V práci jsem potřeboval vyřešit použití elektronického podpisu u jednoho zákazníka. Bylo to zatím jen v rovině teorie. Zákazník zjišťoval, co vlastně potřebuje, jaké jsou právní požadavky na elektronický podpis, když bude komunikovat se státní institucí. Ale čert a zákazník nikdy nespí, tak jsem se na to radši podíval. A protože jsem narazil na drobné překážky, tak si říkám, že se podělím. V principu je to velmi jednoduché, když víte, co děláte.

Pro začátek trochu teorie. Nebojte, zjednoduším to, abych nikoho nenudil. Elektronický podpis slouží k tomu, aby potvrdil totožnost osoby, která e-mail odeslala a aby potvrdil, že s obsahem nebylo manipulováno. K tomu se používá metod tzv. asymetrické kryptografie. Někdo si možná řekne, co je to asymetrická kryptografie a jestli existuje symetrická kryptografie. Ano existuje. Symetrická kryptografie používá jeden klíč, pomocí kterého lze data zašifrovat i dešifrovat. Za takovou symetrickou šifru bychom mohli prohlásit morzeovku. Asymetrická kryptografie používá dva klíče. Jeden k šifrování a druhý k dešifrování.

Mluvíme sice o šifrování, ale ve skutečnosti šifrovat maily nebudeme. Ono je totiž podpisování a šifrování odlišné. Řekli jsme si, že potřebujeme dva klíče. Soukromý (neboli privátní) a veřejný. Podepisuje se soukromým klíčem a veřejný použije příjemce (resp. jeho software) ke kontrole podpisu. Proč s tím klíčem nelze i šifrovat? Lze, ale nemůžete šifrovat a odesílat vy, ale může šifrovat a posílat pomocí vašeho klíče někdo vám. Pokud by fungovalo šifrování privátním klíčem a dešifrování veřejným, tak by to nemělo smysl, protože veřejný klíč je dostupný každému a každý by pak mohl data dešifrovat. Takže se šifruje veřejným klíčem a jen ten, kdo má privátní klíč, ten může data dešifrovat. Takže pokud někomu chcete šifrovat data, pootřebujete jeho veřejný klíč. Ale to nás dnes nezajímá.

Takže jdeme na to. Potřebujeme klíče. Kde je vzít? Od certifikační autority. A nejlépe od tzv. důvěryhodné autority. Důvěryhodná autorita je terminus technikus. Jelikož se pohybujeme v systémech od MS, tak to bude certifikační autorita, jejíž klíč je uložen ve Windows. Váše klíče totiž budou podepsány touto autoritou. Pokud by to bylo podepsáno autoritou, která v systému příjemce není vedena jako důvěryhodná, tak bude nedůvěryhodný i Váš podpis. Doufám, že to není napsáno moc komplikovaně. Příklad: Nově vystudovaný právník se hlásí do zaměstnání. Své studijní výsledky má "podepsány" vysokoškolským diplomem. Ale důvěryhodnost tohoto diplomu je dána razítkem školy (certifikační autority), kterou absolvoval. Asi pro všechny zaměstnavatele (systémy) v ČR bude důvěryhodné razítko z Karlovy Univerzity. Ale už ne pro každého bude důvěryhodné razítko z Plzně. A stejně tak je to u certifikačních autorit. Například takový Starcom je důvěryhodná certifikační autorita na většině systémů Windows, ale nikoliv v těch na mobilních telefonech.

Konec řečí, jdem do praxe. Použijeme certifikační autoritu Comodo, která nabízí zdarma eletronický podpis pro nekomerční použití. Takže pokud jste právě plánovali, že se v práci pochlubíte elektronickým podpisem, tak to není nejlepší nápad. Pro komerční použití je to za 12 USD. Takže otevřete Váš oblíbený prohlížeč a zobrazte si stránku: http://www.comodo.com/home/email-security/free-email-certificate.php. Postup se trochu liší v IE a Firefoxu. Já budu popisovat Firefox, protože tam byl nepatrný zádrhel, který podle mě ale stojí za zmínku. Po kliknutí na tlačítko Free download se otevře malý formulář, který vyplníte.


Vyplníte revocation password, což je heslo pro případ, že byste chtěli klíče zneplatnit. Pak si přečtěte smlouvu a pokud souhlasíte, tak stiskněte tlačítko Agree and Continue. Dojde k vygenerování klíčů.

Teď si skočte pro kafe, colu, vodu, víno, pivo nebo na záchod. Bude chvíli trvat, než Vám přijde na adresu uvedenou ve formuláři mail. Tam bude adresa pro dokončení operace. Tu adresu musíte otevřít ve stejném prohlížeči, ve kterém jste vyplňovali ten formulář. Takže pokud už e-mail dorazil, tak klikneme na tlačítko Click & Install Comodo E-mail certificate.


Firefox nám řekne, že byl certifikát nainstalován, ale máme si ho zazálohovat. Když teď otevřeme Outlook a budeme chtít podepsat e-mail, tak zjistíme, ..... že jsme v troubě. On má totiž Firefox vlastní úložiště klíčů. ;-) Takže ve Firefoxu šup do menu, Nástroje -> Možnosti. Rozšířené a záložku Šifrování


Klikneme na tlačítko Certifikáty
Tam klikneme na záložku Osobní a uvidíme náš certifikát


Klikneme na náš klíč a vybereme tlačítko Zálohovat. Soubor nazveme třeba comodo a uložíme někam na disk, ale tak, abychom si pamatovali, kam. Protože Firefox zavřeme a jdem na ten soubor. Soubor otevřeme. Tím se spustí průvodce importem certifikátu. Dojdeme na tuto obrazovku:


Privátní klíč nesmíme dát z ruky. A teď máme dvě možnosti, jak to udělat, aby se nám k němu někdo nedostal. Buď teď necháme prázdné políčko Označit privátní klíč jako exportovatelný a po importu náš soubor uložíme na nějaké medium a dobře uložíme. A nebo privátní klíč označíme jako exportovatelný, napíšeme heslo, které bude nutné, kdykoliv někdo bude chtít privátní klíč exportovat a po importu náš soubor smažeme z disku. A taky z Firefoxu, protože tam je nám na nic. Až se rozhodnete, tak dokončete import.

V tuto chvíli můžeme začít podepisovat, ale ještě si to ulehčíme. V tom mailu od Comodo je totiž další nabídka free prográmků. Nabízejí tam "Install and forget solution for securing your e-mails. Doporučuji stáhnout. Odkaz Vám nabídne ke stažení Comodo Secure e-mail. Funguje to s různými klienty, ale nás zajímá, že to má plugin pro Outlook, který ulehčí správu. Pozor pokud jste někdo nuceni používat antivir F-secure, tak jsem se setkal s tím, že se bránil stažení toho souboru a tvrdil, že stránka není bezpečná. Po instalaci můžete spustit Secure Email Configuration a nastavit, jak chcete, aby fungoval. Já mám nastaveno, že má podepisovat všechny maily a nešifrovat. Ale z tohoto mailu nejsem přihlášený do žádné diskusní skupiny. Ono není moc vhodné podepisovat maily do diskusních skupin. Je možné, že někdo bude listovat archivem v době, kdy už Váš podpis nebude platný. Takže v tom nastavení můžete určit, že na některé adresy se mail podpisovat nemá a na všechny ostatní ano.

Jinak nastavení se dá samozřejmě změnit i při vytváření nového mailu. Do Outlooku se přidaly tlačítka:


Tak pište pište, uvidíte, jestli to funguje. Pokud ano, tak příjemci s Outlookem budou mít u Vašeho e-mailu tuto ikonku:


A pokud e-mail otevřou a kliknou na ikonku podpisu, tak by měli vidět něco podobného:


Veselé podepisování. :-)