Autoapărarea pe e-mail

Luptăm pentru drepturile utilizatorilor de calculatoare și promovăm dezvoltarea de software liber. Rezistența împotriva supravegherii în masă este foarte importantă pentru noi.

Dorim să promovăm intens unelte ca aceasta, în persoană și pe Internet, ca să ajutăm cât mai mulți oameni să facă primul pas spre folosirea de software liber ca să-și protejeze intimitatea. Puteți să faceți o donație sau să deveniți membru pentru a ne ajuta să atingem acest scop?

Supravegherea în masă ne încalcă drepturile fundamentale și face riscantă exprimarea liberă. Prezentul ghid vă va învăța o deprindere de bază în autoapărarea de supraveghere: criptarea e-mailului. După parcurgere, veți putea trimite și primi e-mailuri care sunt cifrate ca să garanteze că un agent de supraveghere sau un hoț care vă interceptează mesajele nu le pot citi. Aveți nevoie doar de un calculator conectat la Internet, de un cont de e-mail și de circa o jumătate de oră.

Chiar dacă nu aveți nimic de ascuns, folosind criptarea protejați intimitatea celor cu care comunicați și perturbați sistemele de supraveghere în masă. Dacă aveți ceva important de ascuns, nu sunteți singurul; acestea sunt uneltele pe care le-a folosit Edward Snowden ca să distribuie faimoasele lui secrete despre NSA.

Pe lângă folosirea criptării, opoziția la supraveghere necesită lupta politică pentru reducerea volumului de date colectate despre noi (link în engleză), dar primul pas esențial este să vă apărați propria persoană și să faceți cât mai dificilă supravegherea corespondenței dumneavoastră. Să începem!

#1 Obțineți componentele

Acest ghid se bazează pe software cu licență liberă; este complet transparent și oricine îl poate copia sau își poate crea propria versiune. Aceste calități îl fac mai sigur contra supravegherii decât software-ul neliber (ca Windows). Aflați mai multe despre software-ul liber la fsf.org.

Majoritatea sistemelor de operare GNU/Linux vin cu GnuPG deja instalat, deci nu va trebui să îl descărcați. Totuși, înainte de a configura GnuPG, veți avea nevoie să instalați un program de e-mail pentru desktop pe calculatorul dumneavoastră. Majoritatea distribuțiilor de GNU/Linux au o versiune liberă a clientului de e-mail Thunderbird disponibilă pentru instalare. Acest ghid va funcționa și cu acestea, ca și cu Thunderbird. Programele acestea sunt un alt mod de a accesa aceleași conturi de e-mail din browser (ca Gmail), dar vă oferă funcții în plus.

Dacă aveți deja un astfel de program, puteți trece la Pasul 1.b.

Pasul 1.a Configurați clientul de e-mail pentru contul dumneavoastră de e-mail (dacă este nevoie)

Deschideți clientul de e-mail și urmați wizardul care configurează programul cu contul dumneavoastră de e-mail.

Depanare

Ce este un wizard?: Un wizard este o succesiune de ferestre care apar pe ecran pentru a simplifica o activitate, cum ar fi instalarea unui program. Dați clic prin el, alegând opțiuni pe parcurs.
Programul meu de e-mail nu îmi poate găsi contul sau nu îmi descarcă mesajele.: Înainte de a căuta pe Web, vă recomandăm să începeți prin a întreba alți oameni care folosesc sistemul dumneavoastră de e-mail, pentru a găsi setările corecte.
Nu găsiți o soluție la problema dumneavoastră?: Vă rugăm să ne dați de veste pe pagina de păreri.

Pasul 1.b Instalați extensia Enigmail pentru programul de e-mail

Din meniul programului de e-mail, selectați Suplimente (este posibil să fie în secțiunea Unelte). Asigurați-vă că Extensii este selectat în stânga. Vedeți Enigmail? Dacă da, treceți la pasul următor.

Dacă nu, căutați „Enigmail” în cutia de căutare din dreapta-sus. De aici vă puteți descurca. Reporniți programul de e-mail când terminați.

Depanare

Nu găsesc meniul.: În multe programe recente de e-mail, meniul principal este reprezentat printr-o imagine cu trei linii orizontale.
Nu găsiți o soluție la problema dumneavoastră?: Vă rugăm să ne dați de veste pe pagina de păreri.

#2 Generați-vă cheile

Pentru a folosi sistemul GnuPG, veți avea nevoie de o cheie publică și de o cheie privată (cunoscute împreună ca „pereche de chei”). Fiecare este un șir lung de cifre și litere generate aleator care sunt unice pentru dumneavoastră. Cheia dumneavoastră publică și cea privată sunt legate una de alta printr-o funcție matematică specială.

Cheia publică nu seamănă cu o cheie fizică, deoarece este păstrată la vedere într-un registru pe Internet numit keyserver. Oamenii o descarcă și o folosesc, împreună cu GnuPG, pentru a cripta mesajele pe care vi le trimit. Vă puteți gândi la keyserver ca la o carte de telefoane, în care oamenii care doresc să vă trimită un e-mail criptat vă caută cheia publică.

Cheia privată seamănă cu o cheie fizică, deoarece o păstrați pentru dumneavoastră (pe calculatorul personal). Folosiți GnuPG și cheia privată pentru a descifra mesajele criptate pe care vi le trimit alți oameni.

Pasul 2.a Generați o pereche de chei

În meniul programului dumneavoastră de e-mail, selectați OpenPGP → Setup Wizard. Nu este necesar să citiți textul ferestrei care apare dacă nu doriți, dar este bine să citiți textul de pe următoarele ecranele ale wizardului.

Pe al doilea ecran, intitulat „Semnare”, alegeți „Nu, vreau să creez reguli per destinatar pentru e-mailurile care trebuie semnate.”

Folosiți opțiunile implicite până ajungeți la ecranul intitulat „Creează cheia”.

Pe ecranul intitulat „Creează cheia”, alegeți o parolă puternică! Parola dumneavoastră ar trebui să aibă cel puțin 12 caractere și să includă cel puțin o literă mică și o literă mare și cel puțin o cifră sau un semn de punctuație. Nu uitați parola sau tot acest efort va fi irosit!

Veți aștepta până să se termine următorul pas, ecranul „Crearea cheii”. În timp ce așteptați, faceți altceva la calculator, cum ar fi să vedeți un film sau să navigați pe Web. Cu cât folosiți mai mult calculatorul în această fază, cu atât crearea cheii se va finaliza mai repede.

Când apare ecranul de confirmare OpenPGP, alegeți „Generează certificat” și alegeți să îl salvați într-un loc sigur pe calculatorul dumneavoastră (vă recomandăm să creați un director numit „Certificat de revocare” în directorul dumneavoastră „Acasă” și să îl păstrați acolo). Veți învăța mai multe despre certificatul de revocare în Secțiunea 5. Wizardul de configurare vă va cere să îl mutați pe un dispozitiv extern, dar momentan nu este necesar.

Depanare

Nu găsesc meniul OpenPGP.: În multe programe recente de e-mail, meniul principal este reprezentat printr-o imagine cu trei linii orizontale. OpenPGP poate fi într-o secțiune numită Unelte.
Wizardul spune că nu poate găsi GnuPG.: Deschideți orice program folosiți de obicei pentru a instala software, căutați GnuPG, apoi instalați-l. Apoi reporniți wizardul de configurare al lui Enigmail mergând la OpenPGP → Setup Wizard.
Nu găsiți o soluție la problema dumneavoastră?: Vă rugăm să ne dați de veste pe pagina de păreri.

Pasul 2.b Încărcați-vă cheia publică pe un keyserver

În meniul programului dumneavoastră de e-mail, selectați OpenPGP → Key Management.

Dați clic dreapta pe cheie și selectați Upload Public Keys to Keyserver. Folosiți keyserverul implicit în pop-up.

Acum cineva care dorește să vă trimită un mesaj criptat poate să descarce de pe Internet cheia dumneavoastră publică. Puteți selecta diverse keyservere în meniu când faceți încărcarea, dar toate sunt copii identice, deci nu contează pe care îl folosiți. Totuși, uneori durează câteva ore până la concordanță când o cheie nouă este încărcată.

Depanare

Bara de progres nu termină niciodată: Închideți pop-upul de încărcare, asigurați-vă că sunteți conectat(ă) la Internet și încercați din nou. Dacă tot nu merge, încercați din nou, selectând un alt keyserver.
Cheia mea nu apare în listă: Încercați să bifați Show Default Keys.
Nu găsiți o soluție la problema dumneavoastră?: Vă rugăm să ne dați de veste pe pagina de păreri.

GnuPG, OpenPGP, poftim?

Folosiți un program numit GnuPG, dar meniul din programul de e-mail se numește OpenPGP. Derutant, nu-i așa? În general, termenii GnuPG, GPG, GNU Privacy Guard, OpenPGP and PGP sunt folosiți alternativ, deși fiecare are un sens ușor diferit.

#3 Faceți o probă!

Acum veți încerca o corespondență de test cu un program de calculator numit Edward, care știe să folosească criptarea. Dacă nu se specifică altfel, aceștia sunt exact pașii pe care îi veți urma când corespondați cu o persoană reală.

Pasul 3.a Trimiteți-i lui Edward cheia dumneavoastră publică

Acesta este un pas special pe care nu va trebui să-l faceți când veți coresponda cu oameni reali. În meniul programului dumneavoastră de e-mail, accesați OpenPGP → Key Management. Ar trebui să vă vedeți cheia în lista care apare. Dați clic dreapta pe cheia dumneavoastră și selectați Send Public Keys by Email. Aceasta va crea o ciornă de mesaj, ca și cum ați fi apăsat butonul Scrie.

Adresați mesajul către edward-ro@fsf.org. Puneți cel puțin un cuvânt (orice doriți) în subiectul și în conținutul mesajului, apoi apăsați „trimite”.

Poate dura două sau trei minute ca Edward să răspundă. Între timp, poate doriți să săriți înainte și să citiți secțiunea Folosiți-o bine a acestui ghid. După ce el a răspuns, mergeți la pasul următor. De aici înainte, veți face exact același lucru ca și când veți coresponda cu o persoană reală.

Pasul 3.b Trimiteți un e-mail criptat de test

Scrieți un e-mail nou în programul dumneavoastră de e-mail, adresat către edward-ro@fsf.org. Puneți subiectul „Test de criptare” sau ceva similar și scrieți ceva în conținut. Nu îl trimiteți încă.

Dați clic pe iconița cu cheie în partea de jos-dreapta a ferestrei de compunere (ar trebui să se îngălbenească). Aceasta îi spune lui Enigmail să cripteze e-mailul cu cheia pe care ați descărcat-o la ultimul pas.

Lângă cheie, veți observa o iconiță cu un creion. Dacă dați clic pe ea, îi spuneți lui Enigmail să adauge o semnătură specială, unică la mesajul dumneavoastră, generată cu cheia dumneavoastră privată. Aceasta este o funcție separată de criptare și nu trebuie să o folosiți pentru acest ghid.

Apăsați pe Trimite. Enigmail va deschide o fereastră care spune „Destinatari nevalabili, care nu sunt de încredere sau nu sunt găsiți”.

Pentru a cripta un e-mail către Edward, aveți nevoie de cheia lui publică, deci acum îi veți cere lui Enigmail să o descarce dintr-un keyserver. Dați clic pe Download Missing Keys și folosiți valoarea implicită în pop-upul care vă cere să alegeți un keyserver. Când găsește chei, selectați-o pe prima (Key ID 4C11BBB2), apoi selectați Ok. Selectați Ok în pop-upul următor.

Acum ați revenit la ecranul „Destinatari nevalabili, care nu sunt de încredere sau nu sunt găsiți”. Alegeți cheia lui Edward din listă și dați clic pe Ok. Dacă mesajul nu este trimis automat, puteți apăsa Trimite acum.

Depanare

Enigmail nu poate găsi cheia lui Edward: Închideți pop-upurile care au apărut de când ați dat clic. Asigurați-vă că sunteți conectat(ă) la internet și încercați din nou. Dacă nu merge, repetați procesul, selectând un keyserver diferit când vi se cere să alegeți unul.
Nu găsiți o soluție la problema dumneavoastră?: Vă rugăm să ne dați de veste pe pagina de păreri.

Important: Sfaturi de securitate

Chiar dacă ați criptat e-mailul, linia cu subiectul nu este criptată, deci nu puneți informații private acolo. Nici adresa expeditorului și a destinatarului nu sunt criptate, deci ar putea fi citite de un sistem de supraveghere. Când trimiteți fișiere atașate, Enigmail vă permite să le criptați dacă doriți.

Este o practică bună și să dați clic pe iconița cu cheie în fereastra de compunere a e-mailului înainte să începeți să scrieți. Altfel, clientul dumneavoastră de e-mail ar putea salva o copie necriptată pe serverul de e-mail, expunând-o potențial spionajului.

Pasul 3.c Primiți un răspuns

Când Edward va primi e-mailul dumneavoastră, el își va folosi cheia privată pentru a-l decripta, apoi va obține cheia dumneavoastră publică de pe un keyserver și o va folosi pentru a cripta un răspuns către dumneavoastră.

De vreme ce ați criptat acest e-mail cu cheia publică a lui Edward, cheia privată a lui Edward este necesară pentru a-l decripta. Edward este singurul care are cheia lui privată, deci nimeni în afară de el — nici măcar dumneavoastră — nu-l puteți decripta.

Poate dura două sau trei minute ca Edward să răspundă. Între timp, poate doriți să săriți înainte și să citiți secțiunea Folosiți-o bine a acestui ghid.

Când primiți e-mailul lui Edward și îl deschideți, Enigmail va detecta automat că este criptat cu cheia dumneavoastră publică, apoi va folosi cheia dumneavoastră privată pentru a-l decripta.

Remarcați bara pe care Enigmail v-o arată deasupra mesajului, cu informații despre starea cheii lui Edward.

#4 Învățați despre The Web of Trust

Criptarea e-mailului este o tehnologie puternică, dar are o slăbiciune; ea necesită un mod de a verifica dacă cheia publică a unei persoane este într-adevăr a ei. Altfel, nimic nu l-ar putea opri pe un atacator să creeze o adresă de e-mail cu numele prietenului dumneavoastră, să creeze chei pentru ea și să se dea drept prietenul dumneavoastră. De aceea, programatorii de software care au dezvoltat criptarea e-mailului au creat semnarea cheilor și The Web of Trust („Rețeaua încrederii”).

Când semnați cheia cuiva, afirmați public că aveți încredere că aceasta îi aparține lui și nu unui impostor. Oamenii care folosesc cheia dumneavoastră publică pot vedea câte semnături are. După ce veți fi folosit GnuPG vreme îndelungată, puteți avea sute de semnături. The Web of Trust este constelația tuturor utilizatorilor de GnuPG, conectați între ei prin lanțuri de încredere exprimate prin semnături, care formează o rețea gigantică. Cu cât o cheie are mai multe semnături și cu cât mai multe semnături au cheile semnatarilor ei, cu atât acea cheie este mai demnă de încredere.

Cheile publice ale oamenilor sunt identificate de obicei prin amprenta cheii, care este un șir de cifre ca DD878C06E8C2BEDDD4A440D3E573346992AB3FF7 (pentru cheia lui Edward). Puteți vedea amprenta pentru cheia dumneavoastră publică și pentru alte chei publice salvate pe calculatorul dumneavoastră accesând OpenPGP → Key Management în meniul programului dumneavoastră de e-mail, apoi dând clic dreapta pe cheie și selectând Key Properties. Este o practică bună să distribuiți amprenta de câte ori distribuiți adresa de e-mail, pentru ca oamenii să se poată asigura că au cheia publică corectă când o descarcă pe a dumneavoastră de pe un keyserver.

Puteți întâlni și chei publice menționate prin ID-ul cheii, care constă din ultimele 8 cifre ale amprentei, cum ar fi 4C11BBB2 pentru Edward. ID-ul cheii este vizibil direct din fereastra Key Management. Acest ID al cheii este ca prenumele unei persoane (este o scurtătură utilă, dar nu este neapărat specific unei chei date), pe când amprenta chiar identifică cheia în mod unic fără posibilitate de confuzie. Dacă aveți numai ID-ul cheii, puteți să căutați cheia (ca și amprenta sa), cum ați procedat la Pasul 3, dar, dacă apar mai multe opțiuni, veți avea nevoie de amprenta persoanei cu care încercați să comunicați pentru a verifica pe care să o folosiți.

Pasul 4.a Semnați o cheie

În meniul programului dumneavoastră de e-mail, mergeți la OpenPGP → Key Management.

Dați clic dreapta pe cheia publică a lui Edward și selectați Sign Key din meniul contextual.

În fereastra care apare, selectați „Nu voi răspunde” și dați clic pe Ok.

În meniul programului dumneavoastră de e-mail, mergeți la OpenPGP → Key Management → Keyserver → Upload Public Keys și apăsați Ok.

Efectiv, ați spus „Am încredere că cheia publică a lui Edward chiar îi aparține lui Edward”. Aceasta nu înseamnă prea mult, deoarece Edward nu este o persoană reală, dar este o practică bună.

Important: verificați actul de identitate al oamenilor înainte să le semnați cheile

Înainte de a semna cheia unei persoane reale, întotdeauna asigurați-vă că într-adevăr îi aparține și că persoana este cine susține că este. Cereți-i să vă arate actul de identitate (în afară de cazul când aveți mare încredere în persoană) și amprenta cheii publice -- nu doar ID-ul mai scurt al cheii, care s-ar putea referi și la o altă cheie. În Enigmail, răspundeți onest în fereastra care apare și vă întreabă „Cât de atent ați verificat că cheia pe care urmează să o semnați chiar aparține persoanei numite mai sus?”.

#5 Folosiți-o bine

Toată lumea folosește GnuPG puțin diferit, dar este important să urmați câteva practici de bază pentru a vă păstra e-mailul în siguranță. Dacă nu le urmați, periclitați intimitatea oamenilor cu care comunicați, ca și pe a dumneavoastră, și afectați The Web of Trust.

Când să criptez?

Cu cât mai des vă puteți cripta mesajele, cu atât mai bine. Dacă criptați e-mailuri doar ocazional, fiecare mesaj criptat poate fi un semnal de alarmă pentru sistemele de supraveghere. Dacă majoritatea e-mailului dumneavoastră este criptat, oamenii care fac supravegherea nu vor ști de unde să înceapă.

Aceasta nu înseamnă că, dacă criptați doar o parte din e-mailuri, nu este de folos -- este un început grozav și face supravegherea în masă mai dificilă.

Important: Fiți precaut cu cheile nevalabile

GnuPG face e-mailul mai sigur, dar este important să fiți atenți la cheile nevalabile, care ar putea să fi încăput pe mâini greșite. E-mailul criptat cu chei nevalabile ar putea fi citit de programele de supraveghere.

În programul dumneavoastră de e-mail, mergeți înapoi la al doilea e-mail pe care vi l-a trimis Edward. Deoarece Edward l-a criptat cu cheia dumneavoastră privată, va avea un mesaj de la OpenPGP la început, care probabil spune „OpenPGP: O parte din acest mesaj este criptat.”

Când folosiți GnuPG, obișnuiți-vă să vă uitați la acea bară. Programul vă va avertiza când primiți un e-mail criptat cu o cheie care nu este de încredere.

Copiați-vă certificatul de revocare într-un loc sigur

Vă amintiți când v-ați creat cheile și ați salvat certificatul de revocare pe care l-a produs GnuPG? Este vremea să copiați acel certificat pe cel mai sigur dispozitiv de stocare pe care îl aveți -- obiectul ideal este o memorie USB sau un disc dur stocat într-un loc sigur din casa dumneavoastră.

Dacă cheia dumneavoastră privată este vreodată pierdută sau furată, veți avea nevoie de acest certificat ca să anunțați lumea că nu mai folosiți acea pereche de chei.

Important: acționați rapid dacă cineva vă obține cheia privată

Dacă vă pierdeți cheia privată sau dacă altcineva o obține (să zicem furându-vă sau spărgându-vă calculatorul), este important să o revocați imediat înainte ca altcineva să o folosească pentru a vă citi e-mailul criptat. Acest ghid nu acoperă procedura de revocare a unei chei, dar puteți urma instrucțiunile de pe site-ul GnuPG. După ce ați revocat-o, trimiteți un e-mail către toată lumea cu care folosiți de obicei cheia ca să vă asigurați că au aflat.

#1 Obțineți componentele

Pasul 1.a Configurați clientul de e-mail pentru contul dumneavoastră de e-mail (dacă este nevoie)

Depanare

Pasul 1.b Instalați extensia Enigmail pentru programul de e-mail

Depanare

#2 Generați-vă cheile

Pasul 2.a Generați o pereche de chei

Depanare

Pasul 2.b Încărcați-vă cheia publică pe un keyserver

Depanare

GnuPG, OpenPGP, poftim?

#3 Faceți o probă!

Pasul 3.a Trimiteți-i lui Edward cheia dumneavoastră publică

Pasul 3.b Trimiteți un e-mail criptat de test

Depanare

Important: Sfaturi de securitate

Pasul 3.c Primiți un răspuns

#4 Învățați despre The Web of Trust

Pasul 4.a Semnați o cheie

Important: verificați actul de identitate al oamenilor înainte să le semnați cheile

#5 Folosiți-o bine

Când să criptez?

Important: Fiți precaut cu cheile nevalabile

Copiați-vă certificatul de revocare într-un loc sigur

Important: acționați rapid dacă cineva vă obține cheia privată

Dați clic aici când ați terminat