Podepisujeme poštu – S/MIME certifikáty prakticky

6. 5. 2019 | Jindřich Zechmeister

V dnešním článku se podíváme na praktické využití certifikátů pro elektronický podpis (S/MIME). Seznámíte se nejen s jeho funkcí, ale také s jeho získáním a použitím. Je to jednoduché a i vy můžete používat elektronickou poštu důvěryhodněji a bezpečněji.

Definice S/MIME certifikátu

Termín S/MIME označuje standard používaný pro osobní certifikáty sloužící pro elektronický podpis a šifrování e-mailu; používá se v kancelářských programech a je vydáván komerčními certifikačními autoritami. Rozumíme tím tedy certifikát pro podepisování pošty v klientech jako Outlook či Thunderbird.

Co nám přináší elektronický podpis?

Termín elektronický podpis má mnoho významů a definicí; obecně jde o podpis vlastními kryptografickými prostředky, které mají zaručit původ, pravost a neměnnost podepsané zprávy. Zákonné definice však tento termín znají v mnoha variantách a tvoří termíny, které nejen laikovi dají zabrat (problematice kvalifikovaného podpisu, nebo zaručeného na základě kvalifikovaného certifikátu, se budeme věnovat v jiném článku).

Elektronický podpis v pravém smyslu slova je součást podepsané zprávy, kterou se příjemci zprávy prokáže (již jednou zmíněný) původ, autenticita a zejména neměnnost zprávy. Podpis nemá sám o sobě nic společného s šifrováním zprávy nebo ochranou e-mailu proti přečtení někým nepovolaným (tato ochrana bude zmíněna dále). Podepisování zpráv a šifrování zpráv jsou dva zcela odlišné pojmy a úkony. Jak se v praxi podepisuje pošta se dočtete v následujících odstavcích tohoto článku.

Dost bylo podepisování, chci zprávu utajit!

Pokud chcete utajit obsah zprávy, tak proveďte zašifrování zprávy S/MIME certifikátem. Ano, tím stejným, který máte pro elektronický podpis. Abyste mohli někomu zašifrovanou zprávu poslat, tak potřebujete nejprve jeho veřejný klíč; jednoduše řečeno stačí od něj obdržet alespoň jednu podepsanou zprávu a váš poštovní klient se o zbytek postará sám. Veřejný klíč z podpisu druhé osoby si uloží a pomocí něj pak může zašifrovat zprávu této osobě určenou.

Pokud tedy například chcete poslat "tajnou" zprávu kolegovi Pepovi, potřebujete mít alespoň jeden jím podepsaný e-mail. Váš poštovní klient posléze vaši zprávu zašifruje jeho veřejným klíčem a dešifrovat ji může pouze majitel privátního klíče, tedy Pepa.

Získání S/MIME certifikátu

Objednávka

Získání certifikátu pro podpis či šifrování e-mailu je jednoduché. Na webu SSLmarket.cz provedete objednávku S/MIME certifikátu a zaplatíte ji. Při první objednávce pro vás může být matoucí co do objednávky vyplnit.

Doplňující text objednávky vysvětluje, že certifikát můžete získat pro jméno a e-mail fyzické osoby (uvedením jména v prvním kroku), nebo pro firmu a potom bude v certifikátu uveden také jeden firemní kontakt spolu s jeho e-mailem (v takovém případě zadáte v prvním kroku název firmy a nikoliv osoby).

Při objednání je důležité si uvědomit, která e-mailová adresa se bude pro certifikát používat. Tato adresa je v objednávce jako e-mail Osoby pro autorizaci. Pokud máte při objednání nějakou nejasnost, tak nám zavolejte a rádi vám poradíme.

Vystavení certifikátu

Po uhrazení objednávky vám dorazí e-mail od certifikační autority a s jeho pomocí certifikát získáte. Klikněte na zaslaný odkaz a dostanete se na web certifikační autority, kde uvidíte potvrzení.

Po odkliknutí approval mailu vám vystavený certifikát zašleme e-mailem a rovněž si jej budete moci stáhnout v detailu objednávky. S procesem objednání a získání certifikátu vám pomůže článek Jak získat S/MIME certifikát s CSR a začít ho používat.

Podepisování e-mailu v klientovi

V následujících odstavcích najdete postup pro podepisování ve dvou nejznámějších poštovních klientech. Doporučujeme používat podepisování automaticky všude a šifrování e-mailu ručně (před získáním certifikátu příjemce to jinak ani nejde).

Microsoft Outlook

Certifkát je již uložen v úložišti systému Windows a je k dispozici ostatním programům.

Otevřete nastavení programu Outlook (Levý horní roh -> Možnosti) a v Centru zabezpečení otevřete Nastavení. V Zabezpečení e-mailu už konečně najdete nastavení el. podpisu.

Nastavení Outlooku pro elektronický podpis

Nastavení Outlooku pro elektronický podpis. Klikněte pro zvětšení.

Pokud není výchozí certifikát pro podpis vybrán (viz pole Výchozí nastavení), můžete tak učinit kliknutím na Nastavení a manuálním vybráním certifikátu v položce Podpisový certifikát.

Nastavení Outlooku pro elektronický podpis

Nastavení Outlooku pro elektronický podpis. Klikněte pro zvětšení.

Tolik k nastavení Outlooku. Pro podepsání rozepsané zprávy klikněte v hlavním panelu na Možnosti a vyberte Podepsat nebo zašifrovat. Podepsání konkrétních zpráv lze nastavit automaticky, nebo to můžete pro každou zprávu dělat manuálně v okně zprávy před odesláním.

Odeslání podepsané zprávy v Outlooku

Odeslání podepsané zprávy v Outlooku. Klikněte pro zvětšení.

Příjemce vaší zprávy uvidí viditelně příznak podpisu (stuha) nebo šifrování (zámek).

Příznak podpisu nebo šifrování v Outlooku

Zašifrovaná a podepsaná zpráva v Outlooku.

K detailu podpisu a osobního S/MIME certifikátu odesilatele se pak adresát dostane po kliknutí na tyto ikony v pravém horním rohu.

Thunderbird

U programu Thunderbird musí být certifikát uložen přímo v jeho úložišti. Certifikát S/MIME je tedy nutné exportovat do formátu PFX (ten vám poslouží i jako záloha certifikátu s privátním klíčem) a pak ho naimportujete do Thunderbirdu. Více najdete v článku Export a import certifikátů v různých úložištích a následně Import S/MIME certifikátu do klientů a nastavení.

Po úspěšném importu jděte v Thunderbirdu do nastavení účtu a tam vyberte certifikát pro podepisování. Lze předpokládat, že v nabídce bude jediný certifikát - ten právě naimportovaný.

Nastavení certifikátu v Thunderbirdu

Samotné podepisování zpráv je jednoduché - v rozepsané zprávě klikněte na tlačítko S/MIME a vyberte Elektronicky podepsat zprávu. V pravém dolním rohu okna pak uvidíte nový symbol obálky znázorňující elektronický podpis.

Podepsání zprávy v Thunderbirdu

Nyní můžete odeslat zprávu s elektronickým podpisem. Zašifrování zprávy obnáší pouze výběr druhé možnosti v tomto menu. U přijatých elektronicky podepsaných zpráv vidíte výraznou obálku v pravé částí panelu s informacemi o zprávě.

Webový klient (Gmail, Outlook)

Weboví (či moderněji cloudoví) klienti v době psaní článku běžně neumí s S/MIME certifikáty aktivně pracovat. Možnost podepisovat poštu ve webových službách je výsadou pouze placených firemních řešení (viz například nápověda pro podepisování pro Office 365). Zahraniční bezplatné e-mailové služby Gmail.com a Outlook.com však umí alespoň podepsaný e-mail přijmout a posoudit platnost podpisu; certifikát je však podporován pouze pasivně a pro podepisování pošty je stále potřeba namapovat si tyto schránky v poštovním klientovi (Outlook, Thunderbird). Platí, že k jakékoliv takové schránce se dostanete přes protokol IMAP či POP3.

Detail elektronického podpisu v Gmailu

Detail elektronického podpisu v Gmailu.

Zbytek služeb (například Seznam.cz) podpisy nepodporuje; to se projevuje odstraněním podpisu do přílohy s koncovkou P7S, která je často pro příjemce matoucí a neumí s ní pracovat. Absenci podpory však můžete opět vyřešit použitím e-mailového klienta.

Další informace o elektronickém podpisu

Pokud elektronickému podpisu propadnete (pozor, opravdu je to návykové), pak doporučuji pořízení vynikající publikace Jiřího Peterky Báječný svět elektronického podpisu. Můžete ji stáhnout zdarma (nebo číst online) a najdete v ní kompletní přehled problematiky včetně legislativních aspektů. Jinou doporučenou literaturou je Velký průvodce infrastrukturou PKI od kolektivu autorů. První zmíněná publikace však bude více aktuální.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz