Praktikum 3 - Turvaline suhtlus

Tehnoloogia ja tehnika turvalisuse arengu tulemusena on üha levinumad ründed inimese kui süsteemi nõrgima lüli vastu. Tänase praktikumi esimeses osas tutvume e-mailide turvalisusega ning näitame, miks e-maili teel saabunud infot ei tohiks usaldada (ajakirjandusest leiab pidevalt kurbi näiteid, mis juhtub kui e-mailis olevat infot ei kontrollita -- libaarvete probleem või kellegi teise nimel e-kirja saatmine). Praktikumi teises pooles vaatame turvalise e-maili saatmise (krüpteeritud, signeeritud) ja turvalise suhtluse võimalusi (Signal) ning uurime kuidas võimalikult anonüümselt internetti külastada torbrowser. Praktikumi kohta võib vaadata ka 2021 tutvustavat õppevideo, kuid palume pöörata tähelepanu, et Mozilla Thunderbird turvaline e-mail ja torchat ülesanded on veidi muutunud.

1. E-mailide turvalisus

E-mail on üks levinumaid digitaalselt info vahetamise kanaleid. Kahjuks oli (on siiani) e-mail seejuures suhteliselt ebaturvaline moodus infot edastada, sest on väga raske kontrollida saabunud info terviklikkust (integrity) ja tegelikku saatjat (origin). E-kirjade ebaturvalisusega seotud probleemide illustreerimiseks saadame tänases praktikumis erinevatel viisidel e-kirju. Teie ülesanne on leida vihjed, mille põhjal saaja suudaks tuvastada, et kirjas olev info ei pruugi olla usaldusväärne.

1.1 Online.ee keskkonnas e-maili konto loomine

Tänases praktikumis läheb sul vaja mitut erinevat e-maili aadressi:

1. sinu põhi-emaili aadress (see, mis ÕISis kirjas), ainult kirjade vastuvõtmine
   1. Kui mingil põhjusel teil puudub ligipääs ÕISis olevale e-mailile palun informeerige sellest (saatke alo.peets@ut.ee e-kiri) uue e-mailiaadressiga kuhu soovite kirju saada.
2. liba-konto http://online.ee keskkonnas
   1. Minge lehele http://online.ee
   2. Looge seal uus kasutaja vajutades nupule REGISTREERI
   3. Väljad (k.a. alternatiivne e-posti aadress ja telefoninumber) täitke vabalt valitud infoga. Siinkohal soovitame mitte-kasutada infot ja nimesid, mis võiksid teile kui isikule viidata, sest kui te läbi viiksite päris rünnet siis oleks suhteliselt rumal seda teha enda nime alt.
   4. Alternatiivse e-posti aadressi ja telefoninumbri välja kuuluvust teile ei kontrollita ehk telefoninumbriks sobib ka "123456789"
   5. kirjutage parool ülesse (sisestage paroolihaldurisse), et te seda ära ei unustaks.

1.2 Käsurealt e-maili saatmine

Järgnevalt vaatame kuidas käsurealt e-kirju saata, mis annab meile rohkem võimalusi modifitseerida saatja infot.

1. Ava Linux Mint virtuaalmasin
2. paigalda programm nimega ssmtp (eelnevates praktikumides oleme Linuxis tarkvara paigaldamist õppinud)
3. modifitseeri (vajadusel lisa) faili /etc/ssmtp/ssmtp.conf faili järgmised seadistuse parameetrid:
   1. mailhub=mail.hot.ee:587
   2. hostname=online.ee
   3. FromLineOverride=YES
   4. UseSTARTTLS=YES
   5. AuthUser=andmeturve22@online.ee (asenda e-mail enda loodud online.ee e-mailiga)
   6. AuthPass=lisa_siia_enda_loodud_parool (asenda = järel olev enda parooliga online.ee keskkonnas.)
4. e-kirja sisu on mugav ssmtp programmile ette anda tekstifailina mail.txt sisu võiks olla näiteks:

To: Sinu Nimi <sinu.emaili.aadress@gmail.com>
Subject: Andmeturve e-mail online.ee vahendusel
From: Alo Peets <alo.peets@ut.ee>
Content-Type: text/html; charset="utf8"

<html>
<body>

Käesolev kiri on saadetud online.ee vahendusel ja illustreerib kui kerge on võõra isiku nimel saata suhteliselt usutavat kirja. Rohkem infot siin https://www.youtube.com/watch?v=iM-MR0yQvTg


<br>Alo Peets
<br>Andmeturve aine õppejõud
</body>
</html>

Kui sul ei õnnestu e-maili saata, vaata üle seadistus ja võimalusel kasuta mobiilset internetti (mobiiliga hotspot ja host arvuti ühenda sinna internetti, VM saab ühenduse automaatlselt NAT kaudu). Kuna käesoleva ja krüpteeritud kirja saatmise ülesanne on võrgupõhine tegevus siis osad internetiühendused piiravad väljuvaid käsitsi koostatud e-maile kahjuks.

1.3 E-kirja saatmine TÜ sisevõrgust SMTP (Simple Mail Transfer Protocol)

E-kirjad liiguvad internetis vägagi sarnaselt sellele, kuidas liiguvad füüsilises maailmas paberkirjad. Meil on olemas igas riigis (piirkonnas) postiteenuse osutaja kelle ülesandeks on e-kirjad kokku koguda ja õigete aadressaatideni kohale toimetada. Digitaalsel maailmas teevad seda nn e-maili serverid (kes tihti käituvad kui e-mail relay, MTA). TÜ-s on üks selline server mail.ut.ee mis hoolitseb selle eest, et kõik TÜ-st alguse saanud e-kirjad jõuaksid õigesse postkasti TÜ-s ja maailmas. Ajaloolistel põhjustel samas ei ole e-maili standardisse ja tehnilistesse lahendusse sisse kirjutatud ühtset standardit kuidas kontrollida, et saatja oleks see kes ta väidab end olevat ning kuidas kontrollida, et e-kirju vahepeal ei modifitseerita. Selle kõige tulemusena on mail.ut.ee nõus ilma autentimiseta vahendama TÜ sisevõrgust alguse saanud e-kirju soovitud sihtkohta.

SMTP on protokoll meili saatmiseks. SMTP protokolli vaikimisi port on 25. Ühendus tuleks luua selle arvutiga, mis on märgitud DNS-is e-maili saaja domeeni meiliserveriks. Tavaliselt jõuab e-mail kohale ka siis, kui võtta ühendust suvalise koduvõrgu SMTP serveriga, nt mail.ut.ee või mail.neti.ee - sel juhul need serverid vahendavad (relay) e-maili õigele serverile (kui neil vahendamine lubatud on). Varasemalt oli paljudel e-mailiserveritel vastav tegevus lubatud, kuid seoses suureneva võltsarvete ja muude e-mailiga saadetavate pettustega on hetkel raske leida avalikku e-maili serverit, mis autentimata kasutajale e-maile edastaks.

NB! Kui eelmisi ühendusi saite teha suvalisest Linuxi masinast, siis järgmist harjutust saab teha ainult TÜ sisevõrgust, kusjuures isegi VPN-ühendus ei aita. Piirangust mööda pääsemiseks soovitame väljastpoolt TÜ sisevõrku võite luua kõigepealt ssh ühenduse math.ut.ee serveriga siis seal vastavad tegevused sooritada. TÜ sisevõrgust saaks järgnevat tegevust teha ka autentimata ehk saata nö võltsitud saatja reaga e-kiri heauksele saajale. NB! Võltsitud (muudetud) saatja reaga e-maili saatmine on keelatud tegevus ja seadusega karistatav (ilma ohvri nõusolekuta, identiteedivargus). Seega järgnev tegevus muudetud saatja reaga e-maili saatmine on väljaspool LTAT.06.002 Andmeturve aine Praktikum3 ülesande lahendamiseks vajalikku lahendamist keelatud.

Tööks kasutame seekord ssh ühenduse vahendusel math.ut.ee serverit. SSH ühendust saate Windows keskkonnas mugavalt luua programmiga putty https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html (täitke ära avaaknas Session ainult Host Name (or IO address) väärtusega math.ut.ee pärast Open vajutamist küsitakse teilt TÜ kasutajatunnust ja parooli. Linux ja MAC kasutajad saavad kasutada sisse ehitatud SSH-klienti käsurea käsuga ssh <TÜkasutajatunnus>@math.ut.ee. Loomulikult võite kasutada ka Linux Mint virtuaalmasinat käesoleva ülesande tegemiseks. Kui te ei tea enda TÜ kasutajatunnuse parooli siis selle saate ära vahetada ID-kaardiga ennast identifitseerides sellel lehel https://passwd.ut.ee . Tüüpiline meili saatmise seanss näeb välja järgmine:

[alop@math ~]$ telnet mail.ut.ee 25
Trying 2001:bb8:2002:500::47...
Connected to mail.ut.ee.
Escape character is '^]'.
220 smtp2.it.da.ut.ee ESMTP Postfix
HELO math.ut.ee
250 smtp2.it.da.ut.ee
MAIL FROM:<oppejou.nimi@ut.ee>
250 2.1.0 Ok
RCPT TO:<eesnimi.perenimi@gmail.com>
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
From:Õppe Jõud<oppe.joud@ut.ee>
To:Eesnimi Perenimi<eesnimi.perenimi@gmail.com>
X-Mailer: telnet
Subject: e-maili test Turve2022
Content-Type: text/plain; charset=UTF-8
Soovin LTAT.06.002 Andmeturve Praktikum 3 arvestust.
.
250 2.0.0 Ok: queued as C12B39006F
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

Käskude selgitused:

HELO

sessiooni algust tähistav käsk, parameetriks klientarvuti nimi, praktikas nime sageli ignoreeritakse, kuid vahel nõutakse et see peab DNS mõttes lahenduv nimi olema.

MAIL FROM

parameetriks saatja meiliaadress.

RCPT TO

parameetriks saaja meiliaadress.

DATA

järgneb meili sisu - kõigepealt päised, siis tühi rida ja meili tekst. Lõpetamiseks punkt eraldi real.

QUIT

lõpetab sessiooni.

Päised:

• To: saaja aadress,
• From: saatja aadress,
• Subject: määrab e-maili teema,
• Content-Type: ütleb, et tegemist tavalise tekstilise e-mailiga (vastandina HTML e-mailile) ja sisu on kodeeritud UTF-8 kodeeringus.

Silma torkab, et nii saatja kui saaja aadressi on topelt - nii MAIL FROM/RCPT TO käsus, kui ka From/To päistes. MAIL FROM/RCPT TO moodustavad kirja "ümbriku" (envelope). RCPT TO on e-maili tegelik saaja, To: päises on esialgne saaja, nt listi puhul listi e-maili aadress. Praktikas meiliserver päiseid ei vaata vaid juhindub ainult ümbrikuaadressidest. Ja vastupidi - meilide lugemise programm ei tea midagi ümbrikuaadressidest. Nii on võimalik pimekoopia saatmine - pimekoopia saaja on ümbrikus saajana kirjas, aga päistes teda pole.

Nagu näha, ei nõua SMTP oma algsel kujul mitte mingit tõestust, et sul on õigus saatja nimel e-maili saata. See teebki lihtsaks e-maili ärakasutamise spämmerite ning viiruste poolt. Selle vastu võitlemiseks rakendatakse mitmesuguseid piiranguid:

• IP-aadresside piiramine, kust on SMTP-ühendused lubatud (näiteks mail.neti.ee ei luba väljaspoolt Telia'le kuuluvast aadressiruumist).
• kasutajanime ja parooli ning krüpteeritud ühenduse (SSL/TLS) nõudmine (mitmed veebimajutusteenuse pakkujad).
• SPF reeglid DNS-s, mis loetlevad, millistelt IP-aadressidelt on lubatud antud saatja aadressiga e-maile saata.
• DKIM - e-mailide allkirjastamine serverile teadaoleva privaatse võtmega, mille avalik võti on DNS-s.
• DMARC - Täiendab SPF ja DKIM
• Ülesanne 2: Saada iseendale telnetiga e-mail praktikumijuhendaja nimel math.ut.ee serveri vahendusel, pane saatjaks alo.peets@ut.ee> ja lisa päisesse X-Mailer: rida väärtusega telnet. E-mail peab sisaldama korrektset teemarida (pealkiri) ja täpitähti. Lisa aruandesse pilt enda postkasti saabunud praktikumijuhendaja kirjast koos vaikimisi peidetud X-Mailer: reaga (vihje: meilikliendis Gmail: ⋮ => Näita algset/Show original).

1.4 E-maili detailse info uurimine

IT-maailmas on esimesel korral infot vaadates raske öelda milline on õige / vale seadistus, kui teil varasem kogemus puudub. Seega lisaks kahele eelnevalt enda poolt saadetud liba e-kirjale saadab õppejõud teile ühe kirja TÜ soovituslikku e-kirja saatmise vahendit Microsoft Outlook Office 365 veebikeskkonda kasutades ning võite võrdlusesse lisada ÕIS saadetava teate aine praktikumide kohta (või courses.cs.ut.ee tagasiside kirja).

Järgnevalt võrdleme nelja (4) erinevat e-kirja:

1. ssmtp saadetud online.ee vahendusel liba e-kiri
2. telnet saadetud math.ut.ee vahendusel liba e-kiri
3. ÕIS e-kiri saadetud õppejõu poolt pealkirjaga LTAT.06.002 Andmeturve - ... (alternatiivina võib kasutada courses.cs.ut.ee saadetud tagasiside teadet)
4. Õppejõu saadetud e-kiri Microsoft Outlook Office 365 veebikeskkonda kasutades

Iga e-kirja puhul ava oma e-postirakenduses e-kirja lähtetekst (View Orginal, Näita algset jne vms, Thunderbird puhul View => "Message Source") ja proovi sealt üles leida päise rida (read), mis kõige paremini illustreerivad, mis keskkonna vahendusel kiri saadeti ja kes selle saatis.

Esmapilgul ei viita miski sellele, et e-maili saatja poleks aine õppejõud.

Kuid kui uurida veidi sügavamale, siis on vihjeid küll, et saatjaks on arvatavasti keegi teine.

1.5 Arvestuseks:

• Ülesanne 3.1: Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõu nimel kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad origin kirjetest tuvastada kas kirja on saatnud aine õppejõud või mitte.
• Ülesanne 3.2: Kirjelda vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale (üks neist võiks olla DMARC).

2. Krüpteeritud ja signeeritud e-kirja saatmine PGP

Järgneva harjutuse eesmärgiks on tutvustada meilide krüpteerimist ja signeerimist võimaldavat tarkvara PGP. Praktikumiülesannete lahendamiseks tuleb teil kasutada online.ee lõpuga e-meili kontot, mille lõime praktikumi esimeses osas. E-maili aadressilt peab olema võimalik Mozilla Thunderbirdi abil kirju alla laadida ning kirju saata - kui see toimib, siis tuleb veel loota, et teenusepakkuja ei blokeeri krüpteeritud sisuga kirju (online.ee on selleks sobivaim). Üldiselt töötab lahendus ka muude e-maili teenusepakkujatega, kui online.ee ei soovi kasutada. NB! online.ee uue meiliaadressi korral ei ole sinna esimesed ~4h võimalik kirju saata seega kui teete uue online.ee aadressi siis peaksite ootama 4h kuni saate sinna e-kirju saata edukalt. Alternatiivina võite kasutada ka (gmail.com, hotmail.com) jms aadresse.

Praktikumiülesandeid saab teha nii enda arvutis kui ka virtuaalmasinas (Linux, Windows, iOS peaksid kõik sobima).

2.1 Tavalise meilivahetusega seotud turvaprobleemid

E-kirjade edastamise protokollid ei ole algselt disainitud turvalisust ja privaatsust silmas pidades nagu demonstreerisime praktikumi esimeses osas. Seega on vaikimisi e-kirjad turvamata, mis tähendab seda, et e-kirju edastatakse tavatekstina (neid ei krüpteerita), samuti pole saatja tihti verifitseeritav. Mõningad SMTP serverid toetavad STARTTLS, mis võimaldab minna turvamata ühenduselt automaatselt üle krüpteeritud ühendusele, mis kasutab protokolli TLS. Siiski leidub veel teenusepakkujaid kus STARTTLS ei kasutata vaikimisi. Seega kui tarkvara ei sunnita kasutama turvaliseks meilivahetuseks mõeldud porti ehk TLS/SSL, siis edastatakse e-kirjad SMTP serverisse üle võrgu tavatekstina.

Meilide edastamiseks ühest serverist teise kasutatakse meilide edastamise agenti ehk MTA-d. Niisugune agent tegeleb nii kirjade vastuvõtmise kui edastamisega ehk kasutab mõlemat SMTP funktsionaalsust. Oluline on see, et erinevad meilide edastamise agendid ei pea omavahel suhtlema TLS/SSL abil vaid võivad kasutada turvamata ühendust. Võib tekkida olukord kus on vaja edastada e-kiri meiliserverile, mis ei toeta TLS/SSL. Seega kui meiliklient saadab turvatud kujul esimesele meiliedastamise serverile e-kirja, siis ei ole garantiid, et seda kirja ei saadeta edasi tavatekstina. Isegi kui e-kiri edastatakse terve teekonna vältel TLS/SSL abil, siis ei saa vältida seda olukorda, et e-kirja edastav server ei loe (salvesta) kirja sisu. Seega on vaja e-kirjade saatmisel usaldada meiliedastamise agente.

Source: OASIS

Oluline on see, et e-kirjade päises olevat infot ei krüpteerita. Seetõttu on e-kirja metaandmed nagu näiteks saatja meiliaadress, saaja meiliaadress, saatja IP, vastuvõtja IP, kuupäev, kell, pealkiri avalikud. Need andmed on avalikud ja neid on kasutusel olevate protokollide tõttu raske varjata. OpenPGP uuemad versioonid võimaldavad siiski asendada osa tundikke väljasid nagu "pealkiri" ajutise nö vähetundliku infoga ja tegelik pealkiri krüpteeritakse koos kirjaga ära.

Tavalise meilivahetusega seotud riskid:

• kirjavahetuse salvestamine
• kirja sisu muutmine
• kirja levitamine
• identiteedivargus (liba e-mailid)

Väga hea ülevaate meilivahetusega seotud probleemidest annab Google, Michigani ülikooli ja Illinoisi ülikooli poolt kirjutatud artikkel Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security (2015).

2.2 Lahendused - PGP / SMIME / otspunktkrüpteerimist võimaldavad sõnumirakendused

Ideaalset lahendust eelnevalt kirjeldatud probleemidele ei ole praegu olemas. Parimad olemasolevad lahendused kasutavad avaliku võtme krüptograafial põhinevat otspunktkrüpteerimist (end-to-end encryption). Otspunktkrüpteerimise korral krüpteeritakse sõnum saatja arvutis ja dekrüpteeritakse alles vastuvõtja arvutis, mistõttu sõnumi edastajad ei saa sõnumit dekrüpteerida.

Pretty Good Privacy (PGP) on 1991. aastal loodud arvutiprogramm, mis võimaldab digitaalsete andmetega teha mitmeid krüptograafilisi operatsioone, näiteks dokumente ja e-kirju krüpteerida ning signeerida. PGP põhineb avaliku võtme krüptograafial, kus igal kasutajal on oma võtmepaar. PGP on kommertstoode ning pole seega vabalt kättesaadav. Küll aga on selle järgi loodud OpenPGP standard, mida järgiv tarkvara on omavahel ühilduv. Kõige tuntum vabavaraline OpenPGP standardile vastav programm on GNU Privacy Guard (GnuPG ehk GPG). E-kirjade otspunktkrüpteerimiseks saabki kasutada OpenPGP standardit järgivat tarkvara GPG.

Alternatiiviks on loobuda e-kirjade kasutamisest ja kasutada tundliku info edastamiseks teisi otspunktkrüpteerimist võimaldavaid vahendeid. Üheks niisuguseks alternatiivseks võimaluseks oli Off-the-Record Messaging (OTR), aga viimasel ajal on populaarsemaks muutunud sõnumivahetusprogramm Signal, mis peaks pakkuma kõrgemat turvataset kui OTR . Signal'i kasutamist saate praktiseerida praktikumi ülesande 5 lahendamisel.

2.3 Juhend enda arvuti ettevalmistamiseks

• Paigaldage enda arvutisse Mozilla Thunderbird
  • Linux: sudo apt install thunderbird (Mint vaikimisi olemas)
  • Windows: https://www.thunderbird.net/en-US/thunderbird/all/
• Paigaldage GPG
  • Linux: sudo apt install gnupg
  • Windows: http://www.gpg4win.org/
• Varasemalt kasutatud Thunderbird-i laiendus Enigmail on alates Thunderbird 68-st sisseehitatud ja eraldi enigmail laiendust pole vaja paigaldada.
• Käivitage Thunderbird ning lisage emaili konto. Kui palutakse Enigmail seadistada, siis valige, et te ei soovi seda praegu teha.
  • Selles praktikumis võiksite kasutada online.ee konto, mille tegime praktikumi esimeses osas.

Uuendus: Lubage Add Security Exception suhtlus.ee sertifikaadile Confirm Security Exception, sest millegipärast arvab meie Mint, et nende kasutatav sertifikaat ei ole päris õige ning tundub et Linuxile ei meeldi * Common Name parameetirs. (Windows 10 masinas mul sama probleemi ei esinenud). Olenevalt millist versiooni Thunderbird ja Enigmail te kasutate võib tekkida olukord, kus Thunderbird ütleb teile, et Enigmail pole enam vajalik ja edaspidi on Enigmail funktsionaalsus osa Thunderbird funktsionaalsusest. Hetkel on juhend ümber kirjutatud kasutama Thunderbirdi sisseehitatud PGP funktsionaalsust.

2.4 Võtmepaari genereerimine

Genereerige endale PGP võtmepaar. Enne kui te järgmist tegevust teete proovige saata enda online.ee e-mailile kiri, kui vastus on negatiivne Address not found või Recipient address rejected: andmeturve22@online.ee is expired account ei saa te veel kirju vastu saata online.ee aadressile. Uue online.ee e-maili postkasti üles seadistamine kirjade vastuvõtmiseks kulub umbes umbes 4h. Te võite võite praktikumiga edasi minna, ja saate kirju välja saata, kuid arvestage, et vastused õppejõult saate hilinemisega.

Thunderbird -> Account Settings -> Ent-toEnd Encryption -> Add Key -> Create a new OpenPGP Key või... Thunderbird -> Tools -> OpenPGP Key Mangemer -> Generate -> New Key Pair

Valitud peaks olema see konto, mille te seadistasite praktikumi alguses. Vaikeseaded sobivad, kuid võite valida, et teie võtme kehtivusaeg oleks 1 aasta. Parooli pole vaja eraldi seadistada, sest Thunderbird loob ise juhusliku parooli peamise konto parooli põhjal (vaikisi pole seadistatud). "Thunderbird uses an automatically created, random password to protect all the OpenPGP secret keys." https://support.mozilla.org/en-US/questions/1304363

2.5 Võtmeserver

Võtmeservereid kasutatakse avalike võtmete levitamiseks. Võtmeserverist on võimalik otsida teiste avalikke võtmeid nende nime / meiliaadressi / võti ID abil. Oluline on tähele panna, et võtmeserverisse laetud avalikku võtit ei saa sealt enam eemaldada (openPGP puhul näidatakse viimastes versioonides siiski ainult viimasena üleslaetud võtit iga e-maili aadressi kohta). Juhul kui vastav salajane võti on kaduma läinud või kui vastavat meiliaadressi enam ei kasutata, siis tuleks kasutada revocation sertifikaati, et märkida vastav avalik võti tühistatuks. Kuna võtmeserverisse võtit laadides ei toimu autentimist, siis ei ole kindlust, kellele võtmeserveris olev võti kuulub. Seetõttu tuleks enne võtme allalaadimist kontrollida, et võtme ID vastab teie tuttava / kontaktisiku võtme ID-le.

1. Thunderbirdi viimased versioonid kasutavad vaikimisi võtmeserverit: keys.openpgp.org ja Kuid ei lae sinna automaatselt võtit üles. Selleks, et teie võti oleks ka avalikult leitav peate oma võtme Thunderbirdis eksportima faili (Tools -> OpenPGP Key Manager -> parem klahv võtmel ja Export Keys To File -> salvestage fail arvutisse. Nüüd saate minna veebilehele https://keys.openpgp.org/upload ja sinna eelnevalt eksporditud avalik võti üles laadida. Nüüd te satute enamasti probleemi otsa, kus online.ee uus e-mailiaadress ei võta veel kinnituskirja vastu, seega käesolevat tegevust teil otseselt teha pole vaja või tehke praktikumi lõpus kui on 4h möödunud online.ee konto tegemisest.
2. OpenPGP Key Manager -> parem klahv võtmel -> menüüst saab luua ka Revoke Key juhuks kui peaks olema vajalik võti tühistada (ärge hetkel katsetage).

2.6 Krüpteeritud ja signeeritud kirjade saatmine

Järgmistes punktides on vaja saata iseendale e-kirju, selleks peaksite omama ka mõnda alternatiivset e-maili aadressi (näiteks gmail.com, hotmail.com, mail.ee, online.ee jne).

Saatke iseendale testimise eesmärgil signeeritud kiri. Selleks koostage uus kiri/Write ja Options -> Digitally Sign This Message .

Märkus. Juhul kui e-maili saatmine ebaõnnestub, sest Thunderbird üritab e-maili saata SMTP protokolli kasutades mail.hot.ee aadressile, mida blokeerib TÜ võrgu seadistus (või teie kohalik võrguseadistus) -- sellisel juhul on ajalooliselt vaja e-maili kliendis seadistada Teie kasutatavale võrgule (interneti teenusepakkujale) vastav väljuv MTA server, mis on nõus omakorda kirja edastama online.ee serverile (mail.hot.ee).

Väljuv e-maili server on vanemate e-maili serverite puhul võrgu põhine (interneti teenuse pakkuja, ISP, internet Service provider). Ehk olenevalt millist võrku te kasutate sellest sõltub teie outgoing serveri seadistus Thunderbird kliendis. Praktikumis ja TÜ sisevõrgus kasutage seadistust mis näha juhendis oleval pildil mail.ut.ee, port 25 ja no authentication@@. Kasutades mail.ut.ee serveri e-kirja edastamise teenuseid võib kuluda kuni 30min, milla e-kiri aadressaadini jõuab. Rohkem infot https://www.online.ee/faq.php#faq/c_kkk/answer_c_kkk_9 PS! Mobiilse interneti abil saadetud kirjad töötavad kõige stabiilsemalt kui teil on probleeme enda peamise interneti vahendusel kirja saatmisega.

Peaksite saama oma e-postiaadressile e-kirja mille manuses on signature.asc nimeline fail. Avage fail tekstiredaktoriga (näiteks notepad) ja tutvuge manuse sisuga. Kui sama signeeritud e-kiri avada Thunderbird programmiga peaks ta teile kuvama teate Good signature (Seda pole vaja testida).

Teisele isikule krüpteeritud kirja saatmiseks on sul vaja teada tema PGP avalikku võtit. Õppejõud on laadinud enda andmeturve22@online.ee aadressi võtme keys.openpgp.org leheküljele ja esimest korda temale krüpteeritud kirja saates peaksite saama veateate, et teil puudub vajalik võti. Vajaliku vütme oskab Thunderbird ise veebist leid akui vajutate õigetele nuppudele (vaata juhendis järgnevat pilti).

• Ülesanne 4: Saatke krüpteeritud (Options -> Require Encryption) ja signeeritud (Options -> Digitally Sign This Message) e-mail õppejõule andmeturve22@online.ee. Kirja krüpteeritud sisu peab kindlasti sisaldama TEIE ees- ja perenime ning pealkirja Andmeturve - PGP praktikum, et saaksime teie tegevuse arvestatuks märkida.

NB! Õppejõud saadab teile vastu samuti krüpteeritud ja signeeritud kirja 3 päeva jooksul, seega saate kontrollida sooritust ja tagasisidet, kas teie e-kiri jõudis kohale. Kui teil on kahtlus kas kiri jõudis kohale võite Teams vahendusel ühendust võtta ka aine õppejõuga Alo Peets.

2.8 Vabatahtlik lisaülesanne - Gmail confidential mode

Eelnevalt vaatasime kuidas saata PGP tüüpi krüpteeritud ja signeeritud e-kirja. Mitmed suuremad e-mailide teenusepakkujad on tänaseks krüpteeritud e-kirjade saatmise funktsionaalsuse lisanud oma teenusele. Ühe sellise edumeelse näitena võib välja tuua GMail e-maili teenuse. Selleks tuleb e-kirja koostamise aknas vajutada tabaluku ja kellaga ikoonile Turn confidential mode on/off. Järgnev harjutus on illustreeriva eesmärgiga ainult neile kes seda soovivad katsetada ja ei ole kohustuslik sooritada. Eriti mugav on, et krüpteeritud kiri on ka esmase jagamise kaitsega (ei saa kopeerida, printida ega edasi saata kogemata). Lisaks on võimalik krüpteeritud kirja saata ka mitte Gmaili e-mailile, misjuhul saadetakse teist kanalit pidi (SMS) avamise kood eraldi adressaadini.

3. Sõnumivahetusrakenduse "Signal" kasutamine.

Signal on avatud lähtekoodiga, krüptograafide poolt arendatud rakendus, mis pakub otspunktkrüpteeritud ühendusi. See toimib Android (alates 4.0) ja iOS (alates 9.0) seadmetel. Juhul kui rakendus on telefonis aktiveeritud, siis saab kasutada ka desktopi klienti (toetatud on Windows, MacOS, Debian/Arch baasil Linux distributsioonid). Teie ülesandeks on:

• Paigaldada Signal nutirakendus
• Lisa kontaktide hulka andmeturbe praktikumi jaoks kasutatav number: +372 5831 3032 NB! Signali kontaktid võetakse enamasti telefoniraamatust juhul kui mõni telefoniraamatus olev kontakt kasutab Signalit, kuid praktikumi arvestuseks võib keelata ligipääsu kontaktidele ja sisestada numbri kästisi.
• Ava kontaktiga (+372 5831 3032) suhtluskanal, ning kirjutada sinna enda eesnimi ja perenimi (saada sõnum)
• Ülesanne 5.1: Kirjuta numbrile 5831 3032 sõnum, mis automaatselt kustub 30 sekundi pärast kui adressaat on sõnumit näinud. (0.7p)
• Ülesanne 5.2: Too välja vähemalt kolm (3) selget erinevust turvalisuse seisuskohast Signal sõnumite ja klassikaliste SMS-ide vahel ning esita lahendus praktikumi aruandesse. (0.3p)

Tulemus peaks sarnanema parempoolsel pildil kujutatule. Kindlasti kirjutage enda täisnimi ning kasutage teise sõnumi korral automaatse kustumise funktsionaalsust.

NB! Eeldame, et kõik IT tudengid omavad kaasaegseid IT seadmeid ja on võimelised Signal ülesannet lahendama. Kui te ei taha kasutada isiklikku telefoni numbrit siis soovitame osta kõnekaardi numbri käesoleva ülesande lahendamiseks. Kui siiski teil tekib probleeme Signali kasutamisel isiklikus nutiseadmes või nutiseade üldse puudub võtke ühendust aine õppejõuga Alo Peets, kes pakub teile alternatiivse ülesande.

4. Tumeveeb (tor) ja anonüümne suhtlus - TorChat

Aegajalt võib olla teil soov suhelda anonüümselt teise kasutajaga ilma et oleks võimalik kergesti tuvastada, kes on teisel pool kanalit suhtlemas ning kust ta suhtleb. Selliseid tarkvarasid kutsutakse anonüümseteks suhtluskanaliteks (anonymous messaging). Ühe näitena võib tuua tarkvara nimega TorChat või BRIAR, mõlemad põhinevad TOR anonüümsel interneti võrgustikul mille idee on, et ei ole võimalik eri osapooltel kergesti tuvastada kes kellega millal suhtleb. Levinud on ka nn TOR veebilehitseja https://www.torproject.org/ ja Darkweb foorumite kasutamine anonüümseks suhtluseks ja info levitamiseks. TOR kasutades on väidetavalt võimalik enda interneti teenusepakkuja ja riiklike uurimisasutuste eest ära peita, mis lehti sa külastad (veebist leiab mitmeid arutelusid kui edukalt TOR kasutajaid kaitseb, kuid keskmise kodukasutaja jaoks lisab see kindlasti anonüümsust ja kaitset võrgu jälgimise vastu.). PS! Alates oktoobrist 2021 on .onion V2 lehekülgede tugi eemaldatud TOR browseri versioonist 11 ja edasi, seega olge TOR linke otsides teadlikud, et peaksite otsima pikemaid TOR V3 linke. Lisainfo: https://support.torproject.org/onionservices/v2-deprecation/

Paigaldage Linux Mint virtuaalmasinasse tor veebilehitseja torbrowser ja külastage mõnda küberturvalisusega seotud tumeveebi (.onion) aadressi. Tor veebilehitseja on soovitatav paigaldada TOR kodulehelt, sest paketihalduri pakutav versioon on liialt vana ja annab käivitamisel veateate. https://www.torproject.org/download/ (Vihje: Laadige alla Linuxi versioon, pakkige lahti ja kaustas avage esimesel korral fail Tor Browser Setup järgnevatel kordadel kannab nime Tor Browser.

• Ülesanne 6: Külasta torbrowser veebilehitsejaga enda valitud küberturvalisusega seotud .onion tumeveebi lehte (ekraanivaade - 0.25p) ja too välja, milliste andmete lekkimise eest riiklikele jälgimisasutustele TOR Browser veebilehitseja kasutamine aitab (0.25p).

Esitada Praktikum3:

Praktikumi ülesannete lahendamine annab neli punkti ja esitamiseks on umbes kaks nädalat alates praktikumi toimumisajast ( kuni 9. märts tähtajani +1 päev lubatud hilinemist juhuks kui te pidite ootama online.ee e-maili aktiveerimist).

• Ülesanne 1: Saata iseendale võlts e-mail online.ee vahendusel õppejõu Alo Peets alo.peets@ut.ee nimel (ekraanipilt ÜL3) - 0.5p
• Ülesanne 2: Saata iseendale võlts e-mail math.ut.ee vahendusel õppejõu Alo Peets alo.peets@ut.ee nimel (ekraanipilt ÜL3) - 0.5p
• Ülesanne 3: Esita praktikumi arvestuseks neli (4) ekraanivaadet e-kirja detailsest infost (eri moodustel saabunud aine õppejõu nimel kirjadest) ja märgi selgelt näiteks punase kastiga kohad mis aitavad origin kirjetest tuvastada kas kirja on saatnud aine õppejõud või mitte. Kirjelda vähemalt 3 tehnilist parameetrit detailsemalt, mis aitab tuvastada kas kiri on õige või vale (üks neist võiks olla DMARC). - 0.5
• Ülesanne 4: Saata PGP krüpteeritud ja signeeritud e-kiri õppejõule andmeturve22@online.ee, mille sisuks on teie nimi - 1p
• Ülesanne 5: Saata Signal krüpteeritud kustuv sõnum ja tuua selgelt välja 3 turvalisuse erinevust tavalisest SMS ja Signal vahel - 0.7 + 0.3p
• Ülesanne 6: Külasta torbrowser veebilehitsejaga enda valitud küberturvalisusega seotud .onion tumeveebi lehte (ekraanivaade - 0.25p) ja too välja, milliste andmete lekkimise eest riiklikele jälgimisasutustele TOR Browser veebilehitseja kasutamine aitab (0.25p).

Lisamaterjalid

• Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security (2015).
• Perfect Forward Secrecy
  • Perfect Forward Secrecy
  • Pushing for Perfect Forward Secrecy, an Important Web Privacy Protection
  • Why the Web Needs Perfect Forward Secrecy More Than Ever