboru. Příloha je uložená na zvoleném místě. 14
Ověření podepsané zprávy: Pro ověření zprávy vybereme možnost Verify z hodní nabídky lišty GpgOL. 15
Pokud se výsledek zobrazí červeně, je špatně nastavena důvěryhodnost certifikátu, nebo se jedná o nedůvěryhodný e-mail a nelze jej ověřit. V případě úspěšného ověření se zobrazí výsledek zeleně. Zpráva je dešifrována a ověřena. Pokud jsme měli přílohy tak jsou uloženy na zvoleném místě. 16