Userze! Podpisz się (elektronicznie)!!

W dzisiejszych czasach praktycznie wszystko jesteśmy w stanie załatwić przez Internet. Co wiecej, robimy to, bo jest to po prostu wygodne. I nie ma się czemu dziwić.

Ze zjawiskiem wirtualizacji społeczeństwa wiąże się ogromny i bardzo regularny wzrost wykorzystania poczty elektronicznej. E-maile pisze już każdy, i w każdym celu. Tylko dlaczego nikt się nie zastanowi, na ile jest to bezpieczne? W świecie realnym oczywiste jest, że się podpisuje  zawsze i wszystko, żeby przez przypadek nie zostać oszukanym. A w elektronicznym świecie, powszechnie spotykam pytanie, co to jest ten dziwny plik z rozszerzeniem p7s, który jest dołączany do każdego mojego maila. Gorzej, gdy próbuję namówić do wykorzystywania tego magicznego pliku, co za chwilę, to też spotykam odpowiedź odmowną. A jakie to dobrodziejstwo, to za moment się przekonacie.

Ten dziwny plik, to jest podpis elektroniczny. Gwarancja, że każda zmiana dokonana w wiadomości E-mail zostanie natychmiast wychwycona przez klienta poczty.  Jest to także okazja do zaszyfrowania wiadomości tak, aby nikt po za odbiorcą nie był w stanie jej odczytać. A jak to jest możliwe?

Cała ta „magia” opiera się na Kryptosystemie RSA. Użytkownikowi przypisuje się parę dużych liczb pierwszych, nazywanych Kluczami. Jedna jest publiczna, drugą zachowujesz dla siebie. Cała zabawa opiera się na szyfrowaniu. Podpisując wiadomość szyfrujesz ją (lub jej funkcję HASH) swoim Kluczem prywatnym, wynik umieszczajac wraz kluczem publicznym w tym dziwnym pliku .p7s . Odbiorca dekodując jego zawartość kluczem publicznym stwierdza, że wiadomość nie została zmieniona, i pochodzi od tego, do kogo należy klucz publiczny, który jest zawarty w certyfikacie, wydanym przez podmiot przechowujący ten klucz publiczny, zwany jednostką certyfikującą. Znowuż, w drugą stronę, gdy odbiorca chce Ci wysłać wiadomość zaszyfrowaną, to bierze Twój klucz publiczny, szyfruje, a Ty deszyfrujesz swoim prywatnym kluczem. Jednocześnie całość podpisuje swoim kluczem prywatnym. A wszystko jest możliwe dzięki przeforsowaniu głośnej w swoim czasie Ustawy o Podpisie Elektronicznym, która zrównuje taką elektroniczna wersję z jego papierowym odpowiednikiem.

Więc teraz moje pytanie. Co stoi na przeszkodzie, aby tego używać? Spotkałem się z trzema odpowiedziami:

  • To jest za Trudne. – mit, bo wszystko robi za Ciebie Klient Poczty elektronicznej. Co prawda, pozostaje problem witryn internetowych znanych usługodawców, jak choćby gmail, ale im się bardzo dziwię, że jeszcze nie mają zaimplementowanej obsługi Certyfikatów.
  • To jest niepopularne. – to jest po części prawda. Ale jeżeli to daje nam wymierne korzyści (a daje, co pokazałem przed chwilą) to dlaczego własnym przykładem nie popularyzować?… Nie wiem.
  • To jest za drogie. – można się spodziewać, że skoro jest podmiot, który na wyłączność posiada prawo wydawać certyfikaty, to na pewno za udostępnienie takiegoż będzie pobierał opłaty. Tak. niektóre certyfikaty są bardzo drogie. Ale na szczęście istnieją jednostki certyfikacyjne, udostępniające bezpłatne wersje certyfikatów. Wtedy jedynym kosztem pozyskania takiego jest odpowiednia autoryzacja siebie, jako faktycznie tego, za kogo się podajecie.

W tym miejscu chcę przedstawić proces uzyskiwania takiego certyfikatu od Thawte. W tym rozwiązaniu wykorzystana jest koncepcja sieci zaufania. Koncepcja autoryzacji opiera się na zbieraniu punktów, będących wyrazem zaufania społeczności WOT (Web Of Trust). Punkty się dostaje od innych członków sieci za dostarczenie odpowiedniego formularza wraz z kserokopiami dwóch dokumentów ze zdjęciem poświadczających tożsamość ubiegającego się o punkty. Kiedy tożsamość zostanie potwierdzona, przydzielane są punkty WOT. Wysokość sumy punktowej możliwej do przyznania przez konkretnego Notariusza zależy od stopnia zaufania jemu przez społeczność.  Aby zostać zautoryzowanym przez Thawte trzeba zebrać 50punktów, do nominacji na notariusza wymagane jest 100. I co pięćdziesiąt punktów wzrasta suma możliwych do nadania punktów o 5. Każdy poświadczający bierze odpowiedzialność za punkty, które nadaje, ma też obowiązek przechowywania dokumentów przekazanych do uwierzytelnienia przez pięć lat. Certyfikat wydawany na podstawie autoryzacji WOT nazywany jest Thawte Freemail Member. Dodatkowo, można uzyskać certyfikat poświadczający faktyczność pochodzenia wiadomości E-mail spod konkretnego adresu. Wtedy jest on wydawany na adres email, a jedynym poświadczeniem jest odebranie pod tym adresem wiadomości wysłanej automatycznie przez serwis Thawte.

Gorąco zachęcam do wykorzystania tego rozwiązania i zwiększenia własnego bezpieczeństwa w E-świecie!

Variety of Standards makes no standard sense

Kupowanie kabli łączących telefon komórkowy z komputerem, przestało być domeną maniaków zdejmujących SIM-locki, czy zmieniąjących soft. Konieczność połączenia telefonu z komputerem dostrzega coraz więcej szarych użytkowników. Jedną z przyczyn jest wzrost uniwersalności tego urządzenia. I o ile teraz pojawiają się modele wyposażone w BlueTooth, czy WLAN, to jednak wciąż wiele starszych, a popularnych modeli wymaga dodatkowego okablowania. Fakt ten wymusza zakup takiego akcesorium.
I jak się okazało, tu się pojawiły schody. Bo ani producenci, ani sprzedawcy nie ułatwiają sprawy. Przykład z życia wzięty, prawdopodobnie bardzo powszechny. Ktoś posiada dwa telefony, z kartami SIM dwóch różnych sieci telefonii komórkowej. Wydawać by się mogło, że pewnym ułatwieniem będzie fakt, iż te telefony są jednego producenta. Okazuje się, że nic bardziej mylnego. W przypadku telefonów z pod Fińskiej igły, jeden „gatunek” kabla, często przypada na pół, albo nawet ćwierć modelu telefonu. No tak. Bo jeden model obsługują kable w dwóch czy więcej standardach, a inne nie są supportowane przez żaden.
Tutaj pojawia się konkluzja z tematu tego posta. Skoro nawet konkretne korporacje nie potrafią (bądź z takich, czy innych powodów nie chcą)opracować jednolitego standardu połączenia ich telefonów z komputerem PC, to co dopiero mówić o jakichś porozumieniach pomiędzy nimi, o zasięgu bardziej globalnym. Muszę jeszcze oddać sprawiedliwość firmie Sony Ericsson, za technologię FastPort. To jest zunifikowane gniazdo do obsługi peryferiów, i nawet, gdy konkretnego ficzera dany model nie obsługuje, to użytkownik zostaje o tym poinformowany przez sam telefon. Dla praktyków dodam, że zazwyczaj pomaga dogranie odpowiedniego pliku sterownika. Przykład? Zewnętrzny zestaw głośnikowy współpracujący z serią 'W’ telefonów ze stajni SE. Mój K310 się zbuntował, zresztą szczególnie dziwne to nie jest. Jednak po wgraniu odpowiedniego kawałka kodu z W200 peryferium i owszem zostało rozpoznane.
Innym problemem są akcesoria nie autoryzowane przez producenta telefonu. Zazwyczaj parokrotnie tańsze stanowią ciekawą alternatywę dla markowych urządzeń. Pytanie jakie się nasuwa, to „czy warto ryzykować?”. Generalnie tak. Jednak zawsze trzeba sobie zostawić furtkę awaryjną w postaci umówy ze sprzedawcą, że jak coś nie będzie współpracować, to się odda. Jest to wykonalne (temat rozmowy z pracownikiem serwisu podejmowałem już w innych wątkach)
Niech więc Zamieszanie to, którego sobie wytłumaczyć nie umiem, będzie przestrogą dla wszystkich, którzy projektują własne urządzenia, aby nawet niewielkie projekty wykonywane dla własnego użytku miały jednolity interface komunikacyjny ze światem zewnętrznym.