September 20, 2019
  • 6:30 pm Office 365 – Yksittäisten tai useiden käyttäjätilien luominen | Office 365 Admin Center & PowerShell
  • 10:09 pm Office 365 – Yhdistäminen tenanttiin PowerShellillä
  • 2:15 pm NameCheap – Kaupallisen SSL-sertifikaatin uusiminen
  • 9:48 pm Ubuntu Server 18.04.3 – Tietoturvapäivitysten automatisointi
  • 1:54 am Tuotantopalvelimen päivitys – Ubuntu Server 16.04 -> 18.04

Johdanto

Kuvaan tässä harjoituksessa, miten sähköpostiviestejä voi salata PGP-protokollalla suoraan Outlookissa (työpöytäversio). Alustavina vaatimuksina ovat GnuPG:n asentaminen, uuden henkilökohtaisen avainparin luominen ja vastaanottajan julkisen avaimen tuonti GnuPG:n avaintietokantaan:

GnuPG – Asennus, PGP-avainparien luonti ja hallinta | Windows 10


Lisäosan käyttöönotto

GnuPG:n asentamisen jälkeen, lisäosan pitäisi olla jo oletuksena käytössä. Asian voi kuitenkin tarkistaa navigoimalla Outlookissa seuraavasti: Tiedosto > Asetukset > Apuohjelmat.

Sieltä näen, että GpgOL on aktiivisena käytössä:

Jos se ei olisi ollut, olisin valinnut alavalikosta “Hallitse: COM-apuohjelmat” ja painanut “Siirry…

Täppä ruutuun “GpgOL – The GnuPG Outlook Plugin” ja sitten painaisin “OK“.


Viestin salaaminen ja allekirjoittaminen

Kirjoitin uuden viestin painamalla Outlookin ylävalikosta “Uusi sähköpostiviesti“.

Viesti-ikkunan valikkoon oli nyt lisäosan asentamisen jälkeen ilmestynyt uusi “Secure“-painike, jonka alavalikosta löytyivät vaihtoehdot “Sign” ja “Encrypt“.

Kirjoitin testiviestin ja valitsin itseni vastaanottajaksi. Sitten painoin ylävalikosta “Secure“-nappia, jolloin viesti sekä allekirjoitetaan että salataan. Painike muuttuu valittuna harmaaksi.

Viesti oli valmis, joten painoin “Lähetä“.

Viestin allekirjoittaminen vaati yksityisen avaimeni salasanan, joten syötin sen:

Viesti lähetettiin ja se saapui postilaatikkooni. Avasin viestin, ja se oli selvätekstisessä muodossa.

Tämä johtui siitä, että varmenteeni luottamustaso on GnuPG:n avaintietokannassa äärimmäinen ja lähetin viestin itselleni. Yksityinen avain löytyi siis tietokannasta.

Seuraavaksi kokeilin lähettää viestin samanlaisen viestin toiseen sähköpostiosoitteeseeni. Minulla oli avaintietokannassa jo valmiiksi pari esimerkkiavainparia Essi Esimerkille ja Hessu Hopolle. Käytän Essiä esimerkkinä myös tässä.

Viestin vastaanottajaksi laitoin toisen sähköpostiosoitteeni, jotta pääsen siihen käsiksi. Laitoin taas “Secure“-valinnan päälle viesti-ikkunasta ja lähetin viestin.

Nyt, koska viestin vastaanottajaa ei ollut sama, kuin lähettäjä, minun piti valita kenelle olen viestin lähettämässä, eli kenen julkisella avaimella viesti olisi tarkoitus salata.

Ylin vaihtoehto tarkoittaa allekirjoitusta, ja laitoin siihen oman yksityisen avaimeni. Tässä tapauksessa en salannut viestiä ollenkaan omalla julkisella avaimellani, vaan valitsin vastaanottajaksi ainoastaan Essi Esimerkin julkisen avaimen. Huomaa, että kentän oikealla puolella oleva suodatin tulee poistaa käytöstä, jotta näet kaikki avaintietokannassa olevat henkilöt, vaikkei heidän sähköpostiosoitteensa vastaakaan sähköpostiviestin vastaanottajakentässä määriteltyä sähköpostia.

Painoin “OK“, jonka jälkeen yksityisen avaimeni salasana pyydettiin viestin allekirjoittamista varten. Allekirjoituksesta Essi tietää, että viesti on oikeasti minulta, eikä sitä ole muokattu matkan aikana.

Syötin salasanani ja painoin “OK“, jonka jälkeen viesti lähetettiin.

Nyt, jos tarkastelen lähettämääni sähköpostia omasta “Lähetetyt”-kansiosta, en pysty lukemaan sitä, koska Essin yksityistä avainta ei löytynyt GnuPG:n paikallisesta avaintietokannasta:

Tarvitaan siis Essin yksityinen avain ja sen avaimen salasana. Menin toiseen sähköpostilaatikkooni, johon viestin lähetin. Sieltä se löytyi tällaisessa muodossa:

Itse viestillä ei ollut näkyvää tekstisisältöä, mutta siinä oli kaksi liitetiedostoa: “noname” ja “openpgp-encrypted-message-asc“. Latasin ne työpöydälleni “temp“-kansioon:

Avasin “noname”-tiedoston Notepad ++ -tekstieditorissa. Siinä ei ollut mielenkiintoista sisältöä, vaan se pitää sisällään vaan jonkun versiotiedon:

Sitten avasin “openpgp-encrypted-message-asc“-tiedoston tekstieditorissa ja näin, että se pitää sisällään salatun PGP-viestin:

Klikkasin tiedostoa hiiren oikealla painikkeella ja navigoin “More GpgEX options” > “Decrypt and verify“.

Salauksen purkaminen ei kuitenkaan onnistunut, sillä eihän minulla ole Essi Esimerkin yksityistä avainta. Näin kuuluukin tapahtua, mutta oikeassa tapauksessa Essillä olisi hänen yksityinen avaimensa, jolla salauksen saa purettua jo suoraan Outlookissa ilman Kleopatran käyttöä.


Yhteenveto

Kuvasin tässä harjoituksessa, kuinka Outlookin työpöytäsovelluksesta voi lähettää PGP-salattuja viestejä käyttäen GnuPG:n GpgOL-lisäosaa ja vastaanottajan julkista avainta.


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA
Markus Pyhäranta

RELATED ARTICLES
LEAVE A COMMENT