====== Domácí úkol ======

Cílem je ověřit schopnost použít osobní certifikát pro podepisování a šifrování el. pošty a podepisování dokumentů. Volitelně i označení dokumentu časovou značkou (time stamp).

Předpokladem je, že nejdříve získáte [[https://pki.cesnet.cz/cs/tcs-personal-user.html | osobní certifikát pro svoji školní e-mailovou adresu]].

===== Tři části domácího úkolu =====

Domácí úkol se skládá z následujících částí:

  - Vy mi pošlete podepsaný e-mail na moji školní e-mailovou adresu.
  - Pošlu Vám zašifrovanou zprávu, ve které dostanete úkol (viz dále).
  - Vy mi pošlete zašifrovanou odpověď - obvykle s odkazem na stažení podepsaného a zašifrovaného souboru a s heslem k souboru.

Příklady úkolu v zašifrované zprávě:
  * vytvořit podepsaný soubor PDF a zašifrovaný pomocí sdíleného hesla. PDF soubor bude opatřen i časovou značkou.

Pro splnění si musíte nakonfigurovat poštovního klienta, nahrát do něho svůj certifikát. Pokud použijete jinou než školní e-mailovou adresu (@vse.cz), tak Vám strhnu jeden bod. Neznamená to, že musíte školní poštu číst na některém ze školních poštovních serverů – gmail, seznam a i další umožňují přijímat/odesílat poštu pod jinou identitou. S poštovním klientem se tato variabilita ještě výrazně rozšiřuje.
===== Získání osobního certifikátu =====
Osobní certifikát, tj. certifikát pro podepisování a šifrování pošty (standard S/MIME) či pro podepisování dokumentů, lze pro školní e-mailovou adresu získat:
  - přes CESNET, základní volba,
  - bezplatný od Actalis.com - <wrap caution>nelze použít pro přihlášení do VPN</wrap>,
  - bezplatný přes https://acme.castle.cloud - <wrap caution>kořenová CA není mezi důvěryhodnými v operačním systému, nelze použít pro přihlášení do VPN,</wrap>
<WRAP round safety>
**od 14. května 2025 lze opět získat osobní certifikáty přes CESNET**

**Postup pro CESNET**:
   - nejdříve musíte zajít na helpdesk Centra informatiky (SB 22), aby Vám povolili vydání osobního certifikátu (stačí jednou za studium).
   - URL: **[[https://tcs.cesnet.cz/clientrequestform/|https://tcs.cesnet.cz/clientrequestform/]]**

Privátní a veřejný klíč se vygeneruje v prohlížeči (tj. CA nemá možnost získat privátní klíč). Po generování je privátní klíč a certifikát v prohlížeči - je potřeba ho exportovat včetně privátního klíče.
Informační e-maily s případným certifikátem můžete smazat, jsou k ničemu. Potřebujete privátní klíč a certifikát.
</WRAP>
<WRAP round caution>
**Postup pro Actalis**:
  - na [[https://www.actalis.com/s-mime-certificates]] zvolíte, že chcete bezplatný S/MIME certifikát,
  - založíte si účet se školní e-mailovou adresou, 
  - po založení lze ihned pokračovat v získání certifikátu - opět zadáte školní e-mailovou adresu, přijde Vám další e-mail s potvrzovacím odkazem,
  - dorazí e-mail se heslem k privátnímu klíči (po několika minutách),
  - po dalších několika minutách (odhadem 10 minut) lze stáhnout privátní klíč a certifikát (soubor .p12) ze stránek actalis.com 

Tj. ověření je jen na základě přístupu k e-mailové schránce. CA vygenerovala dvojici privátní a veřejný klíč.

Dříve nešlo vydat nový certifikát v době platnosti již existujícího. Nevím jak nyní.
</WRAP>
<WRAP round caution>
**https://acme.castle.cloud/** používá [[https://acme.castle.cloud/documentation/how-it-works/|protokol ACME]] pro získání certifikátu:
  - klient vygeneruje privátní+veřejný klíč, pošle žádost na CA,
  - do poštovní schránky dorazí kód,
  - ten klient podepíše a odpověď odešlete ze schránky na adresu serveru,
  - klient stáhne certifikát platný 90 dnů,
  - postup lze automatizovat podobně jako získání certifikátu pro server, klient potřebuje poté přístup k poštovní schránce,
**Postup pro https://acme.castle.cloud/**
  - např. na svůj server si stáhněte aplikaci z https://github.com/polhenarejos/acme_email a nainstalujte dle návodu (tři kroky, obvykle chybí i některé balíčky v debianu),
  - vytvořte adresářovou strukturu v domovském adresáři \\ <code>
     cert
     cert/logs
     cert/tmp
     cert/conf
</code>
  - zadejte příkaz ''./cli.py -e pavlicek@vse.cz --logs-dir ../cert/logs/ --config-dir ../cert/conf/ --work-dir ../cert/tmp cert'' a postupujte dle pokynů,
  - na konci najdete v adresáři cert/conf/live soubor .pfx s privátním klíčem a certifikátem,
  - pro použití potřebujete stáhnout i kořenový certifikát z https://acme.castle.cloud/documentation/chain-of-trust/
</WRAP>

===== Podepisování a šifrování el. pošty =====

Základní pravidla:
  * Podepisujte a šifrujte dle standardu <wrap hi>S/MIME</wrap>, nepoužívejte proprietární šifrování, které nabízí Microsoft. Pro šifrování v Outlooku vyberte pouze //Šifrovat pomocí S/MIME//, ne volby jako //Pouze šifrování// či kombinaci voleb.
  * <wrap hi>Zašifrovaný e-mail musí být i podepsaný</wrap> pomoc S/MIME, jinak není jisté, kdo e-mail odeslal.

Použití Outlooku - Existuje více aplikací označovaných jako Outlook – Outlook přes webový prohlížeč, nový Outlook pro Windows (a asi i pro MacOS), Outlook classic a Outlook pro mobilní telefony. Ve webovém Outlooku či v novém Outlooku nelze vybrat certifikát, který se použije pro podepisování e-mailů. Nový Outlook někdy zobrazí chybu \\ //Při odesílání této zprávy S/MIME došlo k chybě. Certifikát, kterým se podepsala tato zpráva, není pro vaši organizaci důvěryhodný// \\ a e-mail se nepošle. Řešením je přejít na Outlook classic či jiného klienta, např. Thunderbird.

===== Zašifrování PDF =====
PDF soubor lze zašifrovat sdíleným heslem či pomocí veřejných klíčů příjemců. Druhá možnost je neobvyklá, nebudu dále popisovat (lze zašifrovat v aplikaci JSignPDF, vyzkoušejte kde zobrazíte).

Rozlišují se dvě hesla - heslo pro otevření a heslo pro vybrané operace (např. pro úpravu PDF). V domácím úkolu nastavte první.

Bezplatná verze Adobe Acrobat Reader nepodporuje šifrování souboru. Jaké jsou možnosti?
  - Použít nějakou on-line službu pro zašifrování PDF, na google/bing/... vyhledejte "PDF online encrypt". Jednoduché, najdete přibližně 10 různých služeb. <wrap alert 60%>Není bezpečné - provozovatel online služby získá nezašifrovanou verzi!!! Pro účely domácího úkolu stačí.</wrap>
  - Windows - nainstalujte např. [[https://pdfencrypt.net/|PDFencrypt]] (snadné použití, pouze šifrování), [[https://intoolswetrust.github.io/jsignpdf/|JSignPDF]] (zašifruje i digitálně podepíše), [[https://tools.pdf24.org/en/creator|PDF24 Creator]] (mnoho nástrojů včetně šifrování),
  - macOS - při tisku souboru do PDF můžete zadat heslo, hledejte na google/bing/...,
  - Linux - zkuste **qpdf** či **pdftk**, popis viz [[https://gock.net/blog/2021/encrypting-pdf-files-with-free-command-line-tools/]],
  - Word - při exportu do PDF můžete zadat heslo,


===== Časové značky =====
Časové značky/časová razítka - PDF soubor by měl být podepsán včetně časové značky od časové autority (TimeStamp Authority).
Cesnet poskytuje bezplatnou službu TSA, popis je na https://pki.cesnet.cz/cs/tsa-overview. Použijte první URL, tj. **http://tsa.cesnet.cz:3161/tsa**

Další časový server je FreeTSA, popis na https://www.freetsa.org/, URL serveru TSA: **https://freetsa.org/tsr** 

Další bezplatné TSA servery (URL pro získání časové značky):
  * http://timestamp.digicert.com
  * http://timestamp.sectigo.com
  * http://ts.ssl.com
  * http://timestamp.entrust.net/TSS/RFC3161sha2TS
  * http://timestamp.identrust.com
  * http://timestamp.apple.com/ts01
  * http://timestamp.acs.microsoft.com


URL dalších bezplatných TSA lze nalézt na
  * https://github.com/trbs/rfc3161ng
  * https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710
  * https://gist.github.com/aetonsi/6ae9fcc4fab901dd63be5000848fd1e0

Lze použít i bezplatné kvalifikované servery časových razítek (viz [[https://helpx.adobe.com/cz/document-cloud/kb/european-union-trust-lists.html|EUTL list]] či [[https://www.bajecnysvet.cz/navody/navod001.php|Kvalifikovaná časová razítka zdarma]]):
^ Název ^ URL ^ Poznámka ^ Certifikát do ^
| Ministero della Difesa (Itálie) | http://tsapkiff.difesa.it/tsa | ? | 13.2.2035 |
| Sectigo qualified | http://timestamp.sectigo.com/qualified | [[https://sectigo.com/resource-library/time-stamping-server|doporučení 15 vteřin mezi podpisy]] | 3.8.2034 |
| RIA (Estonsko) | https://eid-dd.ria.ee/ts | personal use only | 1.4.2030 |
| Helenic State CA (Řecko) | https://timestamp.aped.gov.gr/qtss | ? | 12.12.2029 |
| BalTstamp QTSA | http://tsa.baltstamp.lt | bez přihlášení 100 požadavků za měsíc | 3.6.2029 |
| IRN (Portugalsko] | http://ts.cartaodecidadao.pt/tsa/server | max 20 požadavků za 20 minut | 27.4.2029 |
| <del>Docusign (Francie)</del> | <del>http://kstamp.keynectis.com/KSign/</del> | | 15.3.2029 |
| ACCV (Španělsko) | http://tss.accv.es:8318/tsa | [[https://www.accv.es/en/servicios/administracion-publica/sellado-de-tiempo/|free of charge for personal use]]| 25.2.2029 |
| belgium.be (Belgie) | http://tsa.belgium.be/connect | ? | 9.12.2028 |
| <del>SEP (Bulharsko)</del> | <del>http://tsa.sep.bg</del> | ? | 25.11.2027 |
| Monaco  | https://time.mconnect.mc | [[https://mconnect.gouv.mc/en/content/download/6423/file/20220907_CA_Tecnical_GTC_Timestamp-token_v1.2.pdf?inLanguage=fre-FR&version=1 | uživatel by měl být autorizován od TSA]] | 27.3.2027 |
| Digicert + QuoVadis | http://ts.quovadisglobal.com/eu | [[https://knowledge.digicert.com/de/de/quovadis/general-information/timestamp-server | asi volně ]], **nefunguje v Acrobat Readeru** | 8.8.2026 |
| IZENPE | http://tsa.izenpe.com/ | v politice je odkaz na ceník, vlastní služba je dostupná bez autentizace | 30.10.2025 |

Platnost certifikátů TSA byla ověřena 20.2.2025. Velmi pravděpodobně budou průběžně prodlužovat platnost - za rok může být u některých TSA nový certifikát s delší platností. Doporučuji používat TSA s delší platností, vhodné 5 a více roků.

Informace najdete též na https://en.wikipedia.org/wiki/Trusted_timestamping