W dzisiejszych czasach praktycznie wszystko jesteśmy w stanie załatwić przez Internet. Co wiecej, robimy to, bo jest to po prostu wygodne. I nie ma się czemu dziwić.
Ze zjawiskiem wirtualizacji społeczeństwa wiąże się ogromny i bardzo regularny wzrost wykorzystania poczty elektronicznej. E-maile pisze już każdy, i w każdym celu. Tylko dlaczego nikt się nie zastanowi, na ile jest to bezpieczne? W świecie realnym oczywiste jest, że się podpisuje zawsze i wszystko, żeby przez przypadek nie zostać oszukanym. A w elektronicznym świecie, powszechnie spotykam pytanie, co to jest ten dziwny plik z rozszerzeniem p7s, który jest dołączany do każdego mojego maila. Gorzej, gdy próbuję namówić do wykorzystywania tego magicznego pliku, co za chwilę, to też spotykam odpowiedź odmowną. A jakie to dobrodziejstwo, to za moment się przekonacie.
Ten dziwny plik, to jest podpis elektroniczny. Gwarancja, że każda zmiana dokonana w wiadomości E-mail zostanie natychmiast wychwycona przez klienta poczty. Jest to także okazja do zaszyfrowania wiadomości tak, aby nikt po za odbiorcą nie był w stanie jej odczytać. A jak to jest możliwe?
Cała ta “magia” opiera się na Kryptosystemie RSA. Użytkownikowi przypisuje się parę dużych liczb pierwszych, nazywanych Kluczami. Jedna jest publiczna, drugą zachowujesz dla siebie. Cała zabawa opiera się na szyfrowaniu. Podpisując wiadomość szyfrujesz ją (lub jej funkcję HASH) swoim Kluczem prywatnym, wynik umieszczajac wraz kluczem publicznym w tym dziwnym pliku .p7s . Odbiorca dekodując jego zawartość kluczem publicznym stwierdza, że wiadomość nie została zmieniona, i pochodzi od tego, do kogo należy klucz publiczny, który jest zawarty w certyfikacie, wydanym przez podmiot przechowujący ten klucz publiczny, zwany jednostką certyfikującą. Znowuż, w drugą stronę, gdy odbiorca chce Ci wysłać wiadomość zaszyfrowaną, to bierze Twój klucz publiczny, szyfruje, a Ty deszyfrujesz swoim prywatnym kluczem. Jednocześnie całość podpisuje swoim kluczem prywatnym. A wszystko jest możliwe dzięki przeforsowaniu głośnej w swoim czasie Ustawy o Podpisie Elektronicznym, która zrównuje taką elektroniczna wersję z jego papierowym odpowiednikiem.
Więc teraz moje pytanie. Co stoi na przeszkodzie, aby tego używać? Spotkałem się z trzema odpowiedziami:
- To jest za Trudne. – mit, bo wszystko robi za Ciebie Klient Poczty elektronicznej. Co prawda, pozostaje problem witryn internetowych znanych usługodawców, jak choćby gmail, ale im się bardzo dziwię, że jeszcze nie mają zaimplementowanej obsługi Certyfikatów.
- To jest niepopularne. – to jest po części prawda. Ale jeżeli to daje nam wymierne korzyści (a daje, co pokazałem przed chwilą) to dlaczego własnym przykładem nie popularyzować?… Nie wiem.
- To jest za drogie. – można się spodziewać, że skoro jest podmiot, który na wyłączność posiada prawo wydawać certyfikaty, to na pewno za udostępnienie takiegoż będzie pobierał opłaty. Tak. niektóre certyfikaty są bardzo drogie. Ale na szczęście istnieją jednostki certyfikacyjne, udostępniające bezpłatne wersje certyfikatów. Wtedy jedynym kosztem pozyskania takiego jest odpowiednia autoryzacja siebie, jako faktycznie tego, za kogo się podajecie.
W tym miejscu chcę przedstawić proces uzyskiwania takiego certyfikatu od Thawte. W tym rozwiązaniu wykorzystana jest koncepcja sieci zaufania. Koncepcja autoryzacji opiera się na zbieraniu punktów, będących wyrazem zaufania społeczności WOT (Web Of Trust). Punkty się dostaje od innych członków sieci za dostarczenie odpowiedniego formularza wraz z kserokopiami dwóch dokumentów ze zdjęciem poświadczających tożsamość ubiegającego się o punkty. Kiedy tożsamość zostanie potwierdzona, przydzielane są punkty WOT. Wysokość sumy punktowej możliwej do przyznania przez konkretnego Notariusza zależy od stopnia zaufania jemu przez społeczność. Aby zostać zautoryzowanym przez Thawte trzeba zebrać 50punktów, do nominacji na notariusza wymagane jest 100. I co pięćdziesiąt punktów wzrasta suma możliwych do nadania punktów o 5. Każdy poświadczający bierze odpowiedzialność za punkty, które nadaje, ma też obowiązek przechowywania dokumentów przekazanych do uwierzytelnienia przez pięć lat. Certyfikat wydawany na podstawie autoryzacji WOT nazywany jest Thawte Freemail Member. Dodatkowo, można uzyskać certyfikat poświadczający faktyczność pochodzenia wiadomości E-mail spod konkretnego adresu. Wtedy jest on wydawany na adres email, a jedynym poświadczeniem jest odebranie pod tym adresem wiadomości wysłanej automatycznie przez serwis Thawte.
Gorąco zachęcam do wykorzystania tego rozwiązania i zwiększenia własnego bezpieczeństwa w E-świecie!