17.9 Odesílání zpráv zabezpečených pomocí standardu S/MIME

Aplikace GroupWise při odesílání zabezpečených zpráv spolupracuje s nainstalovaným bezpečnostním softwarem.

17.9.1 Požadavky

Funkce zabezpečení popsané v této části jsou k dispozici prostřednictvím jakýchkoliv zprostředkovatelů kryptografických služeb využívajících rozhraní API společnosti Microsoft a podporujících úplný klíč RSA nebo AES.

Nastavení zabezpečení

Odesílané položky můžete zabezpečit tak, že je digitálně podepíšete nebo zašifrujete. Když položku digitálně podepíšete, příjemce může ověřit, zda položka nebyla cestou změněna a zda skutečně pochází od vás. Když položku zašifrujete, můžete zajistit, aby ji byl schopen přečíst pouze oprávněný příjemce.

Položky podepsané nebo šifrované v aplikaci GroupWise může příjemce číst v libovolném e-mailovém programu používajícím zabezpečení S/MIME.

Seznámení s certifikáty zabezpečení

Bezpečnostní certifikát je soubor, který identifikuje osobu či organizaci. Před odesíláním zabezpečených položek musíte získat bezpečnostní certifikát. K získání certifikátu od nezávislého certifikačního úřadu použijte webový prohlížeč. Seznam certifikačních úřadů naleznete na webové stránce digitálních certifikátů GroupWise.

Bezpečnostní certifikát můžete také vyhledat pomocí protokolu LDAP.

Bezpečnostní certifikát slouží k digitálnímu podepisování odesílaných položek. Veřejné bezpečnostní certifikáty ostatních uživatelů slouží k ověřování digitálně podepsaných položek, které od nich přijímáte.

Chcete-li zašifrovat položku a umožnit příjemci, aby ji dešifroval, musíte nejdříve přijmout bezpečnostní certifikát uživatele. K šifrování slouží součást tohoto bezpečnostního certifikátu nazývaná veřejný klíč. Když příjemce šifrovanou položku otevře, bude dešifrována pomocí jiné součásti bezpečnostního certifikátu nazývané soukromý klíč.

Veřejný bezpečnostní certifikát určitého uživatele můžete získat dvěma způsoby:

  • Uživatel vám může poslat digitálně podepsanou položku. Při otevření položky budete vyzváni k přidání bezpečnostního certifikátu do databáze a stanovení důvěryhodnosti.

  • Uživatel také může exportovat svůj veřejný certifikát, uložit jej na disk nebo externí jednotku a doručit na vaši adresu. Poté můžete veřejný certifikát importovat.

Přijímání zabezpečených položek

Zabezpečené položky jsou v seznamu položek označeny následujícími ikonami:

Ikona

Popis

Podepsaná položka

Šifrovaná položka

Podepsaná a šifrovaná položka

Použití poskytovatelů služeb zabezpečení

Podle nainstalovaného bezpečnostního softwaru můžete pro odesílané položky zvolit různé zprostředkovatele služeb zabezpečení. V organizaci mohou být například stanovena pravidla pro odesílání pracovních položek pomocí jednoho zprostředkovatele služeb zabezpečení (pro preferovanou metodu šifrování), zatímco pro soukromou poštu můžete používat jiného zprostředkovatele služeb zabezpečení. Dostupné možnosti zabezpečení závisí na vybraném zprostředkovateli služeb zabezpečení.

Další informace naleznete v části Výběr poskytovatele služeb zabezpečení.

Podrobnější informace

Aplikace GroupWise je kompatibilní se specifikací S/MIME verze 2 a 3. Zprostředkovatelé služeb zabezpečení podporovaní aplikací GroupWise pracují s běžnými šifrovacími algoritmy, jako jsou RC2 a RC4 a v systému Windows 7 nebo novějších verzích také AES. Při digitálním podepisování položky aplikace GroupWise zapíše hodnotu hash položky do výtahu ze zprávy s použitím standardního algoritmu SHA-1. Výběr je odeslán s položkou.

Další informace naleznete v části Výběr poskytovatele služeb zabezpečení.

17.9.2 Digitální podpis nebo šifrování zprávy

Chcete-li zašifrovat položku a umožnit příjemci, aby ji dešifroval, musíte nejdříve přijmout bezpečnostní certifikát příjemce.

  1. Zkontrolujte, zda máte bezpečnostní certifikát a zda jste vybrali zprostředkovatele zabezpečení, kterého chcete použít.

  2. Otevřete zobrazení položky.

  3. Klikněte na pole Komu, zadejte uživatelské jméno a stiskněte klávesu Enter. Tento postup opakujte i pro další uživatele.

  4. Kliknutím na ikonu můžete položku digitálně podepsat.

  5. Kliknutím na ikonu můžete položku zašifrovat.

  6. Zadejte věc a zprávu.

  7. Klikněte na tlačítko Odeslat na panelu nástrojů.

    Pokud program při pokusu o odeslání zobrazí zprávu Certifikát příjemce nenalezen, došlo k jedné z následujících situací: 1) Pokoušíte se zašifrovat položku pro příjemce, jehož veřejný certifikát nevlastníte. 2) E-mailová adresa ve veřejném certifikátu nesouhlasí s e-mailovou adresou příjemce. 3) Ve veřejném certifikátu příjemce není žádná e-mailová adresa a adresu příjemce tedy nelze ověřit.

    Pokud platí bod 1), musíte získat veřejný bezpečnostní certifikát příjemce. Pokud platí bod 2) nebo 3), zkuste kliknutím na tlačítko Hledat certifikát nalézt certifikát příjemce.

17.9.3 Digitální podpis a šifrování všech zpráv

Digitální podpis a šifrování všech zpráv:

  1. Klikněte na Nástroje > Možnosti.

  2. Dvakrát klikněte na položku Zabezpečení a klikněte na kartu Možnosti odeslání.

  3. Vyberte možnost Digitální podpis nebo Šifrovat pro příjemce.

  4. Klikněte na tlačítko Upřesněné možnosti a proveďte příslušné výběry.

  5. Dvakrát klikněte na tlačítko OK a pak klikněte na tlačítko Zavřít.

17.9.4 Získání bezpečnostního certifikátu u certifikačního úřadu

Ve většině společností vydává bezpečnostní certifikáty správce systému GroupWise. Pokud nevíte, kde můžete získat bezpečnostní certifikát, obraťte se na správce systému GroupWise.

  1. Klikněte na Nástroje > Možnosti.

  2. Dvakrát klikněte na položku Certifikáty.

  3. Klikněte na tlačítko Získat certifikát.

    Spustí se webový prohlížeč a zobrazí se stránka GroupWise se seznamem certifikačních úřadů. Tento seznam není úplný. Aplikace GroupWise podporuje širokou škálu certifikačních úřadů.

  4. Vyberte certifikační úřad, který chcete používat, a poté postupujte podle pokynů na webu.

    Pokud jste k získání certifikátu použili prohlížeč Internet Explorer, certifikát bude v aplikaci GroupWise automaticky k dispozici. Použijete-li k získání certifikátu aplikaci Firefox nebo Chrome, musíte certifikát z prohlížeče exportovat nebo zálohovat (postup naleznete v dokumentaci prohlížeče). Další informace naleznete v části Import a export bezpečnostních certifikátů.

  5. V aplikaci GroupWise klikněte na Nástroje > Možnosti, dvakrát klikněte na položku Zabezpečení a pak klikněte na kartu Možnosti odeslání.

  6. V seznamu Název v oblasti Vyberte poskytovatele služeb zabezpečení vyberte položku Microsoft Base Cryptographic Provider nebo Microsoft Enhanced Cryptographic Provider.

    Vyberte příslušného zprostředkovatele služeb zabezpečení podle síly šifrování certifikátu, který používáte. Síla šifrování certifikátu závisí na síle šifrování prohlížeče použitého k jeho získání. Pokud například máte prohlížeč Internet Explorer s nainstalovaným 128bitovým šifrováním, síla šifrování je vysoká a šifrování pracuje pouze se zprostředkovatelem Microsoft Enhanced Cryptographic Provider.

  7. Klikněte na tlačítko OK.

  8. Dvakrát klikněte na možnost Certifikáty, klikněte na certifikát, který chcete používat, a pak klikněte na tlačítko Nastavit jako výchozí.

  9. Klikněte na tlačítko OK a pak na tlačítko Zavřít.

17.9.5 Výběr poskytovatele služeb zabezpečení

  1. V hlavním okně klikněte na příkaz Nástroje > Možnosti.

  2. Dvakrát klikněte na položku Zabezpečení a klikněte na kartu Možnosti odeslání.

  3. V rozevíracím seznamu Název vyberte zprostředkovatele služeb zabezpečení.

  4. Klikněte na tlačítko OK a pak na tlačítko Zavřít.

Vybraný zprostředkovatel služeb zabezpečení zahájí práci ihned po přihlášení (pokud je přihlášení povinné). Dostupné možnosti a metody šifrování závisí na vybraném zprostředkovateli služeb zabezpečení.

Možnosti poskytovatele služeb zabezpečení nelze zvolit pro jednotlivé položky. Tyto možnosti je nutné vybrat v hlavním okně.

17.9.6 Volba bezpečnostního certifikátu pro digitální podepisování položek

Výběr certifikátu zabezpečení pro digitální podepisování:

  1. Klikněte na Nástroje > Možnosti.

  2. Dvakrát klikněte na položku Certifikáty.

  3. Klikněte na název certifikátu.

  4. Klikněte na tlačítko Nastavit jako výchozí.

  5. Klikněte na tlačítko OK a pak na tlačítko Zavřít.

17.9.7 Používání protokolu LDAP k vyhledávání šifrovacích certifikátů příjemce

Před použitím adresářové služby LDAP ke hledání bezpečnostních certifikátů musíte adresářovou službu LDAP přidat do adresáře aplikace GroupWise. Další informace naleznete v části Přidání adresářové služby do adresáře.

  1. Klikněte na Nástroje > Možnosti a pak dvakrát klikněte na položku Zabezpečení.

  2. Klikněte na kartu Možnosti odeslání.

  3. Klikněte na tlačítko Upřesněné možnosti.

  4. Vyberte možnost Hledat šifrovací certifikáty příjemce ve výchozím adresáři LDAP definovaném v adresáři LDAP.

  5. Dvakrát klikněte na tlačítko OK a pak klikněte na tlačítko Zavřít.

17.9.8 Výběr metody použité k šifrování položek

  1. Klikněte na Nástroje > Možnosti.

  2. Dvakrát klikněte na položku Zabezpečení a klikněte na kartu Možnosti odeslání.

  3. Klikněte na tlačítko Upřesněné možnosti.

    Použít algoritmus šifrování upřednostňovaný příjemcem, pokud je k dispozici: Aplikace GroupWise se pokouší používat algoritmus šifrování preferovaný příjemcem, je-li k dispozici.

    Šifrovací certifikáty příjemce vyhledejte ve výchozím adresáři LDAP definovaném v adresáři LDAP: Aplikace GroupWise používá k vyhledávání šifrovacích protokolů příjemce definovaný adresář LDAP.

    Výchozí algoritmus šifrování: V poli Šifrované položky lze procházet rozevírací seznamy algoritmů šifrování. Obsahují všechny šifrovací algoritmy, které jsou podporovány použitou verzí webového prohlížeče nainstalovaného v pracovní stanici, na které je spuštěn klient GroupWise. Následuje vzorový seznam:

    • 3DES (168 bitů)

    • DES (56 bitů)

    • RC2 (128 bitů)

    • RC2 (40 bitů)

    • RC2 (56 bitů)

    • RC2 (64 bitů)

    • RC4 (128 bitů)

    • AES (128 bitů)

    • AES (256 bitů)

    Rozesílat preferovaný algoritmus šifrování v podepsaných položkách jako: Při odesílání šifrované položky můžete zadat svůj preferovaný algoritmus šifrování.

    Odesílat část zprávy ve formátu prostého textu (prostý podpis): Odešle zprávu ve formátu prostého textu, jinak se odesílá s kódováním PKCS7.

    Zahrnout certifikáty mého certifikačního úřadu: Certifikát vašeho certifikačního úřadu je zahrnut do odesílané zprávy.

    Kontrolovat v příchozích/odchozích položkách odvolané certifikáty: Zkontroluje příchozí a odchozí položku zabezpečení podle seznamu odvolaných certifikátů.

    Upozornit, pokud je odvolávací server v režimu offline: Pokud je odvolávací server v režimu offline, když aplikace GroupWise provádí kontrolu, zobrazí se upozornění.

    Upozornit, pokud v certifikátech není informace o odvolání: Pokud v certifikátu není informace o odvolání certifikátu, zobrazí se upozornění.

    Nekontrolovat shodu certifikátu se specifikací S/MIME: V certifikátu se nekontroluje shoda se specifikací S/MIME.

    Kontrolovat shodu certifikátu dle S/MIME verze 2: Kontroluje se shoda certifikátu se standardem S/MIME verze 2.

    Kontrolovat shodu certifikátu dle S/MIME verze 3: Kontroluje se shoda certifikátu se standardem S/MIME verze 3.

  4. Vyberte požadované možnosti v oblasti Šifrovaná položka.

  5. Dvakrát klikněte na tlačítko OK a pak klikněte na tlačítko Zavřít.

Dostupné způsoby šifrování závisí na vybraném zprostředkovateli služeb zabezpečení.

17.9.9 Kontrola, zda byl ověřen digitální podpis položky

Zobrazení informace o tom, zda byl digitální podpis ověřen:

  1. Otevřete přijatou digitálně podepsanou položku.

  2. Klikněte na příkaz Soubor > Vlastnosti zabezpečení.

  3. Kliknutím na jednotlivé karty zobrazte informace o použitém bezpečnostním certifikátu.

Při otevření položky se ověřuje digitální podpis. Pokud jsou certifikáty podepisující položku sporné, zobrazí program okamžitě upozornění nebo chybovou zprávu a ve stavovém řádku položky bude uveden text „Nedůvěryhodně“.

Pokud digitální podpis nebyl ověřen, může být bezpečnostní certifikát neplatný nebo byl po odeslání zprávy změněn její text.

17.9.10 Zobrazení přijatých bezpečnostních certifikátů a změna důvěryhodnosti

Zobrazení přijatých certifikátů zabezpečení nebo změna důvěryhodnosti:

  1. V úplném seznamu složek klikněte na složku Kontakty.

    Chcete-li mít přístup k úplnému seznamu složek, klikněte na rozevírací seznam záhlaví seznamu složek (nad seznamem složek; pravděpodobně je v něm zobrazen text Online nebo Mezipaměť, který indikuje, v jakém režimu je aplikace Groupwise spuštěna). Poté klikněte na položku Úplný seznam složek.

    nebo

    Otevření adresáře.

  2. Dvakrát klikněte na kontakt a klikněte na kartu Upřesnit.

  3. Klikněte na tlačítko Správa certifikátů.

  4. Klikněte na certifikát a pak na položku Zobrazit podrobnosti.

Pokud jste certifikát zabezpečení příjemce původně považovali za nedůvěryhodný a chcete důvěryhodnost změnit, otevřete některou digitálně podepsanou položku od tohoto příjemce, klikněte na certifikát zabezpečení, na tlačítko Upravit důvěryhodnost, vyberte možnost důvěryhodnosti a klikněte na tlačítko OK.

Pokud nechcete certifikátu příjemce nadále důvěřovat, klikněte na certifikát zabezpečení, klikněte na tlačítko Odebrat a pak na tlačítko Ano.

Bezpečnostní certifikát příjemce odebraný ze seznamu bude odebrán i z databáze certifikátů. Pokud později přijmete položku s tímto bezpečnostním certifikátem, bude certifikát považován za neznámý.

17.9.11 Zobrazení vlastních bezpečnostních certifikátů

Zobrazení vlastních bezpečnostních certifikátů:

  1. Klikněte na Nástroje > Možnosti.

  2. Dvakrát klikněte na položku Certifikáty.

  3. Klikněte na certifikát a pak na položku Zobrazit podrobnosti.

Máte-li více bezpečnostních certifikátů, je výchozí certifikát označen znakem zaškrtnutí. Chcete-li změnit výchozí certifikát, klikněte na certifikát a pak na tlačítko Nastavit jako výchozí.

Název bezpečnostního certifikátu můžete změnit kliknutím na tlačítko Upravit vlastnosti a úpravou textu v poli Název certifikátu. Název certifikátu platí pouze pro seznam a není součástí samotného certifikátu.

17.9.12 Import a export bezpečnostních certifikátů

Při exportování svého bezpečnostního certifikátu se soukromým klíčem do souboru musíte exportovaný soubor chránit heslem. Exportovaný soubor můžete použít jako záložní kopii nebo pro import na jinou pracovní stanici. Pokud soubor a heslo získá jiný uživatel, může digitálně podepisovat položky vaším jménem a číst šifrované položky, které přijímáte.

Pokud exportujete veřejný certifikát, můžete ho odeslat jinému uživateli. Druhý uživatel může váš veřejný certifikát importovat a odeslat vám šifrované položky.

  1. Klikněte na Nástroje > Možnosti.

  2. Dvakrát klikněte na položku Certifikáty.

  3. Klikněte na možnost Import nebo Export.

    nebo

    Klikněte na možnost Certifikáty certifikačních úřadů a pak na možnost Import nebo Export.

  4. Zadejte název souboru včetně cesty.

    Soubor s certifikátem můžete vyhledat také kliknutím na tlačítko Procházet, kliknutím na název souboru a pak na položku Uložit nebo Otevřít.

  5. Je-li třeba, zadejte heslo certifikátu zabezpečení.

  6. Klikněte na tlačítko OK.