Úvodní stránka » Software, Vybíráme

S/MIME – Šifrujeme e-mail snadno a rychle

Vložil na 2.8.2011 – 12.00 2 komentářů

S/MIME (Secure/Multipurpose Internet Mail Extensions) je standard pro šifrování s veřejným klíčem a podepsáním MIME dat. Dnes se podíváme jak využít tento protokol v prostředí Mac OS X

Naše soukromí by mělo být chráněno listovním tajemstvím, jak se traduje od pradávna, nicméně dnešní svět je plný všemožných slídilů a jiných záškodníků, takže kromě spoléhání se na psané právo v slepé víře, že všichni musejí být stejně slušní jako jsem já, je lepší používat i kryptografii.

Ač toto slovo zní jakkoliv záhadně není to dnes již taková věda, šifrování je snadné a dostupné i běžnému uživateli, který nemusí do detailu vědět jak to funguje, ale „jak to rychle a spolehlivě používat“, a to čím jednodušeji, tím lépe.

Samozřejmě jednoduché to je, nicméně pár úkonů k úspěšnému používání uživatel provést musí. Představíme si proto jednoduchou a rychlou cestu jak na to.

Základní pravidlo je, že certifikát někdě nejdříve musíme získat. V případě, že jsme znalí problematiky, si mužeme vytvořit vlastní přes příkazovou řádku za použití OpenSSL viz zde a zde. Tímto ale uživatele netřeba zatěžovat.

My použijeme již ověřenou certifikační autoritu, která je ve většine operačních systémů již přednastavena jako „důvěryhodná“, tedy výrobcem OS prověřená. Těchto certifikačních autorit je hned několik, ne vždy ale CA (certifikační autorita) umožňuje běžnému uživately vystavit certifikát zadarmo. Ceny certifikátů sice nejsou nijak horentní, ale každý dolar/koruna se dá použít i stejně dobře někde jinde. Použijeme tedy CA StartSSL, která je prověřená a, ba co více, umožnuje základní certifikát pro šifrování pošty k vygenerování zdarma. Tedy vše co potřebujeme.

StartSSL (1)Takto vypadá domovská stránka StartSSL webu.

Jak vidno lze použít i českou mutaci stránek. Doporučuji k prohlížení použít Safari, protože následně integruje certifikát přímo do klíčenky Keychain Access. S prohlížeči Firefox, Opera atd. je následně trochu problém, protože certifikát neuloží přímo do zmiňovaného Keychain Access.

Na webu vybereme kliknutím variantu „StartSSL Free (Class 1)“. Tato varianta je zdarma a plně nám bude postačovat. Tímto úkonem budeme přesměrováni dále na stránku, kde nalezneme základní informace

StartSSL (2)Pokračujeme kliknutím na položku „StartSSL Produkty“ v levém menu. Poté se nám zobrazí následující stránka.

StartSSL (3)Zde klikneme na odkaz „..No Kidding 100% FREE“ a pokračujeme na další stránku.

StartSSL (4)Zde po kliknutí na button „Sign-up“ musíme zadat správné autorizační údaje. V případě, že používáte aplikaci 1Password tak registrační údaje za vás může sama předvyplnit tato aplikace.

StartSSL (5)Po vyplnění požadovaných údajů klikněte na „Continue“. Bude následovat zadání potvrzujícího kódu, který byl odeslán na zadaný e-mail v předchozím formuláři. Tento kód naleznete v příchozí poště vašeho mailboxu.

StartSSL (6)Následně, po zadání přijatého kódu, se zobrazí informační zpráva o přijetí správného kódu. A stránky nás přesměrují na úvodní stránku. Na zadaný mailbox nám bude doručen další potvrzující e-mail, který bude obsahovat tentokrát jedinečnou URL a heslo potřebné k zadání. Tento link je následně použitelný i k prvotní administraci vašeho certifikátu.

StartSSL (7)V následujícím kroku budete dotázáni jak „bezpečný“ certifikát budete chtít vygenerovat. Ze zásady platí, že čím větší počet bitů tím lépe. Vybereme tedy 2048 bit.

StartSSL (8)Posledním krokem je instalace samotného certifikátu.

StartSSL (9)Po odkliknutí bude váš certifikát automaticky uložen do složky na disku.

StartSSL (10)Posledním krokem je pak automatické nasměrování na ovládací panel. V něm již není potřeba nic zadávat, ale můžete zde generovat nový certifikát nebo stáhnout již vygenerovaný certifikát na disk.

StartSSL (11)Tool box, jehož prostřednictvím můžete provádět výše uvedené akce, vypadá následovně.

StartSSL (12)Definitivní krokem je instalace staženého certifikátu do klíčenky Keychain Access v případě, že nebyl automaticky nainstalován.

To zjistíme velmi jednoduše. Klikneme na Utilities, následně na aplikaci Keycain Access. Pokud certifikát v klíčence není, stačí na stažený soubor s certifikatem jednoduše dvakrát kliknout a přidá se nám do klíčenky sám. Tím je vše hotovo a můžeme jej začít používat.

Odeslání je následně už velmi jednoduché. Certifikát máme automaticky v klíčence Keychain Access, čímž můžeme již bez problémů certifikát použít k odesílání elektronicky podepsané zprávy, případně již rovnou odeslat zašifrovanou zprávu. Následující obrázek znázorňuje použití certifikátu.

StartSSL (13)Ikonka „zámečku“ má dva stavy – odemknuto značí, že odeslaná pošta nebude šifrována. Tento stav je výchozí v případě, že nemáte v klíčence Keychain Access odpovídající veřejný certifikát příjemce. Bez tohoto certifikátu příjemce není možné ikonku zámečku uzamknout. Tento certifikát je ale velice jednoduché získat – příjemce vám jej zašle jako podepsaný e-mail.

Právě to je v pořadí druhá ikonka pečetě – tato ikona má také dva stavy a zde zobrazený je stav „odškrtnuto“. To značí, že odeslaná pošta je elektronicky podepsána vaším certifikátem. Příjemce má následně díky této volbě možnost odpovědět již šifrovaně.

Jelikož příjemce obdrží váš certifikát – a jak jsem uvedl výše, uloží se tento certifikát do příjemcovy klíčenky – bude moci příjemce odpovědět již šifrovanou zprávou. Zprávu bude možné rozšifrovat pouze vaším privátním certifikátem. Jiný certifikát k dešifrování zprávy nelze použít.

To je zkráceně celé kouzlo šifrované komunikace. Je to velmi zjednodušeně, a doufám, že laicky pochopitelně, vysvětleno. V případě zájmu se můžete těšit také na článek o šifrování pomocí GnuPG a pluginu Enigmail.

Autorem článku je externí spolupracovník redakce, Marek Lang, Senior Unix Specialist & Network Manager prestižního ISP v centru Prahy. Mezi jeho zájmy patří práce s unixovými systémy, produkty značky Apple a fotografování.

2 komentářů »

zanechat komentář

Add your comment below. You can also subscribe to these comments via RSS

Buď slušný. Drž se tématu. Žádný spam.

Můžete použít tyto HTML prvky:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Na tomto webu je povolen Gravatar. Pro získání vlastní Gravatara (globally-recognized-avatar), se registrujte na Gravatar