Domácí úkol

Cílem je ověřit schopnost použít osobní certifikát pro podepisování a šifrování el. pošty a podepisování dokumentů. Volitelně i označení dokumentu časovou značkou (time stamp).

Předpokladem je, že nejdříve získáte osobní certifikát pro svoji školní e-mailovou adresu.

Domácí úkol se skládá z následujících částí:

1. Vy mi pošlete podepsaný e-mail na moji školní e-mailovou adresu.
2. Pošlu Vám zašifrovanou zprávu, ve které dostanete úkol (viz dále).
3. Vy mi pošlete zašifrovanou odpověď - obvykle s odkazem na stažení podepsaného a zašifrovaného souboru a s heslem k souboru.

Příklady úkolu v zašifrované zprávě:

• vytvořit podepsaný soubor PDF a zašifrovaný pomocí sdíleného hesla. PDF soubor bude opatřen i časovou značkou.

Pro splnění si musíte nakonfigurovat poštovního klienta, nahrát do něho svůj certifikát. Pokud použijete jinou než školní e-mailovou adresu (@vse.cz), tak Vám strhnu jeden bod. Neznamená to, že musíte školní poštu číst na některém ze školních poštovních serverů – gmail, seznam a i další umožňují přijímat/odesílat poštu pod jinou identitou. S poštovním klientem se tato variabilita ještě výrazně rozšiřuje.

Osobní certifikát, tj. certifikát pro podepisování a šifrování pošty (standard S/MIME) či pro podepisování dokumentů, lze pro školní e-mailovou adresu získat přes CESNET.

PDF soubor lze zašifrovat sdíleným heslem či pomocí veřejných klíčů příjemců. Druhá možnost je neobvyklá, nebudu dále popisovat (lze zašifrovat v aplikaci JSignPDF, vyzkoušejte kde zobrazíte).

Rozlišují se dvě hesla - heslo pro otevření a heslo pro vybrané operace (např. pro úpravu PDF). V domácím úkolu nastavte první.

Bezplatná verze Adobe Acrobat Reader nepodporuje šifrování souboru. Jaké jsou možnosti?

1. Použít nějakou on-line službu pro zašifrování PDF, na google/bing/… vyhledejte „PDF online encrypt“. Jednoduché, najdete přibližně 10 různých služeb. Není bezpečné - provozovatel online služby získá nezašifrovanou verzi!!! Pro účely domácího úkolu stačí.
2. Windows - nainstalujte např. PDFencrypt (snadné použití, pouze šifrování), JSignPDF (zašifruje i digitálně podepíše), PDF24 Creator (mnoho nástrojů včetně šifrování),
3. macOS - při tisku souboru do PDF můžete zadat heslo, hledejte na google/bing/…,
4. Linux - zkuste qpdf či pdftk, popis viz https://gock.net/blog/2021/encrypting-pdf-files-with-free-command-line-tools/,
5. Word - při exportu do PDF můžete zadat heslo,

Časové značky/časová razítka - PDF soubor by měl být podepsán včetně časové značky od časové autority (TimeStamp Authority). Cesnet poskytuje bezplatnou službu TSA, popis je na https://pki.cesnet.cz/cs/tsa-overview. Použijte první URL, tj. http://tsa.cesnet.cz:3161/tsa

Další časový server je FreeTSA, popis na https://www.freetsa.org/, URL serveru TSA: https://freetsa.org/tsr

Další bezplatné TSA servery (URL pro získání časové značky):

• http://timestamp.globalsign.com
• http://timestamp.digicert.com
• http://timestamp.sectigo.com
• http://timestamp.entrust.net/TSS/RFC3161sha2TS
• http://timestamp.identrust.com
• http://timestamp.apple.com/ts01
• http://tsa.swisssign.net

URL dalších bezplatných TSA lze nalézt na

• https://github.com/trbs/rfc3161ng
• https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710

Lze použít i bezplatné kvalifikované servery časových razítek (viz EUTL list či Kvalifikovaná časová razítka zdarma):

Platnost certifikátů TSA byla ověřena 7.6.2023. Velmi pravděpodobně budou průběžně prodlužovat platnost - za rok může být u některých TSA nový certifikát s delší platností. Doporučuji používat TSA s delší platností, vhodné 5 a více roků.

Informace najdete též na https://en.wikipedia.org/wiki/Trusted_timestamping