Hlavní navigace

Nebojte se elektronického podpisu: Praxe

Petr Krčmář 14. 6. 2005

Už víme, jak funguje elektronický podpis a co k tomu vlastně potřebujeme. Dnes naše povídání dokončíme tím, že si ukážeme, jak vše realizovat v praxi. Pak už můžeme začít podepisovat.

Jak na to prakticky

V praxi jde tedy o to získat certifikát od některé z autorit, a ten pak nahrát do svého emailového klienta, který jej začne přidávat společně s podpisem ke zprávám.

Většina autorit si za vystavování certifikátů nechává platit. Obvykle se jedná o roční poplatky, které se řádově pohybují ve výši stovek korun. To sice není mnoho, ale existuje i cesta, jak získat certifikát bezplatně.

Certifikační autorita Thawte vám přidělí na rok zdarma váš certifikát. Za rok si ale samozřejmě můžete nechat vystavit nový.

Postup je vcelku snadný. Navštívíte správnou stránku u Thawte. Nejprve se musíte zaregistrovat a vyplnit všechny důležité údaje. Jedním z nich je také jedno oficiální číslo, které se používá v naší zemi. Může to být číslo pasu, řidičského průkazu nebo rodné číslo. Důležité je také vyplnit váš email, kam budou poslány další informace.

Po ukončení registrace vám na mail přijde ověřovací zpráva, na kterou musíte během jednoho dne odpovědět. Pak se už dostanete do systému pro zákazníky.

Upozornění: Heslo, které zadáváte, musí být dostatečně bezpečné a zároveň ho nesmíte zapomenout. Toto je kritická část tvorby certifikátu, a pokud si na ni nedáte pozor, nebudete moci podepisovat nebo vás v horším případě někdo kompromituje a bude moci podepisovat za vás.

V uživatelském systému pak odešlete požadavek na nový certifikát pro konkrétní adresu. Jeden certifikát může dokonce obsahovat více adres. Systém se vás zeptá na délku klíče. Samozřejmě vyberte co nejdelší. Pak už stačí jen čekat. Po nějaké době (obvykle pár minut) vám dorazí email, ve kterém vás Thawte informuje o tom, že je vše připraveno.

Znovu se proto přihlásíte do systému, kde naleznete svůj certifikát. Ten si po kliknutí můžete naimportovat do prohlížeče. V případě Firefoxu jej pak naleznete v Úpravy → Předvolby → Ostatní → Certifikáty → Správa certifikátů. Tam vyberete tlačítko Zálohovat a certifikát si uložíte do souboru.

Pak přejdete do poštovního klienta. My si popíšeme postup pro Thunderbird, ale v ostatních to bude pravděpodobně velmi podobné. Opět navštívíme menu: Úpravy → Předvolby → Ostatní → Certifikáty → Spravovat certifikáty a tentokrát vybereme Importovat.

V tuto chvíli už Thunderbird zná váš certifikát. V případě, že budete posílat novou zprávu, můžete v horní části okna rozbalit tlačítko Zabezpečení a zaškrtnout položku Digitálně podepsat zprávu. Pak už stačí jen vybrat správný certifikát (pravděpodobně máte stejně jenom jeden) a všechny zprávy, které od této chvíle pošlete, budou podepsány.

Jejich příjemce pak při čtení uvidí obrázek, který informuje o podepsání zprávy:

Elektronický podpis 1

Pokud na něj poklepete, můžete si prohlédnout informace z certifikátu odesilatele.

Zkusili jsme také, co se stane, když někdo během přenosu zprávu pozmění. Poslali jsme proto pokusný email, který jsme na serveru upravili a pak přijali. Ikonka tužky se změnila:

Elektronický podpis 3

Při pokusu zjistit informace o odesilateli se vám objeví následující dialog, který vás upozorní, že zpráva byla pozměněna a nemáte věřit jejímu obsahu.

Elektronický podpis 4

Šifrujeme

Když už máme certifikát a někdo nám pošle ten svůj (stačí podepsaná zpráva), můžeme klíče využít jednoduše k další operaci, kterou je zašifrování zprávy. Klient jednoduše použije veřejný klíč příjemce a zašifruje pomocí něj celou zprávu. Příjemce pak pomocí soukromého klíče zprávu přečte. Jediné, co je skutečně potřeba, je předem přijmout alespoň jednu podepsanou zprávu.

Šifrování se zapíná na stejném místě jako podepisování v menu Zabezpečení. Příjemce kromě tužky uvidí ještě obrázek klíče:

Elektronický podpis 2

Přečíst takovou zprávu není nic těžkého. Vlastně se nic nemění. Emailový klient udělá všechno za vás.

Ověření totožnosti

V certifikátu, který jste získali, není vyplněno správné jméno jeho držitele. Důvod je jasný: Thawte nemá jak ověřit vaši totožnost. Existuje ovšem mechanismus, který vám možnost ověření nabízí.

V uživatelském systému naleznete seznam lidí z mnoha zemí, kteří mají možnost ověřit vaši totožnost. Stačí jen přinést dva doklady totožnosti. Ověřovatel vám přidělí určitý počet bodů. Pokud získáte alespoň 50, jste považováni za ověřené a můžete si v systému nechat vytvořit nový certifikát se jménem. Důležité je, že vám žádný ověřovatel nemůže dát plných 50 bodů a vy musíte navštívit minimálně dva.

Pak je ovšem vše hotovo a druhá strana má jistotu, že jste tím, za koho se vydáváte.

Anketa

Zařídili jste si podle článku certifikát?

Našli jste v článku chybu?

14. 6. 2005 2:36

Ad a) jak uz jsem psal v predchozi odpovedi, hlavicky se nepodepisuji. A s prilohami je to tak, ze se vygeneruje cela zprava ve formatu MIME vcetne vsech priloh, sakumprask se podepise a ten podpis se ulozi na konec se jako dalsi priloha. Takze pak je struktura treba takova:
Part.1 (puvodni MIME zprava)
Part.1.1 (text)
Part.1.2 (obrazek)
Part.2 (podpis)

Takoveto zprave se rika S/MIME a ma MIME hlavicku:
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"

Ad …








14. 6. 2005 7:51

zviratko (neregistrovaný)
Nevim jestli je to oficialni rozdeleni, ale jsou ruzne tridy certifikatu.

Class 1 potvrzuje pouze emailovou adresu - pokud Vam prijde podepsana zprava z bill.gates@microsoft.com tak je overene, ze odesilatel zpravy kontroluje tento email.

Class 2 potvrzuje take identitu ktera se k emailu vaze, v certifikatu je jmeno a prijmeni, jde dohledat adresu a nejaky unikatni identifikator (social security number, cislo OP, rodne cislo)...

Class 3 a vys se pouzivaji v kombinaci s hw klici (smartcard), j…





Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Na pečení je nejlepší medovicový med

Na pečení je nejlepší medovicový med

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!