Krypteret e-post med GnuPG, under Windows.

Niels Felsted Thorsen

28 juli 2008

Denne howto fortæller hvordan du får krypteret e-post under Windows med GnuPG.

Kort teori om kryptering.
Installerering af GnuPG til brug med webmail.
Installering af gpg4win.
Lav en ny nøgle med GPA
Import af offentlige nøgler.
Installering af firegpg.
firegpg/kryptering/signering i praksis
Installerering af GnuPG til brug med Thunderbird
Installering af gpg4win
Installering af Enigmail
Lav en ny nøgle med Enigmail.
Lav en god adgangskode
Links/Ressourcer

Kort teori om kryptering.

Hver person har et nøglepar, som består af en offentlig og en privat nøgle. Den offentlige "giver man bort", og den private skal holdes privat. Når Per vil sende en krypteret e-post til Signe, da må Per først ha Signes offentlige nøgle. Han kan så bruge Signes offentlige nøgle til at kryptere e-posten til Signe. Signe kan læse den krypterede e-post ved at dekryptere den med sin private nøgle. Ligeledes kan Per signere, "underskrive", en e-posten, med sin private nøgle, og Signe kan så verificere Pers signering med Pers offentlige nøgle. Med signering menes at der ud fra teksten kalkuleres en "tekststreng" som lægges ved teksten. Teksten kan så verificeres ud fra "tekststrengen" som en kontrol på at teksten ikke er ændret undervejs, og at den er signeret af den person som har den tilsvarende private nøgle. Teksten kan sagtens læses uden man behøver at verificere signaturen.

Dette var en kort version, der kan læses meget mere om kryptering andre steder på nettet, se under Links/Ressourcer.

Installerering af GnuPG til brug med webmail.

Vi vil installere et program som hedder gpg4win. Det er egentlig ikke noget selvstændigt program, men en "programpakke" som har samlet nogle nyttige programmer i en samlet installation. Fra gpg4win får vi GnuPG - programmet som står for selve krypteringen. GPA - gnu privacy assistant - som er et program som bruges som nøglehåndtering. Og der følger også med GPGee som er en udvidelse til filhåndteringen stifinder som gør det muligt at kryptere/verificere filer enkelt med GnuPG via stifinder.

Egentlig kunne vi nøjes med at installere bare GnuPG, men især GPA gør livet med nøgler lidt enklere for da får vi en grafisk brugerflade, i stedet for en kommandolinje med GnuPG.

Installering af gpg4win.

Gå til gpg4win's hjemmeside og gå til download. Det er nok at laste ned light versionen - "gpg4win light 1.1.3" (direkte link her).

Kør programfilen når du har lastet den ned. Bare vælg next et par gange til du kommer til "choose components". Fjern hakkerne, så der kun er hak for GnuPG (obligatorisk), GPA og GPGee.

Komponenter vælges under installering af gpg4win
Komponenter vælges under installering af gpg4win

Tryk next, next, next, next og install, next og finish (tror jeg det var). Bare accepter de foreslåede værdier. Og det er mulig at installationsprogrammet foreslår en genstart af computeren. Bare accepter det hele :o)

Lav en ny nøgle med GPA

Vi skal nu til at lave et nøglepar.

Start programmet GPA, (Start -> Programmer -> GnuPG for windows -> GPA).

Gå til menuen edit -> preferences. Her får du så op et vindue som hedder "Settings", nederst i dette vindue skal du vælge "Yes" under "Use advanced mode". Tryk close for at lukke vinduet.

"Use advanced mode" vælges i menuen edit -> preferences.
"Use advanced mode" vælges i menuen edit -> preferences.

Nu vælges menuen keys -> New key, og et nyt vindue som hedder "generate key" åbnes. Under "algorithm" beholdes bare den foreslåede værdi. Under "key size (bits)" vælges 2048. Under "User id" skriver du dit navn. Under "email" skriver du din e-post adresse. "Comment" kan du bare lade stå tom. Under "Passphrase" (og "repeat passphrase") skriver du dit adgangskode som du vil bruge til dit nøglepar. Vælg en god adgangskode på mindst 8 tegn. Se Lav en god adgangskode. Under "Expiration", vælge "indefinitely valid". Tryk ok, dit nøglepar bliver lavet, der kan godt gå lidt tid. Det er mulig senere at ændre både passord og forældelses dato for et nøglepar.

Ny nøgle vælges i menuen
Ny nøgle vælges i menuen
Ny nøgle klar til at oprettes
Ny nøgle klar til at oprettes

Backup af dit nøglepar med mere.

Nu før noget andet er det tid for at tage backup af dit nøglepar. Det enkleste er bare at kopiere hele folderen som ligger her:

c:\Documents and Settings\<username>\Application Data\GnuPG

Folderen Application Data er en som standard en "skjult folder" i filhåndteringen. For at se den gå i et stifinder vindue til menuen Funktioner -> Mappeindstillinger. Vælg fanebladet Vis og under Avancerede indstillinger vælg "Vis skjulte filer og mapper". Du kan sætte indstillinge tilbage til "Vis ikke skjulte filer og mapper" når du er færdig.

Kopier den folder til en usb pen, brænd en cd eller lignende. Skulle du nogensinde miste dine nøgler vil du ikke være i stand til at dekryptere noget som er blevet krypteret med dem. Så gør det nu, tag backup. Nu. Det er vigtig. Og læg det på en sikker plads.

Skulle du nogensinde miste dit nøglepar vil du kunne lave et "revocation certificate", som kort sagt siger at det tabte nøglepar ikke gælder mere. Du kan kun lave det hvis du har lavet det før du mistede dine nøgler, eller hvis du har en backup tilgængelig af dine nøgler.

Import af offentlige nøgler.

Før du kan sende krypteret post til andre må du ha deres offentlige nøgle. Den kan skaffes fra personen, deres hjemmeside, eller en offentlig nøgleserver. Her antager vi at du har lastet ned den offentlige nøgle til en plads på din computer. GPA startes, og ikonet med "import" trykkes. Derefter vælges den før nedlastede offentlige nøgle, og tryk ok.

Installering af firegpg.

For at kunne kryptere/dekryptere tekst i webmail bruger vi firegpg som er en udvidelse til firefox.

Installationen er nem, tryk på download firegpg på denne side http://getfiregpg.org/install.html, hvis du bruger firefox vil den spørge om du vil installere denne udvidelse. Accepter det. Efter installationen skal firefox genstartes. Efter firefox er genstartet, gå i det åbne vindue med tilføjelser/udvidelser og vælg indstillinger for firegpg. Under "general" fanen set hak i "Always encrypt to myself" (da kan du nemlig selv dekryptere e-post du sender til andre). Tryk ok, og luk tilføjelses vinduet.

firegpg/kryptering/signering i praksis

Sende mail

Når du nu skriver en e-post i din webmail, så skriver du først e-posten som før, men inden du sender den, markerer du al teksten, højreklikker og vælger "sign and encrypt" fra firegpg menuen. Firegpg vil da kryptere og signere teksten (efter at ha spurgt om hvilken offentlig og privat nøgle du vil bruge (hmm, her spørger den om privat nøgle 2 gange... ved ikke hvorfor)). Teksten du har skrevet bliver så krypteret og signeret. Husk du kan ikke rette i teksten bagefter, men den er klar til at sendes.

Hele processen kan ses her i billeder:

Du skriver i din webmail som du plejer...
Du skriver i din webmail som du plejer...
Så markerer du teksten, og højreklikker, fra firegpg menuen vælger du "Sign and encrypt". Et vindue vil da komme frem hvor du kan vælge først en offentlig nøgle, derefter en privat nøgle (ikke vist).
Så markerer du teksten, og højreklikker, fra firegpg menuen vælger du "Sign and encrypt". Et vindue vil da komme frem hvor du kan vælge først en offentlig nøgle, derefter en privat nøgle (ikke vist).
Firegpg har gjort sin job, meddelelsen er kryptert og signert, og klar til at sendes.
Firegpg har gjort sin job, meddelelsen er kryptert og signert, og klar til at sendes.

Modtage mail

Når du modtager en krypteret mail, så vil firegpg "opdage det" og gi dig muligheden for at dekryptere den og/eller verificere signaturen.

Firegpg giver dig muligheden for at dekryptere en kryptert e-post
Firegpg giver dig muligheden for at dekryptere en kryptert e-post

Installerering af GnuPG til brug med Thunderbird

Installering af gpg4win

Følg Installerering af gpg4win over, som dækker installation af gpg4win.

Det skal siges at Enigmail, som er en udvidelse til Thunderbird og som tager sig af krypteringen/signeringen med GnuPG, også indeholder en del til at administrere nøgler. Derfor kan man i ovenstående udelade at installere GPA og bare bruge nøglehåndteringen i Enigmail. Dvs du trænger på at installere GnuPG (og GPGee) under installationen af gpg4win.

Installering af Enigmail

Som frontend til GnuPG bruger vi Enigmail som er en udvidelse til bla Thunderbird. For at installere enigmail, gå til denne side http://enigmail.mozdev.org/download/index.php. Følg anvisningerne på siden for at installere enigmail (den er på engelsk).

Lav en ny nøgle med Enigmail.

Lav en god adgangskode

En god adgangskode bør ikke bestå af ting/emner/navne/datoer/numre som er relateret til dig. Gode adgangskoder ser sådan ud: 7sdpztB5. Og indeholder gerne symboler som $#.(){} osv, men man bør være opmærksom mht nogen specielle tegn som f.eks. øæå, fordi de er måske ikke altid er tilgængelige på det tastatur du skriver på. Men rigtig gode adgangskoder er også vanskelig at huske. En god metode er at memorere en sætning, og lave adgangskoden ud fra den. For eksempel adgangskoden: Svflho&elheovPrme2sthvvi kan huskes ved at tage de 2 første bogstaver fra hvert ord i sætningen: Svanen flyver hojt & elegant hen over Prestvannet med 2 store hvide vinger. Hvis man kan flette ind nogle tal i sætningen (og store/små bogstaver) er det bare ekstra godt. På den måde er det pludselig nemt at huske en god adgangskode på over 20 tegn :o)

Links/Ressourcer

http://www.gnupg.org/ GnuPGs hjemmeside.

http://da.wikipedia.org/wiki/Digital_signatur Om den digitale signatur

http://en.wikipedia.org/wiki/Gnupg Wikipedia om GnuPG (engelsk)

http://en.wikipedia.org/wiki/Enigmail Enigmail på wikipedia (engelsk)

http://world.std.com/~reinhold/diceware.html Diceware, en god måde at generere adgangskoder på som ikke er umulige at huske (engelsk).