Podpis cyfrowy




Podpis cyfrowy

Wprawdzie dobrze skonfigurowane i administrowane serwery pocztowe potrafią eliminować lub przynajmniej rozpoznawać większość przypadków prób podszywania się pod innego nadawcę, to najskuteczniejszą metodą sprawdzenia oryginalności e-maila jest użycie tzw. podpisu cyfrowego. 


Podpis cyfrowy to nie jest to samo co podpis słowny, jaki umieszczamy pod treścią listu, zawierający formułę pożegnalną oraz imię i nazwisko. Od strony technicznej podpis cyfrowy jest dodanym do podpisywanego dokumentu zestawem bitów (czyli cyfr dwójkowych – zer oraz jedynek). Jest czymś w rodzaju pieczęci potwierdzającej tożsamość osoby podpisującej. Poza możliwością weryfikacji tożsamości osoby podpisującej podpis cyfrowy daje możliwość sprawdzenia integralności dokumentu – czyli sprawdzenia, czy po podpisaniu nikt nie wprowadził do dokumentu żadnych zmian. 


Podpisywanym dokumentem może być e-mail, ale nie tylko. Można podpisać cyfrowo w zasadzie dowolny plik. 


Utworzenie podpisu cyfrowego wymaga zastosowania złożonych algorytmów kryptograficznych a osoba podpisująca powinna mieć specjalny identyfikator cyfrowy (certyfikat cyfrowy), wystawiony przez uprawnioną do tego organizację lub firmę – wydawcę certyfikatów (ang. CA – Certification Authority).


Od strony technicznej wydanie certyfikatu wiąże się zawsze z wygenerowaniem dwóch specjalnych zestawów bitów. Jeden z nich nazywa się kluczem prywatnym (jest on m.in. używany do utworzenia podpisu cyfrowego), drugi nazywa się kluczem publicznym (jest używany m.in. do sprawdzenia prawdziwości podpisu). Klucz prywatny jest tajny (nie wolno go nikomu udostępniać) i jest przechowywany w bezpiecznym miejscu w komputerze właściciela kluczy, natomiast klucz publiczny może być udostępniony wszystkim – każdej osobie (programowi), która chce sprawdzić poprawność podpisu. 


Certyfikat zawiera właśnie klucz publiczny oraz dane osoby (organizacji, firmy), dla której został wystawiony. Certyfikat (i zawarty w nim klucz publiczny) jest w specjalny sposób bardzo mocno zabezpieczony z użyciem zaawansowanych metod matematycznych przez firmę wystawiającą certyfikat (tak naprawdę jest też w szczególny sposób podpisany cyfrowo).


Certyfikaty cyfrowe (a właściwie związane z nimi pary kluczy) mogą być wydawane do różnych celów, nie tylko do podpisywania cyfrowego dokumentów. Mogą być wykorzystywane również do szyfrowania dokumentów (i listów elektronicznych), albo do sprawdzenia autentyczności serwera WWW (strony WWW). Cel stosowania certyfikatu jest ograniczony, tzn. certyfikat wystawiony w celu podpisywania (i ewentualnie szyfrowania e-maili) nie może być użyty do sprawdzenia autentyczności strony WWW i na odwrót. Certyfikaty są wystawiane na pewien czas. W przypadku certyfikatów wystawianych do użycia w poczcie elektronicznej jest to zwykle rok, dwa lub trzy lata.


Większość programów pocztowych daje możliwość podpisania wysyłanego e-maila i sprawdzenia autentyczności e-maila otrzymanego. Warunkiem niezbędnym jest jednak posiadanie odpowiedniego certyfikatu. 


Przez wiele lat można było uzyskać certyfikat cyfrowy do podpisywania prywatnych e-maili za darmo. Obecnie praktycznie wszystkie firmy wystawiające certyfikaty pobierają opłatę. Są jeszcze nieliczne CA wystawiające certyfikaty darmowe, ale uzyskanie takich certyfikatów może być potem uciążliwe dla użytkownika, ponieważ wymaga na przykład zgody na wysyłanie różnych ofert handlowych na swój adres e-mail. Ponadto nie są to firmy kierujące ofertę do klientów w Polsce (jedna z takich firm działa np. na rynku włoskim – stan na wrzesień 2020 r).


Jedną z najbardziej popularnych firm sprzedających certyfikaty do podpisywania listów elektronicznych w Polsce jest Certum: https://www.certum.pl/pl/cert_oferta_certyfikaty_niekwalifikowane_ID/ (Certum określa je jako  certyfikaty e-mail ID).


Procedura zakupu certyfikatu jest zawsze opisana na stronie firmy sprzedającej certyfikaty. Technicznie procedura kończy się zainstalowaniem na komputerze użytkownika pary kluczy – klucza publicznego (zapisanego w certyfikacie) oraz klucza prywatnego.


Przed użyciem pary kluczy w programie pocztowym, należy te klucze odpowiednio zainstalować (po uzyskaniu certyfikatu od CA).


Użycie klucza prywatnego jest często zabezpieczone przez hasło. 


Poniższe zrzuty ekranu prezentują procedurę uzyskania certyfikatu (w tym przypadku darmowego, uzyskanego od włoskiego wydawcy), instalacji certyfikatu i potem użycia do podpisania e-maila w programie Microsot Outlook. 


Instalacja certyfikatu poprzez program Microsoft Outlook wymaga otwarcia w programie Opcji i następnie wybrania pozycji „Centrum zaufania”:


Zabezpieczanie dokumentów oraz bezpieczne korzystanie z komputera

a następnie „Zabezpieczenia poczty e-mail” i „Ustawienia”:


Zabezpieczenia poczty e-mail

Potem klikamy w „Wybierz” obok „Certyfikat podpisujący”.


Certyfikat podpisujący

Należy wybrać odpowiedni plik z certyfikatem otrzymanym z centrum wydawania certyfikatów (CA):


Wybierz certyfikat

Można również wybrać certyfikat, który będzie wykorzystywany do szyfrowania e-maila. Może to być ten sam certyfikat, który jest wykorzystywany do podpisu cyfrowego (o ile jest wydany do tych obydwu celów):


Zmienianie ustawień zabezpieczeń

Po zainstalowaniu certyfikatu można go wykorzystać zarówno do podpisania cyfrowego e-maila jak i do zaszyfrowania e-maila. W programie Microsoft Outlook w celu podpisania e-maila należy użyć w menu Opcje przycisku Podpisz.  


Menu "Podpisz"

List podpisany cyfrowo jest odpowiednio oznaczany w programie pocztowym (poniżej zamieszczono zrzut ekranu z programu Apple Mail):


Test podpisu

Szyfrowanie treści listu elektronicznego

Do szyfrowania listów elektronicznych mogą być też wykorzystane pary kluczy – prywatny i publiczny, zatem skorzystanie z takiej funkcjonalności programu pocztowego wymaga uzyskania odpowiedniego certyfikatu od centrum wydawania certyfikatów. Certyfikat powinna posiadać osoba, do której chcemy wysłać zaszyfrowany e-mail. Certyfikat tej osoby musimy zainstalować (zaimportować) na komputerze nadawcy. 


Procedura podpisywania wiadomości w programie e-mail opisana jest tu: https://support.microsoft.com/pl-pl/office/wysyłanie-wiadomości-podpisanej-cyfrowo-lub-zaszyfrowanej-a18ecf7f-a7ac-4edd-b02e-687b05eff547  


Każda osoba, do której chcemy wysłać e-mail zaszyfrowany, musi posiadać certyfikat. Procedura zaimportowania (zainstalowania) certyfikatów odbiorców w programie Microsoft Outlook opisana jest tu: https://support.microsoft.com/pl-pl/office/importowanie-eksportowanie-lub-usuwanie-certyfikatu-kontaktu-a3bd19aa-a5de-4b0f-9e86-c96b5541d685?ui=pl-PL&rs=pl-PL&ad=PL


Poniższy zrzut ekranu ilustruje szyfrowanie treści e-maila w programie Microsoft Outlook.  


Samo szyfrowanie jest bardzo proste, wymaga użycia przycisku Szyfruj w menu Opcje.


Menu "Zaszyfruj"

Poprzednia strona                                                                                  Przejdź dalej