Pokud chcete opravdu masove podepisovat/sifrovat mailovou komunikaci, tak by jste se spis meli drzet rozsirenejsiho X509. Duvody jsou zrejme:
– na Windowsech ho umi vsichni klienti out-of-box (neni treba nic instalovat, klasicky Outlook umi s temito certifikaty podepisovat/sifrovat uz cca 10 let, Oultook Express pokud vim taky, alternativy typu TheBat! rovnez no problem …)
– na Macintoshi je situace pokud vim obdobna (tim padem mate pokryto pres 90% BFU)
– na Linuxu vas rovnez nic neomezuje (navodu na rozchozeni certifikatu pod muttem, pine, nebo jakymkoli jimym linuxovym MUA se vali na internetu hafo)
Predstava, ze si kvuli vam budou BFU instalovat do sveho Outlooku nejaky pochybny plugin (nebo kupovat za $$$ originalni PGP) je nerealna. Postovniho klienta kvuli tomu taky menit nebudou (ve firme ma naprosta vetsina BFU kombinaci Outlook/Exchange se sdilenymi kalendari, ukoly apod. a od sefa jasny pokyn to takhle pouzivat).
PGP (resp. GPG) je hezka vec, ale prakticky pouzitelna maximalne v mensi uzavrene skupine (vetsinou technicky zdatnejsich) uzivatelu, ktera svoji sanci na masove rozsireni bohuzel davno propasla (uzavreni a zpoplatneni PGP Zimmermanem koncem 90 tych let byla hruba chyba a ani pozdejsi nastup GPG to moc nezachranil).
Nechci nikoho od niceho zrazovat, mit moznost vyberu je jednou z hlavnich myslenek opensource. Nicmene snahu nahradit X509 pomoci PGP v dnesni dobe hodnotim spise jako boj s vetrnymi mlyny (zvlaste kdyz jedinym duvodem je, ze vam hosi z Thawte uz nechteji zadarmo vydavat certifikaty).
X.509 má ten samý problém jako PGP dobrovolně to používá málokdo, jinak se to musí lidem nařídit. A když jim to nařídíte (třeba datové schránky), tak si nikdo z nich nesežene kořenový certifikát důvěryhodným způsobem.
PKI je totiž chiméra. Třeba podle české zákona o elektronickém podpisu mají unijní zahraniční kvalifikované autority stejnou váhu, jako naše tři české. A přitom jejich kořenové veřejné klíče nejsou podepsané žádnou ústřední autoritou (jinak by nebyly kořenové), ale ani se nikdo nesnaží je podepsat křížově (i vnitro pouze vystavuje tři otisky na prostém webu bez podpisu).
Takže zatímco X.509 jsem nucen používat nebezpečným způsobem, PGP si mohu díky síti důvěry přizpůsobit vlastním potřebám. Důvěru totiž nelze nařídit a ti co se o to snaží, tak moc důvěryhodně nepůsobí.
Tim, ze do takove organizace vstoupite (jedno zda-li se stanete zamestnancem banky/pojistovny, vojakem nebo treba profesorem na univerzite) vam vznikne povinnost respektovat urcita vnitrni pravidla. Mezi nimiz se zhusta vyskytuje povinnost pouzivat ke sluzebnim ucelum certifikat vydany jejich autoritou. Toto narizeni je zcela legitimni (stejne jako povinnost predlozit sluzebni prukaz, nosit uniformu nebo dodrzovat pracovni dobu).
Rozhodne si nemyslim, ze by toto „narizeni duvery“ nejak snizovalo duveryhodnost organizace. Urcite je prijatelnejsi X509 certifikat podepsany CA generalniho stabu, nez PGP klic podepsany napdorucikem Bramborou a tremi neznamymi dustojniky od vedlejsi roty :-).
Nehlede na to, ze X509 certifikaty mohu nacpat na cipove karty, mohu vynutit jejich zneplatneni pomoci CRL, o casovych razitkach a podobnych vecech ani nemluve. Co mi v tomto smeru nabizi PGP … ?
Jako priklad masoveho pouziti X509 (mimo uzavreny svet te ci one organizace) je mozno uvest pristup na jakykoli vetsi zabezpeceny web. At uz se jedna o elektornicke bankovnictvi, e-shop nebo cokoli jineho. Korenovy certifikat budete mit v tomto pripade nejspise predinstalovany ve svem prohlizeci, ktery jste ziskal duveryhodnym zpusobem (a pokud jste opravdu paranoidni, tak vam nic nebrani si ten klic Verisignu overit treba telefonicky :-).
To, ze kokoti z ceske posty nejsou schopni podepsat svuj web s datovymi schrankami nejakym rozumnym certifikatem nebo prijatelnym zpusobem distribuovat korenovy certifikat sve vlastni CA, s tim nema nic spolecneho.
> Pokud chcete opravdu masove podepisovat/sifrovat mailovou komunikaci, tak by jste se spis meli drzet rozsirenejsiho X509.
Pochybuju, ze X509 je v oblasti e-mailu rozsirenejsi. Zatim jsem dostal e-maily podepsane podle OpenPGP od desitek (a mozna i stovek) neznamych lidi, zatimco e-maily podepsane podle X509 tak od jednotek.
