Hlavní navigace

Digitální signatura od Thawte

Martin Kopta

V mnoha případech se stává, že musíte po přijetí elektronické zprávy kontaktovat odesilatele ještě jiným způsobem, abyste ověřili, zda ji skutečně odeslal, případně zda ji odeslal v takové podobě, v jaké ji čtete. Tomu se můžete vyhnout, pokud se s odesilatelem dohodnete na používání elektronické signatury, jednou z možností je osobní certifikát Thawte.

V elektronické komunikaci je těžké být si jist, že druhá strana je opravdu tím, za koho se vydává. Když vám přijde email z adresy jan.novak@nase-firma.cz, ještě tím není zaručeno, že jej opravdu odeslal Jan Novák z Naší firmy nebo že obsah toho emailu je opravdu ten, který Jan Novák odeslal. Bohužel to nelze zaručit z pozice Jana Nováka ani z pozice Naší firmy.

K autentifikování odesilatele slouží elektronická signatura. Tedy, jak to včera v diskusi pod svým článkem o elektronických podatelnách pregnantně formuloval Jiří Peterka – elektronická signatura je cosi jako obálka s pečetí, která dává příjemci záruku, že se její obsah cestou od odesilatele nezměnil, a zároveň prokazuje, že obálku zalepil někdo, kdo vládne danou pečetí.

Předpokládám, že čtenář Lupy ví, co a k čemu jsou elektronické signatury, pokud ale máte pocit, že byste si potřebovali vědomosti osvěžit či doplnit, doporučím vám Peterkův článek Prolomení elektronického podpisu? Ale kdepak! z března tohoto roku, nebo český server o Pretty Good Privacy (PGP), kde je problematika vysvětlena od úplného začátku.

Předem upozorňuji, že zde zmiňovaný pojem „elektronická signatura“ jsem zvolil záměrně, abych jej odlišil od pojmu „elektronický podpis“. Ne, že by to byly technicky rozdílné věci, ale dnes nebude řeč o elektronickém podpisu dle zákona 227/2000 Sb. (PDF), nýbrž o mezinárodně uznávaném osobním certifikátu vydávaném firmou Thawte.

Signovat a šifrovat

Se společností Thawte se nejčastěji setkáváme v případě přístupu k zabezpečenému obsahu na webserveru nebo při jiném „bezpečném“ přenosu informací v Internetu. Skutečnost, že se tato firma angažuje i na poli osobních certifikátů, které navíc poskytuje zdarma, není všeobecně známá.

Thawte ve svém programu osobních certifikátů nabízí řešení, které je využitelné především ke dvěma důležitým záležitostem spojeným s Internetem. Tou první je bezpečný email, tou druhou pak autentifikace uživatele webserveru. Zatímco druhý pojem asi není třeba zvlášť vysvětlovat, u bezpečného emailu jde především o možnost signovat dopis (tedy zajistit, aby si příjemce mohl být jist tím, kdo dopis odeslal, a že obsah dopisu nebyl před doručením pozměněn) a možnost zašifrovat sdělení.

Výhodou certifikátů Thawte pro větší rozšíření je bezesporu jejich začlenění do běžných poštovních programů a prohlížečů, což se o PGP říci nedá. V Outlooku od Microsoftu je například Thawte uváděno vedle VeriSign, GlobalSign a British Telecommunications.

Osobní certifikát vystavený u Thawte podporuje normu X.509. Délka generovaného klíče závisí na tom, jaký používáte software. Ve standardní distribuci MSIE a Outlook Express použijete veřejný klíč o délce 512 bitů, šifrování 40 bitů, pro bezpečnější komunikaci musíte použít pokročilejší programové vybavení, které podporuje šifrování třeba i 128bitové s delšími klíči.

Totální zabezpečení, s dírou od Microsoftu

Pokud máte zkušenost s užíváním PGP, zjistíte, že práce s certifikáty Thawte se příliš neliší. Tedy alespoň při používání v elektronické poště. Jediná věc, která mě zaskočila, je skutečnost, že narozdíl od PGP při signování a šifrování emailů ode mne nebylo požadováno žádné heslo.

Posléze jsem zjistil, že problém je, jako obvykle, na mé straně, protože jsem v Outlooku certifikátu ponechal jeho původní stupeň bezpečnosti, což je stupeň střední, který kontroluje pouze, zda jste nalogováni pod správným účtem do operačního systému (u Windows). Tento stupeň si dovolím velmi nedoporučit, protože vás považuje za právoplatné uživatele certifikátu, když se zalogujete do systému pod správným uživatelským jménem, ale (alespoň na redakčním W98) se už nezabývá tím, zda jste se logovali se skutečným heslem.

Vhodným řešením je nastavit certifikátu vysoké zabezpečení a přidělit k jeho užívání nějaké heslo.

Tento podivný způsob nakládání s bezpečností mě u Microsoftu opět zaskočil. Člověk stráví několik minut při získávání certifikátu náročnými operacemi, které mají zajistit vysokou bezpečnost používání a omezit riziko zneužití, avšak při konečné implementaci v operačním systému k obejití veškeré ochrany stačí, aby se někdo posadil k nalogovanému počítači.

Web of Trust

Nejzajímavější na certifikátech od Thawte je jejich iniciativa Web of Trust. Certifikát sice je vydáván k určité identitě, ale identitu vydavatel certifikátu nijak neověřuje, takže se za ni ani nemůže zaručit – proto také u tohoto typu certifikátu není nikde uvedeno vaše jméno ani jiné spojení s totožností. Ovšem k plnohodnotnému užívání certifikátu s ním svou totožnost spojit potřebujete, a k tomu vám dopomůže Web of Trust.

Web of Trust je pomyslná síť osob, jejichž totožnost je nade vší pochybnost prokazatelná – zde se jim říká notáři. Tito lidé pak mají možnost ověřovat totožnost dalších držitelů osobních certifikátů. Jde o to, že pokud chcete spojit svůj certifikát se svou totožností, musíte získat od notářů alespoň 50 bodů. Abyste se sami stali notáři, musíte získat bodů 100. Jeden notář vám smí věnovat nejvýše 35 bodů, a tak vaši totožnost musí ověřit alespoň dva notáři.

Notář vás obvykle neobdaří body jen tak pro nic za nic – obvykle vyžaduje, abyste se s ním osobně sešli a svou totožnost mu prokázali. Někteří notáři vám body věnují zdarma, jiní si za to účtují poplatky. V České republice máme jen šest notářů, a z nich polovina chce od žadatelů nějaký finanční obnos (200 až 250 korun), zbylí tři své služby poskytují zdarma. Pokud tedy ke svému certifikátu budu chtít připojit i jméno, musím si udělat výlet po vlastech českých za alespoň dvěma notáři. Za ten pocit, že důležité dopisy budu moci začít prokazatelně podepisovat, mi ta námaha ale stojí.

Resumé

Rozhodnutí pořídit si nějaký systém pro elektronické signování a šifrování komunikace nemá smysl dlouho odkládat. Čím dříve si zvykneme své zprávy jednoznačně identifikovat, tím lépe. Odpadne potom například problém s vironosnými emailovými červy, které se tváří, jakoby byly odeslány člověkem. A mně by také ušetřilo hodně práce, kdybych nemusel u každého emailu telefonicky ověřovat, zda skutečně mohu citovat toho správného člověka. O šifrování komunikace ani nemluvě.

Thawte se v tomto případě zdá jako dobrá možnost pro široké nasazení, protože nevyžaduje od uživatele zvláštní schopnosti. Dokonce i stránky na webu (při správně nastaveném prohlížeči) na vás budou při získávání certifikátu hovořit česky. Jediným závažnějším problémem tedy nakonec zůstane nepředpokládatelné zacházení s certifikátem ze strany operačního systému Windows, ale přes tohle úskalí by snad alespoň v akademické, státní a firemní sféře mohl uživatele přenést administrátor sítě.

Anketa

Používáte nějaký systém pro "elektronický podpis"?

Našli jste v článku chybu?

8. 10. 2001 8:54

Ladislav Suk (neregistrovaný)
Souhlasim, jen jsem chtel upozornit na vec, ktera nejen me osobne na dane prednasce prekvapila a o ktere jsem do te doby nevedel.

5. 10. 2001 18:50

Martin Kalenda (neregistrovaný)
a jes eneco nejde o to ze nebude uznavana ale ti lide to budou umet v prazi pouzit a to jim thawte umozni protoze ted jen ve 90 procentech pocitacu coby trusted


add to hrani take jste si hral z lopatkou a kyblickem prot by soi ted lkidi nemohli hrat z osobnimi certifikaty:)


Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Dárkové poukazy. Vaše byznys výhra

Dárkové poukazy. Vaše byznys výhra

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)