Jak na digitálně podepisované emaily během dvou minut

Email je neuvěřitelně nespolehlivý komunikační kanál. Nejen že nemáte zaučeno doručení vaší zprávy, ale hlavně ani nevíte, zda vám skutečně píše ten, kdo myslíte. Řešení je přitom jednoduché a jde zařídit během dvou minut.

Proč?

Nejdřív ale trochu vysvětlím důvody. V médiích občas proběhne informace, jak se hacker někam naboural a něčím jménem odeslal email. Emaily ale ve skutečnosti fungují dost podobně, jako normální dopis - koho napíšete na obálku, ten bude odesílatel. Nebezpečnému hackerovi tudíž stačí použít jen tento jeden příkaz v obyčejném PHP:

<?php
mail(
  "jiri.rusnok@vlada.cz" /* příjemce */, 
  "URGENT!!!" /* předmět */,
  "Jirko, vole, dones popelnicek..." /* text */,
  "From: Milos Zeman <milos.zeman@vlada.cz>" /* odesílatel */
);

Kdyby byl hacker líný, tak ani nezapíná PHP, ale prostě jen přepíše odesílatele v Outlooku. Příjemce v podstatě nemá možnost rozeznat, zda je email pravý nebo ne. Tento problém řeší digitální podpis. Ten si nahrajete do emailového klienta a při odesílání emailu se k zprávě připojí její podpis. Příjemce pak vezme email a ověří, zda podpis sedí. Nejjednodušším podpisem by například byl počet znaků zprávy, ale to by nebylo těžké podvrhnout, takže to je trochu komplikovanější.

Jak si zařídit digitální podpis?

Digitální podpis identifikuje odesílatele a vzniká pomocí digitálního certifikátu, takže někde musíte takový certifikát sehnat. Jsou tři hlavní možnosti:

1) Vygenerovat si certifikát

Takový certifikát (a výsledný podpis) je ale naprosto nedůvěryhodný, takže je k ničemu. Je to spíš teoretická možnost.

2) Koupit si podpis od České pošty

Certifikáty pro digitální podpisy vystavuje například Česká pošta (PostSignum). Elektronický podpis je pak uznávaný českými úřady, takže to Pošta nedělá samozřejmě zadarmo a připravte si 400 Kč. Takto podepsaný email pak jako příjemce snadno poznáte - bude u něj obrovské varování, že je podepsán nedůvěryhodně. Česká pošta totiž samozřejmě nepatří mezi světově uznávané autority, takže nemá v žádném zařízení podporu.

3) Globální certifikát zadarmo

Nejlevnější a nejjednodušší variantou je podívat se po globálně uznávaných autoritách. Například Comodo totiž nabízí základní certifikáty pro emaily zdarma. Takový certifikát sice identifikuje pouze emailovou schránku (nebude obsahovat identifikaci osoby), ale to nám stačí a co bychom zadarmo nechtěli. Hlavně ale má podporu prakticky ve všech zařízeních, takže máme vyhráno.

Jak získat důvěryhodný certifikát pro email zdarma

Teorii bychom měli, takže teď ty slibované dvě minuty.

1. Jako první musíte navštívit stránky Comodo: https://secure.instantssl.com/products/frontpage?area=SecureEmailCertificate, vyplňte zde jméno, email a heslo pro případné zneplatnění (pro používání nebude potřeba).
2. Na email vám hned přijde ověřovací zpráva s předmětem "Your certificate is ready for collection!". V té kliknětě na velké červené tlačítko "Click&install"
3. Otevře se prohlížeč, kde potvrdíte instalaci certifikátu (Chrome se ani neptá a rovnou instaluje). // UPDATE: Ve Firefoxu se postup dost komplikuje, takže doporučuji raději Chrome nebo IE
4. Klikněte zobrazit certifikát a Kopírovat do souboru
5. V průvodci si pak vyexportujte certifikát včetně privátního klíče, někam bezpečně uložte a ještě někam jinam zálohujte
6. Teď už stačí certifikát jen vložit do emailového klienta. Návod pro: Outlook 2013, Thunderbird a další. Jen si dejte pozor, ať zprávy podepisujete a nešifrujete. Tam je to komplikovanější.

A to je celé. Od teď digitálně podpisujete svoje emaily!