Текст книги "Анонимность и безопасность в Интернете. От «чайника» к пользователю"

В главе 2 было показано, как настроить почтовый клиент на использование Tor. В этом случае вы получаете не только шифрование почтового трафика, но и анонимность – почтовый сервер не узнает ваш IP-адрес.

Настройка почтового клиента – дело несложное, достаточно в качестве прокси указать узел localhost и порт 9050. Относительная простота настройки – это единственное преимущество. А теперь начинаются недостатки использования почты через Tor:

✓ с получением почты у вас проблем не будет. А вот с отправкой проблемы могут возникнуть. Ведь при выходе в Tor происходит замена IP-адреса на некий непредсказуемый. При этом может оказаться, что с данного IP-адреса кто-либо рассылал спам, в результате чего адрес занесен в список блокируемых, и отправить сообщение не получится. Бывает также, что сервер может ограничивать отправку почты с определенного диапазона IP-адресов, – например, запретить отправку почты всем узлам, находящимся за пределами России. И если ваш IP-адрес будет принадлежать, скажем, Франции, то с отправкой тоже возникнут проблемы;

✓ выходящий Tor-узел может перехватить ваши пароли к почтовым ящикам. Это тоже следует учитывать. Ведь Tor-узлы могут быть созданы не только волонтерами, но и злоумышленниками. От перехвата пароля можно уберечься, если использовать SSL/TLS-соединения, работающие поверх Tor. Реализовать такой режим очень просто – в настройках почтового клиента вы указываете, что будете использовать безопасные соединения, а в качестве прокси-сервера вводите параметры Tor (localhost:9050);

✓ не все почтовые клиенты позволяют явно указать прокси-сервер. Приходится указывать общесистемные параметры прокси-сервера, что не всегда удобно – ведь в 99 % случаев не нужно торифицировать весь трафик. Проще сменить почтовый клиент.

Если первые два способа практически не требовали во что-либо вникать: указал параметры прокси-сервера, изменил настройки почтовой программы, и на этом все, то здесь начинается высшая математика. Еще бы – сейчас мы рассмотрим криптографию с открытым ключом. И не беспокойтесь – я попробую изложить этот вопрос максимально доступно, дабы все читатели смогли воспользоваться моими рекомендациями на практике.

Прежде всего, вам нужно создать два ключа: открытый (публичный, public key) и закрытый (приватный, личный, private key). Как это сделать? Разберемся чуть позже, а пока читайте дальше.

Открытый ключ надо разместить в открытых источниках – например, на вашем сайте или в блоге в разделе контактной информации. Закрытый – тайна за семью печатями, его нельзя кому-либо сообщать или где-нибудь публиковать.

Представим, что Вася Пупкин собирается отправить вам сообщение, но при этом желает зашифровать его так, чтобы расшифровать сообщение смогли только вы. Для этого он берет ваш публичный ключ и шифрует сообщение с его помощью. После чего отправляет зашифрованное публичным ключом сообщение вам.

Вы получаете сообщение в зашифрованном виде и для его расшифровки используете свой приватный (закрытый) ключ. Теперь вы поняли, почему приватный ключ нужно хранить как зеницу ока? Ведь если он попадет кому-то чужому, тот сможет прочитать адресованные вам зашифрованные сообщения.

Ключи также можно использовать для электронной подписи ваших сообщений – чтобы получатель мог точно убедиться, что сообщение было послано именно вами, а не злоумышленником от вашего имени.

Итак, с помощью криптографии с открытым ключом мы решаем сразу несколько проблем:

✓ подписываем свои сообщения электронной подписью, и получатель сможет убедиться, что сообщение отправили именно вы, а не кто-то другой;

✓ шифруем отправляемые сообщения так, что расшифровать их сможет только адресат;

✓ получаем зашифрованные сообщения, написанные другими пользователями с использованием нашего открытого ключа;

✓ нам нет нужды заботиться о поддержке почтовым сервером безопасных соединений. Если таковые поддерживаются, их можно использовать в качестве дополнительной защиты, а если нет, то криптография с открытым ключом – чуть ли не единственный способ передачи зашифрованных сообщений;

✓ даже если кто-то перехватит ваше сообщение (не важно где – или по пути на сервер, или на самом сервере), прочитать он его не сможет, поскольку у него нет вашего приватного ключа.

Итак, криптография с открытым ключом – самый надежный способ защиты корреспонденции. Но есть в нем и некоторое неудобство. В частности все ваши адресаты должны тоже создать ключи, необходимые для шифрования и расшифровки сообщений, и пользоваться ими в переписке постоянно, иначе никакого толку не будет. Судите сами – вы отправляете сообщение с шифрованием, а вам отвечают без шифрования, да еще и с цитированием. В результате вся переписка видна невооруженным глазом…

Можно комбинировать все три способа: использовать криптографию, безопасные соединения и Tor. Впрочем, последний пригодится, если вам нужно не только шифрование, но и анонимность. Поскольку первый и третий способы не подразумевают смену IP-адреса, в отсутствие Tor сообщения будут ходить зашифрованными, но будет видно, кто их получает и кто отправляет.

Ну, хватит теории, пора приступить к практической реализации описанных способов защиты почтовых отправлений.

Выберите сервер, поддерживающий безопасные соединения. Помня о «плохом админе», не стоит выбирать локальный корпоративный сервер или почтовик провайдера. Лично я использую cервис Mail.ru, и мне его вполне достаточно (алгоритм шифрования RSA с ключом 2048 битов). Осталось только настроить почтовый клиент.

Начну с The Bat! – моего любимого почтового клиента для Windows.

Примечание

Я понимаю, что использовать в таком режиме The Bat! не вполне не рационально – ведь код этой программы закрыт. И хотя 100-процентную гарантию никто дать не может, "черных дыр" в ней, вроде бы, не замечено.

Из меню Ящик выберите команду Новый почтовый ящик. Введите название создаваемого почтового ящика и нажмите кнопку Далее (рис. 5.1).

Далее введите ваш e-mail и название организации, если настраиваете рабочий электронный адрес (рис. 5.2).

Далее в качестве сервера для получения почты укажите pop.mail.ru, в качестве SMTP-сервера (отправка почты): smtp.mail.ru. Установите флажок Мой сервер SMTP требует аутентификации. В общем, все параметры следует установить, как показано на рис. 5.3.

Рис. 5.1. Создание нового почтового ящика в The Bat!

Рис. 5.2. Вводим реквизиты e-mail

Рис. 5.3. Параметры серверов для Mail.ru

Рис. 5.4. Имя пользователя и пароль для доступа к почтовому ящику

Рис. 5.5. Нужно проверить остальные параметры почтового ящика

Рис. 5.6. Теперь ваш почтовый ящик использует безопасные соединения

Укажите имя пользователя и пароль для доступа к почтовому ящику (рис. 5.4).

Вы только что создали самый обычный ящик, который не использует безопасные соединения, поэтому укажите программе, что хотите проверить остальные параметры почтового ящика (рис. 5.5).

В открывшемся окне перейдите в раздел Транспорт и измените параметры соединения. В качестве обоих параметров Соединение (в группахОтправка почты и Получение почты) выберите значение Безопасное на спец. порт (TLS). В качестве номеров портов укажите 465 и 995 соответственно (рис. 5.6).

Примечание

В руководстве по настройке The Bat! от Mail.Ru (см. http://help.mail.ru/mail-help/mailer/tb) предлагается использовать соединение Безопасное на станд. порт (STARTTLS). Однако я рекомендую выбрать соединение на специальный порт. Во-первых, соединение STARTTLS использует стандартные порты 25 (отправка) и 110 (получение почты), но эти порты часто бывают перегруженными. А после того, как я перешел на специальные порты, у меня пропали проблемы с отправкой и получением почты. Во-вторых, стандартные порты чаще всего прослушиваются злоумышленниками. Специальные же порты прослушиваются реже.

Жаль, что сервер Mail.Ru не поддерживает безопасную аутентификацию при отправке/получении почты – тогда можно было бы точно спать спокойно и даже не прибегать к использованию Tor. Впрочем, в 90 % случаев безопасного TLS-соединения для обычного пользователя вполне достаточно.

Теперь рассмотрим настройку другой программы – Mozilla Thunderbird. Эту программу использовать предпочтительнее по двум причинам. Во-первых, Thunderbird – это открытое программное обеспечение, и в нем точно нет «черного хода» (подробнее об этом мы поговорим в главе 12). Во-вторых, в настройках Thunderbird можно явно установить имя прокси-сервера, что позволит легко «подружить» эту программу с Tor, что и было показано в главе 2.

Примечание

Кстати, в настройках The Bat! я не нашел возможности установки прокси-сервера. Приходится устанавливать общесистемный прокси, а это не очень удобно, поскольку тогда все программы с настройками по умолчанию станут использовать Tor, что нужно не всегда – ведь анонимность требуется при работе не со всеми сетевыми приложениями, да и создадут такие настройки ненужную нагрузку на сеть Tor.

Так что, если вы планируете использовать безопасные соединения вместе с Tor, лучше установите Thunderbird. The Bat! же кажется более удобной только тем, кто несколько лет с ней работал, – просто дело привычки.

Итак, выберите в Thunderbird команду Файл | Создать | Учетную запись. В открывшемся окне выберите Учетная запись электронной почты (рис. 5.7). Затем введите свое имя и адрес электронной почты (рис. 5.8).

Следующие два шага – это ввод сервера получения почты (рис. 5.9) и имени пользователя (рис. 5.10). Пароль к почтовому ящику на данном этапе не вводится.

Рис. 5.7. Создание новой учетной записи

Рис. 5.8. Имя и адрес электронной почты

Рис. 5.9. Сервер получения почты

Рис. 5.10. Имя пользователя

Следующий этап – ввод названия учетной записи. Обычно оно совпадает с адресом электронной почты, но можно ввести любой другой текст. После этого вы увидите сводку параметров для созданной учетной записи. Нажмите в этом окне кнопку Готово. Далее программа запросит пароль для доступа к почте (рис. 5.11).

Теперь выберите команду Инструменты | Параметры учетной записи. В открывшемся окне перейдите к вашей учетной записи, а затем в раздел Параметры сервера. Установите порт 995 и выберите соединение TLS (рис. 5.12).

Рис. 5.11. Пароль для доступа к почте

Рис. 5.12. Настройка безопасного соединения в Thunderbird

Рис. 5.13. Раздел Сервер исходящей почты (SMTP)

Рис. 5.14. Параметры SMTP-сервера

Но это еще не все – перейдите в раздел Сервер исходящей почты (SMTP). Из рис. 5.13 видно, что уже добавлен один SMTP-сервер, он же используется по умолчанию. Нажмите кнопку Изменить. В открывшемся окне установите параметры так, как показано на рис. 5.14, – то есть мы включаем TLS и прописываем номер порта 465.

Если у вас еще вовсе не добавлены SMTP-серверы, то в разделе Сервер исходящей почты (SMTP) нажмите кнопку Добавить. Откроется окно, аналогичное изображенному на рис. 5.14. Установите в нем параметры так, как показано на рис. 5.14.

О настройке почты в других почтовых клиентах (Outlook, Outlook Express, Windows Live Mail) вы можете прочитать по адресу: http://help.mail.ru/mail-help/faq/mailer.

В главе 2 было показано, как настроить почтовый клиент Thunderbird на работу с Tor. Но такая возможность есть не у всех почтовых клиентов. Если ваш почтовый клиент позволяет устанавливать параметры прокси-сервера, установите их так:

✓ адрес прокси-сервера – localhost или 127.0.0.1;

✓ порт прокси – 9050;

✓ тип прокси – SOCKS5.

После этого ваш почтовый трафик будет зашифрован и анонимизирован. Для большей защиты рекомендуется использовать Tor вместе с безопасными соединениями. Тогда Tor будет шифровать и анонимизировать уже зашифрованный безопасным соединением трафик. Получится двойное шифрование, что не может не радовать.

Примечание

Еще раз хочу отметить, что из-за смены IP-адреса при отправке почты через Tor возможны проблемы. С получением почты в 99 % случаев проблем возникнуть не должно.

Настало время реализовать теорию, изложенную ранее, на практике. Первым делом вам нужно сгенерировать пару ключей. В каждом почтовом клиенте это действие осуществляется по-разному (а в некоторых вообще нет поддержки криптографии), поэтому процесс шифрования сообщений мы рассмотрим на примере The Bat!

Эта программа выбрана не случайно – она оснащена встроенным модулем PGP. Система PGP (Pretty Good Privacy) применяется для защиты ваших сообщений от несанкционированного чтения и/или модификации. Чтобы использовать PGP в других почтовых клиентах необходимо скачать непосредственно саму PGP с www.pgp.com и установить ее на свой компьютер, а затем (все зависит от почтового клиента) – или установить переменную окружения PGPPATH, или прописать в настройках почтовой программы путь к каталогу, в который вы установили PGP.

С The Bat! как уже отмечено, все проще – она обладает встроенной PGP. Итак, приступим. Выберите команду Свойства | OpenPGP | Управление ключами OpenPGP. Откроется окно мастера создания ключей OpenPGP (рис. 5.15). Просто нажмите кнопку Далее.

Укажите свое имя и адрес электронной почты, которые будут использоваться в паре ключей (рис. 5.16).

Рис. 5.15. Мастер создания ключей OpenPGP

Рис. 5.16. Имя и адрес электронной почты пользователя

Затем мастер предложит вам выбрать длину ключей (рис. 5.17). Ключи длиной менее 768 битов считаются ненадежными, и их выбирать не стоит. Лучше использовать ключи длиной 1024 или 2048 битов. Ключи же нестандартной длины (из поля По выбору) могут быть неправильно восприняты некоторыми почтовыми программами, и их также не стоит выбирать. Программа рекомендует использовать длину ключа 1024 бита, но, учитывая современные возможности компьютеров, рекомендую установить длину 2048 битов. Если кто-либо попытается расшифровать зашифрованное таким ключом сообщение, ему (точнее, его компьютеру) придется изрядно потрудиться.

Рис. 5.17. Выбор длины ключа (значение, рекомендуемое программой)

Следующий шаг – установка срока действия ключа. По истечении срока действия вы больше не сможете использовать ключ для шифрования или создания подписи, поэтому вам придется создать новый ключ. Однако просроченный ключ может расшифровывать письма и проверять подпись. Рекомендуется менять ключи хотя бы раз в год, иногда даже чаще. Впрочем, при желании можно создать «вечный» ключ, выбрав опцию Без ограничения срока (рис. 5.18).

Рис. 5.18. Срок действия ключа

Теперь придумайте и введите пароль, которым будет зашифрован ваш личный ключ (рис. 5.19). Пароль должен быть сложным, но в то же время таким, чтобы вы могли его помнить. Подробно о создании хорошего пароля мы поговорим в главе 8, а пока лишь скажу, что пароль должен состоять как минимум из 8 символов и, кроме букв разного регистра, содержать цифры, знаки препинания и другие неалфавитные символы. Вот пример хорошего пароля: Uni_RoY_a91_l.

Рис. 5.19. Установка пароля для ключа

Установив пароль, нажмите кнопку Далее и немного (пару секунд) подождите, пока программа сгенерирует ключ нужной длины и отобразит сообщение о том, что пара ключей создана (рис. 5.20). Нажмите кнопку Готово. Теперь вы можете принимать зашифрованные письма и подписывать исходящие сообщения.

Рис. 5.20. Пара ключей создана

Созданный ключ будет отображен в окне Управление ключами OpenPGP (рис. 5.21). Обратите внимание – возле него имеется пиктограмма с изображением двух ключей, что означает, что это наша пара ключей: приватный и публичный. А вот у ключа от Ritlabs имеется изображение только одного ключа – это добавленный разработчиками The Bat! публичный ключ Ritlabs.

Рис. 5.21. Окно Управление ключами OpenPGP

Теперь начинается самое интересное. Щелкните на вашей паре ключей правой кнопкой мыши и выберите команду Экспорт. Вас попросят ввести имя файла, в который будут экспортированы ключи. Введите любое имя несуществующего файла. Затем программа спросит, нужно ли экспортировать личный ключ. Как правило, этого делать не нужно. Разве что вы использовали The Bat! лишь для создания пары ключей, а сами ключи нужны для работы в другой программе.

После этого в указанном вами файле появится ваш публичный (и личный, если вы выбрали и его экспорт) ключ. Примерное содержимое файла будет напоминать содержимое листинга 5.1. Это не мой публичный ключ, так что не нужно пытаться отправить мне зашифрованное этим ключом сообщение.

Ваш публичный ключ вы можете разослать всем, с кем собираетесь общаться, по электронной почте, по ICQ, выложить на своем сайте или на страничке в социальной сети. Публичный ключ должны знать все, с кем необходима конфиденциальная переписка.

Свой личный ключ вы должны хранить в секрете, поскольку он используется для расшифровки сообщений, зашифрованных с помощью вашего публичного ключа.

После публикации вашего публичного ключа вам только остается ждать зашифрованных сообщений.

Теперь научимся отправлять подписанные сообщения. Создайте новое сообщение. Из меню Криптография и безопасность (рис. 5.22) выберите команду Авто – OpenPGP, затем команду Авто – S/MIME для отключения системы криптографии S/MIME (чтобы снять флажок у этой опции). По умолчанию программа настроена на S/MIME, поэтому нужно переключиться на OpenPGP, что мы и сделали.

Рис. 5.22. Меню Криптография и безопасность

Затем выполните команду По умолчанию и в открывшемся окне установите использование OpenPGP по умолчанию (рис. 5.23).

Рис. 5.23. Свойства почтового ящика

Пока вы не закрыли окно с настройками, объясню, для чего используются следующие параметры, относящиеся к безопасности:

✓ Подписать перед отправкой – каждое ваше письмо будет подписано, чтобы получатель мог убедиться, что его написали действительно вы. Если большинство ваших друзей использует PGP, можете включить этот параметр, чтобы вручную не подписывать каждое письмо;

✓ Зашифровать перед отправкой – письмо будет зашифровано с использованием электронного публичного ключа адресата. Этот параметр не нужно включать, иначе программа будет искать ключ для каждого адресата, но, как показывает практика, зашифрованная переписка ведется с 2–3 адресатами, остальные криптографию не используют, поэтому и шифровать каждое сообщение не нужно.

Вернемся в меню Криптография и безопасность. Для подписи вашего письма выберите команду Подписать перед отправкой. А если желаете отправить зашифрованное сообщение, то выберите команду Зашифровать перед отправкой. При этом у вас должен быть публичный ключ человека, которому вы будете отправлять зашифрованное сообщение.

Из подменю OpenPGP (см. рис. 5.22) можно выбрать дополнительные опции подписи и шифрования:

✓ Подписать блок – будет подписан фрагмент письма;

✓ Подписать весь текст – будет подписано все письмо;

✓ Зашифровать весь текст – весь текст письма будет зашифрован;

✓ Подписать и зашифровать весь текст – название команды, надеюсь, не нуждается в комментариях.

Все. Осталось только нажать кнопку Отправить. Если вы выбрали команду Зашифровать перед отправкой, но публичный ключ адресата не установлен, вы увидите вот такое окошко (рис. 5.24).

Рис. 5.24. Отсутствует публичный ключ…

Что делать, надеюсь, вы уже догадались. Из меню OpenPGP выберите команду Управление ключами OpenPGP. Затем в открывшемся окне выберите команду Ключи | Импорт и укажите файл с публичным ключом вашего адресата. Где его взять? Можно попросить, чтобы он его сгенерировал специально для вас, или же просмотрите его сайт, блог, страничку в социальной сети – возможно публичный ключ уже ждет вас. Очень важно, чтобы ключ вашего адресата не устарел, иначе даже при его наличии все равно отправить зашифрованное сообщение не получится.

Мы рассмотрели встроенную в The Bat! систему OpenPGP. Однако почтовые программы часто поддерживают и другую систему криптографии – S/MIME. Если быть предельно точным, то S/MIME используется не для шифрования, а для цифровой подписи сообщения электронной почты. По адресу: http://ht.ua/pub/77116.html вы сможете познакомиться с S/MIME и узнать, как подписывать с ее помощью сообщения (на примере почтового клиента Outlook Express).