Elektronický podpis
V jedné větě by se dalo napsat, že elektronický podpis je elektronická identifikační značka autora zprávy, v našem případě e-mailové. Samozřejmě se nejedná o obyčejné jméno napsané pod textem zprávy. To může nezvaná osoba během přenosu celkem jednoduše změnit. Existuje mnohem sofistikovanější metoda, která se nazývá digitální podpis.
Po digitálním podpisu však nechceme pouze identifikaci autora zprávy, byť je to věc důležitá, rádi bychom také zajistili integritu dokumentu a někdy i přidali časové razítko, pokud chceme mít jistotu, kdy byl dokument podepsán.
Zajišťování integrity dokumentu znamená postup zaručující, že obsah zprávy nebyl během přenosu nebo zpracovávání změněn.
Schéma generování a ověření elektronického podpisu
Na obrázku vidíme, jak se taková zpráva podepisuje. Podotýkám, že v moderních klientech vše probíhá transparentně. Nejprve se vezme celá vaše zpráva, z ní se vytvoří hash, aby podpis nemusel mít stejnou délku jako celý text, přidá se časové razítko a vše se zašifruje vaším soukromým klíčem. Výsledek se vloží jako příloha ve formátu p7s k odesílanému mailu a pošle se.
Hash je řetězec určité přesné délky (např. 512 znaků), který je pevně svázán s nějakým textem. Je prakticky nereálné změnit text tak, aby se nezměnil jeho hash. Používá se, aby mohl být podpis kratší, než je délka podpisovaného textu. Běžně se používají funkce MD5 (nebezpečná), SHA-1 nebo SHA-2 (doporučená).
Na druhé straně příjemce vezme p7s přílohu, rozšifruje ji veřejným klíčem a výsledek porovná s hashem, který si sám vytvořil z příchozí zprávy. Pokud se shodují, je jisté, že nedošlo k úpravě textu zprávy. Veřejný klíč je vždy součástí p7s přílohy, je to totiž ona značka, která identifikuje odesílatele. Vždy tedy budeme mít čím ověřit integritu zprávy.
Ještě je potřeba zajistit, aby někdo nepodvrhl identifikační značku (veřejný klíč). Zde se operuje s pojmem důvěryhodnosti. Veřejný klíč v sobě nese i informaci o svém tvůrci, přičemž tento záznam je opět zabezpečen pomocí asymetrické šifry jako váš celý klíč. Není tedy možné vytvořit klíč, který by fingoval jako svého tvůrce nějakou známou certifikační autoritu.
Asymetrická šifra je taková, která k zašifrování používá jeden klíč (textový řetězec) a na rozšifrování jiný. Mluvíme pak o privátním a veřejném klíči. Jestliže zprávu zašifrujeme veřejným klíčem, je možné ji rozšifrovat pouze klíčem privátním. Nefunguje dokonce ani veřejný klíč, kterým jsme šifrovali. Funguje i proces opačný.
Váš e-mailový klient má seznam certifikačních autorit, které považujete za důvěryhodné, pak i všechny certifikáty, které tyto autority vydaly, považujete za důvěryhodné. Přesněji tedy můžete důvěřovat, že osoba uvedená v certifikátu je skutečně ona. Platný podpis patří důvěryhodné certifikační autoritě (případně máte přímo uložen odpovídající veřejný klíč), neplatné vydala nějaké neznámá nebo nedůvěryhodná certifikační autorita. Dobrou zprávou je, že Thawte většinou je mezi důvěryhodnými certifikačními autoritami.
Možná se pozastavíte nad tím, že jméno majitele certifikátu je Thawte Freemail Member's Thawte Consulting (Pty) Ltd. ID. Je to proto, že doposud není ověřena vaše fyzická identita (pouze vaše e-mailová adresa). Je potřeba osobně navštívit takzvané Notáře s potřebnými dokumenty, které vás identifikují (občanka, pas apod.), a získat od nich alespoň 50 bodů. Ale pozor, určitě to nebude jen od jednoho. Po dosažení této hranice se ve jméně certifikátu bude vyjímat přímo vaše občanské jméno. Pokud dosáhnete 100 bodů, můžete se stát přímo notářem.
Získání certifikátu
Společnost Thawte nemá českou pobočku a ani webové stránky zčásti nejsou lokalizované, při získávání certifikátu se tedy určitě střetnete s angličtinou. Nemusíte se ale obávat. Postupujte podle návodu a úspěch vás nemůže minout.
Naše cesta k certifikátu začíná na webové adrese http://www.thawte.com. Až se vám stránka načte, pokračujte kliknutím na odkaz Click here... na úplně posledním řádku. Do nově otevřeného okna se zobrazí průvodce, který vás provede vytvořením účtu. V prvním kroku se zobrazí text Podmínek vydávání osobních certifikátů. Doporučuji vám ho prostudovat. Dál se dostanete tlačítkem Next úplně na konci stránky.
V kroku druhém již budete muset vyplnit základní údaje o své osobě. Nemusím snad ani podotýkat, abyste je vyplňovali pravdivě, přeci jen to bude váš budoucí podpis. Jméno, příjmení a datum narození vám neporadím, snad jen poznamenám, abyste nepoužívali háčky a čárky (místo toho napište Stepan Zizala), a kódování doporučím UTF-8.
Na třetí stránce vyplňte e-mailovou adresu, pro kterou bude certifikát vygenerovaný. Bude to právě ta, která bude figurovat v podpisu. Čtvrtou stránku doporučuji ponechat a pokračovat obligátním Next. Přišel čas na zadání hesla pro váš nový účet. Zde mám jen jednu radu: Přečtěte si ten dlouhý text, opravdu se to hodí. Pokud se vám přeci jen zdá dlouhý na čtení, vyryjte si heslo na zeď nad postel! A proč? To se dozvíte v tom textu.
Detail účtu při získávání certifikátu
Heslo je zadáno a zapamatováno a zbývá doplnit posledních pár doplňujících informací (zvláště telefonní číslo by mělo být správné) a nechat systém vytvořit účet. Sice byste měli být po registraci přihlášeni, ale přesto musím nastínit, jak se příště na svůj účet dostanete. Mně trvalo dost dlouho, než jsem našel správný postup. Po otevření domovské stránky Thawte zaměřte svou pozornost na horní část stránky, je zde rozbalovací seznam quick login. V něm vyberte Personal E-Mail Certificates, vyplňte jméno a heslo a jste doma.
Na této domovské stránce klikněte na odkaz certificates, v seznamu, který se rozbalí, vyberte request a certificate a následně potvrďte tlačítkem request.
Výběr webového prohlížeče, do kterého se certifikát bude instalovat
Opět se otevře známý průvodce do nového okna, račme tedy následovat jeho kroků. Systém podporuje několik webových prohlížečů, pro které umí certifikát generovat. Na Linuxu bude zřejmě nejvhodnější Mozilla Firefox... nebo OperaSoftware. Na stránce třetí vyberete e-maily, které budete certifikátem podepisovat, a v kroku 5 dejte accept. Tlačítku Configure doporučuji se vyhnout, štěstí nepřináší. Délka klíče v kroku 6 pro běžné účely stačí přednastavených 1024.
Seznam vystavených a odvolaných certifikátů
Tímto jsme si nechali vygenerovat svůj osobní certifikát. Jedná se však o výpočetně dost náročnou operaci, její průběh můžete sledovat na této stránce. Počkejte si, až Status bude issued a poté klikněte na odkaz ve sloupci Type. Otevře se vám stránka, která končí tlačítkem fetch. Tak tudy dokončíte instalaci.
Instalace a použití certifikátu
Momentálně je certifikát nainstalovaný v prohlížeči. My ho ovšem potřebujeme dostat do poštovního klienta Evolution. Ať už používáte Firefox, nebo Operu, postup je natolik podobný, až bych ho nazval stejný. Nemá tedy cenu plnit stránku dvěma popisy. Postupujte tedy podle tohoto „univerzálního návodu“.
V dialogu Předvolby (to jest Nastavení) vyberte záložku Rozšířené a na ní tlačítko Certifikáty. Otevře se správce certifikátů, nás zajímají Osobní certifikáty. Předpokládám, že zde budete mít jeden nazvaný Thawte Freemail Member. Vyberte jej a dejte Zálohovat (respektive Exportovat). Jako typ souboru vyberte PKCS-12, protože takto bude navíc zabezpečen heslem. Před samotným uložením budete na toto heslo dotázáni.
Import nového certifikátu do Evolution
Posledním krokem je import do Evolution. Je to velice jednoduchý postup. Otevřete Nastavení (Upravit-Nastavení), přepněte se na úplně poslední stránku Certifikáty a tlačítkem Importovat vyberte soubor uložený v předchozím odstavci. Budete dotázáni na dvě hesla. První z nich je pro integrovanou klíčenku (NSS). Toto heslo budete zadávat při každém odesílání prvního mailu po spuštění Evolution, volte ho tedy rozumně. Druhé heslo patří k PKCS souboru.
Nastavení zabezpečení e-mailového účtu
A je to. Určitě si to budete chtít hned vyzkoušet. Vytvořte novou zprávu e-mailu a v okně zprávy vyberte Zabezpečení-Podpis S/MIME. Nově vytvořená zpráva bude odeslána s vaším podpisem. Pokud chcete takto podepisovat všechny zprávy, otevřete Nastavení-Účty e-mailu-Upravit (na e-mailovém účtu, pro který je certifikát vytvořen)-Zabezpečení a na této záložce zaškrtněte Digitálně podepisovat odchozí zprávy (implicitně) a ze seznamu vyberte svůj podpisový certifikát.
