PGP otázky a odpovědi

Obecné charakteristiky a informace

Q: poštovní klienty podporují produkty PGP Desktop?

A: PGP Desktop verze 10.X podporuje teoreticky jakékoliv poštovní klienty z důvodu jeho práce jako systémová proxy. Úspěšně otestovaní jsou následující klienti:

Q: Existuje verze PGP zdarma k vyzkoušení?

A: Existuje 30 denní testovací verze. Download můžete provézt na webu Symantecu po výběru verze a zvolení odkazu "TrialWare". Testovací verze je plně funkční 30 dnů. Po 30 dnech jsou funkční vlastnosti omezeny na šifrování a dešifrování souborů (SDA) a správa klíčů.

Q: Kdo je správce veřejných klíčů v PGP? Je to autorita v ČR nebo si klient může vybrat kteroukoliv autoritu?

A: Filozofie užívání PGP je postavena na vzájemné důvěře konkrétních dvou komunikujících subjektů, které navzájem věří obdrženým veřejným klíčům. (Ověření může např. proběhnout telefonicky, nebo pomocí tzv. Fingerprintu - otisku veřejného klíče). PGP tedy žádnou autoritu nevyžaduje. Při tvorbě klíčů (páru) v PGP Desktop produktech máte možnost vystavit svůj veřejný klíč na PGP serveru keyserver.pgp.com. Tento server ověřuje, že jste k vámi vytvořenému veřejnému klíči uvedl reálné identifikační údaje (že např. uvedená emailová adresa opravdu existuje). Nejedná se v žádném případě o certifikační autoritu. Obecně však key servery toto nedělají.

Q: Je možné jednu licenci PGP Desktop 10.X nainstalovat na více mých vlastních pracovních stanic?

A: Ne, licence je vázaná na stanici (verze WDE, Corporate, Professional) případně na uživatele (verze Email).

Q: Jaká je adresa podpory výrobce?

A: https://mysupport.symantec.com
K portálu je nutné se přihlásit, login tvoří emil na který je vázána licene. K využití supportu je nutné produkt napřed zaregistrovat. Návod na registraci naleznete zde.

Nastavení a funkce PGP

Q: Čerstvě jsem si nainstaloval produkt PGP Desktop 10.X. Používám Microsoft Outlook. Jak můžu poštu šifrovat?

A: Implicitně je politika nastavena tak, že v Outlook stačí zprávu označit jako důvěrnou a bude automaticky zašifrována, případně předmět zprávy doplníte o [PGP]. Navíc je také výchozí politika doplněna o pravidlo snažící se šifrovat komukoliv, jehož veřejný klíč se podaří získat. Toto implicitní nastavení se dá změnit deaktivací defaultních politik a vytvořením politiky vlastní. Otevřete PGP Desktop (buď přes Nabídku Start, nebo přes ikonu v Oznamovací oblasti – sys tray, kde zvolíte Open PGP Desktop). Zvolte PGP Messaging a v pravé části okna se objeví seznam politik. Klikněte na Edit policies a dostanete se do prostředí, kde lze politiky upravovat. Ty, které mají v závorce default a jsou zaškrtnuty, je třeba v tomto případě deaktivovat (dvojkliknutím na politiku zjistíte jak je nastavena). Úplně vpravo máte další možnosti: Edit nebo View Policy, New Policy, Remove Policy, Duplicate Policy a konečně šipky pro posun politiky v seznamu nahoru či dolů, čímž stanovujeme jejich prioritu. Klikněte na New Policy a vytvořte politiku šifrování dle vašich požadavků. Př. chci šifrovat všem lidem ve firmě SkyNet a. s.

Analogicky je možné vytvořit politiku pro podepisování. Nezapomeňte ji pak v seznamu aktivních (zaškrtnutých) politik šipkami posunout na správné místo, aby byla zaručena její skutečná funkčnost.

Q: Mám čerstvě nainstalovaný produkt PGP Desktop 10.X a tento se snaží vždy šifrovat nebo podepisovat odesílané maily. Jak to mohu změnit?

A: Řešením je deaktivace defaultních politik. Způsob jak to napravit naleznete v odpovědi na předchozí dotaz Čerstvě jsem si nainstaloval produkt PGP Desktop 10.

Q: Kdy mám elektronickou poštu šifrovat a kdy podepisovat?

A:Šifrování i podepisování pošty využívá asymetrické kryptografie. Pokud chci mail šifrovat, musím mít veřejnou část klíče příjemce. Pomocí tohoto klíče je potřeba mail zašifrovat. U podepisování zprávy je situace opačná. Mail podepíšeme svým soukromým klíčem, ověřit jeho pravost si může každý pomocí mého veřejného klíče. Tj. nemusím mít veřejnou část klíče adresáta. Šifrování zajistí, že zpráva není pro nikoho v rámci přenosu Internetem čitelná (zajistí zachování důvěrnosti), podepisování pouze zajistí, že zpráva nemůže být cestou Internetem změněna (zpráva je čitelná ve své standardní podobě, pokud by ji ale někdo cestou změnil, adresát bude informován formou „neplatnosti podpisu“). Pokud chceme zajistit zachování důvěrnosti i jistotu autentičnosti, je potřeba zprávu zašifrovat i podepsat.

Q: Chci podepisovat všechny maily, které odesílám do domény xyz.cz. Jak na to?

A: Musíte vytvořit politiku (New policy), která se bude aplikovat pouze na danou doménu (Recipient Domain). Politika bude nastavena tak, že všechny maily odcházející do této domény budete podepisovat. Způsob jak a kde vytvořit politiku naleznete v odpovědi na otázku Čerstvě jsem si nainstaloval produkt PGP Desktop 10.X

Q: Vytvořil jsem si politiku, dle které budu šifrovat všechny maily odesílané na danou adresu. Maily se ale nešifrují.

A: Je potřeba ověřit, jestli se před Vámi definovanou politikou neaplikuje politika jiná. Zkuste Vaši politiku vložit na první místo (politiky se aplikují popořadě). Způsob jak a kde změnit prioritu politiky naleznete v odpovědi na otázku Čerstvě jsem si nainstaloval produkt PGP Desktop 10.X

Q: Jak si mám počínat při generování klíče?

A: Generování klíče je velmi důležité pro veškerou Vaši další práci s PGP. Věnujte mu proto zvýšenou pozornost. Podívejte se prosím na náš seznam rad a doporučení pro generování klíče.

Q: Získal jsem PGP klíč své(ho) známé(ho) a PGP ho označuje jako neplatný (invalid).

A: Pokud víte jistě, že dotyčný klíč patří Vaší(emu) známé(mu), podepište ho svým vlastním klíčem (Keys - Sign), nebo jednoduše v seznamu klíčů PGPKeys pravým tlačítkem myši vyberete Sign.... V té chvíli bude klíč platný, což znamená, že klíč patří osobě, za kterou se vydává. Platným klíčům pak lze nastavit důvěru (Trust). To znamená, že této osobě věříte a budete akceptovat její podpisy jiných klíčů. Pokud pak dostanete třetí klíč podepsaný důvěryhodným klíčem, bude ten nový klíč pro Vás automaticky platný, aniž byste ho museli podepisovat.

Q: Lze nějakým způsobem odstranit z key serveru můj starý klíč, který už nepoužívám?

A: Ne. Klíč obecně ze serveru klíčů smazat nejde, lze jej však zneplatnit (revoke key). K tomuto ale musíte mít privátní klíč a znát jeho přístupovou frázi. Výjimka je server keyserver.pgp.com. Z tohoto serveru lze klíč přes jeho webové rozhraní smazat.

Q: Jak funguje Whole Disk? Za jakých podmínek probíhá autentizace?

A: Autentizace pro práci s diskem probíhá vždy, když je spuštěn boot loader. Tzn. pokud systém není aktivní a přejde do takového režimu, kde všechno je uloženo na disk (není živena paměť), tak si obnovení vyžádá novou autentizaci pro práci s diskem (např. z režimu spánku). Pokud ale přejde pouze do úsporného režimu (netočí se disk a je vypnut monitor), pak nová autentizace neprobíhá, protože klíč je stále v paměti. Vlastní Autentizaci provádíte zadání hesla (dostatečně bezpečného) nebo vložením USB klíče eToken od firmy SafeNet (může být dodán od SkyNet).

Q: Jakým způsobem můžu bezpečně posílat důvěrné dokumenty?

A: Nejsnažší cesta je, aby Váš partner měl také nainstalováno PGP. Pak si můžete vyměňovat bezpečně data v příloze emailu a šifrovat celý mail. Druhou variantou je využití SDA, což je zkratka pro Self Decrypting Archiv (*.exe). Princip je následující: vytvoříte soubor, např. duverna_zprava.doc. Když na ni kliknete v průzkumníku pravým tlačítkem myši, naleznete pod položkou PGP Zip položku Create SDA. PGP Vás nechá zadat heslo pro automatickou dešifraci a soubor zašifruje. Zároveň je připojena přípona (duverna_zprava.doc.sda.exe). Tento soubor pak můžete zaslat nešifrovaným emailem a heslo pro dešifraci např. formou SMS. Tato výměna dokumentů je samozřejmě možná pouze jedním směrem, tzn. ve směru od uživatele PGP. (Pozn. přípony exe nemusí projít přes antivirové filtry! Řešením může být např. přejmenování). Dalším řešením je nasazení PGP Universal, které umožňuje šifrovat i uživatelům, kteří PGP produkty nemají ať již formou bezplatného poskytnutí „PGP external satellite“ nebo „PGP Messaging“ . Více informací info@skynet.cz.

Q: Při reinstalaci počítače jsme znova nainstalovali PGP 10.x Jako e-mail klienta používáme MS Outlook. Po instalaci se na liste v Outlooku neobjevila ikona PGP šifrovat/dešifrovat e-mail. V čem je chyba?

A: Problém má řešení v tom, že v „Nástroje-Možnosti-Jiné-Upřesnit nastavení-Správce doplňků“ není zaškrtnuto „PGP plugin“

Licencování PGP

Ukázka licencování PGP ve formátu .pdf včetně ukázkových obrazovek

Q: Mám zakoupenu licenci na 6 PC, provedl sem instalaci na prvním, na dalších se mi nepodaří produkt úspěšně licencovat?

A: Je potřeba vždy vyplnit naprosto STEJNÉ údaje, zkontrolujte zda zadáváte vždy shodné údaje. Tyto údaje přitom musí obsahovat email na který byly licence objednány.

Základní informace a postupy při licencování PGP

Během konfigurace PGP Desktop 10.X je nutné zadat jméno, název organizace, emailovou adresu a číslo licence tak, aby mohla proběhnout autorizace vaší kopie PGP Desktop 10.X. Pokud potřebujete změnit licenční číslo, nebo pokud jste dříve přeskočili licenční autorizační proces během konfigurace, řiďte se následujícími instrukcemi k autorizaci vašeho softwaru.

Pokud nezaregistrujete vaši kopii PGP, bude vám umožněno využívání pouze některých funkcí PGP. Těmi jsou PGP Zip a Keys. Licenční číslo je obsaženo v Symantec ‘order confirmation‘ emailu (pdf dokument v příloze) a je také uvedeno na download stránce vašeho PGP produktu. Ujistěte se, že je vaše internetové spojení na koncové stanici aktivní.

Autorizace PGP Desktop 10.X pro Windows

Přístup na sekci autorizace licence PGP Desktop 10.X je možný dvěma způsoby. První cestou je ikona v system tray (pravý dolní roh pracovní plochy ve Windows) - About PGP Desktop - Licence - Change Licence. Druhou cestou je položka Help na hlavním panelu PGP Desktop. Klikněte na Licence - Change Licence.

Postup: Jméno (Name) a název organizace (Organization) jsou vždy stejné - "Authorized name" a "Authorized company". Emailová adresa je potom stejná s adresou, na kterou droazily licence a byl objednán produkt. Po zadání těchto údajů klikněte na Next. Zadejte 28-místné licenční číslo (př. DEMO1-DEMO2-DEMO3-DEMO4-DEMO5-ABC). (Doporučujeme použít funkci Kopírovat….Vložit.) které naleznete v .pdf souboru s licencí. Klikněte na Next. Jakmile je PGP autorizováno, zobrazí se výčet aktualizovaných a povolených funkcí. Klikněte na Next, poté na Finish, aby byl proces ukončen.

Jak generovat klíč

Nejdříve si rozmyslete, jestli budete používat klíč staršího typu (RSA). Učiňte tak pouze v případě, že některý Váš partner používá PGP 2.x, jinak vygenerujte DH/DSS klíč. Můžete mít samozřejmě také dva klíče, jeden RSA a jeden DH/DSS.

Důležitý je počet bitů klíče. Zvolte minimálně 1024, ale raději 2048. Pro podezřívavé je možnost mít klíč maximální délky 4096 bitů, ale to již může znamenat zpomalení práce zvláště u starých počítačů.

Pečlivě zadejte své jméno a e-mailovou adresu, ať Vás podle klíče případný partner identifikuje.

Při zadávaní hesla (passphrase) použijte delší nebo velmi komplikované heslo, s kombinacemi velkých a malých písmen, čísel a speciálních znaků! Váš soukromý klíč je totiž na Vašem počítači volně dostupný, a kdyby někdo uhodl Vaše heslo, získá tak možnost proniknout do Vašeho soukromí!!! Buďte proto velmi obezřetní, za heslo můžete použít i celou větu. V žádném případě nepoužívejte jména svých manželů, manželek, dětí, domácích zvířat, milenek či milenců ani jiné osobní údaje. Doporučujeme pro uložení soukromého klíče zvolit USB eTokeny společnosti SafeNet, které společnost SkyNet rovněž dodává. Tyto tokeny disponují velmi bezpečným ukládáním dat s hardwarovým šifrováním.

Připravte si USB klíčenku či disketu, na kterou uložíte kopii Vašeho soukromého klíče. V případě, že díky nějaké havárii tento klíč ztratíte, nebudete moci rozkódovat žádnou Vám určenou zprávu ani označit klíč jako neplatný (revokovat), čímž dáte partnerům najevo, že jej nehodláte dále používat. Disketu s kopií uložte na bezpečné místo, kde ji pokud možno nikdo jiný nenajde.

Zvažte, jestli chcete dát někomu jinému právo revokovat Váš klíč. Může se Vám to hodit, pokud soukromý klíč ztratíte nebo zapomenete jeho heslo. Je to však snadno zneužitelná pravomoc, proto s ní nakládejte opatrně a volte pouze velmi důvěryhodné partnery.

Rozmyslete si, zda budete tento klíč používat při komunikaci s omezenou skupinou osob, kterým jste schopni bezpečně Váš klíč předat, nebo jestli tento klíč vystavíte v Internetové síti veřejných PGP klíčů, aby komunikace s Vámi přes PGP byla snadná pro kohokoli na světě. Opět lze zvolit variantu s více klíči, z nichž jeden vystavíte a druhý rozdáte pouze některým partnerům.

Pokud chce Váš partner ověřit platnost Vašeho klíče (získaného z veřejného serveru nebo jinak) a nemáte možnost se setkat, může si např. telefonicky ověřit tzv. otisk prstu nebo-li fingerprint Vašeho klíče. Jde o kontrolní součet obsahu Vašeho klíče, který se ovšem nemění při podepisování Vašeho klíče jinou osobou. Je to hexadecimální číslo, které běžně uvádí na vizitkách a v podpisech e-mailu.

E-shop | RSS | QR kód | Tisk | Hledání
SKYFON