Datatekniikka ja viestintä - Ohjelmistot ja dataformaatit:

PGP:n käyttö Windowsissa

PGP on tietoturvaohjelmisto, jolla voi muun muassa salata (salakirjoittaa) tiedostoja ja viestejä, avata sillä salattua aineistoa sekä liittää aineistoon digitaalinen allekirjoitus, joka on tarkoitettu varmentamaan sen alkuperä. Nimi johtuu sanoista Pretty Good Privacy.

Tämä ohje kuvaa lyhyesti, miten PGP hankitaan ja asennetaan Windows-koneeseen ja minkätyyppistä sen käyttö on. Asian taustasta eli tietoturvasta yleisesti ja PGP:n asemesta siinä kertoo Tieken opas Tietoturvaa peruskäyttäjälle, erityisesti kohta Salakirjoita kaikki, minkä pitää todella pysyä salassa. <http://arkisto.tieke.fi/tietoturvaopas/>

Sisällys:

Asennus

Eräs PGP-ohjelmisto on saatavilla kansainvälisen PGP-organisaation (PGPi) sivustosta www.pgpi.org-palvelimesta.

  1. Varmistu siitä, että sinulla on jokin ohjelma, jolla voi avata zipattuja tiedostoja, esimerkiksi WinZip. Jos ei ole, hanki ja asenna sellainen. Aiheesta on ohjeita dokumentissa Zippaus ja unzippaus.
  2. Päätä ensin, mihin kansioon haluat asentaa PGP-ohjelmiston. Luo sille oma alakansio, esimerkiksi C:\Ohjelmatiedostot\Pgp
  3. Kyseisen sivuston Download-osassa on linkkejä, joiden kautta voi hakea PGP-ohjelmiston. Tarkemmin sanoen voit valita osan Freeware PGP versions ja sieltä omaa Windows-versiotasi vastaavan kohdan. Seuraavat ohjeet koskevat Windows 98:aa. Muissa asennus on toivottavasti tarpeeksi samanlaista.
  4. Kannattaa yleensä valita uusin tarjolla oleva versio. Tätä kirjoitettaessa se on 7.0.3.
  5. Mentyäsi lataussivulle havaitset yleensä runsaasti vaihtoehtoja. Yleensä kannattaa suosia suomalaista tai muuten lähellä olevaa. Valitse vaihtoehto napsauttamalla linkkiä ja valitsemalla selaimesi tarjoamista mahdollisuuksista tallentaminen levylle (edellä perustamaasi hakemistoon). Ota huomioon, että ohjelmisto on pakatussa muodossakin aika iso, luokkaa 8 megatavua, joten modeemiyhteyden kautta lataaminen kestää ehkä kymmeniäkin minuutteja.
  6. Mene (Windowsin tasolla) kyseiseen hakemistoon ja napsauta lataamasi tiedoston kuvaketta. Tällöin pitäisi käyttämäsi zippausohjelman käynnistyä niin, että voit avata paketin haluamaasi hakemistoon, joka voi olla sama kuin se, johon tiedoston latasit. Tällöin paketti todennäköisesti purkautuu omaan alihakemistoonsa kyseiseen hakemistoon. Nimeksi voi tulla esimerkiksi PGP FW.
  7. Mene kyseiseen alihakemistoon ja napsauta siellä olevan .exe-tiedoston kuvaketta, jolloin varsinainen asennus käynnistyy. Noudata ruudulle ilmestyviä ohjeita. Niitä tule näennäisesti paljon, mutta ne ovat aika yksinkertaisia. Oletusarvot ovat normaalitilanteeseen sopivat, joten hyväksy ne, ellei sinulla ole erityistä syytä menetellä toisin. Huomaa, että salakoodisi ("salalause", passphrase) on syytä valita fiksusti ja säilyttää erittäin huolellisesti: turvassa kaikilta muilta ihmisiltä, mutta niin, että se varmasti pysyy omassa mielessäsi. Sen vuotaminen turmelee koko salakirjoittamisen idean; sen unohtaminen tekee salatut sinultakin ikuisesti salatuiksi.

Asennus on monivaiheinen, mutta ohjeet ovat aika selkeät, joskin englanninkieliset. Asennuksen päätyttyä PGP-toiminnon pitäisi olla ilmestynyt meiliohjelmasi ("sähköpostiohjelmasi") valikoihin ja olla käytettävissä myös erillisenä esimerkiksi Käynnistä-valikon kautta.

Käyttö

PGPtools

PGP-ohjelmiston asennuksen jälkeen voit käyttää PGP-toimintoja useilla eri tavoilla. Yksi käyttötapa on se, että valitset Käynnistä-valikon Ohjelmat-alivalikkoon ilmestyneestä PGP-kohdasta jonkin toiminnon. Sitä kautta pääsee PGP-käsikirjaan (Documentation, alakohta PGP User's Guide), mutta sieltä voi myös valita kohdan PGPtools, jolloin ruudulle ilmestyy "työkalulaatikko".

"Työkalulaatikossa" on kuvapainikkeita, joita napsauttamalla pääsee tekemään eräitä perustoimintoja PGP:llä. Kun kursorin vie painikkeen päälle, tulee näkyviin vielä selittävä teksti. Toiminnot ovat:

  1. PGPkeys (kaksi avaimen kuvaa): PGP-salakirjoituksen avainten hallinta.
  2. Encrypt (kirjekuoren ja lukon kuva): salakirjoitus eli kryptaus.
  3. Sign (kuva, jossa on kirje ja sitä allekirjoittava kynä): digitaalinen allekirjoitus.
  4. Encrypt and Sign (kirjekuoren, lukon ja kynän kuva): kaksi edellistä yhdistettynä eli salakirjoitus ja allekirjoitus.
  5. Decrypt/Verify (kirjekuoren, kirjeen ja avatun lukon kuva): salakirjoituksen purku eli dekryptaus tai allekirjoituksen todentaminen (tai molemmat).

Oman tiedoston salaaminen

Jos esimerkiksi haluat salakirjoittaa jonkin oman tiedostosi niin, että kukaan muu ei voi sitä lukea vaikka pääsisi käyttämään konettasi, voit valita PGPtools-laatikosta vaihtoehdon Encrypt. Tällöin tapahtuu seuraava:

  1. Avautuu Windowsin tavanomainen tiedostonvalintaikkuna, josta voit valita tiedoston, jonka haluat salata.
  2. Valinnan jälkeen avautuu ikkuna, jonka nimenä on "PGPtools - Key Selection Dialog". Koska se on tehty ensisijaisesti salatun meilin lähettämiseksi, joudut nyt erikseen valitsemaan vaihtoehdon Conventional Encryption, joka tarkoittaa pelkkää tiedoston salaamista.
  3. Kun olet napsauttanut OK-painiketta, ilmestyy PGPtools - Enter Passphrase -ikkuna. Kirjoita salakoodi sille varattuun tilaan ja sitten uudestaan varmistusta (Confirmation) varten varattuun tilaan.
    Jos napsautat pois ruksin kohdasta Hide typing, voit nähdä, mitä kirjoitat. Näin kannattaa tehdä, jos olet varma, että kukaan ei pysty näkemään kuvaruutuasi. Napsauta lopuksi OK-painiketta.
  4. Hakemistoon, jossa salattava tiedosto on, pitäisi nyt ilmestyä sen salattu versio, jonka tyyppimerkintä ja kuvake ovat erilaiset. Jos olet varma siitä, että tulet muistamaan salakoodin, voit nyt hävittää alkuperäisen salaamattoman ja tyhjentää roskakorin. Kuten tietoturvaoppaassa selostetaan, tämäkään ei suinkaan varmista salaamattoman version häviämistä, mutta tämä riittänee useisiin käytännön tarpeisiin.
  5. Aina kun salattua versiota yrittää avata, ilmestyy ruudulle PGP - Enter Passphrase -ikkuna, jossa kysytään salakoodia. Kyse on siis samantapaisesta ikkunasta kuin edellä, mutta nyt kyse on salauksen avaamisesta, joten riittää kirjoittaa salakoodi kerran. Jos salakoodi annetaan oikein, ilmestyy hakemistoon, jossa salattu versio on, sen salaamaton versio, joka on normaalisti käytettävissä.

Toinen vaihtoehto tiedoston salakirjoittamiseksi on seuraava: Mennään kansioon, jossa tiedosto on, ja napsautetaan sen kuvaketta hiiren oikeanpuoleisella napilla. Tällöin avautuu valikko, jonka yksityiskohdat vaihtelevat järjestelmästä toiseen mutta jonne PGP:n asennus on lisännyt vaihtoehdon "PGP". Siitä voidaan valita salakirjoitustoiminto Encrypt, jolloin avautuu edellä mainittu PGPtools - Key Selection Dialog -ikkuna. Tästä jatketaan, kuten edellä on kuvattu.

Oman julkisen avaimen luonti ja jakaminen

Jotta ihmiset voisivat lähettää sinulle PGP-salakirjoitettuja meiliviestejä, he tarvitsevat sinun julkisen PGP-avaimesi (public PGP key). Ja ensin sinun tietysti täytyy luoda sellainen.

Ideana on, että kuka tahansa voi PGP-salakirjoittaa oman viestinsä sinun julkisella avaimellasi. Salakirjoitetun viestin voi sitten lähettää millä hyvänsä tavalla. Jos joku saa sen käsiinsä, siitä ei ole hänelle hyötyä, koska viesti on avattavissa vain sinun salaisella avaimellasi.

Ja koska järjestelyyn sisältyy sekä julkinen avain, jolla salakirjoitus tehdään, että sitä vastaava salainen avain, jolla kyseisen salakirjoituksen voi purkaa, kyse on siis avainparin (key pair) luomisesta.

Voit käynnistää avainparin luomisen esimerkiksi napsauttamalla PGPtools-laatikon ensimmäistä kuvaketta, jossa on kaksi avaimen kuvaa (PGPkeys). Tällöin avautuu erillinen avaintenhallintaikkuna. Voit joko valita Keys-valikosta vaihtoehdon New Key tai yksinkertaisesti käyttää control-N:ää. Tällöin käynnistyy PGP Key Generation Wizard.

Kyseinen "wizard" eli ohjattu toiminto antaa eri vaiheissa yksityiskohtaiset ohjeet siitä, mitä on tehtävä.

Luotuasi avainparin voit sitten tuottaa julkisen avaimesi sellaisen esitysmuodon, jonka voit antaa muiden käyttöön. Tämä voidaan tehdä PGPkeys-ikkunassa siten, että ensin valitset avainparien listasta napsauttamalla kyseisen parin ja sitten Keys-valikosta vaihtoehdon Export tai yksinkertaisesti käytät control-E:tä. Tällöin avautuu tallennusikkuna, jossa voit tallentaa julkisen avaimesi tekstinä .asc-tyyppiseen tiedostoon haluamaasi hakemistoon ja haluamallesi nimelle.

Kyseisen tiedoston voit sitten lähettää meilitse, panna Web-sivullesi taikka muuten toimittaa sen kaikille halukkaille. Vastaanottajan kannalta kyse on siitä, luottaako hän siihen, että kyse on sinun ilmoittamastasi julkisesta avaimesta, niin että sinulle tarkoitettu viesti todella sitten tulee oikealla tavalla salattuna.

Web-sivulle voi kirjoittaa vaikka itse avaimen näin:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 7.0.3 for non-commercial use 
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=S+9M
-----END PGP PUBLIC KEY BLOCK-----

Hyödyllisempää voi olla panna avain linkin taakse, koska tämä voi tehdä selvästi helpommaksi muille ottaa se omaan avainkokoelmaansa, käytettäväksi salattujen viestien lähettämiseen.

Kuten esimerkistä varmaankin ilmenee, PGP-avaimia ei ole mielekästä lähettää (vain) paperilla, kertoa puhelimessa tms. vaan ne on syytä saattaa muiden saataville digitaalisessa muodossa. Eräs keino on panna ne erityiseen avainpalvelimeen (key server), josta kuka tahansa voi hakea avaimia. Tällöin tietysti ongelmana on, voiko luottaa siihen, että jossakin palvelimessa oleva julkinen avain on todella sen henkilön avain, joka sen väitetään olevan.

Viestin lähettäminen PGP-salattuna

Kun PGP-ohjelmisto asennetaan koneeseen, tulee koneessa oleviin meiliohjelmiin yleensä valikoihin mukaan kohta, josta voi valita PGP-toimintoja. Esimerkiksi Outlook-ohjelman päävalikkoon tulee kohta PGP. Mutta lisäksi on muun muassa viestinlähetysikkunan valikossa vastaava kohta, josta voi valita esimerkiksi viestin salakirjoittamisen lähetyksen yhteydessä tai ennen sitä.

Yksityiskohdat riippuvat käytettävästä meiliohjelmasta. Ohjelma mahdollisesti osaa itse tarvittaessa ottaa yhteyden avainpalvelimeen ja etsiä vastaanottajan julkisen avaimen. Esimerkiksi Outlook tekee niin.

PGP-salatun viestin lukeminen

Kun saat PGP-salatun viestin, voit avata salauksen (ja todentaa mahdollisen allekirjoituksen) yleensä meiliohjelman PGP-valikossa olevalla toiminnolla. Esimerkiksi Outlook-ohjelmassa kyseinen toiminto on Decrypt/Verify.

Kun tämä toiminto on valittu ja oma salakoodi (passphrase) annettu, viesti ilmestyy ruudulle selväkielisenä. Huomattakoon, että saapuneiden viestien kansiossa se pysyy salakirjoitettuna, ellei sitä erikseen tallenneta avatussa muodossa.

Lisätietoja

Valitettavasti kaikki PGP-toteutukset eivät ole keskenään täysin yhteensopivia. Esimerkiksi Unix-koneissa on vielä yleisesti vanhempia toteutuksia kuin tässä käsitelty, eivätkä ne selviä kaikesta, mitä uusi versio tuottaa. Mainittakoon, että erästä PGP-toteutusta Unix-koneissa kuvaa Tampereen yliopistossa tehty suomenkielinen ohje PGP - Pretty Good Privacy. <http://www.uta.fi/laitokset/tkk/ohjeet/unix/pgp.shtml>

Lisätietoja PGP:stä suomeksi (osittain melko teknistä informaatiota ja osittain vanhahkoa):

Englanniksi PGP:stä on melko yleistajuista tietoa Webopedia-tietosanakirjan <http://webopedia.internet.com/> PGP-artikkelissa ja dokumenteissa, joihin se viittaa.

Erittäin laajasti tietoa PGP:stä sisältää (lähinnä englanniksi) edellä mainittu PGPi-sivusto. <http://www.pgpi.org/>

PGP:stä on myös Gnu-toteutus, GnuPG eli GPG, johon liittyy laaja dokumentaatio, mm. The GNU Privacy Handbook eri kielillä (ei kuitenkaan suomeksi). Myös ilmaisua "OpenPGP" käytetään, mutta periaatteessa se viittaa RFC 2440:ssä olevaan spesifikaatioon, ei mihinkään erityiseen toteukseen.