Neblahá zkušenost
Znáte ten pocit, kdy mailem přijde faktura a šéf zrovna není k dosažení? A to nic není proti tomu, když Vám sám šéf v pátek pozdě odpoledne píše, že přiložená faktura musí být uhrazená ještě ten večer. Pak člověk snadno znervózní a nakonec zaplatí bez konzultace (Přece nebudu vypadat jako neschopný samostatného rozhodování!). Tak se snadno může stát, že zaplatíte něco, co firma vůbec neobjednala, anebo zaplatíte úplně někomu jinému. Ano, správě, už je to asi jasné – stali jste se obětí podvrženého mailu, „fake“ faktury nebo hezky česky podvržené faktury.
V podobných případech je pochopitelné být obezřetný. Jenže ne každý kontroluje adresu odesílatele – vždyť tam bylo „Jan Novák“ a to jste, pane vedoucí, Vy. To že celá adresa byla
"Jan Novák" <jan.novak@naprvnipohledpodezreladomena.xyz> už chudák pochopitelně nezaznamenal. Vždyť jsem účetní a ne nějaký ajťák!
Chráníme se
Aby k podobným případům nedocházelo, existuje velmi užitečná věc – elektronický podpis. Ten jednak potvrzuje identitu odesílatele, dále pak ověřuje změny obsahu emailu. Nebudeme se zabývat složitými principy fungování a nastavení. Na příkladech faktury doručené různými způsoby na adresu našeho Jana Žižkovského si ukážeme, jak poznat ten správný mail.
Důležité emaily posílané naší společností jsou elektronicky podepsané. Nejrozšířenější poštovní programy zobrazí u zprávy symbol indikující podpis.
Outlook
Thunderbird
iPhone
Apple mail
Pomocí ikonek můžete snadno poznat, zda je vše v pořádku:
… nebo zda máte zpozornět:
Důvěřuj, ale prověřuj
To, že nemá email u naší adresy tu správnou ikonku a místo „fajfky“ vidíte otazník nebo vykřičník ještě neznamená, že je zpráva podvržená. Váš poštovní klient (nebo operační systém) prostě ještě nemusí náš certifikát „znát“. Nyní si ukážeme, jak se podívat, zda je certifikát skutečně vystavený pro naší emailovou adresu. Ale přece jenom bude třeba trocha teorie z pohledu emailu.
Certifikát a certifikační autorita Certifikát si můžeme představit jako průkaz, kterým ověřujeme svoji totožnost. Aby byl průkaz důvěryhodný, musí ho vystavit důvěryhodný úřad. Jistě vidíte podobnost s „občankou“. Jediné co potřebujeme je žádost, rodný list, doklad o státním občanství a dvě fotky. Obecní (nebo jiný) úřad je dostatečně důvěryhodné místo pro podání a vyřízení.
S certifikátem je to podobné. Místo na úřadě podáváme žádost důvěryhodné certifikační autoritě (CA). Ta nezávislou cestou ověří předkládané údaje (veřejný šifrovací klíč + identifikační údaje) a digitálně podepíše vlastním soukromým klíčem. Tím potvrdí, že údaje jsou v pořádku a lze jim důvěřovat.
Pokud má poštovní klient příjemce mailu uložený tzv. kořenový certifikát CA použité pro vystavení certifikátu odesílatele, je jeho identita brána jako důvěryhodná. Proto CA distribuují své kořenové certifikáty v rámci operačních systémů (Windows…) nebo aplikací (Firefox, Thunderbird…). CA je však mnoho a tak není možné mít v úložišti na počítače vše. Ani pak není nic ztraceno – vždy se může certifikát CA do úložiště počítače (aplikace) naimportovat (Thunderbird) nebo po prověření nastavit jako důvěryhodný (Outlook)
Nastavení důvěryhodnosti certifikátu v Outlooku
V otevřeném mailu klikněte na tlačítko podpisu.
Outlook prozatím podpisu nedůvěřuje, protože nemá certifikační autoritu Actalis nastavenou jako důvěryhodnou.
Před tím, než nastavíte certifikát jako důvěryhodný, je vhodné nejprve jej
prověřit.
Předpokládejme, že jsme to již udělali (pokud ne, můžete použít link z předchozí věty).
Klikněte na tlačítko Podrobnosti a zobrazte vlastnosti zprávy.
Pokračujte tlačítkem Upravit důvěryhodnost.
Protože jsme již certifikát prověřili, ponechejte vybranou volbu Převzít (dědit) důvěryhodnost od vystavovatele a uzavřete okno tlačítkem OK.
Otevřete znovu podepsanou zprávu a prověřte, zda nyní je již podpis v pořádku.
Už umíme nastavit certifikát jako důvěryhodný. I přes to je užitečné umět ověřit, zda certifikát skutečně ten, jaký má být.
V Outlooku opět zobrazte podpis emailu kliknutím na příslušné tlačítko a volbou Podrobnosti (viz. obrázek výše).
Zobrazte podrobnosti podpisu.
- zde jsou rovněž užitečné informace o času podepsání a adrese podpisu
Nás ale bude zajímat Zobrazení certifikátu. Na kartě Obecné prověříme Vystavitele a platnost.
Jste-li dostatečně paranoidní, měli byste ještě nezávislou cestou porovnat kryptografický otisk certifikátu (fingerprint). Ten najdete na kartě Podrobnosti.
- rovněž zde můžete certifikát vyexportovat pro jeho případnou instalaci do Windows nebo nalézt další užitečné informace
Porovnejte otisk s otiskem zveřejněným na našich stránkách.
Import certifikátu do Thunderbirdu
Thunderbird nepoužívá úložiště Windows, bude proto potřeba certifikát naimportovat.
V otevřeném mailu klikněte na ikonku zabezpečení zprávy (1.) a poté na tlačítko Zobrazit certifikát pro podpis (2.).
Thunderbird prozatím podpisu nedůvěřuje, protože nezná certifikační autoritu Actalis.
Před uložením certifikátu je vhodné nejprve jej
prověřit.
Předpokládejme, že jsme to již udělali (pokud ne, můžete použít link z předchozí věty).
Uložte certifikát na disk - sekce Informace o autoritě – soubor má název cacertificate_actalis_autclientg3.cer
Naimportujte do Thunderbirdu mezi autority
1. menu Možnosti > Soukromí a zabezpečení – tlačítko Spravovat certifikáty...
2. v okně Správce certifikátů přejděte na záložku Autority > Importovat
3. použijte soubor cacertificate_actalis_autclientg3.cer uložený na disk v bodu 2
4. při importu nastavte důvěryhodnost
- přinejmenším uznejte autoritu pro identifikaci uživatelů pošty
Otevřete znovu podepsanou zprávu a prověřte, zda nyní je již podpis v pořádku
- pomocí tlačítka Zobrazit certifikát pro podpis můžeme zobrazit certifikát
Certifikační autoritu rovněž můžeme přidat i do sytému (úložiště Windows)
Spusťte soubor cacertificate_actalis_autclientg3.cer, který jste v předchozích krocích uložili na disk . Otevřete tím certifikát CA.
Nainstalujte do systému kliknutím na tlačítko Nainstalovat certifikát > Aktuální uživatel > Automaticky vybrat úložiště > Dokončit.
Prověření certifikátu v Thunderbirdu Už umíme naimportovat certifikát nové certifikační autority. Tím, že jí důvěřujeme, důvěřujeme rovněž i certifikátům jí vystaveným. Říká se tomu přenos důvěry.
I přes to je užitečné umět ověřit, že certifikát je skutečně ten, jaký má být.
V Thunderbirdu zobrazíme certifikát podepsaného mailu kliknutím na tlačítko Zobrazit certifikát pro podpis
Prověříme subjekt, vydavatele, platnost a emailovou adresu, pro kterou je certifikát vystaven – INTERNET.CZ. | Actalis S.p.A. | platnost | is@forpsi.com
Pokud souhlasí, je vše v pořádku
Jste-li dostatečně paranoidní, měli byste ještě nezávislou cestou porovnat otisk certifikátu (fingerprint).
Porovnejte otisk s otiskem zveřejněným na našich stránkách.