Šifrujte, kde se dá...

30. 7. 2017

Sdílet

 Autor: Probin
Díky technickému pokroku a zvýšenému přijetí je zabezpečení vašich dat a komunikace mnohem jednodušší, než si myslíte. Přinášíme přehled toho, co všechno se dá šifrovat a jaké pro to můžete použít nástroje.

Probíhá útok na šifrování. Bez ohledu na to, zda si myslíte, že máte co skrývat, měli byste mít obavy.  Šifrování je klíčovým prostředkem, kterým lze zabezpečit citlivé soukromé informace a komunikaci před zvědavýma očima.

Vlády po celém světě napadají naši schopnost využívat technologie šifrování argumentací, že šifrování ztěžuje orgánům činným v trestním řízení vedení vyšetřování a sledování podezřelých on-line aktivit. Jejich řešení? Zřizování „zadních vrátek,“ jejichž prostřednictvím by mohly odemknout zabezpečená data.

Nejlepší způsob, jak se bránit v prosazování takového požadavku oslabit šifrování – a to je přesně to, k čemu zadní vrátka slouží – je udělat kódování všudypřítomné a zcela běžné.

Pokud šifrování používá každý, počínaje kódovaným chatem přes šifrovaný e-mail po surfování na webu zabezpečené šifrou (a kódované je také všechno mezi tím), potom je mnohem těžší argumentovat, že šifrování chrání jen pár vyvolených, kteří mají co skrývat.

A kde začít? Dnes je primární překážkou bránící využívat šifrování jako rutinní faktor v počítačovém životě většiny lidí skutečnost, že je stále relativně obtížné ho použít.

Kódování tradičně vyžadovalo, aby uživatel překonal hodně překážek, než ho zprovoznil, ale to se už pomalu mění. Přinášíme seznam různých šifrovacích technologií, které lze snadno použít k ochraně vašich dat před zvědavýma očima, a přispět tak k bezpečné a privátní komunikaci.

Čím více lidí je používá, tím těžší bude zbavit je práva na soukromí a bezpečí.

 

Aplikace pro bezpečný chat a zasílání zpráv

Mobilní zařízení jsou vzhledem k rozsahu a hloubce obsažených citlivých dat významným zdrojem obav o bezpečnost. Naštěstí se možnosti šifrování pro mobilní zařízení rychle stávají všudypřítomné. A nejde jen o samotné aplikace.

Například Apple zapnul šifrování celého disku zařízení iOS ve výchozím nastavení, takže jsou veškerá data v telefonech iPhone a tabletech iPad automaticky chráněná.

Také Google nabízí ve svých posledních verzích systému Android šifrování celého disku, přestože ještě není zapnuté ve výchozím stavu. Šifrování celého disku mobilních zařízení se tak stává standardem. Jakmile to tak bude, bude už návrat mnohem těžší.

Apple rovněž nabízí kompletní šifrování pro svou aplikaci iMessage, aby udržel vaše zprávy mimo dosah provozovatele. Například zástupci bezpečnostních složek nedávno v mediálně známém případu naléhali na Apple, aby jim usnadnil získání dat ze zařízení iOS, jež vlastnil podezřelý z terorismu, ale Apple jim neustoupil.

Pro mnoho běžných uživatelů je použití zařízení s iOS nejjednodušším způsobem, jak využít šifrovací nástroje.

Některé aplikace umožňují bezpečné zasílání zpráv pro platformy Android a iOS – patří mezi ně Wickr, Signal nebo Telegram. Jednou z nevýhod těchto nástrojů pro šifrovaný chat a zasílané zprávy je, že odesílatel a příjemce musejí používat ke komunikaci stejnou aplikaci.

Například uživatelé aplikace Wickr mohou odesílat šifrované textové zprávy ostatním uživatelům této aplikace, ale k poslání standardní nešifrované textové zprávy uživatelům, kteří aplikaci Wickr nemají, už musejí použít běžnou aplikaci pro posílání textových zpráv.

Popularita aplikace Wickr je také vyvolávána další poskytovanou vrstvou zabezpečení: chaty a fotografie se po uplynutí definované doby smažou. Týká se to i souborů audio, video a dokonce i dokumentů stažených z cloudového úložiště.

Vše poslané přes Wickr se přenáší přes šifrované kanály a automaticky se to maže po vypršení platnosti. Když přijdou lidé, kteří se o původní obsah zajímají, není jim co předat, protože data jsou už dávno pryč.

Telegram má v současné době špatnou pověst, protože se objevují zprávy, že tuto aplikaci používají teroristické skupiny a zločinci. Umožňuje uživatelům sdílet šifrovaná média a zprávy najednou až s 200 lidmi. Tajné chaty mohou zcela obejít servery Telegram a mohou být uložené jen po zadanou dobu nebo bezpečně uložené pro pozdější použití.

 

Šifrované hlasové hovory

Kupování předplaceného telefonu pokaždé, když chcete udělat telefonní hovor, který nelze vystopovat k vám, je už věcí minulosti díky několika novým aplikacím zaměřeným na zabezpečení hlasové komunikace.

Aplikace Signal, vytvořená bezpečnostním výzkumníkem Moxie Marlinspikeem, umožňuje uživatelům snadno navázat šifrované hlasové hovory a odesílat šifrované zprávy na platformách Android a iOS. (Aplikace Signal Desktop Chrome ve verzi beta rozšiřuje bezpečné zasílání zpráv aplikací Signal i na stolní počítače.).

Bonusem k Signalu je, že aplikace umožňuje uživatelům komunikovat s každým v seznamu kontaktů. Pokud příjemce hovoru není uživatelem Signalu, budete upozorněni, že hovor nebude šifrovaný, ale nemusíte přecházet do své standardní telefonní aplikace, abyste mohli volat, takže je proces přijetí ještě snadnější.

Společnost Open Whisper Systems, která aplikaci Signal vyvíjí, spolupracuje s řadou významných providerů služeb, jako jsou třeba WhatsApp, Google nebo FaceBook, ten například technologii Signal využil ve svém Messengeru (funkce Secret Conversations). Popularita aplikací jako WhatsApp nebo Snapchat ukazuje, že si lidé velmi přejí používat bezpečnou komunikaci.

Dlouhou dobu měli lidé s potřebou telefonovat z desktopu k dispozici jako vhodné řešení jen aplikaci Skype. Aplikaci Skype však zasáhla obvinění, že vláda USA přinutila společnost Microsoft vestavět do této služby zadní vrátka.

OStel je zabezpečená služba pro hlasovou a videokomunikaci, která je udržována v rámci projektu The Guardian Project a je k dispozici pro desktop i pro mobilní uživatele. Uživatelé si musejí vytvořit účet ve službě OStel (nejsou požadovány žádné osobní údaje) a stáhnout příslušný software.

Se službou OStel například komunikují aplikace CSipSimple a Linphone na platformách Android a iOS.

Oba konce hovoru, volající i příjemce, musejí využívat službu OStel. OStel neumí volat na pozemní linky ani na mobilní telefonní čísla se SIM kartou v mobilních sítích. Jednou z výhod služby OStel je, že funguje na platformách BlackBerry, iPhone či Android stejně jako na Mac OS X, Windows a Linuxu. Používá stejný šifrovací protokol ZRTP jako výše zmíněný Signal.

 

Šifrování připojení k internetu

Weby stále častěji využívají protokol HTTPS k ochraně dat posílaných mezi počítačem uživatele a serverem. Informace o kreditní kartě zadané do webového formuláře se přenášejí přes šifrovaný kanál na server prodejce, takže všichni útočníci, kteří by mohli monitorovat přenosy, netuší, co se odeslalo. To je však jen začátek.

Díky všudypřítomnosti veřejných sítí Wi-Fi – na letištích, v kavárnách, parcích a dokonce i v metru New Yorku – je snadné zapomenout, že připojení on-line není vždy nejlepší nápad.

Útočníci mohou snadno zachytit data tekoucí do zařízení a z něho nehledě na on-line služby, k jakým přistupujete. Zde může pomoci šifrování internetového připojení přes síť VPN, jako jsou například služby F-Secure Freedome, NordVPN nebo CyberGhostVPN – data jsou potom pro slídily nepoužitelná.

Většina z nás zná VPN jako software, který se instaluje do pracovních počítačů, aby umožnil přístup k podnikovým aplikacím. VPN služby však také umožňují uživatelům vytvořit šifrovaný tunel se serverem třetí strany a potom přistupovat k internetu prostřednictvím tohoto tunelu.

Když se uživatel v Česku připojí k Facebooku prostřednictvím služby VPN ve Francii, tak je pro Facebook uživatelem z Francie a ne z Česka. Je to skvělý způsob, jak používat on-line bankovnictví z letiště, protože služba VPN šifruje spojení a brání všem odposlouchávat vaše bankovní aktivity.

Potom je zde Tor, který poskytuje úplnou anonymitu na internetu. Používá vícevrstvý bezpečnostní mechanismus podobný cibuli, který odráží komunikaci mezi více uzly, aby skryl její původ.

Nejenže Tor brání dohledu, ale také brání webům sledovat uživatele. Můžete dokonce přistupovat k Facebooku přes Tor. Uživatelé, pro které je Tor nový, mohou použít pro začátek Tor Browser. Orbot je Tor proxy pro Android z projektu The Guardian Project.

 

Šifrování e-mailu

Ze všech forem moderní komunikace je e-mail možná nejvíce citlivý. Vaše e-mailová schránka může obsahovat bankovní výpisy, účty z různých služeb a obchodů, dokumenty související s daněmi a také osobní zprávy.

Informace o tom, s kým mluvíte, o čem mluvíte a dokonce i jen kdy posíláte e-mail, může být v nesprávných rukách velmi nebezpečná. Zástupci bezpečnostních složek si mohou vyžádat kopie e-mailů uložených na e-mailových serverech, takže zasílání šifrovaných částí textu zajistí, že vaše zprávy uvidí jen ten, koho k tomu skutečně oprávníte.

Zabezpečené e-mailové služby, jako jsou Hushmail a GhostMail, slibují vestavěné šifrování. Když pošlete e-mail jinému členovi, zašifruje služba obsah vaší zprávy před odesláním.

Chcete-li poslat zprávu příjemci, který není na Hushmailu, vaše zpráva může být šifrovaná pomocí tajné kombinace otázky a odpovědi. Příjemce bude muset k dešifrování zprávy znát odpověď na otázku. Tyto služby pracují s klíči na pozadí, aby byl proces pro uživatele bezproblémový.

Také Outlook má vestavěné kryptografické bezpečnostní funkce založené na digitálních certifikátech vytvořených tímto softwarem. Předtím, než si mohou uživatelé zasílat šifrované zprávy, musejí digitálně zprávy podepsat a vyměnit si certifikáty.

Jakmile to mají za sebou, je práce s novou zprávou snadná: stačí z nabídky Možnosti vybrat příkaz pro šifrování obsahu a příloh.

Máte-li několik let historie ve službách Gmail, Yahoo, Hotmail apod., je těžké se přesunout k novému poskytovateli e-mailu jen kvůli nutnosti zabezpečení. Jednou z možností je použít Hushmail či GhostMail pro citlivou komunikaci a využívat dále současnou službu pro běžné zprávy. Působí to však proti cíli všudypřítomného šifrování.

 

Správa soukromých a veřejných klíčů

Dokud se poskytovatelé e-mailových služeb nerozhodnou nakonfigurovat univerzálně šifrovaný e-mailový systém, leží odpovědnost zabezpečení na odesílateli a příjemci.

Odesílatel musí

vygenerovat pár klíčů (veřejný a soukromý) a zveřejnit veřejný klíč. Příjemce musí vědět, jak k dešifrování zpráv používat ten veřejný. Pro mnoho nástrojů, které využívají kombinace veřejných a soukromých klíčů, je správa páru (veřejný a soukromý) transparentní. Není to však případ e-mailů.

Služby jako Keybase.io a aplikace pro Android, jako jsou K-9 nebo OpenKeychain, se pokoušejí zjednodušit správu klíčů. Keybase.io umožňuje použít ke zveřejnění veřejného klíče služby Twitter, GitHub a Reddit a řadu dalších nástrojů.

Soukromý klíč můžete uložit u Keybase nebo jinam, například do telefonu do aplikace OpenKeychain. Chcete-li podepsat své zprávy klíčem nebo zašifrovat celou textovou zprávu, můžete použít vestavěné nástroje Keybase a poté zkopírovat vytvořený blok textu do své e-mailové zprávy.

Protože Keybase využívá PGP (Pretty Good Privacy), může příjemce dešifrovat či verifikovat podpis pomocí libovolného správce klíčů, který pracuje s klíči PGP.

Mailvelope je zase aplikace Chrome, která dokáže zašifrovat a dešifrovat zprávy pomocí klíčů PGP v populárních webových službách.

Šifrování osobního e-mailu má ale před sebou ještě dlouhou cestu, než začne být tak snadné, aby ho mohli používat všichni, ale naštěstí k tomu směřuje.

 

Zašifrování pevného disku

Microsoft integroval šifrování souborů a disku do některých verzí systému Windows pomocí nástroje BitLocker, stejně jako to udělala firma Apple pro Mac OS X prostřednictvím řešení FileVault2.

Bohužel pro uživatele systému Windows – BitLocker není...

 

ICTS24

Tento příspěvek vyšel v Security Worldu 3/2016. Oproti této variantě je obsáhlejší a obsahuje řadu dalších rad, které můžete využít u sebe ve firmě.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.