Podepište si email - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Seriály

Více seriálů



Tipy a Triky

Podepište si email

26. dubna 2004, 00.00 | Komunikace pomocí emailu je dnes zcela běžnou součástí života. Přesto posílání citlivých dat emailem není nejlepší nápad. Než zprávu obdrží příjemce, často jde přes množství serverů, na kterých může být odchycena a přečtena nežádoucí osobou. Pokud chcete své emaily zabezpečit, měli byste se zamyslet nad použitím elektronického podpisu.

Komunikace pomocí emailu je dnes zcela běžnou součástí života a většina společností by se bez ní již neobešla. Přesto posílání citlivých dat emailem není nejlepší nápad. Než zprávu obdrží příjemce, často jde přes množství serverů, na kterých může být odchycena a přečtena nežádoucí osobou. Nejen, že může být váš email přečten, ale také může být pozměněn, či se za vás cizí osoba může vydávat, jak dokazují šikovní spammeři. Naštěstí Apple Mail má podporu S/MIME protokolu a můžete tedy své zprávy opatřit elektronickým podpisem, nebo je šifrovat.

Abyste mohli své emaily takto zabezpečit, neobejdete se bez certifikátu. Certifikátem se rozumí souhrn informací o uživateli a jeho veřejný klíč. V certifikátu zpravidla bývá uvedeno jméno majitele, emailová adresa, ke které se certifikát váže, doba platnosti certifikátu (maximálně jeden rok), sériové číslo certifikátu a elektronický podpis vydavatele certifikátu.

Certifikát vám musí vydat certifikační autorita (CA). Ta svým elektronickým podpisem na certifikátu stvrzuje pravdivost údajů v něm uvedených. K podpisu dopisů ale budete potřebovat ještě klíče, a to privátní a veřejný. Veřejný klíč je součástí certifikátu, a abyste s někým mohli komunikovat šifrovaně, musí mít obě strany komunikujících navzájem své veřejné klíče, aby mohli ověřit integritu zprávy. Zatímco veřejný klíč je určen pro veřejnost, soukromý musí mít jen jeho vlastník.

Jak to celé funguje?
Při odesílání emailu dojde k vytvoření otisku zprávy pomocí hash algoritmu a jeho následné zašifrování privátním klíčem. Takže v emailu od odesílatele odchází originální zpráva, její zašifrovaný otisk a certifikát

Příjemce dešifruje příchozí otisk pomocí veřejného klíče získaného z přiloženého certifikátu a výsledek porovná s připojenou zprávou. Pokud se shodují, má příjemce jistotu, že od podepsání dokumentu k jeho přijetí, nedošlo ke změně zprávy, tudíž podepsaný odesílatel opravdu zprávu napsal.

V tomto případě se jedná pouze o podepsaný email - je možné jej poslat komukoliv a podpisem zaručit jeho pravost, ale samozřejmě může dojít k jeho přečtení nežádoucí osobou na cestě k odesílateli - zpráva není zašifrovaná, ale pouze podepsaná.

Pokud chcete větší bezpečí, potřebuje zprávu zašifrovat, takže v případě odchycení emailu dostane útočník pouze shluk písmenek nedávající smysl. Pro odeslání kryptované zprávy potřebujete mít veřejný klíč druhé strany a ten získáte, jen pokud příjemce má vlastní certifikát a veřejný klíč vám poslal.

Ale pojďme k praxi
Certifikát můžete získat od certifikační autority, kterých je na výběr několik, ať už českých, či zahraničních. V tomto návodu popíši postup, jak získat certifikát od společnosti Thawte. Jednak proto, že emailový certifikát dávají zdarma a také, že jsem si tímto postupem prošel. Společnost Thawte byla koupena nejznámější certifikační autoritou VeriSign a sídlí v Jihoafrické republice v Kapském městě. Nemusíte se tedy bát, že by se jednalo o pochybný start-up. Thawte je uznávaná a akreditovaná společnost, vydávající plnohodnotné certifikáty, které využívají lidé na celém světě. Jestliže budete chtít komunikovat s českými úřady, budete potřebovat certifikát od I.CA - První české autority, který ale není zdarma.

Účet u thawte.com
1/ Nejdříve budete potřebovat účet u Thawte. Připojte se na web http://www.thawte.com/email/ a klikněte na tlačítko JOIN. Na první stránce máte licenční ujednání, po jeho přečtení jděte na další stranu (NEXT).

2/ Zde vyplňte své jméno, příjmení, datum narození a národnost. Hrál jsem si chvíli s nastavením kódování a interpunkcí ve jméně, ale nepodařilo se mi zobrazit mé přijmení s "á", takže doporučuji při zadávání jména a příjmení nepoužívat háčky a čárky.

3/ V další části vyplňte rodné číslo a v kolonce National Identification Type zaškrtněte Other a do příslušného řádku napište Birth Number. V posledním políčku vyplňte emailovou adresu, ke které chcete vystavit certifikát (není podmínkou) a která bude zároveň vaším uživatelským jménem v systému Thawte.

4/ Ve čtvrté fázi můžete vybrat preferovaný jazyk a kódování

5/ Nastává nejdůležitější část a to výběr hesla. Použijte heslo co nejdelší (6-20 znaků), kombinaci velkých a malých písmen a číslic. Heslo si pamatujte (lepší varianta), nebo schovejte na bezpečné místo (ne na papírek, který necháte na stole), nebo si jej uložte do Keychainu jako Secure note (pokud máte Keychain dostatečně zabezpečený). Heslo také samozřejmě nikomu nesdělujte. Pokud o něj přijdete a útočník zneužije váš elektronický podpis, nesete trestní odpovědnost za způsobené škody (!!). Takže ještě jednou, zvolte kvalitní heslo.

6/ V šestém kroku sestavte pět otázek a odpovědí, na které můžete být dotazováni, jestliže heslo ztratíte a bude potřeba vás autorizovat. Proto zadejte i telefonní číslo v mezinárodním formátu, aby vás operátoři z Thawte měli jak kontaktovat. I zde se snažte volit otázky a odpovědi, které zná co nejméně lidí.

7/ Posléze již stačí jen zadané údaje zkontrolovat a počkat, až vám dojde email s dalšími instrukcemi. V emailu stačí kliknout na link a v novém okně vyplnit údaje - Probe a Ping (jsou uvedeny ve zprávě) - tím potvrdíte funkčnost emailové schránky a první část je za námi. Máte aktivní účet u Thawte.

Pokud vás první část vyčerpala, můžete si dát pauzu a udělat si třeba kafe. Pokud ale nechcete ztrácet čas, pojďme dál.

Vyžádání certifikátu
na stránce https://www.thawte.com/cgi/personal/cert/enroll.exe (pravděpodobně se budete muset zalogovat) klikněte na tlačítko REQUEST pod nápisem X.509 Format Certificates. Opět na vás vyskočí nové okno.

1/ Na první stránce vyberte formát certifikátu. Zvolte "Netscape Communicator or Messenger" a klikněte na REQUEST

2/ Na další straně nic neměňte a pokračujte dál. Mohli byste si zde zadat jméno, které bude uvedeno na certifikátu, ale tato služba je již zpoplatněná. V našem případě budete mít na certifikátu uvedenou emailovou adresu a místo jména bude "thawte Freemail Member". Certifikát tedy neobsahuje žádné citlivé informace uvedené při registraci (rodné číslo, telefon, atd.)

3/ Zde si vyberte, pro jaký email požadujete certifikát. Pokud máte emailů více, každý bude potřebovat vlastní certifikát

4/ Na čtvrté straně klikněte na NEXT

5/ Tady si můžete vybrat nastavení certifikátu. Pokud nevíte, co dělat a jak si certifikát přizpůsobit, vyberte "Accept Default Extensions"

6 / Teď musíte zvolit délku klíče. Čím delší, tím bezpečnější, takže zvolíme hodnotu 2048 a klikneme na NEXT

7/ Potvrdíme údaje, klikneme na FINISH a máme na pár minut pauzu.

Servery společnosti Thawte nyní jednou na plné obrátky a generují pro vás certifikát. Až bude připraven, dostanete potvrzující email (počítejte pár minut). Celý proces můžete také sledovat na: https://www.thawte.com/cgi/personal/cert/status.exe

Zde je seznam všech vašich certifikátů. U právě generovaného certifikátu uvidíte nápis "pending". Až bude certifikát hotov, změní se "pending" na "issued". Nyní stačí kliknout na odkaz Navigator a na další stránce stiskněte tlačítko FETCH.

A to je vše. Certifikát včetně veřejného a privátního klíče by měl být stažen do Keychainu (Keychain nesmí být zamknutý) a vy můžete začít posílat podepsané a šifrované emaily.

UPOZORNĚNÍ
Výše uvedený postup platí pro prohlížeč Safari. Je to nejjednodušší cesta, ale má určitá omezení. Certifikát včetně privátního a veřejného klíče je stažen přímo do Keychainu, tudíž nemáte nikde zálohu těchto souborů. To samozřejmě 95% uživatelů nebude vadit, ale pokud potřebujte mít jeden certifikát na více počítačích, představuje pro vás tato cesta určité úskalí. Nepodařilo se mi vyexportovat z Keychainu privátní a veřejný klíč, pouze certifikát, ale ten samozřejmě nestačí.

Jestliže potřebujete mít zálohů klíčů i na jiném místě, nebo chcete stejný certifikát používat na více počítačích, je potřeba k vyžádání certifikátu použít prohlížeč Mozilla (FireFox). Postup je totožný jako u Safari, ale po kliknutí na tlačítko FETCH nedojde k uložení certifikátu do Keychainu, ale do Certificate Manageru, který je umístěn v předvolbách FireFoxu. V něm stačí zvolit Backup, vybrat místo uložení a heslo. Na zvoleném místě se vám uloží kompletní certifikát i s klíči (soubor s koncovkou .p12), který stačí importovat do Keychainu, ale máte zároveň i jeho zálohu.

Existuje ještě jedna možnost, jak mít více certifikátů k jednomu emailovému účtu. Stačí si vyžádat na druhém počítači další certifikát ke zvolenému emailu. Thawte dovoluje mít více certifikátů na jeden email. Certifikát nebude totožný (bude mít jiné sériové číslo), ale bude funkční. Alespoň já jsem neshledal žádný problém.

Máme účet u certifikační autority, certifikát a všechny klíče, ale co dál?
Spusťte Mail a začněte psát novou zprávu. Pokud jako odchozí účet bude emailová adresa, na kterou máte certifikát, uvidíte na pravé straně jedno nebo dvě tlačítka:

Jestliže nemáte veřejný klíč příjemce, můžete zprávu pouze podepsat (znak hvězdičky), pokud certifikát má, můžete ji i zašifrovat (znak zámečku).

A takto vypadá podepsaná a šifrovaná zpráva:

A toto je zdrojový kód šifrovaného emailu (Mail - View / Message / Raw Source). Kdyby došlo k odchycení této zprávy, asi by si útočník moc nepočetl.

Přestože získání certifikátu není zcela jednoduchá záležitost, jeho použití v Mac OS X a Mailu je zcela triviální. V každém případě je potřeba si uvědomit, že elektronický podpis emailu je rovný vlastnoručnímu podpisu papírového dokumentu, tudíž za obsah neseme odpovědnost. Proto je potřeba klást důraz na kvalitní heslo a chránit svůj privátní klíč.

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

Diskuse k článku

 

Vložit nový příspěvek   Sbalit příspěvky

 

inspirace?

Autor: nemo Muž

Založeno: 26.04.2004, 08:22
Odpovědí: 0

_Velmi_ podobny clanek je tady:
http://www.macdevc
enter.com/pub/a/mac/2003/
01/20/mail.html

Pokud se tedy autor nechal _inspirovat_, mel by to asi nejak dat najevo. Minimalne odkaz na original by byl slusnosti.

Ovsem muze to byt take nahoda ...

Odpovědět na příspěvek

RE: inspirace?

Autor: Petr Mara Muž

Založeno: 26.04.2004, 08:30

Clanku a diskuzi o certifikatech a Mailu je na internetu vice, samozrejme jsem je studoval, ale postup jsem psal podle sebe, nejedna se o preklad.

Odpovědět na příspěvek

RE: RE: inspirace?

Autor: nemo Muž

Založeno: 26.04.2004, 08:49

Pak je to v poradku.


Zajimal by mne, jak moc lide pouzivaji S/MIME.
Prijde mi, ze u nas je vice rozsirene PGP/GPG.

Odpovědět na příspěvek

RE: RE: RE: inspirace?

Autor: Petr Mara Muž

Založeno: 26.04.2004, 08:58

Priznam se, ze odpoved na tuto otazku by me take zajimala :-). S PGP jsem si nejaky cas hral, ale pouziti S/MIME mi prijde mnohem jednodussi - hlavne pro radoveho uzivatele.

Odpovědět na příspěvek

RE: RE: RE: RE: inspirace?

Autor: Milan Muž

Založeno: 26.04.2004, 10:01

Presne tak - S/MIME funguje bez instalace dodatecneho softwaru a to jak na Macu, tak na Windows. Pomerne rozsireny Outlook a Outlook Express to pouzivaji.

Odpovědět na příspěvek

RE: inspirace?

Autor: Snílek Muž

Založeno: 28.04.2004, 08:49

Prosim vás nekritizujte to nebo vám příspěvek vymažou a ještě vás nějakej imbecilní kumpán napadne.

Odpovědět na příspěvek

RE: RE: inspirace?

Autor: Petr Mara Muž

Založeno: 28.04.2004, 09:38

nezlobte se na me, ale tohle snad nemusite.... Kritika neni problem, naopak, pokud se nejedna o vykriky "ukradli jste mi design", ale je konstruktivni, rad se o ni pobavim - rad bych aby mujmac fungoval ke spokojenosti ctenaru. Vas prispevek nebyl smazan umyslne ale doslo k vypadku serveru (prispevku bylo smazano vice, vcetne clanku, ktere jsme museli znova vlozit do RS - vydavatel o tomto problemu informoval), takze rozhodne se nejednalo o zadnou cenzuru (nasledne jsem tam kopii vaseho prispevku vlozil, takze mi tento utok prijde zbytecny) ... a napadat mujmac, ze vam ukradl design ... to uz snad, pane snilek, radsi nebudu komentovat.

Odpovědět na příspěvek

RE: RE: RE: inspirace?

Autor: Adam Nohejl Muž

Založeno: 28.04.2004, 11:28

Tak to by me zajimalo - komu mujmac ukradl design;)? Mozna je to jen muj osobni pocit, ale takovy "design" se snad ani nevyplati krast. Rad bych videl ty (udajne) originalni stranky! A co se tyce mazani prispevku, obcas by to skoro byla potreba;).

Odpovědět na příspěvek

RE: RE: RE: inspirace?

Autor: m23cz Muž

Založeno: 02.05.2005, 16:20

on s tim ma sve zkusenosti, sam totiz ukrad "dyzajn" z w95 :D ,
ze je to tak pane snilek?

Odpovědět na příspěvek

platnost 1 rok?

Autor: higge Muž

Založeno: 26.04.2004, 10:17
Odpovědí: 0

Platnost certifikatu muze byt obecne treba 100 let. Zalezi jen na certifikacni autorite, ktera ho vydava.

Odpovědět na příspěvek

pouzijte PGP

Autor: luda Muž

Založeno: 26.04.2004, 10:47
Odpovědí: 0

Pouzijte radsi PGP, ktery je v zakladni verzi zadarmo!! A ma az 4K klic, kterej je taky free!

Odpovědět na příspěvek

RE: pouzijte PGP

Autor: Don Martinello Muž

Založeno: 26.04.2004, 12:14

Presne tak... PGP pouzivam uz nejaky cas a funguje to vyborne :).

Odpovědět na příspěvek

RE: pouzijte PGP

Autor: Milan Muž

Založeno: 26.04.2004, 14:31

Jestli mate na mysli PGP 8.0.3 Freeware, tak je free jen pro domaci nevydelecne pouziti... coz je celkem neprijemne omezeni - pokud nam tedy jde o dodrzeni licencnich podminek.

Odpovědět na příspěvek

RE: pouzijte PGP

Autor: nemo Muž

Založeno: 26.04.2004, 16:36

PGP Freeware product capabilities/limitations:


[...]
Does not include automatic encryption of email file attachments
Does not provide plug-in integration with Outlook, Outlook Express, or other email applications on any platform

Neni to tedy ekvivalentni.
Je ale mozne nainstalovat GPG a k tomu GPGMail.

PGP Personal Desktop, ktery dovoli jednoduse podepisovat maily a sifrovat prilohy je za $50.

Odpovědět na příspěvek

RE: pouzijte PGP ... x.509

Autor: Tomas Muž

Založeno: 27.04.2004, 11:08

chm, kdyz presvedcis i tu druhou stranu, proc ne...

ale x.509 se mi zda epsi

Odpovědět na příspěvek

neda sa to jednoduchsie?

Autor: veve Muž

Založeno: 26.04.2004, 19:41
Odpovědí: 0

vynikajuci clanok, aj sudiac podla diskusie by ma zaujimalo jeho pokracovanie, t.j. ci existuju aj jednoduchsie sposoby posielania ochranenych emailov, napriklad, nie je v tomto vhodnejsi, prepytujem, nejaky MS produkt, ako napr Entourage?

Odpovědět na příspěvek

RE: neda sa to jednoduchsie?

Autor: Petr Mara Muž

Založeno: 27.04.2004, 15:49

No, ziskani certifikatu se bude lisit podle certifikacni autority (tento postup je pouze u thawte.com), ale implementace elek. klice do Mail.app mi prijde jako nejjednodussi reseni (ve spojeni s keychain), ale mozna by se mel vyjadrit nekdo se zkusenosti certifikat + Entourage.

Odpovědět na příspěvek

I pro 10.2.X?

Autor: Anastasius Muž

Založeno: 27.04.2004, 00:05
Odpovědí: 0

Rozumím tomu správně, že vše uvedené v (zajímavém) článku se týká jen a pouze OS X 10.3 a výše?

Odpovědět na příspěvek

RE: I pro 10.2.X?

Autor: Petr Mara Muž

Založeno: 27.04.2004, 15:46

Získání certifkátu je obecné (záleží na prohlížeči), použití přímo v Mail.app se týká pouze verze 1.3.3 a vyšší (podporujicí S/MIME)-> tudíž jen panther

Odpovědět na příspěvek

UF

Autor: MacApple Muž

Založeno: 03.05.2004, 15:17
Odpovědí: 0

Tak to mam. Jsem uplne jiny clovek. Od soboty v EU a ted se jeste umim podepsat.

Odpovědět na příspěvek

chybny link

Autor: Foxino Muž

Založeno: 29.05.2004, 12:42
Odpovědí: 0

Ucet v Thawte bod 1: kliknutim na www.thawte.com/email sa nic nestalo :o( pravdepodobne uz ten link zrusili... ako teda dalej :o) ?!? Foxino | www.foxino.sk

Odpovědět na příspěvek

RE: chybny link

Autor: Petr Mara Muž

Založeno: 29.05.2004, 13:19

ta adresa funguje - http://www.thawte.com/ema
il/

Odpovědět na příspěvek

 

 

Vložit nový příspěvek

Jméno:

Pohlaví:

,

E-mail:

Předmět:

Příspěvek:

 

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

Nejčtenější články
Nejlépe hodnocené články
Apple kurzy

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: