Elektronický certifikát zná většina lidí jako součást mailů třeba od
banky. Pro komerční sféru se může jednat o celkem drahou záležitost (z
pohledu jednotlivce, pro banku je pár desetitisíců ročně pakatel). Certifikát
je ale možné získat i zdarma a to bude obsahem tohoto článku.
Proč používat certifikát?
Zajistí, že
a. zprávu nikdo nezmění během přenosu,
b. příjemce má jistotu, že odesílatel nebyl podstrčen (odeslat mail
s adresou třeba emil.livanec@nasa.gov není problém) – s určitou výhradou,
viz dále,
c. a to nejlepší – zprávu lze zašifrovat a přečíst ji bude problém
snad i pro CIA.
E-mail je poměrně stará technologie a šifrování v sobě implicitně nemá.
Takže není problém přečíst si Vámi odeslaný mail kdekoliv „po cestě“, od
frikulína s notebookem v internetové kavárně, co sedí u vedlejšího stolu,
přes poskytovatele internetu až po státní fízlovací organizace.
Proč z ideologického pohledu – to myslím, že moc vysvětlovat nemusím.
Spoustu lidí sere neustálé fízlování, tohle je jednoduchá a efektivní cesta,
jak mu v e-mailové komunikaci zabránit. Nebýt ovce v tomhle případě stojí
jen pár minut času. Kdo by chtěl vyřvávat, že nemá co skrývat, obdrží svojí
malou imaginární Big Brother Award
a přestane číst dál.
Teorie
Tu nemá smysl popisovat, udělali tak jiní a lépe, stačí použít Google.
Pro nás stačí vědět, že existují Certifikační
autority (CA), které vydávají Digitální
certifikáty. Používá se algoritmus RSA s délkou klíče většinou 2048
bitů a dnes se považuje za neprolomitelný za historicky rozumnou dobu.
Začínáme – získání certifikátu
Budu popisovat postup pro Firefox a Thunderbird. Pozn. článek jsem měl
dlouho u ledu, detaily postupu mohou být neaktuální. V jiných prohlížečích
a e-mailových klientech to bude hodně podobné. Budu psát docela rozvláčně,
aby to zvládl i netechnický typ, klidně se můžete řídit selským rozumem
a k návodu se vrátit, jen když to bude nutné. Zdatnější uživatel to zvládne
s klidem sám za čtvrt hodiny. Takže najdeme nějakou CA, která certifikáty
zdarma vydává. Já našel Comodo.
Klikneme na Get it free now! a přejdeme k formuláři. Vyplníme požadované
údaje (jméno, příjmení, e-mail, stát a heslo pro zrušení). Modří už vědí,
že tady bude ta výhrada. Nic mi nebrání tam napsat třeba Josef Stoprdel,
nikdo po mě občanku nechce. Když si budu dělat certifikát pro mail, který
používám na internetu jako anonymní, tak to tam klidně napíšu. Napíše-li
mi někdo s mailem jirka.paroprase.paroubek@gmail.com s podepsaným certifikátem
Jiří Paroubek, tak to asi těžko bude ten známý sexy mozek. Tohle jediné
si musím ohlídat sám.
Po vyplnění přijde na zadanou adresu e-mail Your certificate is ready
for collection! – v něm klikneme na tlačítku Click & Install Comodo
Email certificate nebo přes uvedenou adresu. Tím přejdeme zpět do prohlížeče,
do kterého se nám certifikát nahraje. Dostaneme se k němu cestou
Nástroje => Možnosti => Rozšířené => Certifikáty => Osobní.
Náš certifikát bude v položce The USERTRUST Network pod zadaným jménem.
V Detailech certifikátu v položce Předmět uvidím, na který e-mail byl vydaný.
Uložíme si ho pomocí tlačítka Zálohovat jako PKCS12 soubor s příponou .p12.
Teď ho musíme dostat do mail klienta. Otevřeme v něm vlastnosti účtu,
ke kterému jsme si certifikát udělali, položka Zabezpečení, tlačítko Zobrazit
certifikáty, karta Osobní a tlačítko Importovat. V položce Zabezpečení
si ho pak vybereme (tlačítko Vybrat…) a potvrdíme. Můžeme rovnou nastavit
jako výchozí stav Elektronicky podepisovat zprávy, příp. povolit i šifrování.
Tak a máme ho tam, můžeme si tykat.
Podepsání
Napíšeme nový mail, klikneme na tlačítko Zabezpečení a zaškrtneme položku
Elektronicky podepsat zprávu. To je celé. Příjemce uvidí u mailu obálku
s pečetí a po jejím rozkliknutí tohle:
Vše je v pořádku. Kdyby nebylo, pečeť by byla rozlomená a poznáme to.
Šifrování
Pro šifrování potřebujeme jedinou věc – dostat certifikát příjemce do
našeho mailového klienta. Stačí, aby si dva lidé poslali mezi sebou podepsaný
mail. Tady je trochu kámen úrazu, málokdo certifikát má. Není ale problém
si ho udělat, jak je vidět, můžete své přátele odkázat třeba na tento článek
. Když mi přijde podepsaný mail, tak se mi certifikát odesílatele automaticky
uloží v mail klientovi. Tím se zprovozní možnost Zašifrovat zprávu. Tu
zaškrtneme spolu s Elektronickým podepsáním a je to. U příjemce se u zapečetěné
obálky objeví navíc zámek.
Konečná
Tak a máme hotovo, k podepsání a zašifrování e-mailu teď stačí jedno
kliknutí. Certifikát platí jeden rok, po jeho vypršení není problém si
ho udělat znovu.
Moc rozšířené to není, přemýšlel jsem proč. Asi kvůli setrvačnosti
(„maily bez certifikátu posílám odjakživa a funguje to, tak proč to měnit?“),
pocit, že je to moc složité, neví se o tom, nebojí se, až po důvody s konspiračním
nádechem – nikomu z buzeraparátu se to nehodí, aby to ovce používaly.
Zvolil jsem certifikáty, existují ovšem i jiné metody šifrování (PGP),
ale ty jsou ještě méně rozšířené. O certifikátech se už určitě psalo jinde,
ale jedná se hlavně o servery pro geeky (třeba Root.cz).
Nic objevného nepřináším, jen jsem to chtěl přiblížit zdejším čtenářům,
u kterých se tak nějak čeká, že ovce nebudou a mohlo by se jim to hodit.
Věřím, že i tenhle malý příspěvek k osobní bezpečnosti je lepší než brblání
u piva.
28.01.2012 nib