DTE-2507- Laboppgave 12

Sikker epost og digital signatur.

 

Målet med oppgaven:

Målet med oppgaven er å gi studentene mulighet for sikker epost forsendelse, samt bruk av digital signatur for epost sendinger. Dette innebærer bruk av programvaren OpenPGP (Pretty Good Privacy) for generering av nøkkelpar og for signering og kryptering av epost meldinger.

Konfigurasjon av Epost programvaren

  1. Vi skal benytte programmet Mozilla Thunderbird for lesing og sending av sikker Epost ved hjelp av OpenPGP
  2. Nødvendig programvare installeres på egen PC
    1. Mozilla Thunderbird (epost program) lastes ned fra http://www.mozilla.org/nb-NO/thunderbird/
    2. GPG4Win , OpenPGP programvaren lastes ned fra http://www.gpg4win.org/
  3. Etter installasjon start Mozilla Thunderbird.
  4. Du vil umiddelbart få opp spørsmål om å benytte en eksisterende Epost adresse eller benytte en ny. Du skal her velge at du skal benytte en eksisterende, du skal benytte epost adressen du har på UIT. Velg "Hopp over og bruk eksisterende adresse"

    5. Epost konfigurering

  5. Oppsett skal være i henhold til det du finner her: https://uit.no/om/orakelet/frag?p_document_id=319235

  6. Innkommende oppsett skulle bli noe ala dette, korriger for student oppsett:

    Innkommende epostoppsett

    Utgående skulle bli noe ala følgende:

    Utgående epostoppsett


  7. Når epost kontoen din er ferdig konfigurert, du vil etterhvert se at det fylles opp med Epost meldinger i innboksen din (disse er de samme som du har på UIT's epost system). Innboksen ligger under fliken "Lokale mapper".
  8. Du vil trolig få opp følgende dialog der Thunderbird ønsker bli ditt standard epost program, kryss ut dette og sjekk ved oppstart dersom du ikke ønsker dette, slik vist nedenfor:

    Standard epost program

  9. Trykk OK.
  10. Få fram Menylinjen ved å høyreklikke på øvre del av vinduet
    Thunderbird Menu

  11. Enigmail er et verktøy som vi benytter mot OpenPGP, dette er klart til bruk i siste versjon av Thunderbird. Velg Tools/Verktøy og menyen "OpenPGP Key Manager/Nøkkelbehandler", det første som må gjøres er å generere et nøkkelpar. Velg Generate og "New Key Pair", du kan godta standardvalgene. Disse er 3 års gyldighet og 3072 biters nøkkellengde.

 

Sending av epost med digital signatur

All epost som du nå sender kan nå bli digitalt signert og kryptert. Digital signatur skal garantere riktig avsender, samt at innholdet i eposten ikke er endret. For at en mottaker skal kunne verifisere din digitale signatur må mottakeren ha din offentlige nøkkel, du må følgelig få overført denne til mottakeren på en eller annen måte. Du kan overbringe din offentlige nøkkel personlig, dette er det sikreste, bruk f.eks. en minnepinne. Ved personlig overrekkelse vil mottaker være 100% sikker på at nøkkelen tilhører deg. Alternativt kan du sende den på epost eller legge den ut på en nøkkeltjener. De to siste alternativene er imidlertid ikke like sikre som å overbringe denne personlig.

  1. I nøkkelbehandleren vil få en oversikt over de nøklene som programmet kjenner til, foreløpig ligger kun din egen nøkkel her. Ser du den ikke kryss av i boksen "Vis alle nøkler som standard". Fra menyen Fil kan du velge å lagre den offentlige nøkkelen din til en fil eller sende denne på epost. Menyvalget Nøkkeltjener gir deg mulighet for å legge nøkkelen på "nett", slik at hvem som helst kan søke den opp.
  2. Jobb sammen med en i klassen og sørg for at vedkommende får din offentlige nøkkel, benytt overlevering som fil eller epost. Epost er det enkleste såfremt du er sikker på at du vet hvem nøkkelen kommer i fra, høyreklikk på nøkkelen din og velg "Send offentlig nøkkel via e-post" og angi mottaker.
  3. Ved lagring av nøkkelen til fil pass på da å velge "Export Public Keys Only", det er kun den offentlige nøkkelen du ønsker å gjøre dette med. (Den private må en alltid ha en sikkerhetskopi av, det er derfor det er mulighet for å også lagre denne til en fil)
  4. Når du mottar en offentlig nøkkel personlig som en fil kan du importerer denne i Fil menyen i nøkkelbehandleren.
  5. Mottar du en offentlig nøkkel på epost kan du importere nøkkelen som ligger i et vedlegg direkte inn i programmet ved å høyreklikke på vedlegget og deretter velge menyen "Importer OpenPGP Nøkkel" som vist nedenfor.

    ImporteretOpenPGP nøkkel

  6. Når mottakeren har mottatt og importert din offentlige nøkkel kan du sende epost til han/henne. Send en ny epost og angi at denne skal signeres i menyen Sikkerhet, det vil stå i hodet på meldingen at den vil bli signert.
  7. Ved mottak vil den digitale signaturen på eposten automatisk bli verifisert og du får beskjed om dette. Sørg for at dere begge har hverandres offentlige nøkkel og begge kan sende digitalt signert epost til hverandre.
  8. På en signert melding vil det stå "God signatur", men som vist nedenfor står det også "IKKE TIL Å STOLE PÅ". Dette er fordi noen andre kan ha gitt deg den offentlige nøkkelen enn den som står som avsender (ref. Pizza eksempelet i forelesningen). Dersom du er 100% sikker på at den offentlige nøkkelen tilhører avsenderen kan du bekrefte dette ved å signere nøkkelen (du må være 100% sikker ! og det er da best med personlig overlevering av nøkkelen).

    Signer nøkkel
  9. Gjør da som følger: Velg menyen nøkkelbehandleren og velg den nøkkelen du vil signere og velg menyen Signer nøkkelen med høyre musetast som vist under:

    Signer nøkkel

  10. Du vil da få opp spørsmål om hvilken nøkkel du vil signere med og hvordan du har verifisert at dette virkelig er nøkkelen til vedkommende. Her bør du som sagt være 100% sikker og du kan da krysse av på st du har sjekket svært grundig, evt. kryss av på lokal signatur, da vil dette kun gjelde lokalt på ditt system.

    Signer nøkkel

  11. Etter at du har signert nøkkelen vil epost fra vedkommende nå ikke inneholde den advarselen som ble vist før nøkkelen var signert.

    Signert epost

 

Sending av kryptert epost

Du kan nå også sende kryptert epost til den/de du har den offentlige nøkkelen til. Dette gjøres ved å velge menyen Sikkerhet->Krev Kryptering når du skriver en ny epost, i tillegg til at den eventuelt også skal digitalt signeres. Du må ha mottakerens offentlige nøkkel for å kunne sende han/henne en kryptert epost, har du ikke dette får du mulighet for å søke etter denne på en nøkkeltjener.

  1. Jobb sammen med en i klassen og sørg for at du har den offentlige nøkkel til vedkommende du samarbeider med.
  2. Send en kryptert epost til han/henne.
  3. Mottaker av eposten skal kunne lese denne, før dekrypteringen finner sted vil du kunne se at meldingen består av uleselig tekst, men etter dekryptering er meldingen lesbar.

Bruk av nøkkeltjener og signering av nøkler

  1. Du skal legge ut din egen offentlige nøkkel på nøkkeltjeneren, men sørg for at den er signert av noen av dine medstudenter før du gjør dette.
  2. Hver nøkkel som legges ut bør ha minst en signatur, gjerne flere.
    1. Slå deg sammen med en i klassen og overfør din offentlige nøkkel sikkert til han/henne. Sørg for at han/hun signerer din offentlige nøkkel. Den som signerer går god for at nøkkelen tilhører rette vedkomne.
    2. Etter at nøkkelen er signert be vedkommende sende nøkkelen tilbake til deg, deretter importerer du nøkkelen i din keystore og så publiserer du nøkkelen til nøkkeltjeneren. På denne måten kan du samle flere signaturer, jo flere som har signert desto mer kan en stole på at nøkkelen tilhører rette vedkommende. Prøv å få to signaturer på nøkkelen din.
    3. Når du søker på nøkkeltjeneren etter en nøkkel kan du se hvem som har signert nøkkelen, prøv for eksempel Linus Torvalds sin nøkkel (Linus er skaperen av Linux som blant annet Android bygger på).
  3. Meny for opplasting til nøkkeltjener se nedenfor:

    Publisering til nøkkeltjener

  4. Fra menyen Nøkkeltjener kan du nå søke etter nøkler til andre i klassen, prøv dette. Søk etter nøkkel med fullt navn på din medstudent, finner du nøkkelen kan denne nå importeres og du kan benytte sikker epost forsendelse til han/henne. Du bør imidlertid sjekke at nøkkelen er signert av noen andre før du tar den i bruk, dermed kan du stole på at nøkkelen er fra rette vedkomne.

Nøkkelparet du har generert i denne oppgaven blir liggende i din Windows profil, slik at du når som helst når du måtte ha behov for dette kan benytte dette. Ønsker du ta vare på nøkkelparet må du eksportere dette til en fil og sørge for å lagre den private nøkkelen på et trygt sted.

kc/05102015

kc/15102020