Ověření elektronického podpisu u faktury

Neblahá zkušenost
Znáte ten pocit, kdy mailem přijde faktura a šéf zrovna není k dosažení? A to nic není proti tomu, když Vám sám šéf v pátek pozdě odpoledne píše, že přiložená faktura musí být uhrazená ještě ten večer. Pak člověk snadno znervózní a nakonec zaplatí bez konzultace (Přece nebudu vypadat jako neschopný samostatného rozhodování!). Tak se snadno může stát, že zaplatíte něco, co firma vůbec neobjednala, anebo zaplatíte úplně někomu jinému. Ano, správě, už je to asi jasné – stali jste se obětí podvrženého mailu, „fake“ faktury nebo hezky česky podvržené faktury.

V podobných případech je pochopitelné být obezřetný. Jenže ne každý kontroluje adresu odesílatele – vždyť tam bylo „Jan Novák“ a to jste, pane vedoucí, Vy. To že celá adresa byla
"Jan Novák" <jan.novak@naprvnipohledpodezreladomena.xyz> už chudák pochopitelně nezaznamenal. Vždyť jsem účetní a ne nějaký ajťák!

 
Chráníme se
Aby k podobným případům nedocházelo, existuje velmi užitečná věc – elektronický podpis. Ten jednak potvrzuje identitu odesílatele, dále pak ověřuje změny obsahu emailu. Nebudeme se zabývat složitými principy fungování a nastavení. Na příkladech faktury doručené různými způsoby na adresu našeho Jana Žižkovského si ukážeme, jak poznat ten správný mail.
Důležité emaily posílané naší společností jsou elektronicky podepsané. Nejrozšířenější poštovní programy zobrazí u zprávy symbol indikující podpis.

Outlook

Thunderbird

iPhone

Apple mail 

Pomocí ikonek můžete snadno poznat, zda je vše v pořádku:
… nebo zda máte zpozornět:
 

Důvěřuj, ale prověřuj
To, že nemá email u naší adresy tu správnou ikonku a místo „fajfky“ vidíte otazník nebo vykřičník ještě neznamená, že je zpráva podvržená. Váš poštovní klient (nebo operační systém) prostě ještě nemusí náš certifikát „znát“. Nyní si ukážeme, jak se podívat, zda je certifikát skutečně vystavený pro naší emailovou adresu. Ale přece jenom bude třeba trocha teorie z pohledu emailu.
 
Certifikát a certifikační autorita
Certifikát si můžeme představit jako průkaz, kterým ověřujeme svoji totožnost. Aby byl průkaz důvěryhodný, musí ho vystavit důvěryhodný úřad. Jistě vidíte podobnost s „občankou“. Jediné co potřebujeme je žádost, rodný list, doklad o státním občanství a dvě fotky. Obecní (nebo jiný) úřad je dostatečně důvěryhodné místo pro podání a vyřízení.
S certifikátem je to podobné. Místo na úřadě podáváme žádost důvěryhodné certifikační autoritě (CA). Ta nezávislou cestou ověří předkládané údaje (veřejný šifrovací klíč + identifikační údaje) a digitálně podepíše vlastním soukromým klíčem.  Tím potvrdí, že údaje jsou v pořádku a lze jim důvěřovat.
Pokud má poštovní klient příjemce mailu uložený tzv. kořenový certifikát CA použité pro vystavení certifikátu odesílatele, je jeho identita brána jako důvěryhodná. Proto CA distribuují své kořenové certifikáty v rámci operačních systémů (Windows…) nebo aplikací (Firefox, Thunderbird…). CA je však mnoho a tak není možné mít v úložišti na počítače vše. Ani pak není nic ztraceno – vždy se může certifikát CA do úložiště počítače (aplikace) naimportovat.
 

Importujeme certifikát 
Na příkladu mailu doručeného do poštovního programu Thunderbird si ukážeme, čemu by bylo vhodné věnovat pozornost. Thunderbird nepoužívá úložiště Windows, bude potřeba naimportovat certifikát

V otevřeném mailu klikněte na ikonku zabezpečení zprávy (1.) a poté na tlačítko Zobrazit certifikát pro podpis (2.).

Thunderbird prozatím podpisu nedůvěřuje, protože nezná certifikační autoritu Actalis. 

Před uložením certifikátu je vhodné nejprve jej prověřit. Předpokládejme, že jsme to již udělali.

Uložte certifikát na disk - sekce Informace o autoritě – soubor má název cacertificate_actalis_autclientg3.cer
 
Naimportujte do Thunderbirdu mezi autority
1. menu Možnosti > Soukromí a zabezpečení – tlačítko Manage certificates

2. v okně Správce certifikátů přejděte na záložku Autoritu > Importovat

3. použijte soubor cacertificate_actalis_autclientg3.cer uložený na disk v bodu 2

4.  při importu nastavte důvěryhodnost
  
- přinejmenším uznejte autoritu pro identifikaci uživatelů pošty

Otevřete znovu podepsanou zprávu a prověřte, zda nyní je již podpis v pořádku
 
- pomocí tlačítka Zobrazit certifikát pro podpis můžeme zobrazit certifikát
 

Certifikační autoritu rovněž můžeme přidat i do sytému (úložiště Windows)
Spusťte soubor cacertificate_actalis_autclientg3.cer, který jste v předchozích krocích uložili na disk . Otevřete tím certifikát CA.

Nainstalujte do systému kliknutím na tlačítko Nainstalovat certifikát > Aktuální uživatel > Automaticky vybrat úložiště > Dokončit.

 
Prověřujeme certifikát 
Už umíme naimportovat certifikát nové certifikační autority. Tím, že jí důvěřujeme, důvěřujeme rovněž i certifikátům jí vystaveným. Říká se tomu přenos důvěry. 
I přes to je užitečné umět ověřit, že certifikát je skutečně ten, jaký má být.
 
V Thunderbirdu zobrazíme certifikát podepsaného mailu kliknutím na tlačítko Zobrazit certifikát pro podpis

Prověříme subjekt, vydavatele, platnost a emailovou adresu, pro kterou je certifikát vystaven – INTERNET.CZ. | Actalis S.p.A. | platnost | is@forpsi.com

Pokud souhlasí, je vše v pořádku

Jsme-li dostatečně paranoidní, měli byste ještě nezávislou cestou porovnat otisk certifikátu (fingerprint).

Porovnejte otisk s otiskem zveřejněným na našich stránkách.