====== Domácí úkol ======

Cílem je ověřit schopnost použít osobní certifikát pro podepisování a šifrování el. pošty a podepisování dokumentů. Volitelně i označení dokumentu časovou značkou (time stamp).

Předpokladem je, že nejdříve získáte [[https://pki.cesnet.cz/cs/tcs-personal-user.html | osobní certifikát pro svoji školní e-mailovou adresu]].

===== Tři části domácího úkolu =====

Domácí úkol se skládá z následujících částí:

  - Vy mi pošlete podepsaný e-mail na moji školní e-mailovou adresu.
  - Pošlu Vám zašifrovanou zprávu, ve které dostanete úkol (viz dále).
  - Vy mi pošlete zašifrovanou odpověď - obvykle s odkazem na stažení podepsaného a zašifrovaného souboru a s heslem k souboru.

Příklady úkolu v zašifrované zprávě:
  * vytvořit podepsaný soubor PDF a zašifrovaný pomocí sdíleného hesla. PDF soubor bude opatřen i časovou značkou.

Pro splnění si musíte nakonfigurovat poštovního klienta, nahrát do něho svůj certifikát. Pokud použijete jinou než školní e-mailovou adresu (@vse.cz), tak Vám strhnu jeden bod. Neznamená to, že musíte školní poštu číst na některém ze školních poštovních serverů – gmail, seznam a i další umožňují přijímat/odesílat poštu pod jinou identitou. S poštovním klientem se tato variabilita ještě výrazně rozšiřuje.
===== Získání osobního certifikátu =====
Osobní certifikát, tj. certifikát pro podepisování a šifrování pošty (standard S/MIME) či pro podepisování dokumentů, lze pro školní e-mailovou adresu získat přes CESNET.
<WRAP center tip>
**Postup pro CESNET**:
   - nejdříve musíte zajít na helpdesk Centra informatiky (SB 22), aby Vám povolili vydání osobního certifikátu (stačí jednou za studium).
   - URL: [[https://tcs.cesnet.cz/clientrequestform/form|https://tcs.cesnet.cz/clientrequestform/form]]

Privátní a veřejný klíč se vygeneruje v prohlížeči (tj. CA nemá možnost získat privátní klíč). Po generování je privátní klíč a certifikát v prohlížeči - je potřeba ho exportovat včetně privátního klíče.
Informační e-maily s případným certifikátem můžete smazat, jsou k ničemu. Potřebujete privátní klíč a certifikát.
</WRAP>

===== Zašifrování PDF =====
PDF soubor lze zašifrovat sdíleným heslem či pomocí veřejných klíčů příjemců. Druhá možnost je neobvyklá, nebudu dále popisovat (lze zašifrovat v aplikaci JSignPDF, vyzkoušejte kde zobrazíte).

Rozlišují se dvě hesla - heslo pro otevření a heslo pro vybrané operace (např. pro úpravu PDF). V domácím úkolu nastavte první.

Bezplatná verze Adobe Acrobat Reader nepodporuje šifrování souboru. Jaké jsou možnosti?
  - Použít nějakou on-line službu pro zašifrování PDF, na google/bing/... vyhledejte "PDF online encrypt". Jednoduché, najdete přibližně 10 různých služeb. <wrap alert 60%>Není bezpečné - provozovatel online služby získá nezašifrovanou verzi!!! Pro účely domácího úkolu stačí.</wrap>
  - Windows - nainstalujte např. [[https://pdfencrypt.net/|PDFencrypt]] (snadné použití, pouze šifrování), [[https://intoolswetrust.github.io/jsignpdf/|JSignPDF]] (zašifruje i digitálně podepíše), [[https://tools.pdf24.org/en/creator|PDF24 Creator]] (mnoho nástrojů včetně šifrování),
  - macOS - při tisku souboru do PDF můžete zadat heslo, hledejte na google/bing/...,
  - Linux - zkuste **qpdf** či **pdftk**, popis viz [[https://gock.net/blog/2021/encrypting-pdf-files-with-free-command-line-tools/]],
  - Word - při exportu do PDF můžete zadat heslo,


===== Časové značky =====
Časové značky/časová razítka - PDF soubor by měl být podepsán včetně časové značky od časové autority (TimeStamp Authority).
Cesnet poskytuje bezplatnou službu TSA, popis je na https://pki.cesnet.cz/cs/tsa-overview. Použijte první URL, tj. **http://tsa.cesnet.cz:3161/tsa**

Další časový server je FreeTSA, popis na https://www.freetsa.org/, URL serveru TSA: **https://freetsa.org/tsr** 

Další bezplatné TSA servery (URL pro získání časové značky):
  * http://timestamp.globalsign.com
  * http://timestamp.digicert.com
  * http://timestamp.sectigo.com
  * http://timestamp.entrust.net/TSS/RFC3161sha2TS
  * http://timestamp.identrust.com
  * http://timestamp.apple.com/ts01
  * http://tsa.swisssign.net


URL dalších bezplatných TSA lze nalézt na
  * https://github.com/trbs/rfc3161ng
  * https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710

Lze použít i bezplatné kvalifikované servery časových razítek (viz [[https://helpx.adobe.com/cz/document-cloud/kb/european-union-trust-lists.html|EUTL list]] či [[https://www.bajecnysvet.cz/navody/navod001.php|Kvalifikovaná časová razítka zdarma]]):
^ Název ^ URL ^ Poznámka ^ Certifikát do ^
| Sectigo qualified | http://timestamp.sectigo.com/qualified | [[https://sectigo.com/resource-library/time-stamping-server|doporučení 15 vteřin mezi podpisy]] | 3.8.2034 |
| Ministero della Difesa (Itálie) | http://tsapkiff.difesa.it/tsa | ? | 14.5.2033 |
| IRN (Portugalsko] | http://ts.cartaodecidadao.pt/tsa/server | max 20 požadavků za 20 minut | 27.4.2029 |
| Docusign (Francie) | http://kstamp.keynectis.com/KSign/ | | 15.3.2029 |
| ACCV (Španělsko) | http://tss.accv.es:8318/tsa | [[https://www.accv.es/en/servicios/administracion-publica/sellado-de-tiempo/|free of charge for personal use]]| 25.2.2029 |
| RIA (Estonsko) | http://dd-at.ria.ee/tsa | ? | 1.1.2029 |
| SEP (Bulharsko) | http://tsa.sep.bg | ? | 25.11.2027 |
| belgium.be (Belgie) | http://tsa.belgium.be/connect | ? | 16.3.2027 |
| baltstamp | http://tsa.baltstamp.lt | bez přihlášení 100 požadavků za měsíc | 11.11.2025 |
| IZENPE | http://tsa.izenpe.com/ | v politice je odkaz na ceník, vlastní služba je dostupná bez autentizace | 30.10.2025 |

Platnost certifikátů TSA byla ověřena 7.6.2023. Velmi pravděpodobně budou průběžně prodlužovat platnost - za rok může být u některých TSA nový certifikát s delší platností. Doporučuji používat TSA s delší platností, vhodné 5 a více roků.

Informace najdete též na https://en.wikipedia.org/wiki/Trusted_timestamping