El. certifikát pro e-maily prakticky

Featured Image


Elektronický certifikát zná většina lidí jako součást mailů třeba od banky. Pro komerční sféru se může jednat o celkem drahou záležitost (z pohledu jednotlivce, pro banku je pár desetitisíců ročně pakatel). Certifikát je ale možné získat i zdarma a to bude obsahem tohoto článku.

Proč používat certifikát?

Zajistí, že
a. zprávu nikdo nezmění během přenosu,
b. příjemce má jistotu, že odesílatel nebyl podstrčen (odeslat mail s adresou třeba emil.livanec@nasa.gov není problém) – s určitou výhradou, viz dále,
c. a to nejlepší – zprávu lze zašifrovat a přečíst ji bude problém snad i pro CIA.

E-mail je poměrně stará technologie a šifrování v sobě implicitně nemá. Takže není problém přečíst si Vámi odeslaný mail kdekoliv „po cestě“, od frikulína s notebookem v internetové kavárně, co sedí u vedlejšího stolu, přes poskytovatele internetu až po státní fízlovací organizace.
Proč z ideologického pohledu – to myslím, že moc vysvětlovat nemusím. Spoustu lidí sere neustálé fízlování, tohle je jednoduchá a efektivní cesta, jak mu v e-mailové komunikaci zabránit. Nebýt ovce v tomhle případě stojí jen pár minut času. Kdo by chtěl vyřvávat, že nemá co skrývat, obdrží svojí malou imaginární Big Brother Award a přestane číst dál.

Teorie

Tu nemá smysl popisovat, udělali tak jiní a lépe, stačí použít Google. Pro nás stačí vědět, že existují Certifikační autority (CA), které vydávají Digitální certifikáty. Používá se algoritmus RSA s délkou klíče většinou 2048 bitů a dnes se považuje za neprolomitelný za historicky rozumnou dobu.

Začínáme – získání certifikátu

Budu popisovat postup pro Firefox a Thunderbird. Pozn. článek jsem měl dlouho u ledu, detaily postupu mohou být neaktuální. V jiných prohlížečích a e-mailových klientech to bude hodně podobné. Budu psát docela rozvláčně, aby to zvládl i netechnický typ, klidně se můžete řídit selským rozumem a k návodu se vrátit, jen když to bude nutné. Zdatnější uživatel to zvládne s klidem sám za čtvrt hodiny. Takže najdeme nějakou CA, která certifikáty zdarma vydává. Já našel Comodo.

Klikneme na Get it free now! a přejdeme k formuláři. Vyplníme požadované údaje (jméno, příjmení, e-mail, stát a heslo pro zrušení). Modří už vědí, že tady bude ta výhrada. Nic mi nebrání tam napsat třeba Josef Stoprdel, nikdo po mě občanku nechce. Když si budu dělat certifikát pro mail, který používám na internetu jako anonymní, tak to tam klidně napíšu. Napíše-li mi někdo s mailem jirka.paroprase.paroubek@gmail.com s podepsaným certifikátem Jiří Paroubek, tak to asi těžko bude ten známý sexy mozek. Tohle jediné si musím ohlídat sám.

Po vyplnění přijde na zadanou adresu e-mail Your certificate is ready for collection! – v něm klikneme na tlačítku Click & Install Comodo Email certificate nebo přes uvedenou adresu. Tím přejdeme zpět do prohlížeče, do kterého se nám certifikát nahraje. Dostaneme se k němu cestou
Nástroje => Možnosti => Rozšířené => Certifikáty => Osobní.

Náš certifikát bude v položce The USERTRUST Network pod zadaným jménem. V Detailech certifikátu v položce Předmět uvidím, na který e-mail byl vydaný. Uložíme si ho pomocí tlačítka Zálohovat jako PKCS12 soubor s příponou .p12.

Teď ho musíme dostat do mail klienta. Otevřeme v něm vlastnosti účtu, ke kterému jsme si certifikát udělali, položka Zabezpečení, tlačítko Zobrazit certifikáty, karta Osobní a tlačítko Importovat. V položce Zabezpečení si ho pak vybereme (tlačítko Vybrat…) a potvrdíme. Můžeme rovnou nastavit jako výchozí stav Elektronicky podepisovat zprávy, příp. povolit i šifrování.

Tak a máme ho tam, můžeme si tykat.

Podepsání

Napíšeme nový mail, klikneme na tlačítko Zabezpečení a zaškrtneme položku Elektronicky podepsat zprávu. To je celé. Příjemce uvidí u mailu obálku s pečetí a po jejím rozkliknutí tohle:
 

 
Vše je v pořádku. Kdyby nebylo, pečeť by byla rozlomená a poznáme to.

Šifrování

Pro šifrování potřebujeme jedinou věc – dostat certifikát příjemce do našeho mailového klienta. Stačí, aby si dva lidé poslali mezi sebou podepsaný mail. Tady je trochu kámen úrazu, málokdo certifikát má. Není ale problém si ho udělat, jak je vidět, můžete své přátele odkázat třeba na tento článek  . Když mi přijde podepsaný mail, tak se mi certifikát odesílatele automaticky uloží v mail klientovi. Tím se zprovozní možnost Zašifrovat zprávu. Tu zaškrtneme spolu s Elektronickým podepsáním a je to. U příjemce se u zapečetěné obálky objeví navíc zámek.
 

 
Konečná

Tak a máme hotovo, k podepsání a zašifrování e-mailu teď stačí jedno kliknutí. Certifikát platí jeden rok, po jeho vypršení není problém si ho udělat znovu.
Moc rozšířené to není, přemýšlel jsem proč. Asi kvůli setrvačnosti („maily bez certifikátu posílám odjakživa a funguje to, tak proč to měnit?“), pocit, že je to moc složité, neví se o tom, nebojí se, až po důvody s konspiračním nádechem – nikomu z buzeraparátu se to nehodí, aby to ovce používaly.

Zvolil jsem certifikáty, existují ovšem i jiné metody šifrování (PGP), ale ty jsou ještě méně rozšířené. O certifikátech se už určitě psalo jinde, ale jedná se hlavně o servery pro geeky (třeba Root.cz). Nic objevného nepřináším, jen jsem to chtěl přiblížit zdejším čtenářům, u kterých se tak nějak čeká, že ovce nebudou a mohlo by se jim to hodit. Věřím, že i tenhle malý příspěvek k osobní bezpečnosti je lepší než brblání u piva.


28.01.2012 nib
 

12345 (Zatím žádné známkování)
128x přečteno
Updatováno: 27.11.2015 — 23:55
D-FENS © 2016