Šifrování - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Seriály

Více seriálů



Software

Šifrování

19. června 2006, 00.00 | Dnes si o šifrování řekneme trochu víc; začneme praktickou ukázkou, jak v Mac OS X šifrovat, a teprve později si řekneme pro ty, koho to zajímá, něco málo víc o šifrách symetrických, nesymetrických, "s veřejným klíčem" a tak všelijak podobně.

Přednedávnem jsme si řekli, že je třeba mít na paměti, že pokud má někdo fysický přístup k našemu počítači, zabezpečení heslem je v zásadě... na nic: počítač lze restartovat do single-user režimu, v němž je v zásadě přístupné cokoli. V extrémním případě lze počítač otevřít, pevný disk vyndat, a jeho obsah přečíst jinde...

Proti tomu, kdo má (nebo může získat) fysický přístup k počítači, tedy existuje jediná ochrana – táž jako proti případnému zlovolnému administrátorovi: šifrování.

Dnes si tedy o šifrování řekneme trochu víc; začneme praktickou ukázkou, jak v Mac OS X šifrovat, a teprve později si řekneme pro ty, koho to zajímá, něco málo více o šifrách symetrických, nesymetrických, "s veřejným klíčem", a tak všelijak podobně.

Šifrování pošty

Šifrování e-mailových zpráv je snad vůbec nejjednodušší; je v tom ovšem malý háček. Vlastně dva malé háčky.

Prvý spočívá v tom, že aplikace Mail podporuje pro šifrování (a také pro elektronický podpis) standard S/MIME; ačkoli jeho podpora je velmi rozšířená, přece jen není dosud těžké narazit na někoho, jehož e-mailový klient tento standard nepodporuje. Také jsem zjistil, že některá z versí Outlooku (pochybuji, že by existoval mizernější poštovní klient, žel je ta věc dosti rozšířena) nezvládá dobře kódování češtiny v UTF-8, je-li zpráva zároveň podepsána. Netroufám si raději spekulovat o tom, proč tomu tak je :)

Druhý háček pak je v tom, že abyste mohli zprávy šifrovat, potřebujete cosi, co se nazývá certifikát. Certifikát není (a samozřejmě ani nemůže) být standardní součástí Mac OS X; každý, kdo jej chce, si někde musí získat certifikát vlastní. Práce s certifikáty (a podrobné vysvětlení o co vůbec jde) je záležitost na samostatný článek, který jim samozřejmě v budoucnosti věnujeme; zatím ale certifikáty dočasně odložíme do šuplíku "magie" :)

Máme-li již certifikát, objeví se při sestavování každé zprávy v okně automaticky dvojice tlačítek (na následujícím obrázku vpravo dole) – stisknutím levého si vyžádáme šifrování, stisknutím pravého elektronický podpis:

Samozřejmě, jelikož jsme si dosud nevysvětlili principy šifrování s veřejným klíčem (tuto "teoretickou přednášku" si necháme na příště), není na první pohled zřejmé, že šifrovat můžeme zprávy pouze pro ty, o jejichž certifikátech náš systém ví. Seznámit se však s cizím certifikátem je prajednoduché: stačí přijmout od něj alespoň jednu podepsanou zprávu.

Máme-li tedy certifikát (znovu připomínám, že způsob, jak jej získat, si popíšeme později), můžeme libovolnou zprávu "podepsat", a měli bychom tak standardně činit co nejčastěji – proto, že kdokoli, kdo od nás dostal alespoň jednu podepsanou zprávu, nám může psát šifrovaně.

Mac OS X standardně nepodporuje standard PGP; pro aplikaci Mail však existuje doplněk GPGMail (k sehnání na stránkách Sente), jenž elegantně doplní i tuto možnost:

My systému PGP také věnujeme samostatný díl seriálu, neboť vedle šifrování poštovních zpráv nabízí i řadu dalších služeb a možností (a také nefunguje tak "automaticky" jako S/MIME, v PGP se musíme o to, abychom měli k dispozici "certifikáty" pro ty, jimž chceme posílat zašifrované zprávy, postarat sami).

Šifrování celé domovské složky

Chceme-li, můžeme si vyžádat automatické šifrování kompletní domovské složky. Tato služba se jmenuje "File Vault", a je k dispozici prostřednictvím systémových předvoleb:

Šifrování souborů a složek

Mac OS X je standardně vybaven schopností šifrovat soubory a složky s využitím velmi kvalitního algoritmu AES-128; poměrně málo lidí to ale ví, protože tato schopnost je před uživatelem pečlivě skryta do aplikace... Disk Utility. Bohužel není k dispozici ani prostřednictvím Services či kontextové nabídky, a to je skutečně velká ostuda...

Nejjednodušší způsob, kterak zašifrovat složku, je ji prostě myší vhodit na ikonu aplikace Disk Utility. Alternativně můžeme přímo v této aplikaci zvolit příkaz "New / Disk Image from Folder" z nabídky "File" a požadovanou složku vybrat prostřednictvím standardního panelu. Pak již je postup jednoduchý: vybereme typ cílového obrazu (téměř vždy je ideální "compressed") a vyžádáme si šifrování tlačítkem "Save":

Aplikace si pak sama vyžádá zadání hesla – zde máme samozřejmě k dispozici službu generátoru hesel a ověření jejich kvality, o níž jsme si zde již povídali, stačí stisknout malé tlačítko s ikonkou klíče vedle pole pro vložení hesla – a uloží zašifrovaná data na disk (buď na určené místo, nebo vedle složky, již jsme šifrovali).

Poněkud dvousečná možnost je "Remember password (add to Keychain)" – zde musíme zvážit, o jak citlivá data se jedná. Označíme-li ji, aplikace automaticky uloží zvolené heslo do Keychainu; tam je sice naprosto v bezpečí (sám Keychain je standardně šifrován algoritmem Triple DES, který je považován za prakticky nezlomitelný), jenže samozřejmě se pak k zašifrovaným datům dostane kdokoli, kdo uhádne (nebo jinak zjistí) heslo pro přístup k samotnému Keychainu.

Záleží tedy na konkrétním příkladu: za běžných okolností je zajisté vhodné heslo do Keychainu uložit, abychom si je nemuseli pamatovat. U citlivějších dat však může být vhodné heslo přesunout do samostatného Keychainu "pro důležitá data", chráněného jiným heslem (i práci s Keychainem a jeho možnostem v budoucnosti věnujeme samostatný článek).

Někdy se nám může hodit takový zašifrovaný archiv, jehož obsah můžeme průběžně měnit: i to Mac OS X podporuje. Tento archiv se nazývá "sparse image"; můžeme jej vytvořit libovolně velký, a systém jej automaticky zvětší podle toho, kolik do něj uložíme souborů. Přesně tak je ostatně řešen i standardní systémový "File Vault".

Jen poznámka nakonec – ačkoli mně osobně se to nikdy nestalo, internetové zdroje hovoří o tom, že "sparse image" je hodně citlivý na pád systému (tj. že se může stát, že po např. vypnutí elektriky bude takovýto archiv zcela nečitelný). Používáte-li proto tyto disky (nebo File Vault), je časté zálohování velmi důležité... ale to ostatně platí vždy :)

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

 » Rubriky  » Software  

Diskuse k článku

 

Vložit nový příspěvek   Sbalit příspěvky

 

FileVault

Autor: JJ Muž

Založeno: 19.06.2006, 00:10
Odpovědí: 0

Já jsem si s tím trochu hrál (po upozornění autorem tohoto článku) a ať jsem dělal co jsem dělal, nepodařilo se mi FileVault zbořit. Maximálně nebyly čitelné poslední otevřené soubory, ale i to jen zřídka.

Odpovědět na příspěvek

RE: FileVault

Autor: Stephen Muž

Založeno: 12.07.2006, 11:44

Take pouzivam a uz mi nekdy take vypli elektriku. Zatim vse v poradku, ale autor me trosku vylekal.

Odpovědět na příspěvek

outlook

Autor: kubson Muž

Založeno: 19.06.2006, 04:53
Odpovědí: 0

jaky ma vyznam ze nablijete na outlook v clanku o necem uplne jinem?

Odpovědět na příspěvek

RE: outlook

Autor: Jozo Remen Muž

Založeno: 19.06.2006, 09:32

pretoze to je pravda a je vhodne na to upozornit. Tato vec spolu s IE totiz komplikuje zivot kazdemu a je dobre vediet, ze pri posielani sprav so sifrovanim alebo obycajnym podpisom ma clovek neraz smolu…

Odpovědět na příspěvek

RE: RE: outlook

Autor: Don Martinello Muž

Založeno: 19.06.2006, 10:02

Bezne posielam podpisane e-maily z Apple Mailu na rozne Outlooky a doteraz som ziadne problemy nezaznamenal.

Odpovědět na příspěvek

RE: RE: RE: outlook

Autor: Jozo Remen Muž

Založeno: 19.06.2006, 10:54

islo o to kodovanie znakovej sady, aj ked je pravda ze najlepsie ostat pri cistom ASCII bez diakritiky.

kazdopadne clovek nikdy nevie a u outlooku su neraz ine problemy (napr. s otvaranim priloh z Maca apod.)

Odpovědět na příspěvek

RE: RE: RE: outlook

Autor: Jancak Muž

Založeno: 19.06.2006, 18:00

Bezne posilam z mailu do Outlooku maily a bezne mam problemy (tedy v Outlooku) - zdvojene obrazkove soubory k nicemu, poskozene texty…
Zvlastni, ale napriklad pri posilani na Mozilu tento problem nemam.

Odpovědět na příspěvek

RE: RE: RE: RE: outlook

Autor: patrix Muž

Založeno: 21.06.2006, 09:20

existuje mnozstvo verzii aplikacie outlook
- microsoft outlook
- outlook express
zase sa do diskusie zapaja zakomplexovany PCckar :o)))

Odpovědět na příspěvek

RE: outlook

Autor: ANo Muž

Založeno: 20.06.2006, 10:53

Nektere verze Outlooku maji skutecne (mozna za urcitych okolnosti, ale rozhodne se to neomezuje na podepsane/sifrovane zpravy) problemy s UTF-8. Mail ma take ruzne vady, ale myslim, ze ne tak ostudne.

Odpovědět na příspěvek

Sparse image

Autor: Mr. Cidermaster Muž

Založeno: 19.06.2006, 04:58
Odpovědí: 0

Problem se "sparse image" je tez, ze system jej pri pridani souboru umi pouze automaticky zvetsovat. Tj. odebereme-li z nej neco, jiz jej automaticky nezmensi. Resit to lze rucne pomoci prikazu "hdiutil compact".

Odpovědět na příspěvek

RE: Sparse image

Autor: Stephen Muž

Založeno: 12.07.2006, 11:41

FileVault to dela pri odhlaseni, sam se zepta ze chce optimalizovat disk space v spaseimage.

Odpovědět na příspěvek

Token

Autor: Bishop Muž

Založeno: 19.06.2006, 06:19
Odpovědí: 0

Jak je to s možností použít hardware předmět pro šifrování, např. eToken Alladin PRO, nebo něco jiného? Je možno použít i jíný algoritmus šifrování? Neexistují nějaká zadní vrátka jak se k šifrovaným datům dostat? Četl autor příručku NSA pro bezpečnost MAC OS X?

Odpovědět na příspěvek

RE: Token

Autor: Don Martinello Muž

Založeno: 19.06.2006, 09:58

18.01.2006 ohlasil Aladdin podporu produktu eToken PKI pre OS X a Linux, takze by to nemusel byt problem :).

Zadne dvierka pri sifrovani je oblubeny namet Hollywoodskej produkcie :), kazdopadne najvacsim rizikom je vzdy ludsky faktor.

Odpovědět na příspěvek

schovat soubor/složku pod heslo

Autor: wanasto Muž

Založeno: 19.06.2006, 10:28
Odpovědí: 0

existuje v systému nějaká jednoduchá možnost
aby se složka/soubor dala otevřít jen s heslem bez nutnosti udělat disk image (něco jako heslo u wordu nebo v PDF)

Odpovědět na příspěvek

RE: schovat soubor/složku pod heslo

Autor: Jozo Remen Muž

Založeno: 19.06.2006, 11:21

to je prave ten paradox a v clanku to je naznacene - v systeme, totiz v *BSD vrstve je. Len na to chyba GUI (priamo na zlozky/subory), ale cez terminal to ide.

Nepochopitelne, preco to Apple doteraz neimplementoval ked to je v OS X od verzie 10.1 a mozno aj skor :(

man openssl

Odpovědět na příspěvek

Rychlost sifrovani

Autor: purporte[X] Muž

Založeno: 19.06.2006, 11:29
Odpovědí: 0

Docela mi ve clanku chybi zminka o rychlosti sifrovani. Prece ale je to zatez navic(CPU) a take snizeni rychlosti cteni/zapisu(HDD). Pokud se sifrovani neresi hardwarove (to je drahe), tak v tom vidim obzvlast na prenositelnych strojich problem. Uvital bych nejaky benchmark.

Odpovědět na příspěvek

RE: Rychlost sifrovani

Autor: Jancak Muž

Založeno: 19.06.2006, 17:57

A nebo si takovy test zkusit sam na svem pocitaci? Abychom pak nemuseli diskutovat o tom, ze nekomu to jede tak a druhemu onak? Benchmarky jsou vzdy pouze orientacni a jejich vypovidaci hodnota je pro praxi mala.

Odpovědět na příspěvek

poškozený sparse image

Autor: J.P. Muž

Založeno: 19.06.2006, 13:16
Odpovědí: 0

jen dodám, že i poškozený sparse image lze zachránit, podstatné je vědět heslo. Pokud nevíte heslo, je konec. Jak jej opravit lze běžně najít na webu.

Odpovědět na příspěvek

Knox

Autor: Zdeněk Bohdanecký Muž

Založeno: 23.06.2006, 00:36
Odpovědí: 0

Pro pohodlnější práci s vytvářením a používáním šifrovaných dmg kontejnerů lze doporučit aplikaci Knox. Je to novinka od tvůrce Path Finderu a lze ji s ním koupit ve výhodném bundlu. http://knoxformac.com/

Odpovědět na příspěvek

PKI certifikáty

Autor: Zdeněk Bohdanecký Muž

Založeno: 23.06.2006, 00:39
Odpovědí: 0

Jen bych podotkl, že pokud máte kvalifikovaný certifikát k el. podpisu, nemůžete s ním zároven šifrovat, na to si za minimálně dalších 190 Kč/rok musíte obstarat certifikát komerční. Připadá mi to hloupé.

Odpovědět na příspěvek

kde koupit eToken Alladin PRO

Autor: Tom Muž

Založeno: 15.12.2009, 17:21
Odpovědí: 0

nevite kde ho sehnat ? nemuzu to najit..

Odpovědět na příspěvek

 

 

Vložit nový příspěvek

Jméno:

Pohlaví:

,

E-mail:

Předmět:

Příspěvek:

 

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

Nejčtenější články
Nejlépe hodnocené články
Apple kurzy

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: