Rozšířené soukromí moduly PGP

V povědomí většiny uživatelů počítačů se asi pod pojmem PGP schovává systém na šifrování e-mailové komunikace...


V povědomí většiny uživatelů počítačů se asi pod pojmem PGP schovává systém na
šifrování e-mailové komunikace, ale skutečnost je daleko zajímavější pomocí
modulů lze PGP použít k šifrování téměř všeho. A právě těmto možnostem budou
věnovány následující odstavce.
Nejprve několik základních informací o PGP (více můžete najít např. v Technolgy
Worldu v čísle 15/2000) jeho hlavním úkolem je šifrovat a podepisovat e-maily a
soubory. V současné době je dostupný v několika balících: PGP freeware, PGP for
Personal Privacy a PGP Enterprise Security. Jednotlivé balíky se pak od sebe
liší moduly PGP, které obsahují, a právě o nich bude dále řeč.
PGPdisk
Asi každý někdy uvažoval o tom, že nějaký dokument, který napsal, by bylo dobré
uchovat před zraky ostatních. Pokud je to ovšem dokument, se kterým potřebujeme
často pracovat, může být docela nepohodlné dokument před prací obnovit a po
práci jej zase schovávat. Většinou, když zrovna dokument uložíte, si
vzpomenete, že do něj potřebujete udělat změnu. Pokud se s takovým problémem
setkáváte, pak PGPdisk je přesně to, co potřebujete. S jeho pomocí si vytvoříte
zašifrovanou virtuální diskovou jednotku, která je ve skutečnosti souborem na
disku. Operační systém s ní zachází jako s každou jinou diskovou jednotkou.
Když si chcete diskovou jednotku připojit, musíte zadat heslo, kterým jsou data
na disku chráněna, po ukončení práce disk jednoduše odpojíte. Ve vlastnostech
disku si také můžete např. nastavit, že po x minutách nečinnosti se disk
automaticky odpojí. Nemusím snad ani připomínat, že není od věci nastavit si
např. v MS Wordu Document Root na tento disk. PGPdisk je součástí obou
komerčních balíků, jednou se však PGPdisk objevil i ve freeware verzi (6.0.2),
podle vyjádření výrobce to ovšem byl "omyl".
PGPnet
PGPnet je modul pro vytváření VPN (Virtual Private Network). Je postaven na
protokolu IPSec, což je dnes v podstatě standardní protokol pro tvorbu VPN.
Virtuální privátní síť lze ustanovit v několika režimech klient proti
klientovi, klient proti subsíti, nebo klient proti bráně. PGPnet umožňuje
několik typů autentizace, od sdíleného tajemství přes PGP klíč až po
autentizaci pomocí X.509 certifikátů. Podpora X.509 certifikátů je v PGP celkem
novou záležitostí. PGP freeware 6.5.3 sice obsahuje modul PGPnet, neumožňuje
však pracovat v režimu klient brána a neobsahuje podporu X.509 certifikátů.
PGPAdmin
PGPAdmin je jedním z modulů, které se vyskytují pouze v balíku PGP Enterprise
Security. Nástroje, které jsou obsažené pouze v tomto balíku, jsou vhodné
především pro společnosti, které chtějí vystavět část bezpečnostní politiky na
PGP. PGPAdmin je nástroj, s jehož pomocí si vygenerujete vlastní instalaci PGP.
Možnosti konfigurace jsou opravdu rozsáhlé. Jako jeden z prvních kroků si
můžete nadefinovat ADK (Additional Decryption Key) neboli přídavný dešifrovací
klíč. Představte si, že jeden ze zaměstnanců společnosti dlohodobě onemocní
nebo z firmy natrvalo odejde. Veškerá jeho data jsou zašifrovaná pomocí PGP, a
pro společnost, která je fakticky majitelem těchto dat, jsou tím pádem
nedostupná. Proto si můžete definovat ADK pokud je ADK klíč součástí nějakého
jiného klíče, pak veškerá data zašifrovaná tímto klíčem jsou zašifrovaná i ADK
klíčem. Avšak předtím, než začnete ADK ve vaší společnosti používat, měli byste
si dostatečně rozmyslet, jaká pravidla stanovíte pro jeho používání. Je zřejmé,
že bez takovýchto pravidel by mohl být ADK zneužit k jiným účelům, než jste
původně zamýšleli. Za zamyšlení stojí i možnost definovat klíč certifikační
autority společnosti (CSK). Tento certifikační klíč bude podepsán každým nově
vygenerovaným klíčem, tj. každý nově vygenerovaný klíč bude věřit klíči
certifikační autority, a tím pádem bude automaticky věřit všem klíčům, které
jsou podepsané touto autoritou. Mezi další volitelné položky patří např.
možnost nastavit minimální délku a kvalitu hesla, možnost zvolit, které klíče
budou implicitně v kroužku uživatele, a také volba modulů, které se budou
automaticky instalovat.
Ostatní moduly
Freewarovou součástí PGP je také PGPfone pomocí něhož a vašeho počítače budete
moci bezpečně telefonovat, aniž by komunikaci mohl někdo odposlouchávat. Další
tři moduly, o kterých se zmíníme jen okrajově, jsou obsaženy pouze v balíku PGP
Enterprise Security (stejně jako PGPAdmin). Prvním takovým je PGP Certificate
Server, což je server klíčů. Společnost nemusí používat centrální servery
klíčů, ale může primárně používat svoje vlastní, u kterých si sama zajistí
dostupnost. Server nabízí také možnost definovat jistou politiku serveru. Lze
např. nastavit, že na server je možné přidat klíč, jen pokud je podepsaný
určitým jiným klíčem např. klíčem certifikační autority této společnosti. Na
serveru se potom budou vyskytovat pouze klíče důvěryhodné v dané společnosti.
Druhým nástrojem je PGP PMA, což je nástroj, ve kterém můžete kontrolovat poštu
(například odmítnete přeposlat poštu, která není podepsaná, pokud to odpovídá
vaší firemní politice). Nástrojem z úplně jiného soudku je pak PGP SDK
(software developer kit), což jak sám název napovídá, je vývojová knihovna PGP,
takže si můžete psát vlastní aplikace používající PGP.
Nutná bezpečnost
Jak je vidět z předchozích řádků, PGP spolu se svými moduly umožňuje zabezpečit
data opravdu na vysoké úrovni otázkou ovšem nadále zůstává, jestli je toho
potřeba. Obecně lze asi říci, že ano. Každá firma a vlastně i každý člověk má
určitá data, která by si chtěl nechat jen pro sebe. PGP se zdá jako velice
vhodná a spolehlivá varianta, jak tato citlivá data uchovat v tajnosti.
0 1119 / alsn
Projekt PGP.CZ
Projekt PGP.CZ vznikl v roce 1994 s úmyslem propagace PGP jako nástroje pro
privátní elektronickou komunikaci. Na tomto serveru si můžete PGP koupit nebo
si stáhnout freewarovou verzi, najdete zde i českou dokumentaci. Součástí
projektu je i server klíčů wwwkeys.cz.pgp.net. PGP.CZ je nekomerční otevřený
projekt, jehož hlavním sponzorem je akciová společnost SkyNet. Dobrovolníci,
kteří se chtějí na projektu podílet, se mohou přihlásit a jejich příspěvky
budou určitě uvítány. Autoři projektu věří, že otázka soukromí elektronické
komunikace je pro mnohé uživatele Internetu aktuální a že PGP.CZ přispěje k
jeho naplnění v praxi.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.