Tässä artikkelissa kerrotaan, kuinka viestien turvallisuutta parannetaan asettamalla Thunderbird allekirjoittamaan ja salaamaan viestejä, sekä purkamaan salaus.

Johdanto

Sähköposti-infrastruktuuri, jota jokainen meistä käyttää, ei ole rakenteeltaan kovin turvallinen. Vaikka useimmat ihmiset ovat yhteydessä postipalvelimeensa salatun yhteyden (SSL) kautta, jotkin palvelimet sallivat salaamattoman yhteyden. Kaiken lisäksi, kun viesti liikkuu verkossa lähettäjältä vastaanottajalle, ei jokaisen laitteen välinen yhteys ole välttämättä salattu. On mahdollista, että ulkopuolinen pääsee tähän väliin ja voi lukea ja muuttaa viestejä, ennen kuin ne toimitetaan vastaanottajalle.

Kun viesti allekirjoitetaan digitaalisesti, Viestiin upotetaan informaatiota, jolla vahvistetaan henkilöllisyys. Kun viesti salataan, se näyttää sekasotkulta, ja sen voi lukea vain henkilö, jolla on avain salattuun viestiin. Digitaalisesti allekirjoitettu viesti varmistaa, että viesti on todella peräisin siinä mainitulta lähettäjältä. Viestin salaaminen varmistaa, että viestiä ei ole luettu tai muutettu viestin välittämisen aikana.

Viestin salaamiseen voidaan käyttää julkisen avaimen salausta. Tässä järjestelmässä jokaisella osanottajalla on kaksi erillistä avainta: julkinen salausavain ja yksityinen salausavain, jota kutsutaan myös nimellä salainen salausavain. Kun joku haluaa lähettää salatun viestin, hän käyttää vastaanottajan julkista avainta salausalgoritmin luomiseen. Kun vastaanottaja vastaanottaa viestin, hän käyttää omaa yksityistä avaintaan viestin salauksen purkamiseen.

Sähköpostien salaamiseen käytettävää protokollaa kutsutaan nimellä PGP (Pretty Good Privacy). Jos PGP:tä halutaan käyttää Thunderbirdin kanssa, on ensin asennettava seuraavat:

• GnuPG: (GNU Privacy Guard): ilmainen PGP-sovellus
• Enigmail: Thunderbirdin lisäosa

Näillä kahdella ohjelmalla pystytään myös allekirjoittamaan viestit digitaalisesti.

PGP:n ja Enigmailin asennus

Asenna GnuPG lataamalla järjestelmäsi mukainen paketti englanninkieliseltä GnuPG lataussivulta. Seuraa pakettisi tarjoamia asennusohjeita. Kannattaa lukea ohjeet PGP:n asentamisesta tietylle käyttöjärjestelmälle seuraavista artikkeleista:

• PGP:n asentaminen Windowsiin
• PGP:n asentaminen Ubuntuun
• PGP:n asentaminen Mac OS X:än (englanninkielinen)

Asenna Enigmail:

1. Napsauta Thunderbirdissä Työkalut-valikkoa ja valitse Lisäosat.
2. Kirjoita Hae lisäosista-ruutuun Enigmail ja paina EnterReturn.
3. Valitse hakutuloksista Enigmail, napsauta sen Asenna-painiketta ja seuraa annettuja ohjeita.

PGP-avaimien luominen

Luo oma julkinen/yksityinen avaimesi seuraavasti:

1. Valitse Thunderbirdin valikkopalkista Enigmail ja valitse Setup Wizard.
2. Valitse Kyllä, suorita ohjattu asennus, kuten alla olevassa kuvassa. Aloita asennus napsauttamalla Seuraava >-painiketta.
   
   
   
   
3. Ohjattu asennus kysyy, haluatko käyttää Enigmailia kaikilla käyttäjätunnuksilla vai vain osalla niistä. Yleensä on hyvä allekirjoittaa kaikki sähköpostit, jotta vastaanottajat tietäisivät viestien olevan varmasti sinulta. Valitse asetukseen Enigmail on käytössä kaikilla käyttäjätunnuksilla vaihtoehto Kyllä, ja napsauta Seuraava >-painiketta.
4. Seuraavaksi ohjattu asennus kysyy, haluatko salata kaikki lähettämäsi viestit. Tätä vaihtoehtoa ei tulisi valita ellei kaikilla henkilöillä, joille mahdollisesti lähetät sähköpostia, ole julkista avaintasi. Kannattaa valita joko vaihtoehto Convenient auto encryption, jolloin viestisi salataan aina, kun se on mahdollista, tai Don't encrypt my messages by default, jolloin viestejäsi ei salata automaattisesti. Jatka napsauttamalla Seuraava >-painiketta.
5. Seuraavaksi ohjattu asennus kysyy, haluatko allekirjoittaa kaikki sähköpostit oletusarvoisesti. Yleensä on hyvä allekirjoittaa kaikki sähköpostit, jotta vastaanottajat tietäisivät viestien olevan varmasti sinulta. Viestien vastaanottajien ei tarvitse käyttää digitaalista allekirjoitusta tai PGP:tä digitaalisesti allekirjoitettujen viestiesi lukemiseen. Valitse Sign all of my messages by default, ja napsauta Seuraava >-painiketta.
6. Seuraavaksi ohjattu asennus kysyy, muutetaanko sähköpostin asetuksia siten, että ne toimivat paremmin Enigmailin kanssa. Tähän on hyvä vastata Kyllä. Jatka napsauttamalla Seuraava-painiketta.
7. Seuraavaksi ohjattu asennus ilmoittaa, että se ei löytänyt OpenPGP-avainta. Uusi avain on luotava, joten valitse Luo uusi avainpari viestien allekirjoittamiseen ja salaamiseen ja napsauta Seuraava >.
8. Seuraavaksi valitaan sähköpostitili, jolle avaimet luodaan. Avaimia varten on luotava myös salasana. Tällä salasanalla suojataan yksityinen avaimesi ja sitä käytetään viestien salaamiseen, joten älä unohda sitä. Salasanan tulisi olla vähintään 8 merkkiä pitkä eikä siinä tulisi käyttää sanakirjasta löytyviä sanoja (Ohjeita hyvän salasanan luomiseen saat esimerkiksi artikkelista Paranna tietoturvaasi vahvoilla salasanoilla). Syötä salasana sille varattuihin tekstikenttin ja jatka asennusta napsauttamalla Seuraava >-painiketta.
9. Seuraavassa näytössä kerrotaan yhteenveto toimista, jotka ohjattu asennus aikoo tehdä. Jos nämä ovat oikein, jatka asennusta napsauttamalla Seuraava >-painiketta. Voit tarvittaessa palata muuttamaan jotakin asetusta napsauttamalla < Edellinen-painiketta.
10. Seuraavaksi ohjattu asennus luo avaimet. Tämä voi kestää jonkin aikaa, mutta voit ja on hyväkin käyttää tietokonetta sillä välin, sillä tämä lisää luontiin tarvittavaa satunnaisuutta. Kun avain on luotu, ohjattu asennus kysyy, haluatko luoda mitätöintivarmenteen. Mitätöintivarmenteella voit tarpeen vaatiessa - esimerkiksi jos joku saa yksityisen avaimesi haltuusi - mitätöidä avaimen ja ilmoittaa vastaanottajille avaimesi mitätöinnistä. Napsauta Generate Certificate ja seuraa ohjeita. Voit myös ohittaa tämän vaiheen napsauttamalla Skip.
11. Ohjattu asennus kertoo, että asennus on valmis. Poistu ohjatusta asennuksesta napsauttamalla Valmis-painiketta.

Julkisten avainten lähettäminen ja vastaanottaminen

Julkisen avaimen lähettäminen sähköpostilla

Jotta voisit vastaanottaa salattuja viestejä muilta ihmisiltä, on sinun ensin lähetettävä heille julkinen avaimesi:

1. Kirjoita uusi viesti.
2. Valitse viesti-ikkunan valikkopalkista Enigmail ja valitse Liitä julkinen avaimeni.
   
   
   
   
3. Lähetä viesti normaalisti. Jos Enigmail kysyy, salataanko viesti, voit vastata, että viestiä ei salata.

Julkisen avaimen vastaanottaminen sähköpostilla

Jotta voisit lähettää salattuja viestejä muille ihmisille, sinun on vastaanotettava ja tallennettava heidän julkinen avaimensa:

1. Avaa viesti, joka sisältää julkisen avaimen.
2. Napsauta viesti-ikkunan alalaidassa liitettä, jonka tiedostopäätteenä on .asc. (Tässä tiedostossa on julkinen avain.)
3. Thunderbird tunnistaa automaattisesti, että kyseessä on PGP-avain. Varmistusikkuna kysyy tuodaanko avain (Import) vai näytetäänkö avain (View). Napsauta Import.
   
   
   
   
4. Näet vahvistuksen siitä, että avain on tuotu onnistuneesti. Lopeta tuominen napsauttamalla OK.

Digitaalisesti allekirjoitetun ja/tai salatun viestin lähettäminen

Seuraavien vaiheiden oletusarvot riippuvat siitä, mitä vastasit ohjatun asennuksen aikana.

1. Kirjoita viesti normaalisti.
2. Tarkista viestin allekirjoittaminen napsauttamalla viesti-ikkunan valikkopalkissa Enigmail.
3. Jos haluat salata viestin, ja valikossa on vaihtoehto Viestiä ei salata, voit salata viestin siirtämällä hiiren osoittimen valikkokomennon Viestiä ei salata päälle ja valitsemalla alavalikosta vaihtoehdon Force Encryption.
4. Jos haluat allekirjoittaa viestin, ja valikossa on vaihtoehto Message will not be signed, voit allekirjoittaa viestin siirtämällä hiiren osoittimen valikkokomennon Message will not be signed päälle ja valitsemalla alavalikosta vaihtoehdon Force Signing. Järjestelmä saattaa kysyä salasanaa ennen viestin käsittelyä. Syötä silloin salasana, jonka määrittelit luodessasi avainta.

1. Jos sähköpostiosoitteeseesi on liitetty PGP-avain, viesti salataan tällä avaimella. Jos sähköpostiosoitteeseen ei ole liitetty PGP-avainta, sinua pyydetään valitsemaan avain luettelosta.
2. Lähetä viesti normaalisti.

Digitaalisesti allekirjoitetun/salatun viestin lukeminen

Kun vastaanotat salatun viestin, Thunderbird pyytää sinulta salasanaa viestin purkamiseksi. Se, onko viesti digitaalisesti allekirjoitettu tai salattu, näkyy viestin viestin otsikkotietojen yläpuolella olevassa tietopalkissa.

Jos Thunderbird tunnistaa allekirjoituksen, viestin yläpuolelle ilmestyy vihreä palkki.

Jos viesti on salattu ja allekirjoitettu, vihreässä tietopalkissa näkyy myös teksti Viesti, jonka salaus on purettu.

Jos viesti on salattu, mutta ei allekirjoitettu, tietopalkki näkyy siniharmaana ja siinä on viesti Viesti, jonka salaus on purettu.

Avaimen mitätöiminen

Jos uskot, että yksityinen avaimesi on vaarantunut, eli joku muu on päässyt käsiksi tiedostoon joka sisältää yksityisen avaimesi, tulee nykyinen avainpari mitätöidä mahdollisimman pian ja luoda niiden tilalle uusi. Nykyiset avaimet mitätöidään seuraavasti:

1. Napsauta Thunderbirdin valikkopalkissa Enigmail ja valitse Avainten hallinta.
   
   
   
   
2. Enigmail-avainten hallintaikkuna aukeaa. Varmista, että Display All Keys by Default valintaruutu on valittu, jolloin näet kaikki avaimesi.
3. Napsauta hiiren kakkospainikkeella avainta, jonka haluat mitätöidä ja valitse ponnahdusvalikosta Mitätöi avain.
4. Varmistusikkuna kysyy haluatko todella mitätöidä avaimen. Jatka napsauttamalla Revoke Key-painiketta.
5. Toinen varmistusikkuna pyytää syöttämään mitätöitävän avaimen salasanan. Syötä salasana ja napsauta OK-painiketta.

Lähetä mitätöintivarmenne ihmisille, joille olet lähettänyt julkisen avaimesi, jotta he tietävät, että nykyinen avaimesi ei enää ole voimassa. Tällä varmistat sen, että jos joku yrittää käyttää nykyistä avaintasi huijatakseen olevasi sinä, vastaanottajat tietävät, että lähettäjä on huijari.