Z mého pohledu, přinesl iOS 5 dvě velmi zásadní novinky. Jednou je Oznamovací centrum (kterým dohnal ostatní chytré telefony) a druhým je konečně funkční podpora S/MIME standardu. Nejde ani tak o šifrování jako takové, jako spíše o elektronický podpis, ale začněme postupně.
Certifikáty
Aby mohla celá legrace okolo podpisů fungovat. Potřebujete certifikát. V konečném důsledku soubor, který získáte od certifikační autority. Vše o čem se nyní budeme bavit, je velmi dobře popsáno v knize Jiřího Peterky Báječný svět elektronického podpisu (, kterou lze stáhnout zdarma na stránkách http://public.nic.cz/files/bajecny_svet/peterka_bs_cznic.pdf). Na detaily vás tedy odkáži do této knihy. V praxi potřebujete znát následující (přestože je to značně zjednodušeno): Aby vše fungovalo, jsou součástí certifikátů dvě části. Veřejný klíč a privátní klíč. Privátní klíč braňte svým životem. Veřejný klíč můžete vnucovat komu chcete, od toho je veřejný. Certifikační autorita pak této celé legrace dělá jakousi nadstavbu, kdy potvrzuje, že váš veřejný klíč je opravdu váš.
Pro získání certifikátu, potřebujete přesvědčit některou z certifikačních autorit, aby vám jej vydala. Můžete použít certifikáty akreditovaných společností, avšak ty mají svá úskalí. Ne vždy totiž je certifikační autorita rozpoznaná a tak se vám může hlásit jako nedůvěryhodná. To pak může působit určité problémy. Další věcí je, že pokud jej nepotřebujete pro komunikaci s orgány veřejné moci, je levnější si pořídit certifikát jinde. Pokud však i přesto chcete takový certifikát, obraťte se s návodem na stránky PostSignum, První certifikační autority či eIdentity a.s., které jsou v době psaní článku jediné akreditované pro výdej certifikátu akceptovatelnými úřady.
V současnosti je jednou z nejlevnějších možností využití služeb StartCom, která v rámci projektu startssl nabízí emailový certifikát zdarma, jako svého času nabízelo Thawte (Thawte jej však již od roku 2009 nenabízí). Stačí jít na stránky https://www.startssl.com/ (Doporučuji v tomto případě použít raději Firefox než Safari) a zde klepnout na tlačítko Sign-up. Vyplňte formuláře (Krátký kurz angličtiny: First, Last Name = Jméno, Příjmení; Complete Home Address= Celá adresa domů; Street, House, Number = Ulice, Dům, Číslo; Zip, Locality/Place = PSČ, Místo/Město; Country=Země; State/Region = Kraj(alespoň v tomto smyslu); Phone=Telefon, Email=Email). Je nutné vás upozornit, že je nezbytné vyplnit údaje pravdivě. Společnost může mít v určitých případech chuť tyto údaje ověřovat. Formulář odešlete klepnutím na Continue.
Po registraci potřebujete ověřovací kód, který vám přijde na email (já vám, říkal že údaje budou ověřovány). Ihned po odeslání formuláře se zobrazí stránka, který tento kód bude vyžadovat. Vepište jej a pokračujte. Následná stránka vás upozorní, že vaše přihlášení bude překontrolováno na straně StartCom, což může trvat až 6 hodin (mojí maličkosti však přišel email se schválením během několika minut). V potvrzovacím emailu je pak další odkaz a další kód. Na stránce tento kód vyplňte a klepněte na Continue.
Nyní pokračujete vytvořením klientského certifikátu (aby jste se mohli přihlásit na startssl bez znalosti hesla). Doporučuji, pokud je to možné, využívat vysokého stupně zabezpečení. Vyberte ve formuláři 2048 a klepněte na Continue. Vytvoří se vám osobní klíč a na další stránce vám stránka nabídne instalaci certifikátu (Install certificate) Klepněte na Install, protože certifikát budete potřebovat. Klepněte na Finish. Nejhorší část máte za sebou.
Certifikát, který můžete použít k podpisu byl již tímto krokem vytvořen. Pokud chcete vytvořit nějaký další, musíte si projít Validation Wizardem a nechat si ověřit, že se jedná o váš email a pak Certification Wizardem a nechat si podobným postupem vygenerovat certifikát pro další emailové adresy.
V tuto chvíli, je certikát i s veřejným klíčem uložen ve vašem prohlížeči (V případě Safari v KeyChainu). Proto je nutné jej vyexportovat. Postup pro Firefox je následujicí:
- V nabídce Tools (Nástroje), vyberte položku Možnosti (Options).
- V dialogovém okně vyberte záložku Rozšířené (Advanced) a Šifrování (Encryption). Klepněte na tlačítko Certifikáty (Certificates)
- Ve správci certifikátu se ujistěte, že jste na záložce Osobní (Personal). Zde by měl být řádek StartCom Ltd., jako vydavatel certifikátu a pokud je tato položka rozbalená, uvidíte všechny osobní certifkáty vydané touto společností. Klepněte na ten označený jako StartCom Free Certificate Member a klepněte na tlačítko Zálohovat (Backup). Rozumě si pojmenujte soubor a uložte na nějaké bezpečné místo. Zvolte si heslo (čím složitější tím lepší) a napište jej prvních dvou políček formuláře. Až to uděláte, klepněte na OK a můžete Firefox zavřít.
Výsledkem této akce je soubor s koncovkou p12. Teď tento soubor musíte dostat do iPhone. Můžete použít iOS aplikace Phone Drive či iFlashDrive. Pokud máte tyto aplikace stažené z iTunes. V iTunes si vylistujte telefon, vyberte si záložku aplikace a zde nahrajte p12 soubor do telefonu.
V telefonu pak poklepejte na .p12 soubor a zvolte instalaci certifikátu. Certifikát máme, můžeme pokračovat nastavením iOS.
Nastavení S/MIME
Přijímat S/MIME poštu můžete od doby, kdy máte nainstalován iOS 5. Šifrovanou poštu by jste měli být schopni přečíst od doby, kdy máte nainstalovány certifikáty. Nyní zbývá jen nastavit, aby pošta, kterou odesíláte se šifrovala či podepisovala dle vašeho přání. Postup je jednoduchý. V iOS si spuťte Nastavení a zde si vyberte položku Pošta, kontakty, kalendáře (Mail, Contacts, Calendars). Najděte si příslušný emailový účet a klepněte na něj, Klepněte na příslušný účet a na kartě Účet (Account) si vyberte poslední položku Ostatní (Others). Zde se nastavuje chování stránky atp. Poslední položkou je S/MIME, které musíte povolit. Klepnutím na Podepsat zvolte, že chcete podepisovat emaily a vyberte si certifikát, který chcete podepisovat poštu. Ještě upozorňuji, že email v certifikátu se musí schodovat s tím, kterým emaily odesíláte. Nelze tedy mít certifikát jan.novak@gmail.com a odesílat poštu jako novak.jan@gmail.com. Stejným způsobem postupujeme při šifrování certifikátu.
Gratuluji, váš emailový klient v iOS nyní umí šifrovat poštu.
Instalace cizích klíčů
Abych byl přesný, šifrovat sice můžete, ale šifrovaný email pošlete stěží sami sobě. Šifrování je o trochu složitější než pouhý podpis v tom, že vyžaduje veřejný klíč osoby, které email adresujete. V praxi to znamená, že vám osoba, které chcete poslat zašifrovaný email, musí nejdříve poslat email obyčejný, pouze podepsaný.
Když tedy získáte email, podepsaný osobou které chcete posílat šifrovanou poštu, musíte si jej otevřít v Mailu (v iOS zařízení) a zde si klepnout na ikonku ve které je jméno odesílatele (From). Jestliže je email opravdu podepsán, měla by tam mít vedle jména takový kostrbatý kruh s háčkem. Našli? Poklepali? Měla by se zobrazit informace o dotyčném společně s informací o certifikátu. Certifikát by vám měl říci, zda je důvěryhodný a vedle něj by mělo být tlačítko Instalovat (Install). Je na vás, zda přijmete nedůvěryhodný certifikát. Obecně se to nedoporučuje, prakticky se může jednat pouze o závadu v tom, že na vašem iOS zařízení není příslušný certifikát certifikační autority. Doporučuje se tedy si certifikát obstarat, a teprve po řádném ověření instalovat. Důvod je prostý, zamezíte tím podvržení certifikátu z neznámého zdroje.
Když už je příslušný veřejný certifikát nainstalován. Můžete klidně psát emaily dotyčnému a Mail vám bude komunikaci šifrovat. Když máte adresátův veřejný klíč, email bude v modrém poli a vedle jména bude zamčený zámek. Pokud klíč nemáte, bude email v růžovém poli a vedle jména bude odemčený zámek. Mail vás pak v horním řádku informuje, zda email bude šifrován nebo pouze podepsán.
