Základy

Hesla

Bezpečné heslo

minimálně 8 znaků
kombinace malých a velkých písmen, číslic a speciálních znaků
neobsahuje slovo, jméno, datum narození, adresu apod.
nepoužíváme na více účtech stejné
si nepíšeme na papírky, neukládáme ve firefoxu apod. na předvyplnění

Sílu hesla si můžeme ověřit na stránce http://www.passwordmeter.com/

Ukládání hesel

Ideálně je máme uložené na šifrovaném disku, např. v souboru pro program Revelation

sudo apt-get install revelation

Sdílení souborů

Pokud potřebujeme bezpečně sdílet větší soubory, na které nám nestačí limit emailu, můžeme použít např. uloz.to (ideálně zahraniční servery), ale musíme dodržet základní bezpečnostní pravidla.

soubory ke sdílení zabalíme do ZIPu pod bezpečným heslem, přičemž zvolíme i zakódovat názvy souborů
soubor pojmenujeme např. dovolena_2010.zip, chorvatsko_fotky.zip apod.
zabalený soubor umístíme např. na uloz.to a respondentovi bezpečně pošleme odkaz ke stažení i odkaz ke smazání a heslo
příjemce soubor po stažení z uloz.to smaže pomocí odkazu

Procházení webů

Pro bezpečný a anonymní pohyb na internetu dodržuejem pravidla:

vždy používáme TOR
můžeme použít i webové anonymizéry typu hidemyass.com (vhodné pouze na prohlížení nebezpečných stránek)
defaultně máme vyplý javascript a flash, zapínáme jen v případě potřeby
neukládáme si historii v prohlížeči
neukládáme cookies, není-li to nutné
po skončení práce promažeme cookies a LSO (flash cookies)

TOR

Instalace Toru

Linux

Především začínajícím uživatelům doporučujeme verzi Toru, kterou není třeba instalovat (viz níže).
Přidejte si repozitář Toru do zdrojů (V Ubuntu 10.10 Správa->Správce aktualizací->Nastavení):

   deb http://deb.torproject.org/torproject.org natty main #Tor (Ubuntu 11.04)

Poté spusťte v terminálu:

   gpg --keyserver keys.gnupg.net --recv 886DDD89
   gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
   sudo apt-get update
   sudo apt-get install tor tor-geoipdb

Dále je potřeba správce proxy (zajistí aby systém pro spojení mohl používat Tor). Stáhněte a nainstalujte si Privoxy nebo Polipo. Nyní má Tor grafického správce - Vidalia. Dále je pohodlný doplněk do Firefoxu TorButton, pomocí kterého můžete jedním kliknutím aktivovat a deaktivovat Tor.

TOR bez instalace

Linux

Na adrese https://www.torproject.org/ si stáhněte "Tor Browser Bundle for GNU/Linux on i686". Balíček rozbalte. Tor potom můžete spustit bez instalace z dané složky spuštěním souboru "start-tor-browser". Automaticky se spustí Vidalia a Tor Browser (speciální verze Firefoxu s označením Namoroka, s nainstalovaným TorButtonem). To je vše.

Pokud by se vám nechtěl "start-tor-browser" spustit, zkuste ho spustit přes terminál.

cd /home/petr/downloads/tor-browser_en-US (takhle se dostanete do dané složky)

sh start-tor-browser (a takhle program spustíte)

Windows

Ze stránky http://www.torproject.org/easy-download.html.en si stáhněte Tor Browser Bundle for Windows.

Jestli Vám TOR správně funguje zjistíte například na stránce https://check.torproject.org/.

Firefox addony

QuickJava: přídá tlačítka na rychlé přepínání Javy, Javascriptu, Flashe, ...
TorButton: přídá tlačítko na zapínání TORu
BetterPrivacy: správce flash cookies
CookieCuller: správce cookies

TOR pro další aplikace

Tor lze využít nejen pro webový prohlížeč, ale i pro mnoho jiných aplikací jako je Jabber klient, komunikátory, FTP, SFTP.
Je potřeba mít zapnutý TOR a v dané aplikaci vyplnit proxy:

Typ proxy: SOCKS 5

Počítač: localhost (127.0.0.1)

port: 9050


nebo ruční konfigurací:

Server: localhost (127.0.0.1)

Port: 8118

TOR pro Android

Orbot: TOR
Orweb: prohlížeč
Beem: jabber

TOR pro iPhone

Pouze pro iPhony s jailbreakem

http://sid77.slackware.it/iphone/howto/

Truecrypt

Ke stažení pro Linux, Max OS X i Windows na truecrypt.org

Vytvoření šifrovaného flash disku

Po instalaci a spuštění vybereme "Create Volume"
Dále zvolíme, zda chceme zašifrovat jen část disku do souboru či celý flash/externí disk či oddíl
V dalším kroku zadáme, že chceme vytvořit Hidden volume - vytvoří se dva šifrované oddíly uvnitř sebe, kdy v případě problému v klidu odevzdáme heslo k první části, kde máme např. fotky z dovolené, zatímco v druhém (inner) oddílu máme skutečná data.
Vybereme zařízení k sašifrování a v dalším kroku potvrdíme jeho formátování
Teď se musíme rozhodnout, jaké šifrování zvolíme. Všechny jsou dostatečně silné (zvolte ale kombinaci alespoň dvou), pokud ale chcete mít jistotu, zvolte tři najednou, což je ale relativně pomalejší. Jako hashovaci algorytmus zvolte SHA-512
Zvolíme si heslo pro vnější oddíl - může být i jednodušší. Toto heslo odevzdáme, pokud k tomu budeme donuceni např. represivními složkami. Pod tímto oddílem budeme mít uložena jen neškodná data (doporučuji rodinné fotky, kdy se můžeme vymluvit, že se šifrováním bráníme v případě odcizení flashky apod.)
V následujícím okně musíme chvilku pohybovat myší, čímž dosáhneme vygenerování opravdu náhodných znaků. Poté dáme Format a dle velikosti flashky a složitosti algoritmu si počkáme 10minut až několik hodin.
A je hotovo, dáme next a vytvoříme vnitřní oddíl
Nyní je postup podobný jako u vnějšího oddílu, jen zvolte nejlépe kombinaci tři algorytmů
Zvolíme si velikost vnitřního oddílu, tohle nechám čistě na Vás =)
Zvolíme heslo (alespoň 8 znaků, bez českých/anglických slov, kombinace malých a velkých písmen, číslic a speciálních znaků)
Zvolte, že nebudete ukládat soubory větší než 4GB
Nyní volíte systém souborů, kvůli kompatibilitě s OS Windows zvolte FAT
Opět chvilku hýbejte myší a dejte Format, poté potvrďte upozornění a dejte Exit

Připojení šifrovaného flash disku

POZOR! Při připojení ve Windows se disk zobrazí jako neformátovaný a nabídne se jeho formát, ten nedávejte, jinak byste přišli o svá data!

Po spuštění programu vyberte zařízení (select device) a slot (ve Win písmeno), kam chcete oddíl připojit a dejte Mount (popř. dejte rovnou Automount a slot se vybere sám)
Podle toho, jaké teď zadáte heslo, připojí se Vám vnitřní nebo vnější oddíl. V případě vnějšího nejde nijak zjistit, že existuje i nějaký vnitřní oddíl. A můžete s diskem pracovat.
Pokud chcete disk odpojit, klikněte na něj v truecryptu pravým a zvolte Dismount, případně dejte Dismount All pro odpojení všech truecrypt zařízení.

POZOR! Pokud do vnější (outer) části uložíte data větší než velikost flash disku minus data ve vnitřní (inner) oblasti budou zničena!

Skartace souborů

Jelikož jdou běžně smazané soubory zpětně obnovit, je potřeba je skartovat - tedy smazat a několikrát přepsat nesmyslnými daty.

Shred

Skartace souboru

shred -f -v -z -u soubor.txt

Protože je ale mazání přes terminál nepohodlné, přidáme si skartaci do kontextobé nabídky nautilu

Nainstalujeme balík nautilus-actions
```
sudo apt-get install nautilus-actions
```
V Systém->Volby spustíme Nastavení akcí Nautilus
Klikneme na tlačítko + a vyplníme dle následujících obrázků:
V sekci Command vyplníme akci:
Klikneme na Conditions, zaškrtneme "Only files" a "Appears if selection has multiple files or folders" a dáme Zaznamenat změnené akce (ikonka vedle +)
V terminálu restartujeme nautilus pomocí
```
nautilus -q
   nautilus
```
A voila - na pravém kliku máme možnost Skartovat. Pokusím se ještě napsat verzi pro skartaci adresářů =)

Secure-Delete

Pokud chceme skartovat volné místo na disku či paměťi, hodí se na to balík programů Secure-Delete. Stáhneme si jej pomocí:

sudo apt-get install secure-delete

smem

Smem slouží k přepsání dat v paměti RAM

smem -v

sfill

sfill slouží k přepsání volného místa na disku

sfill -v -z /

BleachBit

K vyčištění volného místa, logů a dočasných souborů se hodí program BleachBit (alternativa CCleaner ve Windows).

http://bleachbit.sourceforge.net/download

CCleaner

Ke stažení na www.piriform.com

CCleaner je užitečný nástroj pro odstranění nepotřebných souborů z pevného disku a vyčištění registrů od chybných či zbytečných záznamů. Aplikace po spuštění například vysype koš, vymaže historii a cookies soubory z internetových prohlížečů, smaže historii naposledy otevřených a spouštěných souborů, vymaže i další nepotřebné a nepoužívané systémové soubory a tím také optimalizuje rychlost systému.

Po instalaci přejděte do Možnosti > Nastavení a nastavte Bezpečné vymazání na Gutmann (35 passes)
V sekci čistič povolíme možnost Vyčistit volné místo
Jelikož je mazání volného místa časově náročné, provádíme ho jednou za čas. V kombinaci s neukládáním historie prohlížeče a okamžitou skartací souborů (eraser) je vše v pořádku.

Eraser

Eraser si můžeme stáhnout např. z webu http://www.studna.cz/eraser-p-1308.html

Po instalaci přejděte do Settings a nastavte přepisovací metody na Gutmann (35 passes)
Pokud chceme skartovat soubor, klikneme na něj pravým, zvolíme Eraser > Erase

Zničení obsahu pevného disku

Pokud máte např. starý pc nebo flash disk, který chcete prodat nebo někomu věnovat, je lepší na něm bezpečně zničit všechna data. K tomu slouží např. DBAN (Darik`s Boot And Nuke)

http://www.dban.org/download

Odstranění EXIF z fotek

Většina fotoaparátů i grafických programů si do fotek ukládá i dost informací - kdy a kde byla fotka pořízena, na jaký foťák, s jakou clonou, apod., což může celkem jasně identifikovat člověka, který ji fotil. Proto je dobé, pokud fotky dáváme někam na internet, tyto informace odstranit.

Pokud nemáme, tak si stáhneme balík imagemagick:
```
sudo apt-get install imagemagick
```
Pro odstranění exif všech fotek s přípomnou JPG v aktuálním adresáři pak v terminálu spustíme jen:
```
mogrify -strip *.JPG
```
Práci s mogrify si opět můžeme ulehčit jeho integrací do nautilu pomocí nautlius-actions.

Šifrování komunikace

PGP

Instalace a vytvoření klíče

Linux

Ubuntu má GPG integrované - "Aplikace - Příslušenství - Hesla a šifrovací klíče". Grafickým rozhraním se snadno rychle proklikáte, podobně jako v následujícím návodu pro ty, kteří GPG nainstalované nemají.

Pokud GPG nainstalované nemáte, stáhneme si balík kgpg, který si sám stáhne další potřebné balíky:
```
sudo apt-get install kgpg
```
V menu KGpg dáme Klíče -> Generovat nový pár a vyplníme položky následovně:
V dalším kroku si nastavíme bezpečné heslo
Poté se začne generovat nový klíč, po jehož dogenerování Vám vyskočí tohle info:

Windows

Z http://downloads.gnupt.de/gnupt.zip si stáhneme a nainstalujeme balík programů GNU-PT.
Spustíme WinPT a zvolíme Generate a GnuPG key pair
Vyplníme základní údaje (samozřejmě nemusíme uvádět pravé jméno ani email)
V dalších krocích zadáme heslo a poté se začne generovat nový pár klíčů.
Po dogenerování vyskočí možnost zálohovat si klíče, což doporučuji udělat např. na šifrovanou flashku.

Správa klíčů

Linux

Exportování vlastního veřejného klíče provedete přes Klíče -> export public key, který pak pošlete protějšku

Cizí klíče importujete pomocí Klíče -> importovat klíč.

Windows

Nyní máme v liště vedle hodin novou ikonku WiNPT (klíč), na který klikneme levým a vybereme Key Manager.

Exportování vlastního veřejného klíče provedete vybráním vašeho klíče v seznamu a pak přes Key -> Export, který pak pošlete protějšku

Cizí klíče importujete pomocí Key -> Import.

Nastavení v Psi

Windows: Pro šifrování komunikace přes jabber použijeme PSI IM, který si stáhneme z http://psi-im.org/

Linux: Pro šifrování komunikace přes jabber použijeme PSI IM:
```
sudo apt-get install psi libqca2-plugin-ossl libqca2-plugin-gnupg
```
Po spuštění programu nás Psi provede nastavením či registrací jabber účtu.
V Psi dáme General -> Account Setup -> Modify -> Details a v sekci OpenPGP dáme Select Key a vybereme náš klíč a uložíme.
Pokud chceme začít komunikovat šifrovaně, klikneme pravým tlačítkem na daný kontakt a dáme Assign OpenPGP Key
Program se pokusí najít klíč automaticky (podle emailu), což se mu většinou nepodaří, tak dáme Choose Key Manualy
Vybereme daný klíč (který jsme si předtím importovali např. přes KGpg nebo GnuPT) a dáme OK (ve Win je ještě potřeba vypnout a znovu zapnout Psi)
Otevřeme si chatovací okno s danou osobou a vpravo nahoře klikneme na ikonku zámku, která zešloutne
Při odeslání první zprávy se nám pak napíše Encryption Enabled a můžeme vesele psát

GPG v mailu

Thunderbird a Enigmail
Pokud chcete stahovat poštu pomocí POP3/IMAP klienta Thunderbird do svého počítače nainstalujte si doplněk Enigmail.

GPG pro webové rozhraní emailu
Pokud pro přístup ke svému mailu používáte webové rozhraní (přistupujete na mail přes Firefox), můžete GPG integrovat přímo do prohlížeče doplňkem pro Firefox FireGPG. Vývoj FireGPG byl sice zastaven, stále je ale užitečný pomocník.

OTR na Jabberu v Pidginu

Pro šifrování komunikace přes jabber pomocí OTR neboli Off-the-record použijeme Pidgin http://pidgin.im a plugin OTR http://cypherpunks.ca/otr/
```
sudo apt-get install pidgin pidgin-otr
```
Jabber účet přidáme v „Účty – Spravovat účty – Přidat účet“ a zvolíme XMPP (to je protokol Jabberu)
Vybereme si uživatelské jméno. Doménu vyplníme podle svého výběru - např. jabber.cz (některý server, který poskytuje službu Jabber)
Do kolonky „Zdroj (Resource)“ napište Home. Vyplňte heslo a pokud chcete vytvořit nový účet zaškrtněte to. V záložce pokročilého nastavení (Advanced) zkontrolujte, že je zvoleno „Vyžadovat SSL/TLS“, které bude šifrovat odesílané přihlašovací údaje.
Finální adresa Jabber účtu bude ve tvaru jako má email, tedy nick@server.cz
Doplněk OTR už máme nainstalovaný (V Linuxu balíček pidgin-otr. Ve Windows jde stáhnout z adresy http://cypherpunks.ca/otr/)
V Pidginu jděte do „Nástroje – Doplňky (Plugins)“ a vyber OTR. Otevřete nastavení pluginu a klikni pro vygenerování privátního klíče.
V „Nástroje – Nastavení“ vyberte „Logging“ a odškrtněte všechna uchovávání historie.
Teď už OTR funguje a v chatovacím okně by se měla objevit ikonka „Start private conversation“.
Po začátku privátní konverzace klikněte pravým tlačítkem znovu na tlačítko „Private“ a zvolte „Authenticate“. S druhým člověkem si vyměníte společné heslo nebo manuálně ověříte fingerprint (osobní klíč - např. při osobním setkání) aby ste měli jistotu, že si píšete spolu.