Az e-mailek aláírásáról és titkosításáról konyhanyelven

(ezen írás sok egyszerűsítést és pongyola fogalmazást tartalmaz, ha valaki egyszerűbben el tudná mesélni, jó lenne :)

Ha e-mail-t küldünk egymásnak, az több levelező szerveren is keresztül megy mire eléri a postafiókunkat. Egy e-mail elküldése leginkább egy képeslap feladásához hasonlítható, amit bárki elolvashat és megváltoztathat akinek a szerverén áthalad vagy tárolódik (a postafiókban).

Ahhoz, hogy biztosak lehessünk abban, hogy az üzenetet ténylegesen az adta fel aki a feladó sorban szerepel és az üzenetet nem írta át senki útközben, szükség van a szöveg '''digitális aláírására'''.

Ahhoz, hogy az üzenetet rajtunk kívül más ne tudja elolvasni, szükség van a '''tartalom titkosítására'''.

== Digitális aláírás és titkosítás ==

Két népszerű és szabványos megoldásról van tudomásom. Az egyik lehetséges megoldás a '''[http://wiki.hup.hu/index.php/PGP PGP vagy GPG]''' felhasználása. A másik megoldás az '''[http://en.wikipedia.org/wiki/X.509 X.509-es tanúsítvány]'''ok használata.

=== PGP/GPG ===

Ezt a megoldást úgy használhatjuk, hogy el kell készíteni egy „''kulcspárt''” ami egy ''titkos'' és egy ''nyilvános'' kulcsból áll. A ''nyilvános'' kulcsot szét kell osztani minden olyan személynek, akinek digitális aláírással ellátott levelet szeretnénk küldeni. Valamint be kell szereznünk mindenkinek a ''nyilvános'' kulcsát egyenként, akinek titkosítva szeretnénk levelet küldeni vagy ''ellenőrizni'' szeretnénk az általa küldött ''e-mail feladójának hitelességét''.

A beszerzett kulcsokról a beszerzés pillanatában egyenként el kell döntenünk, hogy a kulcs tényleg attól származik, akitől reméltük a kulcs érkezését. Majd a döntésünk alapján a levelező programunk minden alkalommal ellenőrzi, hogy az e-mail tartalma a feladótól származik-e és nem módosította más.

A ''PGP/GPG''-nél is létezik a „'''bizalmi háló'''” idegen szóval „'''Web of Trust'''”, amikor a résztvevők kölcsönösen, személyes találkozót követően, ''aláírhatják'' egymás nyilvános kulcsait. Így ha a címzett már rendelkezik egy számára hitelesnek elfogadott kulccsal de a feladó nyilvános kulcsát nem ismeri személyesen, de például egy központi nyilvános kulcsokat tároló szerverről letöltötte - ''az itt tárolt kulcsok semmilyen ellenőrzésen nem estek át a szervert üzemeltetők által'' -, és a kulcs alá van írva, hitelesítve van azzal a nyilvános kulccsal amiről a címzett tudja hogy a kulcs gazdája megbízható, feltételezheti, hogy a feladó kulcsa is hiteles.

=== X.509-es tanúsítvány ===

Ha ezt választjuk, akkor egy „''mindenki''” által elfogadott szervezetnél kell igényelnünk egy tanúsítványt. Ezek a szervezetek azért „mindenki” által elfogadottak, mivel a levelező programok automatikusan (''a megkérdezésünk nélkül'') elfogadják a szervezet tanúsítványait valódinak.

Ez a módszer előnye, mivel nem kell a címzettnek létrehoznia a saját „bizalmi hálóját” elég ha a hitelesítő szervezetben megbízik, és a hátránya is, ugyanis legtöbbször nincs sok lehetőség az ilyen szervezetek ellenőrzésére.

Először csak az e-mail kerül bele a tanúsítványba és a név nem. Ahhoz, hogy a név is bekerülhessen, a tanúsítvány igénylőjének ''személyazonosság ellenőrzésén'' kell átesnie.

A személyazonosság ellenőrzésének egyik módja a „'''bizalom hálója'''” idegen kifejezéssel „'''Web of Trust'''” vagy röviden „'''WoT'''”.

==== Bizalom hálója „WoT” (Cacert/Thawte) ====

Ennek a működése úgy néz ki, hogy
* a tanúsítványkiadó szervezetnek vannak „''megbízható''” személyei, akik a '''jegyző'''k (notary) vagy '''hitelesítő'''k (assurer)
* ezek a személyek a tanúsítvány igénylőjével ''személyes'' találkoznak
* ott a szervezet szabályainak megfelelően ellenőrzik a személyazonosságát az igénylőnek
* amennyiben a személyazonosság megfelelő, meghatározott pontszámot adhat az igénylőnek
* miután a tanúsítvány igénylője megszerzett bizonyos pontszámot (több hitelesítő személlyel való találkozás után) - általában '''50 pont''', az utána igényelt tanúsítványba már belekerülhet a neve is az e-mail cím mellett
* ha a megfelelő pontszámot (általában minimum '''100 pont''') eléri egy személy akkor hitelesítő válhat belőle is és más tanúsítvány igénylőnek adhat pontot

Nekem két szervezetről van tudomásom, ahol ingyen lehet hozzájutni ilyen tanúsítványhoz. Az egyik a [http://cacert.org/ Cacert.org] (sajnos a cikk írása időpontjában e szervezet tanúsítványait nem fogadja el minden levelező program) és a [https://www.thawte.com/secure-email/web-of-trust-wot/index.html?click=main-nav-products-wot Thawte].

A hitelesítők tudnak segíteni a szervezetek weboldalain való eligazodásban és a tanúsítvány megszerzésében.

Ha valakinek sikerült felkeltenem az érdeklődését, mindkét szervezetnél tudok hitelesíteni.
[http://linuxbox.hu/user/5/contact Itt] kereshettek.

(köszönet Borisznak, hogy felhívta a figyelmemet egy pontatlanságra.)

== Kapcsolódó cikkek ==

[http://linuxbox.hu/node/531 Tanúsítvány beszerzése Firefox böngészővel Thawte-től lépésről lépésre]

szimszon küldte be k, 2008-07-01 10:46 időpontban

Permalink

A továbbiakban az írás itt lesz karbantartva:

http://wiki.hup.hu/index.php/Az_e-mailek_aláírásáról_és_titkosításáról_konyhanyelven

szimszon küldte be p, 2008-07-04 21:43 időpontban

Permalink

És egy komoly leírás a témáról: [http://www.itktb.hu/Resource.aspx?ResourceID=docstorefile&f=724&t=stored S/MIME alapú biztonságos elektronikus levelezés]