Úvodní stránka » Návody » Jak na (kvalifikovaný) certifikát pro e-mail

Jak na (kvalifikovaný) certifikát pro e-mail

(4. 11. 2013) Dnešní návod přináší informace o osobních digitálních certifikátech pro e-mailovou komunikaci. S nimi můžete zvýšit důvěryhodnost komunikace přes e-mail a jednotlivých zpráv. Vlastníci kvalifikovaného certifikátu si navíc mohou ušetřit čas při komunikaci s veřejnou správou.

Proč podepisovat e-maily

S osobním certifikátem pro digitální podpis můžete zprávy jak podepisovat, tak i šifrovat. Podepisování e-mailů digitálním podpisem je důležité pro důvěryhodnost zpráv a samotná zpráva se při podpisu nešifruje. Podpis tedy zprávu nechrání před očima ostatních, pokud se dostanou k vaší poště. Elektronický podpis v e-mailu neslouží primárně pro šifrování, ale pro záruku identity odesilatele.

Podpis zaručuje odesilatele zprávy

Představte si situaci, kdy potřebujete svému podřízenému (právníkovi, makléři) poslat e-mail s důležitým pokynem. Je nutné, aby o zprávě nepochyboval a vyřídil ji. Je pro vás důležitější, aby byl autor zprávy nezpochybnitelný a příjemce o odesilateli nepochyboval, nebo je důležitější, aby byla zpráva zašifrována a utajena očím ostatních? Zřejmě zvolíte první možnost a místo zašifrování textu zprávy ji opatříte digitálním podpisem.

V e-mailové zprávě jsou vidět ty údaje, které tam uvedete. Není nic snažšího, než adresu i jméno odesilatele zfalšovat.

Podvržený e-mail

Podvržení údajů v e-mailu a falšování odesilatele je naprosto triviální. Co tam napíšete, to tam bude vidět.

Pokud zpráva není podepsaná, musíte věřit údajům, které jsou uvedeny u odesilatele. Pokud však dostanete e-mail z adresy, pro kterou má odesilatel digitální certifikát a zprávu podpisem opatřil, máte jistotu.

 Detail podpisu v Outlooku

Podpis zprávy je zřejmý na první pohled. V Outlooku můžete vidět, kdo ji poslal, a s jakým certifikátem podepsal.

Pokud by byla zpráva podepsána certifikátem pro jinou osobu či e-mailovou adresu, opět víte, jaká byla realita. Jiná osoba použila svůj osobní certifikát pro podpis zprávy, kterou poslala z jiného e-mailu.

Podpis zaručuje neměnnost

Důležitý je rovněž fakt, že digitální podpis krom identifikace odesilatele zaručuje neměnnost zaslané zprávy; a to je další nezanedbatelná výhoda. U podepsaného certifikátu máte jistotu, že nikdo nezměnil text zprávy, ani že není podvržená.

Toho je dosaženo vytvořením otisku zprávy, tzv. haše (anglicky hash), který je následně podepsán. Otisk zprávy je unikátní pro konkrétní data, a pokud se vstup změní, změna se projeví i na výstupu jednocestné hašovací funkce. Pokud pozměníte dokument o pouhé jedno písmeno, otisk bude zcela jiný a původní nelze napodobit.

HashOtisk textu "Kometa vyhrála 1:0"
CRC32    3a8bcc90
MD5 962d380bf56f0aed0948346eeeeb3b88
SHA-1 efbb4bc3c64df4000298c800568e9151b712cc7b
SHA-256 4e0fdcebe9af6282d472d1ddfcb41c84d7befcad943edd19b5326959b5408df7
HashOtisk po změně na "Kometa vyhrála 2:0"
CRC32 38cd72c9
MD5 0a43291cbe2eb87161eb59acdc3b185c
SHA-1 84db2793e0d1fcd85ce035b774c959532689c011
SHA-256 a5b8f868d9baa281c56d847ab5d84cffddc8491e3884c6d25da2a6fd1666ef44

Na příkladu vidíte, že změnou jednoho písmena dostanete zcela jiný otisk. Otisk můžete snadno vytvořit pro jakékoliv data a ověřit tak jejich neměnnost. Často se toto ověření používá na soubory stažené z internetu, které mohou být nekompletní.

Hašovací funkce CRC32 a MD5 se v dnešní kryptografii již nepoužívají, protože jsou slabé. Současný doporučený hašovací algoritmus je SHA-2 a v našich certifikátech ho můžete využít spolu s předchozím SHA-1. Více o tom v článku Přichází nové algoritmy pro SSL certifikáty.

Digitální podpis není pouze pro berňák

V prostředí veřejné správy má digitální podpis již dlouhou tradici. Často však uživatele plete, protože naše veřejná správa uznává certifikáty vydané pouze některými autoritami; zejména se zahraničními nemáte šanci uspět. Předpokladem pro úspěšnou komunikaci s úřady je vlastnictví kvalifikovaného certifikátu.

Kvalifikovaný certifikát a byrokracie

V Česku se jako částečný ekvivalent osobního podpisu uznává podpis tzv. kvalifikovaným certifikátem, který může vydat pouze akreditovaná kvalifikovaná certifikační autorita řídící se Zákonem o elektronickém podpisu. Jedná se o standardní digitální certifikát, dle zákona však umožní komunikaci s veřejnou správnou a můžete s ním například podat daňové přiznání.

Kvalifikovanému certifikátu logicky předchází ověření, kvůli kterému se musíte na pobočku autority dostavit. Je logické, že tyto certifikáty nejsou zdarma. Akreditované certifikační autority jsou První certifikační autoritaČeská pošta a eIdentity. Akreditaci uděluje ministerstvo vnitra, které je mozkem IT operací ve veřejné správě.

Správci pozor - "český" certifikát na web nepatří

Byť akreditované autority poslouží pro vystavení kvalifikovaných certifikátů, nejsou jejich serverové certifikáty vhodné pro použití na webu. Důvodem je nedůvěryhodnost těchto autorit. České autority nemají zajištěnou přítomnost kořenových certifikátů v hlavních PC a mobilních operačních systémech. Certifikáty nejsou důvěryhodné pro většinu mobilních zařízení a pro alternativní prohlížeče.

Z toho důvodu je dobré volit zahraniční a známé certifikační autority jako Thawte či GeoTrust, jejichž kořenové certifikáty jsou "všude". Pak vaše návštěvníky na webu nepotká překvapení zachycené na obrázku níže.

Bezpečnostní certifikát webu není důvěryhodný

Byť české certifikační autority na důvěryhodnosti zapracovaly, eIdentity stále není důvěryhodná v systémech Windows. Všechny tři české autority pak nejsou důvěryhodné v prohlížeči Firefox (používá vlastní úložiště certifikátů) a v mobilním operačním systému Android.

Chci zprávy šifrovat, aby byly tajné

Šifrování e-mailů slouží k utajení obsažených informací. Abyste mohli někomu poslat šifrovanou zprávu, musíte si s ním napřed vyměnit certifikáty a mít jeho veřejný klíč z jeho certifikátu. To může být poměrně nepraktické, pokud nebudete šifrovat ve firemním prostředí.

Pro běžné šifrování e-mailů doporučuji využít protokol OpenPGP. Pomocí něj můžete publikovat svůj certifikát, aby ho našli i ostatní uživatelé. Využívat můžete i otevřený a nekomerční software, který je zdarma. Nekomerční a svobodný software využívající OpenPGP se jmenuje GNU Privacy Guard (GnuPG či GPG). Na Windows je GPG zastoupeno programem Gpg4win.

Poradíme, jak získat certifikát pro e-mail zdarma

Nyní již víte, na co je dobré mít osobní certifikát pro digitální podpis e-mailu a zdali potřebujete certifikát kvalifikovaný. V jednom z příštích článků na našem blogu najdete návod, jak získat certifikát pro e-mail zcela zdarma a jak jej dostat do svého e-mailového klienta. Budete moci používat digitální podpis zcela zdarma, v certifikátu však nebudou kompletní údaje o vaší osobě.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.

Přehled komentářů

  1. OpenPGP (urso, 18.2.2014 19:50:08) Odpovědět

    Zajímavý článeček. Protože se věnuji bezpečnosti, tak bych chtěl jenom doplnit. Uživatelé většinou ani neznají co je to emailový klient. Většinou používají poštu pomocí webového rozhraní na seznam.cz nebo google (xxx@gmail.com). Pak z celého balíčku gpg4win potřebují jen:
    1. základní prostředí OpenPGP (GnuPG)
    2. GPG - správa klíčů a možnost šifrování ve schránce

    Nebo při používání emailového klienta THUNDERBIRD použít vynikající doplněk ENIGMAIL.

  2. OpenPGP (urso, 18.2.2014 19:53:26) Odpovědět

    OPRAVA
    2. GPG má být GPA - grafické rozhraní pro GPG, viz: https://zmsoft.cz/index.php?str=gpa-gnu-privacy-assistant

  3. OpenPGP (Zechmeister, SSLmarket, 25.2.2014 8:46:22) Odpovědět

    Díky za názor. Enigmail a TB je skutečně dobrá kombinace.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Podepisování kódu (Code Signing)
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market