Hlavní navigace

Nebojte se elektronického podpisu: Teorie

Petr Krčmář 7. 6. 2005

Většina z vás už asi slyšela o elektronickém podpisu. Mnoho lidí jej ale nepoužívá kvůli strachu z komplikací a následné složité práce s elektronickou poštou. Takový strach je ovšem zcela zbytečný. Ukážeme si, že na tom není nic těžkého. Dnes trocha teorie.

K čemu je to dobré

Problém dat v elektronické podobě je v tom, že je může kdokoliv vytvořit, upravovat a distribuovat bez toho, abyste poznali, od koho doopravdy pocházejí. Na rozdíl od papírových dokumentů totiž ty elektronické nenesou žádné informace, podle kterých by bylo možno autora identifikovat.

V případě papíru můžeme použít mnoho technik, jako jsou daktyloskopie (otisky prstů) a grafologie, které nám pomohou autora odhalit. Digitální data jsou ale pořád jen jedničkami a nulami. To, že je můžeme libovolně beze stop měnit, je jedním z důvodů, proč stále v mnoha kancelářích nalezneme hromady papírů.

Elektronický podpis je právě tou metodou, která nám pomůže dostat bezpečnost dat minimálně na úroveň papíru. Výhody jsou ale zřejmé:

  • ověřit pravost může kdokoliv
  • za žádných okolností se nedá zfalšovat
  • lze přímo určit odesilatele zprávy

Podepisovat své dokumenty je dnes již poměrně běžnou praxí například ve firmách, kde vznikají důležité dokumenty. To ale neznamená, že by byl podpis pro běžného uživatele zbytečnou záležitostí. Jde především o to získat jistotu, že si s mou poštou nikdo nezahrává a vše je v pořádku.

Navíc se už několik let hovoří o použití elektronického podpisu při komunikaci se státní správou a úředníky. Je tedy čas naučit se správně podepsat.

Jak to vypadá

Drtivá většina neznalých uživatelů se domnívá, že elektronický podpis je jednoduše naskenovaný obrázek, který je přidán k mailu jako příloha. Samozřejmě tomu tak není.

Důvod je prostý: nefungovalo by to. Takový podpis by byl jednoduše zneužitelný, protože bychom jím mohli podepisovat cokoliv. Funkční elektronický podpis musí být svázán se zprávou, kterou podepisuje.

Abychom mohli pochopit funkci celého postupu, musíme si zopakovat dva důležité pojmy:

Kontrolní součet

Kontrolní součet možná znáte v podobě, v jaké jej implementuje program md5sum. Ano, jedná se skutečně také o kontrolní součet čili hash.

Hash je matematický otisk konkrétního balíku dat. V případě zmíněného md5sum se jedná o soubor, u elektronické pošty je tímto balíkem samozřejmě tělo zprávy.

Během generování otisku je použit každý bit původních dat a otisk je na jejich podobě velmi závislý. Kdyby došlo ke změně jediného bitu v mnoha megabajtovém souboru, změní se podstatně také samotný otisk tohoto souboru.

Asymetrická šifra

Je založena na páru klíčů, z nichž jeden umožňuje data zašifrovat a druhý dešifrovat. Podstatné je, že tyto klíče jsou různé a není možno jeden od druhého odvodit. Proto můžeme bez obav jeden klíč distribuovat (říkáme mu veřejný klíč) a ten druhý používat k opačnému postpupu při šifrování (soukromý klíč).

To, jaký z klíčů (šifrovací, nebo dešifrovací) si necháme, záleží na povaze úkonu, který se s nimi chystáme provádět.

Elektronický podpis

Víme, jak funguje kontrolní součet a asymetrická šifra, a to nám stačí k tomu, abychom si mohli vysvětlit jejich souvislost s podepisováním elektronických dat.

Princip je následující: ke zprávě, kterou se chystáme odeslat, vypočítáme její jedinečný otisk. Ten pak zašifrujeme klíčem, který si dobře schováme a nazveme ho soukromý klíč. Takto zašifrovaný otisk pak přidáme ke zprávě jako přílohu a pošleme.

Příjemce zprávy pak vezme veřejný klíč (zatím pomineme cestu, kterou ho získal), dešifruje náš podpis, vypočítá otisk zprávy, která mu dorazila, a porovná jej s otiskem v příloze. Pokud souhlasí, může si být jist, že je zpráva nepozměněná.

Problém takto zjednodušeného principu je ale v distribuci klíčů. Kdybychom prostě veřejné klíče posílali „jen tak”, mohl by je kdokoliv pozměnit a pak šifrovat vlastním soukromým klíčem. Podpis by seděl a příjemce by si myslel, že je všechno v pořádku. Samozřejmě můžeme veřejný klíč bezpečně přinést osobně na nějakém médiu kolegovi na druhé straně, a ten si tak může být jistý jeho pravostí. To je ovšem značně nepohodlné a při komunikaci na větší vzdálenosti komplikované.

Našim daším úkolem je tedy zajistit ověření veřejného klíče. Musíme tedy s jistotou říci: Ano, tento klíč patří této osobě.

Certifikáty

V tomto bodě vstupují do hry takzvané certifikáty. Ty zastupují funkci elektronického občanského průkazu a spojují konkrétního člověka s jeho klíčem. Vystavit takový certifikát může kdokoliv, ale tím bychom byli zase na začátku. Proto jsou definovány takzvané certifikační autority. To jsou subjekty, které jsou označeny za důvěryhodné, a ty pak mohou ověřovat identitu osob a certifikáty vystavovat.

Seznam těchto autorit a jejich veřejné klíče jsou umístěny přímo v emailových klientech, které tak mohou přímo ověřovat pravost certifikátů.

Certifikát je vlastně zpráva, která je podepsána certifikační autoritou a říká asi toto: „Člověku jménem František Flinta patří email franta@flinta.cz a jeho veřejný klíč je …”. Součástí certifikátu je dále například také doba jeho platnosti. Jelikož je certifikát podepsán autoritou, které emailový software věří, může si jednoduše a automaticky ověřit jeho pravost (ověřením podpisu autority), a tím získá i informace o pravosti jejího majitele.

Pak už nic nebrání v tom začít přijímat od tohoto člověka poštu. Vždy tak víme, že je v pořádku, a dostali jsme přesně to, co bylo odesláno.

Ve druhé části článku si řekneme, jak na celý problém prakticky. Existuje více způsobů jak na to. Často je používán systém PGP, ale my se zaměříme na použití elektronického podpisu v Thunderbirdu.

Anketa

Podepisujete svou poštu?

Našli jste v článku chybu?

7. 6. 2005 9:51

Nejedná se o chybu jen o jiný zápis téhož. Jde o to, který klíč se stává veřejným a který soukromým: V případě podpisu se veřejným klíčem stává klíč dešifrovací, kdežto v případě šifrování se jím stává klíč šifrovací. Ten klíč, který je označen jako soukromý se samozřejmě nepředává.

7. 6. 2005 16:00

Je to stejné, jako když řeknu, že vše budu podepisovat modrou propiskou číslo výrobní XXXYYYZZZ. Co se stane, když propisku ztratím či mi dojde náplň? Certifikát bude označen za neplatný. Za jak dlouho? Co když někdo stihne s nim něco udělat?
Kdyz dojde k vyzrazeni certifikatu, tak vytvorim takzvany "revocation certificate" (cesky ekvivalent by mohl byt "odmitavaci certifikat") a ten nejakym zpusobem rozsirim (napriklad keyservery). Pokud dojde ke "ztrate" certifikatu (tj. k dispozici ho nema u…
DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?