Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Tipy a Triky
Podepište si email
26. dubna 2004, 00.00 | Komunikace pomocí emailu je dnes zcela běžnou součástí života. Přesto posílání citlivých dat emailem není nejlepší nápad. Než zprávu obdrží příjemce, často jde přes množství serverů, na kterých může být odchycena a přečtena nežádoucí osobou. Pokud chcete své emaily zabezpečit, měli byste se zamyslet nad použitím elektronického podpisu.
Komunikace pomocí emailu je dnes zcela běžnou součástí života a většina společností by se bez ní již neobešla. Přesto posílání citlivých dat emailem není nejlepší nápad. Než zprávu obdrží příjemce, často jde přes množství serverů, na kterých může být odchycena a přečtena nežádoucí osobou. Nejen, že může být váš email přečten, ale také může být pozměněn, či se za vás cizí osoba může vydávat, jak dokazují šikovní spammeři. Naštěstí Apple Mail má podporu S/MIME protokolu a můžete tedy své zprávy opatřit elektronickým podpisem, nebo je šifrovat.Abyste mohli své emaily takto zabezpečit, neobejdete se bez certifikátu. Certifikátem se rozumí souhrn informací o uživateli a jeho veřejný klíč. V certifikátu zpravidla bývá uvedeno jméno majitele, emailová adresa, ke které se certifikát váže, doba platnosti certifikátu (maximálně jeden rok), sériové číslo certifikátu a elektronický podpis vydavatele certifikátu.
Certifikát vám musí vydat certifikační autorita (CA). Ta svým elektronickým podpisem na certifikátu stvrzuje pravdivost údajů v něm uvedených. K podpisu dopisů ale budete potřebovat ještě klíče, a to privátní a veřejný. Veřejný klíč je součástí certifikátu, a abyste s někým mohli komunikovat šifrovaně, musí mít obě strany komunikujících navzájem své veřejné klíče, aby mohli ověřit integritu zprávy. Zatímco veřejný klíč je určen pro veřejnost, soukromý musí mít jen jeho vlastník.
Jak to celé funguje?
Při odesílání emailu dojde k vytvoření otisku zprávy pomocí hash algoritmu a jeho následné zašifrování privátním klíčem. Takže v emailu od odesílatele odchází originální zpráva, její zašifrovaný otisk a certifikát
Příjemce dešifruje příchozí otisk pomocí veřejného klíče získaného z přiloženého certifikátu a výsledek porovná s připojenou zprávou. Pokud se shodují, má příjemce jistotu, že od podepsání dokumentu k jeho přijetí, nedošlo ke změně zprávy, tudíž podepsaný odesílatel opravdu zprávu napsal.
V tomto případě se jedná pouze o podepsaný email - je možné jej poslat komukoliv a podpisem zaručit jeho pravost, ale samozřejmě může dojít k jeho přečtení nežádoucí osobou na cestě k odesílateli - zpráva není zašifrovaná, ale pouze podepsaná.
Pokud chcete větší bezpečí, potřebuje zprávu zašifrovat, takže v případě odchycení emailu dostane útočník pouze shluk písmenek nedávající smysl. Pro odeslání kryptované zprávy potřebujete mít veřejný klíč druhé strany a ten získáte, jen pokud příjemce má vlastní certifikát a veřejný klíč vám poslal.
Ale pojďme k praxi
Certifikát můžete získat od certifikační autority, kterých je na výběr několik, ať už českých, či zahraničních. V tomto návodu popíši postup, jak získat certifikát od společnosti Thawte. Jednak proto, že emailový certifikát dávají zdarma a také, že jsem si tímto postupem prošel. Společnost Thawte byla koupena nejznámější certifikační autoritou VeriSign a sídlí v Jihoafrické republice v Kapském městě. Nemusíte se tedy bát, že by se jednalo o pochybný start-up. Thawte je uznávaná a akreditovaná společnost, vydávající plnohodnotné certifikáty, které využívají lidé na celém světě. Jestliže budete chtít komunikovat s českými úřady, budete potřebovat certifikát od I.CA - První české autority, který ale není zdarma.
Účet u thawte.com
1/ Nejdříve budete potřebovat účet u Thawte. Připojte se na web http://www.thawte.com/email/ a klikněte na tlačítko JOIN. Na první stránce máte licenční ujednání, po jeho přečtení jděte na další stranu (NEXT).
2/ Zde vyplňte své jméno, příjmení, datum narození a národnost. Hrál jsem si chvíli s nastavením kódování a interpunkcí ve jméně, ale nepodařilo se mi zobrazit mé přijmení s "á", takže doporučuji při zadávání jména a příjmení nepoužívat háčky a čárky.
3/ V další části vyplňte rodné číslo a v kolonce National Identification Type zaškrtněte Other a do příslušného řádku napište Birth Number. V posledním políčku vyplňte emailovou adresu, ke které chcete vystavit certifikát (není podmínkou) a která bude zároveň vaším uživatelským jménem v systému Thawte.
4/ Ve čtvrté fázi můžete vybrat preferovaný jazyk a kódování
5/ Nastává nejdůležitější část a to výběr hesla. Použijte heslo co nejdelší (6-20 znaků), kombinaci velkých a malých písmen a číslic. Heslo si pamatujte (lepší varianta), nebo schovejte na bezpečné místo (ne na papírek, který necháte na stole), nebo si jej uložte do Keychainu jako Secure note (pokud máte Keychain dostatečně zabezpečený). Heslo také samozřejmě nikomu nesdělujte. Pokud o něj přijdete a útočník zneužije váš elektronický podpis, nesete trestní odpovědnost za způsobené škody (!!). Takže ještě jednou, zvolte kvalitní heslo.
6/ V šestém kroku sestavte pět otázek a odpovědí, na které můžete být dotazováni, jestliže heslo ztratíte a bude potřeba vás autorizovat. Proto zadejte i telefonní číslo v mezinárodním formátu, aby vás operátoři z Thawte měli jak kontaktovat. I zde se snažte volit otázky a odpovědi, které zná co nejméně lidí.
7/ Posléze již stačí jen zadané údaje zkontrolovat a počkat, až vám dojde email s dalšími instrukcemi. V emailu stačí kliknout na link a v novém okně vyplnit údaje - Probe a Ping (jsou uvedeny ve zprávě) - tím potvrdíte funkčnost emailové schránky a první část je za námi. Máte aktivní účet u Thawte.
Pokud vás první část vyčerpala, můžete si dát pauzu a udělat si třeba kafe. Pokud ale nechcete ztrácet čas, pojďme dál.
Vyžádání certifikátu
na stránce https://www.thawte.com/cgi/personal/cert/enroll.exe (pravděpodobně se budete muset zalogovat) klikněte na tlačítko REQUEST pod nápisem X.509 Format Certificates. Opět na vás vyskočí nové okno.
1/ Na první stránce vyberte formát certifikátu. Zvolte "Netscape Communicator or Messenger" a klikněte na REQUEST
2/ Na další straně nic neměňte a pokračujte dál. Mohli byste si zde zadat jméno, které bude uvedeno na certifikátu, ale tato služba je již zpoplatněná. V našem případě budete mít na certifikátu uvedenou emailovou adresu a místo jména bude "thawte Freemail Member". Certifikát tedy neobsahuje žádné citlivé informace uvedené při registraci (rodné číslo, telefon, atd.)
3/ Zde si vyberte, pro jaký email požadujete certifikát. Pokud máte emailů více, každý bude potřebovat vlastní certifikát
4/ Na čtvrté straně klikněte na NEXT
5/ Tady si můžete vybrat nastavení certifikátu. Pokud nevíte, co dělat a jak si certifikát přizpůsobit, vyberte "Accept Default Extensions"
6 / Teď musíte zvolit délku klíče. Čím delší, tím bezpečnější, takže zvolíme hodnotu 2048 a klikneme na NEXT
7/ Potvrdíme údaje, klikneme na FINISH a máme na pár minut pauzu.
Servery společnosti Thawte nyní jednou na plné obrátky a generují pro vás certifikát. Až bude připraven, dostanete potvrzující email (počítejte pár minut). Celý proces můžete také sledovat na: https://www.thawte.com/cgi/personal/cert/status.exe
Zde je seznam všech vašich certifikátů. U právě generovaného certifikátu uvidíte nápis "pending". Až bude certifikát hotov, změní se "pending" na "issued". Nyní stačí kliknout na odkaz Navigator a na další stránce stiskněte tlačítko FETCH.
A to je vše. Certifikát včetně veřejného a privátního klíče by měl být stažen do Keychainu (Keychain nesmí být zamknutý) a vy můžete začít posílat podepsané a šifrované emaily.
UPOZORNĚNÍ
Výše uvedený postup platí pro prohlížeč Safari. Je to nejjednodušší cesta, ale má určitá omezení. Certifikát včetně privátního a veřejného klíče je stažen přímo do Keychainu, tudíž nemáte nikde zálohu těchto souborů. To samozřejmě 95% uživatelů nebude vadit, ale pokud potřebujte mít jeden certifikát na více počítačích, představuje pro vás tato cesta určité úskalí. Nepodařilo se mi vyexportovat z Keychainu privátní a veřejný klíč, pouze certifikát, ale ten samozřejmě nestačí.
Jestliže potřebujete mít zálohů klíčů i na jiném místě, nebo chcete stejný certifikát používat na více počítačích, je potřeba k vyžádání certifikátu použít prohlížeč Mozilla (FireFox). Postup je totožný jako u Safari, ale po kliknutí na tlačítko FETCH nedojde k uložení certifikátu do Keychainu, ale do Certificate Manageru, který je umístěn v předvolbách FireFoxu. V něm stačí zvolit Backup, vybrat místo uložení a heslo. Na zvoleném místě se vám uloží kompletní certifikát i s klíči (soubor s koncovkou .p12), který stačí importovat do Keychainu, ale máte zároveň i jeho zálohu.
Existuje ještě jedna možnost, jak mít více certifikátů k jednomu emailovému účtu. Stačí si vyžádat na druhém počítači další certifikát ke zvolenému emailu. Thawte dovoluje mít více certifikátů na jeden email. Certifikát nebude totožný (bude mít jiné sériové číslo), ale bude funkční. Alespoň já jsem neshledal žádný problém.
Máme účet u certifikační autority, certifikát a všechny klíče, ale co dál?
Spusťte Mail a začněte psát novou zprávu. Pokud jako odchozí účet bude emailová adresa, na kterou máte certifikát, uvidíte na pravé straně jedno nebo dvě tlačítka:
Jestliže nemáte veřejný klíč příjemce, můžete zprávu pouze podepsat (znak hvězdičky), pokud certifikát má, můžete ji i zašifrovat (znak zámečku).
A takto vypadá podepsaná a šifrovaná zpráva:
A toto je zdrojový kód šifrovaného emailu (Mail - View / Message / Raw Source). Kdyby došlo k odchycení této zprávy, asi by si útočník moc nepočetl.
Přestože získání certifikátu není zcela jednoduchá záležitost, jeho použití v Mac OS X a Mailu je zcela triviální. V každém případě je potřeba si uvědomit, že elektronický podpis emailu je rovný vlastnoručnímu podpisu papírového dokumentu, tudíž za obsah neseme odpovědnost. Proto je potřeba klást důraz na kvalitní heslo a chránit svůj privátní klíč.