Mariusz Jędrzejowski
Określanie tożsamości
osób
piszących do grup dyskusyjnych
(uaktualnienie z dnia 2 lipca 2006)
W usenecie (grupy dyskusyjne) wysyłający może wysyłać wiadomości
poprzez różne serwery
news (NNTP), z których wiele (szczególnie zagranicznych, jak na
przykład
ogólnodostępny bezpłatny serwer
nntp.aioe.org inne płatne
niedrogie to http://www.teranews.com/
http://www.newsgroups-download.com/
http://www.newsgroup-binaries.com/) nie umieszcza
nawet w publikowanej wiadomości
identyfikującego nadawcę nagłówka z numerem IP (jest to nagłówek
"NNTP-Posting-Host"), a jeśli umieszczają go, to nic nam
z tego nie przyjdzie, jeśli podróżujemy i łączymy się z serwerem grup
dyskusyjnych przez ciągle innego dostawcę w nowym miejscu naszego
pobytu, ponieważ ten numer IP się będzie zmieniał. Będzie się zmieniał
też wtedy gdy nasz dostawca internetowy zawsze przydziela nam
dynamiczne IP (np neostrada). Wiadomo przy tym że
swoją nazwę użytkownika lub nazwisko i nazwę email można wpisać dowolną
w wysyłanym artykule i stąd nie ma możliwości identyfikacji osoby która
go
wysłała. Co zrobić jeśli twoja firma chce być rozpoznawana w grupie
dyskusyjnej? Jeżeli korzystasz
zawsze z tego samego serwera grup dyskusyjnych i tego samego dostawcy
internetowego i masz stały adres IP, z dużą szansą możesz zostać
rozpoznany. Musisz w tym
wypadku nie tylko w swoich wypowiedziach umieścić adres swojej strony
internetowej, ale również na swojej stronie informacje z jakiego
serwera grup
wysyłasz i jaki używasz adres IP. Informacje te
skopiujesz z nagłówka wiadomości wysłanej do grupy. Będzie to końcówka
nagłówków "Path" i "NNTP-Posting-Host". Jeśli jednak
zmieniasz serwer grup lub dostawcę albo nie masz stałego numeru IP,
bezpieczniej dla ciebie będzie
stosowanie innego sposobu identyfikacji. Ta metoda to podpis
elektroniczny. Podpiszesz elektronicznie swoją
wiadomość żeby inni wiedzieli że to ty ją wysłałeś. Takie rozpoznanie
może się szczególnie przydać ważnym osobom i instytucjom jak autorzy
znanych stron internetowych, autorzy książek,
inżynierowie i
naukowcy omawiający swoje publikacje, firmy reklamujące swoje
towary i usługi. Może się przydać jednak także posiadaczom anonimowych
stron internetowych! W tym ostatnim przypadku czytający twoje
wypowiedzi koledzy z grupy dyskusyjnej nie poznają twojego prywatnego
adresu ani żadnych innych danych o tobie a jedynie będą wiedzieć że to
ty, ten sam ich wieloletni znajomy piszesz właśnie do grupy. Opisana w
tym artykule metoda daje bardzo dużą pewność identyfikacji, która, w
pewnych sytuacjach, nie byłaby w ogóle dostępna.
Podpisanie elektroniczne wypowiedzi zajmuje od kilku sekund do dwóch
minut (dwie minuty tylko wtedy jeśli wypowiedź zawiera polskie znaki,
bo
trzeba je usunąć; możesz nie usuwać polskich znaków i być rozpoznany
ale powinieneś skonfigurować swój program do grup dyskusyjnych tak, by
wysyłał nagłówek o rodzaju kodowania, np
Content-Type: text/plain;
charset=ISO-8859-2; format=flowed
warto zwrócić uwagę, że outlook
express standardowo nie wysyła tego nagłówka,
i dla możliwości odczytywania wiadomości przez google groups z
potwierdzeniem podpisu należy używać programu Netscape w wersji 8 lub 9
gdyż internet explorer dodaje dodatkowe spacje do wiadomości i w ten
sposób uniemożliwia sprawdzenie podpisu). Sprawdzenie kto jest autorem
podpisanej wypowiedzi zajmuje od dwóch minut (jeżeli sprawdzamy
pierwszy raz daną osobę) do 20
sekund (gdy już wcześniej sprawdzaliśmy podpis tego autora).
Podpis elektroniczny w usenecie jest pewną odmianą
podpisu
elektronicznego jaki ma być stosowany i uznawany w urzędach państwowych
w Polsce, zgodnie z prawem. Działa na podobnej zasadzie, jedynie używa
innego oprogramowania. Najbardziej popularne podpisy elektroniczne są
składane z użyciem systemów "PGP" albo "S/MIME". Niestety bardziej
znanego systemu
"S/MIME" praktycznie nie da się używać na większości serwerów news gdyż
tak podpisaną wiadomość serwer traktuje jako wiadomość z załącznikiem
albo binaria i nie opublikuje jej w grupe niebinarnej.
Pozostaje jedynie podpisywanie w
trybie tekstowym z użyciem systemu "PGP". System ten wymaga
zainstalowania dodatkowego oprogramowania "PGP wersja 9" (stosowanie
innych programów niż PGP 9 jest możliwe o ile da się w nich ustawić
serwer kluczy jako "keyserver.pgp.com" typu LDAP port 389 dla uzyskania
certyfikowanych kluczy własnych i obcych z
tego serwera. Jeśli nie da się uzyskać tych certyfikatów, nie
należy używać danego programu gdyż może on
nieprawidłowo weryfikować podpis jako
należący do danej osoby, mimo że został złożony przez kogoś innego, z
powodu wady która może zostać wykorzystana do przeprowadzenia tzw
"dead
beef attack").
Co prawda większość funkcji programu PGP 9 wymaga wykupienia licencji,
jednak potrzebny nam system
podpisu elektronicznego i certyfikatów działa w wersji
niezarejestrowanej, czyli zarówno wysyłający podpisane wiadomości jak i
czytający, sprawdzający podpis, mogą to robić bezpłatnie. Jedynie
użytkownicy chcący stosować program do celów zarobkowych są zobowiązani
do zakupu licencji (kosztuje ona 420
zł dla "PGP 9 desktop home").
Jest możliwe użycie programu PGP 9 w systemie windows xp z
ograniczonymi prawami. W tym celu należy usunąć z autostartu skrót do
"PGPtray" i zrobić nowy skrót któremu należy przypisać ścieżkę do
programu "PGPtray.exe". Po kliknięciu prawym guzikiem na ten skrót
wybieramy "uruchom jako"=>"następujący użytkownik" i wpisujemy nazwę
użytkownika i hasło (najczęściej
będzie to nazwa użytkownika o prawach administratora).
Dla chcących
używać
podpis
elektroniczny i szyfrowanie tylko e-maili jest dodatkowa informacja.
Idźcie na
koniec tego artykułu gdzie przeczytacie o bezpłatnym certyfikowaniu
możliwym do wykorzystania w programach "Outlook Express" i "Netscape
Mail".
Wiadomość
opublikowana w usenecie, podpisana
elektronicznie przez "PGP", będzie wyglądać na przykład tak:
-----BEGIN
PGP SIGNED MESSAGE-----
Hash: SHA1
Oczywiscie ametyst tez bedzie
pasowal do tego ubrania,
chyba ze chcialbys miec inny kolor, ale wtedy wiecej
zaplacisz. W naszym zakladzie jubilerskim tniemy je
na kilka mniejszych zgodnie z zyczeniem klienta.
-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0.2
iQA/AwUBRIvlhVPUsQZfgJTAEQJLJgCfVwpgi0TCUB5NhNTF46djrDyGoPYAnj6i
HVt0GJ+Tpltdfml2N1nHzEdf
=hDsT
-----END PGP SIGNATURE-----
Mamy tutaj:
1) nagłówki kontrolne (które informują program "PGP" jaki
obszar zajmuje wypowiedź)
2) część na górze zawierającą wypowiedź
3) część na dole
zawierającą podpis elektroniczny.
Niestety część zawierająca wypowiedź
powinna być (przy stosowaniu tego systemu PGP w trybie tekstowym)
sporządzona bez udziału typowo polskich liter bo mogą one nie zostać
rozpoznane i prawidłowo zweryfikowane w tym systemie i czytający twoją
wypowiedź nie rozpozna ciebie jako nadawcy. Problem polega na użyciu w
programach do grup dyskusyjnych różnych stron kodowych przez
wysyłającego i odbierającego. Z różnych powodów te strony mogą się
różnić i wtedy nie będzia można prawidłowo zweryfikować podpisu. Jeśli
cytujesz swojego
przedmówcę, zamień w cytowanym tekście polskie litery na ich
odpowiedniki anglojęzyczne. Przy dłuższych cytatach pomocny ci będzie ten
program do takiej zamiany.
By rozpoznać autora wiadomości wysłanej do grupy
dyskusyjnej, musimy posiadać wcześniej jego klucz identyfikacyjny
(nazywany "kluczem publicznym PGP"). Klucz ten powinniśmy uzyskać ze
źródła
godnego zaufania; by mieć pewność że należy do danej osoby lub
instytucji dla zapobiegania fałszerstwom. W zastosowaniach
profesjonalnych, gdy
składamy podpis elektroniczny mający moc prawną, fakt, że dany klucz
publiczny należy do danej osoby lub organizacji, jest
poświadczany poprzez firmę autoryzującą go w postaci certyfikatu.
Istnieje pewna grupa firm mających licencję na poświadczanie kluczy. W
przypadku publikacji prywatnych w grupach dyskusyjnych nie stosuje się
poświadczania klucza w takiej firmie gdyż uzyskanie
takiego poświadczenia jest drogie (takie
certyfikaty wymagają wnoszenia stałych opłat okresowych). W
takiej sytuacji stosujemy certyfikowanie kluczy udostępnione w wersji 9
programu PGP
przez serwer wydawcy programu (wersje wcześniejsze niż 9 nie mają tej
bardzo przydatnej funkcji).
Certyfikowanie to zapewnia, że nazwa e-mail jaka jest podana w kluczu,
rzeczywiście należy do właściciela tego konta e-mail (w niecertyfikowanym kluczu można umieścić
nazwę konta e-mail którego nie jesteśmy właścicielami; robi się to w
kilka sekund), co jest ważne, bo identyfikacja autora będzie
odbywać się na podstawie nazwy e-mail zawartej w kluczu.
Gdy mamy już certyfikowany klucz, wystarczy teraz
że w publikowanej w grupie dyskusyjnej wiadomości, w dowolnej
części wypowiedzi objętej podpisem elektronicznym umieścimy adres
swojej
strony internetowej (adres
tej strony musi pojawić się
między "BEGIN
PGP SIGNED MESSAGE" a "BEGIN PGP SIGNATURE" inaczej opisywany tu system
identyfikacji będzie całkowicie nieskuteczny). Możemy tez
dopisać, obok adresu strony, nazwę swojego sklepu i inne dane, ale to
nie jest konieczne. Na
naszej stronie internetowej, której adres umieściliśmy w podpisanej
wiadomości, muszą znajdować się nasze informacje
identyfikacyjne
wraz z tą samą nazwą e-mail która
jest umieszczona w naszym kluczu. W
ten sposób tworzymy powiązanie między kluczem a stroną internetową
autora wypowiedzi i umożliwiamy identyfikację autora tej wypowiedzi
jako osoby będącej właścicielem danej strony internetowej lub mającej
uprawnienia do publikowania na tej stronie. Nikt nie będzie mógł
oszukać i
opublikować tej wypowiedzi jako swojej bo jeśli zmieni w publikowanej
wypowiedzi ten adres na
adres swojej strony, to
przy weryfikacji podpisu wyjdzie że wiadomość jest sfałszowana. To
rozwiązanie praktyczne
zupełnie nam
wystarczy, ponieważ jesteśmy w stanie już łatwiej rozpoznać do kogo
należy ta strona (na przykład w wyszukiwarce domen tutaj).
Jeśli jest to znana strona jakiejś ważnej organizacji lub osoby, jest
spora
szansa że swoje dane osobowe, jakie umieścił na niej autor obok swojego
adresu e-mail,
są
prawdziwe. Pamiętaj, że jeśli chcesz wyglądać bardziej autentycznie a
nie masz znanej strony internetowej, możesz wykorzystać dla
potwierdzenia tożsamości swoją stronę sklepową umieszczoną w serwisie
aukcyjnym http://ebay.com "ebay store" przez którą prowadzisz sprzedaż
międzynarodową. To będzie doskonała rekomendacja !
Oto jak wyglądałaby teraz nasza poprawiona wypowiedź (informacje zaznaczone tu na zielono są
obowiązkowe, pozostałe nie):
-----BEGIN
PGP SIGNED MESSAGE-----
Hash: SHA1
Oczywiscie ametyst tez
bedzie pasowal do tego ubrania,
chyba ze chcialbys miec inny kolor, ale wtedy wiecej
zaplacisz. W naszym zakladzie jubilerskim tniemy je
na kilka mniejszych zgodnie z zyczeniem klienta.
- ------
Sklep jubilerski "Wahagada"
Nasza
strona domowa:
http://www.oocities.org/wahagada
-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 9.0.6 (Build 6060)
iQA/AwUBRJgEyVPUsQZfgJTAEQJV3ACeIpzRdSRAhYqInxTkT2FBmVZ34rIAoMKI
apsV0eSmZpKRRrICfgDUuLXl
=65do
-----END PGP SIGNATURE-----
Po instalacji programu PGP należy wygenerować parę kluczy szyfrujących,
która będzi służyć dwóm celom: podpisywania elektronicznego twoich
wypowiedzi wysyłanych do grupy i weryfikacji twoich podpisów
elektronicznych przez czytających grupy dyskusyjne. Te same klucze mogą
służyć też do szyfrowania wiadomości ale tym nie będziemy się teraz
zajmować. Pamiętaj żeby wygenerować klucze typu DH/DSS. One dają
znacznie krótszy podpis co po pierwsze będzie wyglądać bardziej
estetycznie po opublikowaniu w grupie a po drugie niektóre serwery grup
mogą odrzucić wiadomości podpisane kluczem RSA gdyż potraktują je jako
binaria.
Klucza identyfikacyjnego nie umieszczaj na swojej stronie tylko wyślij
go do serwera kluczy poprzez program PGP, dzięki czemu
nazwa e-mail umieszczona w twoim kluczu zostanie certyfikowana.
Wysłanie klucza do serwera w celu certyfikacji następuje automatycznie
po jego utworzeniu (chyba że
klikniemy na "skip"; proszę nie klikać na "skip" bo certyfikacja nie
zostanie wykonana).
Jak szczegółowo działa certyfikacja? Otrzymamy wiadomość na nasz e-mail
w celu
potwierdzenia nazwy e-mail umieszczonej w naszym, wysłanym do serwera,
kluczu. Po potwierdzeniu, serwer certyfikujący podpisuje nasz
klucz publiczny swoim kluczem prywatnym. Ma to poświadczyć że nasza
nazwa e-mail w kluczu rzeczywiście należy do nas czyli do właścicieli
tego konta e-mail, gdyż gdyby tak nie było, serwer nie podpisze naszego
klucza. Jest to ważne bo rozpoznanie podpisu elektronicznego będzie
odbywać się po tej nazwie e-mail. Czytający naszą podpisaną wypowiedź
naprzód sprawdza (wszystko to odbywa się automatycznie przy użyciu
programu PGP 9) naszym kluczem czy nasz podpis się zgadza, następnie
sprawdza czy podpis serwera na naszym kluczu się zgadza. Do tego
ostatniego sprawdzenia używa klucza publicznego serwera ściągniętego
automatycznie przy instalacji programu (na liście kluczy wyświetli się
on jako "PGP Global Directory Verification Key"; klucz serwera zwany
jest w innych systemach podpisu elektronicznego jako "klucz wydawcy"
albo "klucz root"). Wszystko zależy więc od prawidłowości wpisu tego
klucza publicznego serwera w naszej bazie kluczy. Taki wpis jest jednak
zabezpieczony przed fałszerstwem ponieważ po ściągnięciu klucza serwera
program prosi o podanie hasła (do naszego klucza prywatnego) żeby
podpisać klucz serwera naszym kluczem prywatnym i dodatkowo musi być na
kluczu serwera ustawiony parametr "trust". Gdybyśmy przypadkowo
ściągnęli fałszywy klucz serwera, będzie on niepodpisany i tym samym
nie będzie mógł służyć do fałszywego potwierdzania wiadomości
pochodzących od oszustów. Jeżeli w sprawdzanej wiadomości zarówno nasz
podpis jak i podpis serwera się zgadza, otrzymujemy pewność że
wiadomość podpisała osoba która jest właścicielem tego konta e-mail.
Jeszcze raz nieco prościej. Jeśli
klucz jest "valid" oznacza to że adres e-mail zawarty w kluczu jest
prawdziwy i może służyć do identyfikacji autora wypowiedzi podpisanej
elektronicznie. Jeśli klucz jest "valid" i "trusted" oznacza to że taki
klucz może być używany jako "klucz wydawcy" czyli do podpisywania
innych kluczy (podpis ten ma stwierdzic że właściciel tych innych
kluczy faktycznie posiada to konto e-mail które jest wpisane do klucza).
A tak powinna wyglądać informacja
identyfikacyjna która powinna zostać umieszczona w widocznym
miejscu strony internetowej (zwykle na górze lub na dole), której adres
umieściliśmy
w podpisanej wiadomości.
informacje
o tej stronie:
==================================
nazwa organizacji: "Wahagada"
adres główny strony organizacji:
http://www.oocities.org/wahagada
tematyka: artykuły o minerałach i reklama naszego sklepu
jubilerskiego w Poznaniu przy ulicy Mickiewicza 4
rok założenia: 1999
redaguje: Stanisław Knal
kontakt:
właściciel sklepu: stanislaw-knal@gmail.com
sprzedawca:
grzegorz-torecki@gmail.com
==================================
Jeśli mamy kilka kluczy dla kilku pracowników firmy (w przykładzie
powyżej firma używa dwóch kluczy), możemy wymienić w tej tabelce
wszystkie te nazwy e-mail. Będziemy wtedy wiedzieli dokładnie, który z
pracowników firmy podpisał wiadomość wysłaną do grupy.
Utwórzcie u siebie plik o nazwie "klucze.txt". W tym pliku
utworzycie bazę danych firm która będzie wam potrzebna. Będziecie do
niej wpisywali dane organizacji łącznie z nazwami ich e-maili po prostu
kopiując całą, taką jak wyżej, tabelkę ze strony internetowej firmy do
tego pliku.
Informacje o
poszczególnych firmach będą rozdzielone od siebie w
tym pliku liniami
jak w przykładzie. Informacje zawarte w tym pliku posłużą wam dla
identyfikacji
autora wypowiedzi w grupie dyskusyjnej. Do takiej informacji
identyfikacyjnej danej organizacji, wpisanej do waszego pliku
"klucze.txt", możecie dopisać swój komentarz np
jakim zaufaniem obdarzacie autora tej strony internetowej (czyli jak
bardzo wierzycie informacjom jakie przekazuje na stronie). To pozwoli
na automatyczne określenie jak ufacie jego wypowiedziom w grupe
dyskusyjnej. Oczywiście ważne jest żeby wiedzieć że osoby niepowołane
nie mogą wpisać na stronę firmy do tej tabelki swoich adresów e-mail bo
to umożliwi fałszowanie podpisanych elektronicznie wypowiedzi.
Sposób identyfikacji
autora wiadomości.
Procedura sprawdzania jest następująca (należy jej ściśle
przestrzegać). Zaznaczyć
całą wypowiedź poprzez "ciągnięcie
myszą po tekście" i skopiować ją do schowka systemu windows. Dalej
klikacie na ikonie kłódki programu PGP, która powinna znajdować się w
prawym dolym rogu ekranu, i wybieracie
"Clipboard=>Decrypt&Verify". Program PGP będzie teraz
próbować wyszukać klucz z
serwera co potrwa około dwie sekundy (będzie się w tym czasie
wyświetlać okno
z zielonym paskiem postępu z przesuwającym się wskaźnikiem w prawo i w
lewo). Gdy znajdzie klucz, pokaże się okno z danymi znalezionego
klucza. Kliknijcie
w tym oknie na "Cancel" (to
jest bardzo
ważne i ma na celu nie zapisywanie obcych kluczy na waszym komputerze
bo
certyfikaty serwera są ważne tylko dwa tygodnie i gdy przechowywany na
twoim komputerze klucz innej osoby zostanie przeterminowany, program
nie ściągnie uaktualnienia klucza i będzie mylnie informował cię o
nieprawidłowym podpisie; prawidłowo powinniście w bazie programu PGP
posiadać tylko dwa klucze:"PGP Global Directory Verification Key" i
wasze własne klucze) i opuśćcie poniższy fragment
tekstu przechodząc od razu do punktu B)
po
imporcie klucza
Jeżeli natomiast program PGP nie znajdzie automatycznie klucza w
bazie internetowej,
to pokaże się okno z tekstem w którego górnej części będzie taki
napis (interesuje nas tylko zaznaczona tu na zielono linia "Status"), który nazwijmy sobie informacją
weryfikującą.:
***
PGP SIGNATURE VERIFICATION ***
*** Status: Unknown
Signature
*** Signer:
Unknown Key
(0x5F8094C0)
*** Signed:
2002-06-12 12:36:14
*** Verified: 2006-06-15 20:36:08
co
oznacza że nie można znaleźć certyfikowanego klucza i autor wiadomości
nie może zostać rozpoznany.
B) po
imporcie klucza
W wyświetlonym oknie programu PGP znajduje się informacja
weryfikująca. Teraz musicie odczytać jaka wartość jest w tym
oknie w polu Status
(są
dwie możliwości):
1) linia zawiera jeden z następujących napisów: "Status: Bad Signature" albo "Status: Good Signature from invalid key".
Oznacza to że dalsze
sprawdzanie jest bezcelowe bo wiadomość jest sfałszowana. Pierwszy z
napisów określa że tekst został zmieniony przez niepowołane osoby a
drugi że klucz nie jest certyfikowany przez serwer kluczy więc wpisana
do niego nazwa e-mail może być sfałszowana (klucz należy do innej
osoby) i tym samym ostatecznie również treść wiadomości może pochodzić
od niepowołanych osób.
2) linia ma dokładnie taką wartość (pomijając gwiazdki) bez żadnych
dodatkowych znaków:
"Status: Good Signature"
Oznacza to że możemy sprawdzać dalej.
Jeśli możemy sprawdzać dalej to linia Signer
zidentyfikuje nam autora wiadomości. Skopiujcie do schowka systemu
windows wyświetlaną w niej nazwę e-mail, otwórzcie plik "klucze.txt" w
edytorze tekstowym i dajcie do
wyszukania tekst ze schowka. Są dwie
możliwości:
a) Edytor przewija automatycznie okno
i zatrzymuje się na znalezionej nazwie e-mail, podświetlając ją. Możemy
wtedy
odczytać umieszczone obok nazwy e-mail informacje
identyfikacyjne o
autorze jakie wcześniej przepisaliśmy sobie z jego strony. To są dane
autora
wypowiedzi i na tym
kończy się procedura identyfikacji.
b) Edytor poda że nie może znaleźć tych znaków (nazwy e-mail). Musimy
teraz udać się
na stronę internetową podaną w
nagłówku wypowiedzi i odczytać czy nazwa
e-mail w umieszczonych tam informacjach
identyfikacyjnych autora, jest taka sama jak ta w
informacji weryfikującej.
UWAGA! Może być niekiedy problem z
poprawnym
porównaniem tych nazw "na oko" jeśli są bardzo podobne, gdyż mogą
zawierać podobne znaki jak
"małe el" i "jeden" albo "zero" i "o" (litera stojąca w alfabecie
między "n" i "p"). W razie pomyłki moglibyśmy zostać oszukani przez
klucz o podobnej nazwie e-mail należącej do innej osoby. Wtedy
wypowiedź w grupie dyskusyjnej też zostałaby podpisana przez inna
osobę. Dla bezpieczeństwa powinniście zawsze używać np tego
programu do porównywania tych łańcuchów
znaków (był on już wcześniej wymieniony na tej stronie).
Jeżeli te dwie nazwy e-mail się różnią, wiadomość jest sfałszowana.
Jeśli zaś są takie same, to przepiszcie tą nazwę e-mail razem z
pozostałymi
informacjami identyfikacyjnymi autora z tej strony do bazy kluczy w
pliku "klucze.txt". To są dane autora
wypowiedzi i na tym kończy się proces identyfikacji.
To jest koniec całego
procesu identyfikacji.
Program PGP przy podpisywaniu w trybie tekstowym automatycznie zawija
linie tekstu tak, by nie przekroczyły około 76 znaków. Musimy pamiętać
o tym żeby ustawić w programie do grup dyskusyjnych liczbę znaków, po
których będzie zawijana linia wysyłanego tekstu, na nieco większą od 76
(np na 85) bo inaczej program do grup zniekształci naszą wysyłaną
wiadomość tak, że odbiorca nie będzie w stanie sprawdzić podpisu
elektronicznego.
Sprawdzanie podpisu elektronicznego PGP może być utrudnione w
niektórych programach do grup dyskusyjnych, najczęściej wtedy gdy
wysyłający podpisaną wiadomość używa inny typ komputera niż IBM PC.
Stwierdzono co najmniej jedną taką sytuację gdy prawidłowy podpis
został zidentyfikowany jako fałszywy przy wyświetleniu wiadomości z
grupy dyskusyjnej w standardowym oknie programu "Netscape 7", co jest
spowodowane prawdopodobnie błędem w tym programie. W takiej sytuacji
należy wybrać w programie opcję oglądnięcia źródła tej wiadomości,
czyli w przypadku Netscape z menu: View=>Message Source i dopiero z
tego okna pobrać wiadomość do sprawdzenia podpisu.
Należy pamiętać
o tym że osoba podpisująca elektronicznie tekst nie musiała
samodzielnie go opracować, ani że
informacje w nim zawarte są prawdziwe. Podpis dowodzi jedynie że
podpisujący zaaprobował treść tej wypowiedzi.
Osoba wysyłająca wypowiedź do grupy dyskusyjnej
może nie być tą samą osobą która ją podpisała. W szczególności może się
zdarzyć że obca osoba opublikuje naszą wypowiedź jako odpowiedź w wątku
i czytający grupę pomyślą że autor zachowuje się niestosownie bo treść
wypowiedzi może nie pasować do reszty innych wypowiedzi. Dlatego,
oprócz umieszczania w każdej naszej podpisanej wypowiedzi, w górnej jej
części, informacji o adresie naszej strony domowej z naszym e-mail,
należy jeszcze
cytować pewną część (choćby jedno zdanie) wypowiedzi
na którą się odpowiada, w celu niezbędnej
identyfikacji.
Zachęcamy do zapoznania się z bardziej szczegółowymi
informacjami
dotyczącymi użycia programu PGP poprzez zakup niezłej i taniej książki
dla
początkujących tutaj.
Ponieważ w książce tej nie ma opisanego na tej stronie sposobu
weryfikacji stąd powstała idea napisania tego artykułu który jak dotąd
(czerwiec 2006) nie został nigdzie udostępniony po polsku i pewnie
dlatego osoby publikujące podpisane elektronicznie wiadomości
w grupach dyskusyjnych robią to prawie zawsze w sposób niewłaściwy i
tym samym nieskuteczny albo bardzo utrudniający identyfikację.
Jeśli chcecie korzystać z certyfikowanych kluczy S/MIME do poczty
elektronicznej, na tej
stronie możecie złożyć wniosek o wydanie bezpłatnego certyfikowanego
klucza S/MIME który otrzymacie po około 15 minutach. Certyfikacja
odbywa się podobnie jak w programie PGP przez potwierdzenie wiadomości
która przyjdzie na podany adres e-mail. Po otrzymaniu
klucza zostaje on wpisany do bazy twoich kluczy osobistych w programie
"Outlook Express". Możesz używać tego certyfikatu w wygodny sposób dla
wysyłania e-maili w programach "Outlook Express" albo "Netscape Mail" i
w tych programach on faktycznie potwierdza odbiorcy że wiadomość
przyszła od ciebie, czyli od posiadacza danego adresu email (ten
konkretnie rodzaj certyfikatu potwierdza tylko nazwę email, nie
potwierdza nazwiska ani adresu gdyż jest to certyfikat pierwszej klasy;
dla poważniejszych zastosowań używa się certyfikatów drugiej i trzeciej
klasy). Będziesz mógł łatwo szyfrować i podpisywać pocztę gdy
przypiszesz ten certyfikat twojemu kontu pocztowemu. W programie
"Outlook Express" we właściwościach
konta wybierz zakładkę "Zabezpieczenia" a zobaczysz dwa guziki
"Wybierz". Trzeba je kliknąć i wybrać z listy twój właśnie otrzymany
certyfikat. Jeśli czytasz pocztę poprzez przeglądarkę, automatyczne
sprawdzanie podpisu elektronicznego nie będzie działać. W takiej
sytuacji, jeśli konto na to pozwala, wybierz opcję ściągnięcia
wiadomości i zapisania jej na dysku w standardowym formacie "eml".
Będziesz musiał kliknąć na tym pliku w celu otwarcia go w "Outlook
Express" dla weryfikacji podpisu.
Jeśli zaś chcesz używać tego klucza w programie PGP
(pamiętaj że klucz ten nie będzie certyfikowany w programie PGP, chyba
że wyślesz z programu PGP żądanie jego certyfikacji, bo serwery
certyfikujące S/MIME i PGP nie wymieniają ze sobą informacji) to
wybierz w programie "Outlook Express": narzędzia=> opcje=>
zabezpieczenia=> identyfikatory
cyfrowe i exportuj twoją certyfikowaną parę kluczy do pliku w formacie
PKCS-12. Następnie importuj twoją parę kluczy w programie PGP też w
formacie PKCS-12. Prawdopodobnie to nie będzie miało znaczenia dla
działania tego klucza ale na wszelki wypadek zaraz po imporcie możesz
podpisać swój klucz publiczny swoim kluczem prywatnym z tej pary bo
inaczej będzie on miał wyświetlone że jest "Revoked" czyli
"Unieważniony".
Osoby publikujące podpisane elektronicznie wiadomości certyfikowanymi
kluczami PGP zawierającymi nazwy e-mail zgodnymi z nazwami
umieszczonymi na stronach internetowych ich pracodawców muszą uważać na
to jakie treści publikuja w grupach dyskusyjnych ponieważ mogą zostać
łatwo rozpoznani jako
pracownicy tej instytucji,
tak samo jakby przekazali swoje wypowiedzi do opublikowania w prasie.
Nawet pomimo tego że podpis PGP nie jest zobowiązujący prawnie, to
wystarczy dziennikarzom
by zająć się jakąś podejrzaną opublikowaną w grupie dyskusyjną
podpisaną elektronicznie wypowiedzią wskazującą na aferę. Należy więc
uważać na to co się publikuje podpisane elektronicznie nawet jeśli to
jest tylko system PGP.