Pro šifrování emailů se používá asymetrická kryptografie, kde je jiný klíč pro šifrování a jiný pro dešifrování. Dále volíme algoritmus, který se pro šifrování použije, příkladem je nejčastější AES (256-bit) či výrazně slabší 3DES, RC2, apod.

Abychom někomu mohli poslat šifrovaný email, tak musíme vlastnit jeho šifrovací certifikát, přesněji veřejný klíč. Pomocí něj se zpráva zašifruje a dešifrovat lze pouze pomocí odpovídajícího privátního klíče (ten je u nás uložen na smartcard). Když se zpráva odešle, tak se ukládá i u odesilatele do odeslaných zpráv, tam je zpráva zašifrována jeho klíčem.

Pozn.: Důležité je upozornit, že pokud máme šifrované zprávy a přijdeme o svůj privátní klíč, tak je nemůžeme nijak otevřít. To znamená, když skončí platnost našeho certifikátu a získáme nový, tak již neotevřeme staré zprávy.

Nastavení certifikátů v MS Outlook 2010

Abychom mohli použít funkci podepisování a šifrování elektronických zpráv, tak musíme vytvořit Digital ID, tedy nastavit v poštovním klientu patřičné certifikáty.

• spustíme Microsoft Outlook 2010
• v menu zvolíme File - Options
• vlevo zvolíme Trust Center
• vpravo klikneme na tlačítko Trust Center Settings
• vybereme vlevo E-mail Security
• v sekci Encrypted e-mail klikneme na Settings...
• v sekci Certificates and Algorithms
• klikneme na Choose... u Signing Certificate a vybereme certifikát pro podepisování
• klikneme na Choose... u Encryption Certificate a vybereme certifikát pro šifrování (může být stejný, jako podepisovací)
• klikneme OK

Publikace certifikátů do GALu v MS Outlook 2010

• spustíme Microsoft Outlook 2010
• v menu zvolíme File - Options
• vlevo zvolíme Trust Center
• vpravo klikneme na tlačítko Trust Center Settings
• vybereme vlevo E-mail Security
• klikneme na Publish to GAL ...
• vložíme kartu, potvrdíme OK a zadáme svůj PIN
• dostaneme zprávu o úspěšném publikování certifikátu, klikneme OK

Jak získat certifikát pro příjemce

Abychom někomu mohli odeslat šifrovaný email, tak musíme mít jeho veřejný klíč. Ve firemním prostředí nastávají dvě situace a to pro interní zaměstnance (využívá se Active Directory, Exchange server a sdílený adresář) a pro osoby z venku.

Global Address List (GAL)

Všichni zaměstnanci by si měli publikovat své certifikáty do Active Directory (domény), čímž se certifikát dostane do Global Address List (GAL). Pak je certifikát automaticky přístupný všem ostatním zaměstnancům.

Pokud zveřejníme náš certifikát, tak se se uloží k účtu uživatele do Active Directory. Následně se v pravidelných intervalech (jedenkrát za hodinu) na Exchange serveru generuje Offline Address Book . Tento adresář si opět v určitých intervalech stahuje MS Outlook. Z toho plyne, že po zveřejnění certifikátu není okamžitě dostupný ostatním uživatelům!

Osobní kontakty

Standardní metoda, jak používat certifikát pro příjemce, je pomocí kontaktů. Příjemce nám musí poslat podepsanou zprávu, součástí podpisu jsou také oba certifikáty (podpisový a šifrovací, může se používat i jeden společný, odesílají se veřejné klíče) a certifikáty autorit (CA). Z přijatého emailu si příjemce přidáme do kontaktů, automaticky se tak uloží i certifikát. Certifikát si můžeme prohlédnout v detailu kontaktu, na záložce Contact, tlačítko Certificates.

Jak odeslat šifrovanou zprávu

Nejprve musíme mít v Outlooku vytvořeno naše Digital ID, to znamená mít nastavené certifikáty pro šifrování a podpisování. Potom již máme k dispozici tlačítka při psaní nové zprávy. Na záložce Options, tlačítko Encrypt a Sign.

Problémy s odesláním šifrovaného emailu a jejich řešení

V praxi se objevuje velké množství problémů, kdy se nepodaří odeslat šifrovanou zprávu. Přitom chybová zpráva je většinou stejná. Problém může být jak na straně příjemce (publikace certifikátu), tak na straně odesílatele (nefunkční Digital ID).

Není vytvořeno Digital ID

Probém: Chci šifrovat, ale u zprávy nemám tlačítko pro šifrování.

Řešení: Znamená to, že nemám nastavené certifikáty. Nastavím je podle předchozího návodu.

Nelze publikovat certifikát

Probém: Nastavil jsem si certifikáty, ale nemohu měnit použité algoritmy (položky jsou zašedlé) a/nebo  nelze publikovat certifikát do GALu (dostávám chybu).

Řešení: Často je to způsobeno problémem s aplikací/frameworkem, která zajišťuje přístup k certifikátu (čipové kartě). Zkusit reinstalaci či novou verzi, otestovat funkčnost v jiných aplikacích než pošta.

Otestování mého nastavení

Abych zjistil, že není problém v mém nastavení Outlooku, tak mohu zkusit publikaci do GAL (nevadí, když se provádí opakovaně). Pokud neprojde, tak se vrátím k předchozímu bodu.

Chybějící nebo neplatný certifikát

Problém: Chci šifrovat, ale při odeslání dostanu chybu.

Řešení: Nejčastější problém je, že příjemce nemá publikovaný certifikát v GALu nebo je tam uložena stará verze (uživatel získal následný certifikát a ten nepublikoval).

Ověření certifikátu můžeme provést tak, že si v Outlooku otevřeme Address Book. Klikneme pravým tlačítkem na osobu, které chceme napsat zprávu. A zvolíme Add to Contacts, tím se nám otevře detail, jak by vypadal v kontaktech. Na záložce Contacts klikneme na Certificates a zde vidíme certifikát v GALu. Potom můžeme okno zavřít, aniž bychom si kontakt uložili.

Pokud certifikát chybí nebo je neplatný, tak jej musí příjemce publikovat. Pak trvá nějakou dobu, než tento certifikát můžeme použít. Pokud chceme tento certifikát použít hned, tak je zde řešení, kdy přistoupíme napřímo k serveru. K tomu stačí smazat Offline Address Books.

Zavřeme Outlook, ve Windows 7 otevřeme složku c:\Users\{uživatelské jméno}\AppData\Local\Microsoft\Outlook\ ve Windows XP c:\Documents and Settings\{vaše uživatelské jméno}\Local Settings\Application Data\Microsoft\Outlook\. Zde je soubor outlook.ost s naší poštou a soubory *.oab případně adresář Offline Address Books s offline verzí firemního adresáře. Smažeme všechny adresářové soubory (oab a Offline Address Books) a spustíme Outlook. Nějakou dobu bude trvat, než se stáhne adresář ze serveru a po tu dobu využíváme online údaje.

Nedůvěryhodný certifikát

Problém: Chci šifrovat, ale při odeslání dostanu chybu.

Řešení: Abychom mohli šifrovat email, tak certifikát, který se použije, musí být pro nás důvěryhodný. To znamená, že certifikát certifikační autority, od které je vydán šifrovací certifikát, musíme mít v Trusted Root Certification Authorities (nebo podobné skupině).

Špatný certifikát v kontaktech

Problém: Chci šifrovat, ale při odeslání dostanu chybu.

Řešení: Často nastává i situace, kdy máme v osobních kontaktech uložený kontakt na některého kolegu. Pokud vytváříme zprávu a píšeme jméno, tak se prvně prohledávají osobní kontakty a pak teprve GAL. Navíc se po prvním použití uloží adresa do nickname cache a pak se používá tato. Jestliže pak u osobního kontaktu máme starý nebo žádný certifikát, tak se nám nepovede šifrovat.

Řešení je jednoduché. Když vytváříme zprávu, tak příjemce vybereme z GALu. To znamená, klikneme na tlačítko To a v adresáři GAL najdeme osobu. Pak se použije tento správný kontakt.