přejít na obsah přejít na navigaci

Linux E X P R E S, Elektronický podpis za pár minut

Elektronický podpis za pár minut

tuzky_1.png

Podpis byl, je a bude symbol, který identifikuje svého autora. I v e-mailu je třeba se podepsat. A k tomu slouží certifikáty. Jak jeden z nich získat a používat v programu Evolution, zjistíte v tomto článku.


reklama

Elektronický podpis

V jedné větě by se dalo napsat, že elektronický podpis je elektronická identifikační značka autora zprávy, v našem případě e-mailové. Samozřejmě se nejedná o obyčejné jméno napsané pod textem zprávy. To může nezvaná osoba během přenosu celkem jednoduše změnit. Existuje mnohem sofistikovanější metoda, která se nazývá digitální podpis.

Po digitálním podpisu však nechceme pouze identifikaci autora zprávy, byť je to věc důležitá, rádi bychom také zajistili integritu dokumentu a někdy i přidali časové razítko, pokud chceme mít jistotu, kdy byl dokument podepsán.

Zajišťování integrity dokumentu znamená postup zaručující, že obsah zprávy nebyl během přenosu nebo zpracovávání změněn.

Obrázek:  obr1.jpg

Schéma generování a ověření elektronického podpisu

Na obrázku vidíme, jak se taková zpráva podepisuje. Podotýkám, že v moderních klientech vše probíhá transparentně. Nejprve se vezme celá vaše zpráva, z ní se vytvoří hash, aby podpis nemusel mít stejnou délku jako celý text, přidá se časové razítko a vše se zašifruje vaším soukromým klíčem. Výsledek se vloží jako příloha ve formátu p7s k odesílanému mailu a pošle se.

Hash je řetězec určité přesné délky (např. 512 znaků), který je pevně svázán s nějakým textem. Je prakticky nereálné změnit text tak, aby se nezměnil jeho hash. Používá se, aby mohl být podpis kratší, než je délka podpisovaného textu. Běžně se používají funkce MD5 (nebezpečná), SHA-1 nebo SHA-2 (doporučená).

Na druhé straně příjemce vezme p7s přílohu, rozšifruje ji veřejným klíčem a výsledek porovná s hashem, který si sám vytvořil z příchozí zprávy. Pokud se shodují, je jisté, že nedošlo k úpravě textu zprávy. Veřejný klíč je vždy součástí p7s přílohy, je to totiž ona značka, která identifikuje odesílatele. Vždy tedy budeme mít čím ověřit integritu zprávy.

Ještě je potřeba zajistit, aby někdo nepodvrhl identifikační značku (veřejný klíč). Zde se operuje s pojmem důvěryhodnosti. Veřejný klíč v sobě nese i informaci o svém tvůrci, přičemž tento záznam je opět zabezpečen pomocí asymetrické šifry jako váš celý klíč. Není tedy možné vytvořit klíč, který by fingoval jako svého tvůrce nějakou známou certifikační autoritu.

Asymetrická šifra je taková, která k zašifrování používá jeden klíč (textový řetězec) a na rozšifrování jiný. Mluvíme pak o privátním a veřejném klíči. Jestliže zprávu zašifrujeme veřejným klíčem, je možné ji rozšifrovat pouze klíčem privátním. Nefunguje dokonce ani veřejný klíč, kterým jsme šifrovali. Funguje i proces opačný.

Váš e-mailový klient má seznam certifikačních autorit, které považujete za důvěryhodné, pak i všechny certifikáty, které tyto autority vydaly, považujete za důvěryhodné. Přesněji tedy můžete důvěřovat, že osoba uvedená v certifikátu je skutečně ona. Platný podpis patří důvěryhodné certifikační autoritě (případně máte přímo uložen odpovídající veřejný klíč), neplatné vydala nějaké neznámá nebo nedůvěryhodná certifikační autorita. Dobrou zprávou je, že Thawte většinou je mezi důvěryhodnými certifikačními autoritami.

Možná se pozastavíte nad tím, že jméno majitele certifikátu je Thawte Freemail Member's Thawte Consulting (Pty) Ltd. ID. Je to proto, že doposud není ověřena vaše fyzická identita (pouze vaše e-mailová adresa). Je potřeba osobně navštívit takzvané Notáře s potřebnými dokumenty, které vás identifikují (občanka, pas apod.), a získat od nich alespoň 50 bodů. Ale pozor, určitě to nebude jen od jednoho. Po dosažení této hranice se ve jméně certifikátu bude vyjímat přímo vaše občanské jméno. Pokud dosáhnete 100 bodů, můžete se stát přímo notářem.

Obrázek:  obr2.jpg

Získání certifikátu

Společnost Thawte nemá českou pobočku a ani webové stránky zčásti nejsou lokalizované, při získávání certifikátu se tedy určitě střetnete s angličtinou. Nemusíte se ale obávat. Postupujte podle návodu a úspěch vás nemůže minout.

Naše cesta k certifikátu začíná na webové adrese http://www.thawte.com. Až se vám stránka načte, pokračujte kliknutím na odkaz Click here... na úplně posledním řádku. Do nově otevřeného okna se zobrazí průvodce, který vás provede vytvořením účtu. V prvním kroku se zobrazí text Podmínek vydávání osobních certifikátů. Doporučuji vám ho prostudovat. Dál se dostanete tlačítkem Next úplně na konci stránky.

V kroku druhém již budete muset vyplnit základní údaje o své osobě. Nemusím snad ani podotýkat, abyste je vyplňovali pravdivě, přeci jen to bude váš budoucí podpis. Jméno, příjmení a datum narození vám neporadím, snad jen poznamenám, abyste nepoužívali háčky a čárky (místo toho napište Stepan Zizala), a kódování doporučím UTF-8.

Na třetí stránce vyplňte e-mailovou adresu, pro kterou bude certifikát vygenerovaný. Bude to právě ta, která bude figurovat v podpisu. Čtvrtou stránku doporučuji ponechat a pokračovat obligátním Next. Přišel čas na zadání hesla pro váš nový účet. Zde mám jen jednu radu: Přečtěte si ten dlouhý text, opravdu se to hodí. Pokud se vám přeci jen zdá dlouhý na čtení, vyryjte si heslo na zeď nad postel! A proč? To se dozvíte v tom textu.

Obrázek:  obr3.jpg

Detail účtu při získávání certifikátu

Heslo je zadáno a zapamatováno a zbývá doplnit posledních pár doplňujících informací (zvláště telefonní číslo by mělo být správné) a nechat systém vytvořit účet. Sice byste měli být po registraci přihlášeni, ale přesto musím nastínit, jak se příště na svůj účet dostanete. Mně trvalo dost dlouho, než jsem našel správný postup. Po otevření domovské stránky Thawte zaměřte svou pozornost na horní část stránky, je zde rozbalovací seznam quick login. V něm vyberte Personal E-Mail Certificates, vyplňte jméno a heslo a jste doma.

Na této domovské stránce klikněte na odkaz certificates, v seznamu, který se rozbalí, vyberte request a certificate a následně potvrďte tlačítkem request.

Obrázek:  obr4.jpg

Výběr webového prohlížeče, do kterého se certifikát bude instalovat

Opět se otevře známý průvodce do nového okna, račme tedy následovat jeho kroků. Systém podporuje několik webových prohlížečů, pro které umí certifikát generovat. Na Linuxu bude zřejmě nejvhodnější Mozilla Firefox... nebo OperaSoftware. Na stránce třetí vyberete e-maily, které budete certifikátem podepisovat, a v kroku 5 dejte accept. Tlačítku Configure doporučuji se vyhnout, štěstí nepřináší. Délka klíče v kroku 6 pro běžné účely stačí přednastavených 1024.

Obrázek:  obr5.jpg

Seznam vystavených a odvolaných certifikátů

Tímto jsme si nechali vygenerovat svůj osobní certifikát. Jedná se však o výpočetně dost náročnou operaci, její průběh můžete sledovat na této stránce. Počkejte si, až Status bude issued a poté klikněte na odkaz ve sloupci Type. Otevře se vám stránka, která končí tlačítkem fetch. Tak tudy dokončíte instalaci.

Instalace a použití certifikátu

Momentálně je certifikát nainstalovaný v prohlížeči. My ho ovšem potřebujeme dostat do poštovního klienta Evolution. Ať už používáte Firefox, nebo Operu, postup je natolik podobný, až bych ho nazval stejný. Nemá tedy cenu plnit stránku dvěma popisy. Postupujte tedy podle tohoto „univerzálního návodu“.

V dialogu Předvolby (to jest Nastavení) vyberte záložku Rozšířené a na ní tlačítko Certifikáty. Otevře se správce certifikátů, nás zajímají Osobní certifikáty. Předpokládám, že zde budete mít jeden nazvaný Thawte Freemail Member. Vyberte jej a dejte Zálohovat (respektive Exportovat). Jako typ souboru vyberte PKCS-12, protože takto bude navíc zabezpečen heslem. Před samotným uložením budete na toto heslo dotázáni.

Obrázek:  obr6.jpg

Import nového certifikátu do Evolution

Posledním krokem je import do Evolution. Je to velice jednoduchý postup. Otevřete Nastavení (Upravit-Nastavení), přepněte se na úplně poslední stránku Certifikáty a tlačítkem Importovat vyberte soubor uložený v předchozím odstavci. Budete dotázáni na dvě hesla. První z nich je pro integrovanou klíčenku (NSS). Toto heslo budete zadávat při každém odesílání prvního mailu po spuštění Evolution, volte ho tedy rozumně. Druhé heslo patří k PKCS souboru.

Obrázek:  obr7.jpg

Nastavení zabezpečení e-mailového účtu

A je to. Určitě si to budete chtít hned vyzkoušet. Vytvořte novou zprávu e-mailu a v okně zprávy vyberte Zabezpečení-Podpis S/MIME. Nově vytvořená zpráva bude odeslána s vaším podpisem. Pokud chcete takto podepisovat všechny zprávy, otevřete Nastavení-Účty e-mailu-Upravit (na e-mailovém účtu, pro který je certifikát vytvořen)-Zabezpečení a na této záložce zaškrtněte Digitálně podepisovat odchozí zprávy (implicitně) a ze seznamu vyberte svůj podpisový certifikát.

Nahoru

Odkazy

(Jako ve škole)
 

Top články z OpenOffice.cz

Příspěvky

Elektronický podpis za pár minut
majkro 25. 01. 2008, 10:08:19
Odpovědět  Odkaz 
Hm na treti stranku uz to nejak nejde :)


Error 500
www.thawte.com
Friday, 25-Jan-2008 09:11:30 GMT
Apache
Elektronický podpis za pár minut
majkro 25. 01. 2008, 10:09:44
Odpovědět  Odkaz 
Tak se omlouvam... Diakritika za to muze.
Marek Stopka Elektronický podpis za pár minut
Marek 25. 01. 2008, 15:06:11
Odpovědět  Odkaz 
Osobně preferuji podpisy GPG. Lze jimi navíc jak podepisovat a šifrovat maily, tak i šifrovat Jabber komunikaci. Nějak se před tím špehováním musíme skrývat :-)
Elektronický podpis za pár minut
SonnY 29. 01. 2008, 00:29:11
Odpovědět  Odkaz 
Aky je rozdiel medzi tymto a GnuPG/PGP sifrovanim?
Libor Šedivý Elektronický podpis za pár minut
Libor Šedivý 29. 01. 2008, 23:11:48
Odpovědět  Odkaz 
To by mě zajímalo také, PGP jsem si vygeneroval a zaslal na server, ale když píšu někomu pomocí gajimu, tak on jen vidí, že mu přišla zašifrovaná zpráva...
Re:Elektronický podpis za pár minut
michal6103 14. 02. 2008, 17:30:03
Odpovědět  Odkaz 
To je preto, lebo ked kryptujes, tak potrebujes verejny kluc toho cloveka pre ktoreho kryptujes spravu, takze musis kontaktu priradit PGP verjeny kluc a kryptovat. Uzivatel potom bude vediet dekryptovat tvoju spravu pomocou svojeho sukromneho kluca.
www.digitalni-podpis.cz
www.digitalni-podpis.cz 6. 11. 2009, 15:45:36
Odpovědět  Odkaz 
Naše společnost se zabývá zprostředkováním digitálních podpisů přímo na míru, ať už jste fyzická osoba, podnikatel či organizace. Vyřídíme za Vás veškeré papírování a komunikaci s certifikační autoritou. Získané digitální podpisy Vám samozřejmě pomůžeme nainstalovat a zprovoznit na Vašich počítačích.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

David Kovář

David Kovář (*1981) z Telče je absolvent ČVUT. Zaměstnán na pozici mezi vývojářem, analytikem a konzultantem u jedné jihlavské společnosti. Ve volném čase rád kromě počítačů prohání kolo nebo florbalový míček.


  • Hodnocení autora: *


CIO Agenda 2016