Για να στείλετε ένα κρυπτογραφημένο μήνυμα OpenPGP, θα χρειαστεί να αποκτήσετε το δημόσιο κλειδί του παραλήπτη, για παράδειγμα από ένα μήνυμα του ή από έναν δημόσιο διακομιστή κλειδιών. Μόλις αποκτήσετε το δημόσιο κλειδί, θα πρέπει να αποφασίσετε εάν θέλετε να το αποδεχτείτε, επειδή το Thunderbird δεν μπορεί να προσδιορίσει αυτόματα εάν ένα κλειδί είναι αξιόπιστο - ένα κλειδί μπορεί να είναι αυθεντικό ή πλαστό. Αυτό το άρθρο εξηγεί πώς να διαπιστώσετε εάν ένα κλειδί είναι αυθεντικό ή πλαστό, ώστε να αποφασίσετε εάν θα αποδεχτείτε το κλειδί ή όχι.
Παράδειγμα πλαστού κλειδιού
Είναι πολύ εύκολο να δημιουργήσει κάποιος ένα δημόσιο κλειδί με το όνομα και τη διεύθυνση email ενός άλλου ατόμου. Για παράδειγμα, ένα κακόβουλο άτομο μπορεί να δημιουργήσει ένα κλειδί που περιέχει το όνομα και τη διεύθυνση email του φίλου σας του Βασίλη και να στείλει το κλειδί σε εσάς. Εάν κάποιος άλλος εκτός του Βασίλη δημιούργησε το κλειδί, τότε αυτό είναι πλαστό.
Εάν αποφασίσετε να χρησιμοποιήσετε ένα πλαστό κλειδί με το όνομα του Βασίλη, θα πιστεύετε ότι η συζήτησή σας με τον Βασίλη είναι μυστική, επειδή χρησιμοποιείτε κρυπτογράφηση email, αλλά στην πραγματικότητα το κρυπτογραφημένο μήνυμα είναι προσβάσιμο από το κακόβουλο άτομο που δημιούργησε το πλαστό κλειδί στο όνομα του Βασίλη. Αυτό ονομάζεται επίθεση «Monster-in-the-Middle» (MITM), γνωστή κι ως επίθεση «Man-in-the-Middle».
Πώς να αποφασίσετε εάν θα αποδεχτείτε ένα δημόσιο κλειδί;
Για να αποφύγει την ακούσια χρήση ενός πλαστού κλειδιού, το Thunderbird δεν θα χρησιμοποιήσει ποτέ το κλειδί κάποιου αυτόματα. Το Thunderbird θα ζητά πάντα από εσάς να αποφασίσετε εάν ένα κλειδί είναι αυθεντικό. Εσείς καθορίζετε και τον χρόνο που θα αφιερώσετε για τον έλεγχο της γνησιότητας ενός κλειδιού.
Αν κάνετε συνηθισμένες συζητήσεις με κάποιο άτομο και θεωρείτε ότι το περιεχόμενο των μηνυμάτων σας δεν είναι ευαίσθητο, ίσως αποφασίσετε να επισημάνετε ένα κλειδί ως αποδεκτό, χωρίς να ελέγξετε εάν είναι αυθεντικό.
Ωστόσο, εάν σκοπεύετε να ανταλλάξετε κρίσιμες πληροφορίες και η ελευθερία ή η ζωή σας εξαρτάται από τη μυστικότητα αυτών των πληροφοριών, τότε θα πρέπει να επαληθεύσετε προσεκτικά ότι έχετε λάβει ένα αυθεντικό κλειδί από το άτομο με το οποίο επιθυμείτε να επικοινωνήσετε. Για να το κάνετε αυτό, δείτε τις λεπτομέρειες ενός κλειδιού και χρησιμοποιήστε έναν άλλο τρόπο επικοινωνίας (όχι email) για να μιλήσετε με τον συνομιλητή σας. Στη συνέχεια, θα πρέπει και οι δύο να δείτε τις πληροφορίες του δημόσιου κλειδιού του άλλου ατόμου, καθώς και το αποτύπωμα που εμφανίζεται. Το αποτύπωμα είναι ο κατατεμαχισμός (hash) του πλήρους κλειδιού, ένα είδος checksum και συνεπώς, ένας μοναδικός τρόπος αναγνώρισης ενός κλειδιού.
Παράδειγμα διαδικασίας επαλήθευσης
Για να εξηγήσουμε λεπτομερώς αυτήν τη διαδικασία, εάν η Αλίκη και ο Βασίλης θέλουν να εξασφαλίσουν ότι χρησιμοποιούν τα σωστά κλειδιά, θα εκτελέσουν την επαλήθευση σε δύο βήματα. Αρχικά, η Αλίκη θα ανοίξει τις λεπτομέρειες του δικού της προσωπικού κλειδιού, από τη Διαχείριση κλειδιών OpenPGP ή από την καρτέλα «Διατερματική κρυπτογράφηση» στις ρυθμίσεις λογαριασμού. Ο Βασίλης θα ανοίξει τις λεπτομέρειες του κλειδιού που έχει λάβει, το οποίο υποτίθεται ότι ανήκει στην Αλίκη. Τότε, η Αλίκη πρέπει να διαβάσει το αποτύπωμα που βλέπει στην οθόνη για το δικό της κλειδί και ο Βασίλης θα πρέπει να ακούσει προσεκτικά και να κάνει σύγκριση με το αποτύπωμα που εμφανίζεται στη δική του οθόνη, για το κλειδί με το όνομα της Αλίκης. Αν οι πληροφορίες ταιριάζουν απόλυτα, τότε ο Βασίλης έχει επαληθεύσει το κλειδί της Αλίκης και μπορεί να κάνει κλικ στην επιλογή «Ναι, έχω επαληθεύσει αυτοπροσώπως ότι αυτό το κλειδί έχει το σωστό αποτύπωμα».
Για το δεύτερο βήμα, η Αλίκη και ο Βασίλης θα πρέπει να επαναλάβουν τη διαδικασία για το κλειδί του Βασίλη. Ο Βασίλης θα πρέπει να ανοίξει τις λεπτομέρειες του δικού του κλειδιού και η Αλίκη θα πρέπει να ανοίξει το κλειδί που έχει λάβει, το οποίο υποτίθεται ότι ανήκει στον Βασίλη. Τότε, ο Βασίλης πρέπει να διαβάσει το αποτύπωμα που βλέπει στην οθόνη για το δικό του κλειδί και η Αλίκη θα πρέπει να ακούσει προσεκτικά και να κάνει σύγκριση με τις πληροφορίες που βλέπει για το κλειδί του Βασίλη. Αν το αποτύπωμα ταιριάζει απόλυτα, τότε η Αλίκη έχει επαληθεύσει το κλειδί του Βασίλη και μπορεί να κάνει κλικ στην επιλογή «Ναι, έχω επαληθεύσει αυτοπροσώπως ότι αυτό το κλειδί έχει το σωστό αποτύπωμα».