Ověření elektronického podpisu u faktury



Neblahá zkušenost
Znáte ten pocit, kdy mailem přijde faktura a šéf zrovna není k dosažení? A to nic není proti tomu, když Vám sám šéf v pátek pozdě odpoledne píše, že přiložená faktura musí být uhrazená ještě ten večer. Pak člověk snadno znervózní a nakonec zaplatí bez konzultace (Přece nebudu vypadat jako neschopný samostatného rozhodování!). Tak se snadno může stát, že zaplatíte něco, co firma vůbec neobjednala, anebo zaplatíte úplně někomu jinému. Ano, správě, už je to asi jasné – stali jste se obětí podvrženého mailu, „fake“ faktury nebo hezky česky podvržené faktury.

V podobných případech je pochopitelné být obezřetný. Jenže ne každý kontroluje adresu odesílatele – vždyť tam bylo „Jan Novák“ a to jste, pane vedoucí, Vy. To že celá adresa byla
"Jan Novák" <jan.novak@naprvnipohledpodezreladomena.xyz> už chudák pochopitelně nezaznamenal. Vždyť jsem účetní a ne nějaký ajťák!

 
Chráníme se
Aby k podobným případům nedocházelo, existuje velmi užitečná věc – elektronický podpis. Ten jednak potvrzuje identitu odesílatele, dále pak ověřuje změny obsahu emailu. Nebudeme se zabývat složitými principy fungování a nastavení. Na příkladech faktury doručené různými způsoby na adresu našeho Jana Žižkovského si ukážeme, jak poznat ten správný mail.
Důležité emaily posílané naší společností jsou elektronicky podepsané. Nejrozšířenější poštovní programy zobrazí u zprávy symbol indikující podpis.

Outlook

Thunderbird

iPhone

Apple mail 

Pomocí ikonek můžete snadno poznat, zda je vše v pořádku:
… nebo zda máte zpozornět:
 

Důvěřuj, ale prověřuj
To, že nemá email u naší adresy tu správnou ikonku a místo „fajfky“ vidíte otazník nebo vykřičník ještě neznamená, že je zpráva podvržená. Váš poštovní klient (nebo operační systém) prostě ještě nemusí náš certifikát „znát“. Nyní si ukážeme, jak se podívat, zda je certifikát skutečně vystavený pro naší emailovou adresu. Ale přece jenom bude třeba trocha teorie z pohledu emailu.
 
Certifikát a certifikační autorita
Certifikát si můžeme představit jako průkaz, kterým ověřujeme svoji totožnost. Aby byl průkaz důvěryhodný, musí ho vystavit důvěryhodný úřad. Jistě vidíte podobnost s „občankou“. Jediné co potřebujeme je žádost, rodný list, doklad o státním občanství a dvě fotky. Obecní (nebo jiný) úřad je dostatečně důvěryhodné místo pro podání a vyřízení.
S certifikátem je to podobné. Místo na úřadě podáváme žádost důvěryhodné certifikační autoritě (CA). Ta nezávislou cestou ověří předkládané údaje (veřejný šifrovací klíč + identifikační údaje) a digitálně podepíše vlastním soukromým klíčem.  Tím potvrdí, že údaje jsou v pořádku a lze jim důvěřovat.
Pokud má poštovní klient příjemce mailu uložený tzv. kořenový certifikát CA použité pro vystavení certifikátu odesílatele, je jeho identita brána jako důvěryhodná. Proto CA distribuují své kořenové certifikáty v rámci operačních systémů (Windows…) nebo aplikací (Firefox, Thunderbird…). CA je však mnoho a tak není možné mít v úložišti na počítače vše. Ani pak není nic ztraceno – vždy se může certifikát CA do úložiště počítače (aplikace) naimportovat (Thunderbird) nebo po prověření nastavit jako důvěryhodný (Outlook)
 

1. Microsoft Outlook
Nastavení důvěryhodnosti certifikátu v Outlooku
V otevřeném mailu klikněte na tlačítko podpisu.

Outlook prozatím podpisu nedůvěřuje, protože nemá certifikační autoritu Actalis nastavenou jako důvěryhodnou.

Před tím, než nastavíte certifikát jako důvěryhodný, je vhodné nejprve jej prověřit. Předpokládejme, že jsme to již udělali (pokud ne, můžete použít link z předchozí věty). 

Klikněte na tlačítko Podrobnosti a zobrazte vlastnosti zprávy.

Pokračujte tlačítkem Upravit důvěryhodnost. 

Protože jsme již certifikát prověřili, ponechejte vybranou volbu Převzít (dědit) důvěryhodnost od vystavovatele a  uzavřete okno tlačítkem OK.

Otevřete znovu podepsanou zprávu a prověřte, zda nyní je již podpis v pořádku.


Prověření certifikátu
Už umíme nastavit certifikát jako důvěryhodný. I přes to je užitečné umět ověřit, zda certifikát skutečně ten, jaký má být.

V Outlooku opět zobrazte podpis emailu kliknutím na příslušné tlačítko a volbou Podrobnosti (viz. obrázek výše).

Zobrazte podrobnosti podpisu.
- zde jsou rovněž užitečné informace o času podepsání a adrese podpisu

Nás ale bude zajímat Zobrazení certifikátu. Na kartě Obecné prověříme Vystavitele a platnost.

Jste-li dostatečně paranoidní, měli byste ještě nezávislou cestou porovnat kryptografický otisk certifikátu (fingerprint). Ten najdete na kartě Podrobnosti.
- rovněž zde můžete certifikát vyexportovat pro jeho případnou instalaci do Windows nebo nalézt další užitečné informace

Porovnejte otisk s otiskem zveřejněným na našich stránkách.


2. Thunderbird
Import certifikátu do Thunderbirdu
Thunderbird nepoužívá úložiště Windows, bude proto potřeba certifikát naimportovat.

V otevřeném mailu klikněte na ikonku zabezpečení zprávy (1.) a poté na tlačítko Zobrazit certifikát pro podpis (2.).

Thunderbird prozatím podpisu nedůvěřuje, protože nezná certifikační autoritu Actalis. 

Před uložením certifikátu je vhodné nejprve jej prověřit. Předpokládejme, že jsme to již udělali (pokud ne, můžete použít link z předchozí věty).

Uložte certifikát na disk - sekce Informace o autoritě – soubor má název cacertificate_actalis_autclientg3.cer

Certifikát můžete stáhnout i přímo kliknutím na tento odkaz - http://cacert.actalis.it/certs/actalis-autclig3

 
Naimportujte do Thunderbirdu mezi autority
1. menu Možnosti > Soukromí a zabezpečení – tlačítko Spravovat certifikáty...

2. v okně Správce certifikátů přejděte na záložku Autority > Importovat

3. použijte soubor cacertificate_actalis_autclientg3.cer uložený na disk v bodu 2

4.  při importu nastavte důvěryhodnost
  
- přinejmenším uznejte autoritu pro identifikaci uživatelů pošty

Otevřete znovu podepsanou zprávu a prověřte, zda nyní je již podpis v pořádku
 
- pomocí tlačítka Zobrazit certifikát pro podpis můžeme zobrazit certifikát
 

Certifikační autoritu rovněž můžeme přidat i do sytému (úložiště Windows)
Spusťte soubor cacertificate_actalis_autclientg3.cer, který jste v předchozích krocích uložili na disk . Otevřete tím certifikát CA.

Nainstalujte do systému kliknutím na tlačítko Nainstalovat certifikát > Aktuální uživatel > Automaticky vybrat úložiště > Dokončit.

 
Prověření certifikátu v Thunderbirdu
Už umíme naimportovat certifikát nové certifikační autority. Tím, že jí důvěřujeme, důvěřujeme rovněž i certifikátům jí vystaveným. Říká se tomu přenos důvěry. 
I přes to je užitečné umět ověřit, že certifikát je skutečně ten, jaký má být.
 
V Thunderbirdu zobrazíme certifikát podepsaného mailu kliknutím na tlačítko Zobrazit certifikát pro podpis

Prověříme subjekt, vydavatele, platnost a emailovou adresu, pro kterou je certifikát vystaven – INTERNET.CZ. | Actalis S.p.A. | platnost | is@forpsi.com

Pokud souhlasí, je vše v pořádku

Jste-li dostatečně paranoidní, měli byste ještě nezávislou cestou porovnat otisk certifikátu (fingerprint).

Porovnejte otisk s otiskem zveřejněným na našich stránkách.