Domácí úkol
Cílem je ověřit schopnost použít osobní certifikát pro podepisování a šifrování el. pošty a podepisování dokumentů. Volitelně i označení dokumentu časovou značkou (time stamp).
Předpokladem je, že nejdříve získáte osobní certifikát pro svoji školní e-mailovou adresu.
Tři části domácího úkolu
Domácí úkol se skládá z následujících částí:
- Vy mi pošlete podepsaný e-mail na moji školní e-mailovou adresu.
- Pošlu Vám zašifrovanou zprávu, ve které dostanete úkol (viz dále).
- Vy mi pošlete zašifrovanou odpověď - obvykle s odkazem na stažení podepsaného a zašifrovaného souboru a s heslem k souboru.
Příklady úkolu v zašifrované zprávě:
- vytvořit podepsaný soubor PDF a zašifrovaný pomocí sdíleného hesla. PDF soubor bude opatřen i časovou značkou.
Pro splnění si musíte nakonfigurovat poštovního klienta, nahrát do něho svůj certifikát. Pokud použijete jinou než školní e-mailovou adresu (@vse.cz), tak Vám strhnu jeden bod. Neznamená to, že musíte školní poštu číst na některém ze školních poštovních serverů – gmail, seznam a i další umožňují přijímat/odesílat poštu pod jinou identitou. S poštovním klientem se tato variabilita ještě výrazně rozšiřuje.
Získání osobního certifikátu
Osobní certifikát, tj. certifikát pro podepisování a šifrování pošty (standard S/MIME) či pro podepisování dokumentů, lze pro školní e-mailovou adresu získat:
- přes CESNET, základní volba,
- bezplatný od Actalis.com - nelze použít pro přihlášení do VPN,
- bezplatný přes https://acme.castle.cloud - kořenová CA není mezi důvěryhodnými v operačním systému, nelze použít pro přihlášení do VPN,
od 14. května 2025 lze opět získat osobní certifikáty přes CESNET
Postup pro CESNET:
- nejdříve musíte zajít na helpdesk Centra informatiky (SB 22), aby Vám povolili vydání osobního certifikátu (stačí jednou za studium).
Privátní a veřejný klíč se vygeneruje v prohlížeči (tj. CA nemá možnost získat privátní klíč). Po generování je privátní klíč a certifikát v prohlížeči - je potřeba ho exportovat včetně privátního klíče. Informační e-maily s případným certifikátem můžete smazat, jsou k ničemu. Potřebujete privátní klíč a certifikát.
Postup pro Actalis:
- na https://www.actalis.com/s-mime-certificates zvolíte, že chcete bezplatný S/MIME certifikát,
- založíte si účet se školní e-mailovou adresou,
- po založení lze ihned pokračovat v získání certifikátu - opět zadáte školní e-mailovou adresu, přijde Vám další e-mail s potvrzovacím odkazem,
- dorazí e-mail se heslem k privátnímu klíči (po několika minutách),
- po dalších několika minutách (odhadem 10 minut) lze stáhnout privátní klíč a certifikát (soubor .p12) ze stránek actalis.com
Tj. ověření je jen na základě přístupu k e-mailové schránce. CA vygenerovala dvojici privátní a veřejný klíč.
Dříve nešlo vydat nový certifikát v době platnosti již existujícího. Nevím jak nyní.
https://acme.castle.cloud/ používá protokol ACME pro získání certifikátu:
- klient vygeneruje privátní+veřejný klíč, pošle žádost na CA,
- do poštovní schránky dorazí kód,
- ten klient podepíše a odpověď odešlete ze schránky na adresu serveru,
- klient stáhne certifikát platný 90 dnů,
- postup lze automatizovat podobně jako získání certifikátu pro server, klient potřebuje poté přístup k poštovní schránce,
Postup pro https://acme.castle.cloud/
- např. na svůj server si stáhněte aplikaci z https://github.com/polhenarejos/acme_email a nainstalujte dle návodu (tři kroky, obvykle chybí i některé balíčky v debianu),
- vytvořte adresářovou strukturu v domovském adresáři
cert cert/logs cert/tmp cert/conf
- zadejte příkaz
./cli.py -e pavlicek@vse.cz –logs-dir ../cert/logs/ –config-dir ../cert/conf/ –work-dir ../cert/tmp cert
a postupujte dle pokynů, - na konci najdete v adresáři cert/conf/live soubor .pfx s privátním klíčem a certifikátem,
- pro použití potřebujete stáhnout i kořenový certifikát z https://acme.castle.cloud/documentation/chain-of-trust/
Podepisování a šifrování el. pošty
Základní pravidla:
- Podepisujte a šifrujte dle standardu S/MIME, nepoužívejte proprietární šifrování, které nabízí Microsoft. Pro šifrování v Outlooku vyberte pouze Šifrovat pomocí S/MIME, ne volby jako Pouze šifrování či kombinaci voleb.
- Zašifrovaný e-mail musí být i podepsaný pomoc S/MIME, jinak není jisté, kdo e-mail odeslal.
Použití Outlooku - Existuje více aplikací označovaných jako Outlook – Outlook přes webový prohlížeč, nový Outlook pro Windows (a asi i pro MacOS), Outlook classic a Outlook pro mobilní telefony. Ve webovém Outlooku či v novém Outlooku nelze vybrat certifikát, který se použije pro podepisování e-mailů. Nový Outlook někdy zobrazí chybu
Při odesílání této zprávy S/MIME došlo k chybě. Certifikát, kterým se podepsala tato zpráva, není pro vaši organizaci důvěryhodný
a e-mail se nepošle. Řešením je přejít na Outlook classic či jiného klienta, např. Thunderbird.
Zašifrování PDF
PDF soubor lze zašifrovat sdíleným heslem či pomocí veřejných klíčů příjemců. Druhá možnost je neobvyklá, nebudu dále popisovat (lze zašifrovat v aplikaci JSignPDF, vyzkoušejte kde zobrazíte).
Rozlišují se dvě hesla - heslo pro otevření a heslo pro vybrané operace (např. pro úpravu PDF). V domácím úkolu nastavte první.
Bezplatná verze Adobe Acrobat Reader nepodporuje šifrování souboru. Jaké jsou možnosti?
- Použít nějakou on-line službu pro zašifrování PDF, na google/bing/… vyhledejte „PDF online encrypt“. Jednoduché, najdete přibližně 10 různých služeb. Není bezpečné - provozovatel online služby získá nezašifrovanou verzi!!! Pro účely domácího úkolu stačí.
- Windows - nainstalujte např. PDFencrypt (snadné použití, pouze šifrování), JSignPDF (zašifruje i digitálně podepíše), PDF24 Creator (mnoho nástrojů včetně šifrování),
- macOS - při tisku souboru do PDF můžete zadat heslo, hledejte na google/bing/…,
- Linux - zkuste qpdf či pdftk, popis viz https://gock.net/blog/2021/encrypting-pdf-files-with-free-command-line-tools/,
- Word - při exportu do PDF můžete zadat heslo,
Časové značky
Časové značky/časová razítka - PDF soubor by měl být podepsán včetně časové značky od časové autority (TimeStamp Authority). Cesnet poskytuje bezplatnou službu TSA, popis je na https://pki.cesnet.cz/cs/tsa-overview. Použijte první URL, tj. http://tsa.cesnet.cz:3161/tsa
Další časový server je FreeTSA, popis na https://www.freetsa.org/, URL serveru TSA: https://freetsa.org/tsr
Další bezplatné TSA servery (URL pro získání časové značky):
URL dalších bezplatných TSA lze nalézt na
Lze použít i bezplatné kvalifikované servery časových razítek (viz EUTL list či Kvalifikovaná časová razítka zdarma):
Název | URL | Poznámka | Certifikát do |
---|---|---|---|
Ministero della Difesa (Itálie) | http://tsapkiff.difesa.it/tsa | ? | 13.2.2035 |
Sectigo qualified | http://timestamp.sectigo.com/qualified | doporučení 15 vteřin mezi podpisy | 3.8.2034 |
RIA (Estonsko) | https://eid-dd.ria.ee/ts | personal use only | 1.4.2030 |
Helenic State CA (Řecko) | https://timestamp.aped.gov.gr/qtss | ? | 12.12.2029 |
BalTstamp QTSA | http://tsa.baltstamp.lt | bez přihlášení 100 požadavků za měsíc | 3.6.2029 |
IRN (Portugalsko] | http://ts.cartaodecidadao.pt/tsa/server | max 20 požadavků za 20 minut | 27.4.2029 |
| | 15.3.2029 | |
ACCV (Španělsko) | http://tss.accv.es:8318/tsa | free of charge for personal use | 25.2.2029 |
belgium.be (Belgie) | http://tsa.belgium.be/connect | ? | 9.12.2028 |
| | ? | 25.11.2027 |
Monaco | https://time.mconnect.mc | uživatel by měl být autorizován od TSA | 27.3.2027 |
Digicert + QuoVadis | http://ts.quovadisglobal.com/eu | asi volně , nefunguje v Acrobat Readeru | 8.8.2026 |
IZENPE | http://tsa.izenpe.com/ | v politice je odkaz na ceník, vlastní služba je dostupná bez autentizace | 30.10.2025 |
Platnost certifikátů TSA byla ověřena 20.2.2025. Velmi pravděpodobně budou průběžně prodlužovat platnost - za rok může být u některých TSA nový certifikát s delší platností. Doporučuji používat TSA s delší platností, vhodné 5 a více roků.
Informace najdete též na https://en.wikipedia.org/wiki/Trusted_timestamping