Podpis cyfrowy korespondencji i dokumentów PDF

Rewolucja e-mailowa w Polsce przyjęła się bez większego problemu. Pamiętam jak w 1998 roku założyłem pierwszą skrzynkę na KKI (Krakowski Komercyjny Internet – jeśli dobrze pamiętam). Wielkość na poziomie 1MB, była szczytem marzeń początkującego internauty. W owym czasie liczyła się przede wszystkim możliwość błyskawicznej korespondencji z innymi użytkownikami. Królował IRC i e-mail. Nikt nie zastanawiał się nad problemem wiarygodności nadawcy. Jednakże to było 16 lat temu. Dziś e-mail to codzienne narzędzie milionów Polaków. Używane w biznesie do wymiany informacji, ważnych dokumentów, projektów, itp. Po kilku latach spędzonych na prowadzeniu korespondencji biznesowych zauważyłem, że odsetek ludzi stosujących podpisane cyfrowo wiadomości jest znikomy. Nie mówiąc już o tym, że nie spotkałem ani jednej osoby podpisującej cyfrowo swoje dokumenty PDF. A pocztą wędrowały nieraz bardzo ważne zcyfryzowane papierki.

Certyfikat?

Postaram się tu opisać procedurę zyskania podpisu cyfrowego, który co prawda nie jest podpisem kwalifikowanym, jednakże do zastosowań biznesowych, jak najbardziej wskazanym. Pierwszym podpisem, który zacząłem stosować był darmowy certyfikat od Comodo. Miał on jednakże wielką wadę. Nie był na liście Adobe ATL, co powodowało, że dokument PDF podpisany takim certyfikatem pokazywał błąd. Zacząłem się rozglądać za wystawcą który jest na owej liście. Wybór padł na polskie Certum i certyfikat Professional ID. Różnica między tańszym Basic ID, polegała na tym, że oprócz adresu e-mail mogłem dodać dane własne i firmy. Nie bez znaczenia są też dużo wyższe gwarancje finansowe, chociaż wątpię aby miały się kiedyś przydać. Certyfikat Professional ID kosztował 89 zł netto. Jego ważność to 2 lata. Nie jest to dużo w stosunku do tego co otrzymujemy. Przede wszystkim Wiarygodność (koniecznie przez wielkie W). Wchodzimy na stronę, kupujemy, wypełniamy dane. Po dostarczeniu odpowiednich dokumentów na maila (ksero dowodu, dokumenty rejestracyjne firmy) po 2 dniach cieszymy się nowym, pachnącym cyfrową świeżością certyfikatem. Dodatkowe instrukcje jak go wyeksportować są dostępne na stronie Certum w dziale pomocy.

Podpisywanie plików PDF

Dodanie certyfikatu do Adobe Acrobat Reader było banalnie proste. Po prawej stronie w górnym rogu mamy 3 przyciski. Wybieramy Wypełnij i podpisz następnie, Praca z certyfikatami -> Podpisz certyfikatem -> Nowy identyfikator -> Plik. Odnajdujemy na dysku plik z certyfikatem i podajemy hasło zabezpieczające. Co mnie urzekło, to fakt, że certyfikatowi można dodać własną reprezentację graficzną. Wyrzeźbiłem w Corelu Draw piękną pieczątkę z moim imieniem, nazwiskiem, adresem e-mail, logiem firmy  i napisem „Dokument podpisany cyfrowo”. Zapisałem do PDF, a Adobe Acrobat Reader pozwolił mi ją zaimportować. Teraz za każdym razem jak podpisuję certyfikatem plik PDF, pojawia się w nim odcisk mojej pieczęci. No i oczywiście nagłówek o poprawności certyfikatu. W zasadzie da się podpisać dokument po „cichu”, ale uznałem, że ten sposób powinien wpłynąć pozytywnie na wizerunek firmy. Ponadto można utworzyć kilka różnych wyglądów dla jednego certyfikatu, włączając w to własny podpis czy pieczątkę nagłówkową firmy. Niemniej przy pieczątkach ważniejszy jest ich rozmiar i pozycja. A stały rozmiar i dowolny obrót zagwarantuje nam narzędzie w sekcji Komentarz – Stempel. Są to wtedy zwykłe graficzne odciski, nie mają zbyt wiele z cyfrowym zabezpieczeniem dokumentu. Ale o tym będzie w innym wpisie.

Dokument Podpisany Cyfrowo

E-mail z podpisem cyfrowym

Jak się ma sprawa podpisywania i szyfrowania korespondencji? Na co dzień korzystam z poczty Google w domenie firmowej. Godzę się z pewnymi niedogodnościami w postaci mniejszej prywatności niż w przypadku poczty na własnym serwerze. Niemniej poczta Google mnie jeszcze nie zawiodła, a o serwer pocztowy trzeba dbać. Jako, że Wujek Google nie daje możliwości użytkowania certyfikatów bezpośrednio z webmail’a, konieczna jest przesiadka na zewnętrzny program pocztowy. Dla szczęśliwych posiadaczy Microsoft Office jest Outlook, dla mniej szczęśliwych jest Mozilla Thunderbird. Jako, że limit szczęścia chwilowo wyczerpałem (mówimy tu o limicie w postaci zbyt małej ilości biletów NBP), korzystam z rozwiązania Mozilli. Nie obeszło się bez problemu, bo po zaimportowaniu certyfikatu Thunderbird nie chciał wysyłać poczty podpisanej cyfrowo. A to za sprawą braku certyfikatu urzędu wystawiającego. Należy wtedy sprawdzić jaki jest certyfikat główny dla naszego Professional ID. W moim przypadku był to Certum Level III CA (niektórzy mają Level I, II lub IV). Rozwiązaniem jest pobranie tego certyfikatu ze strony Certum i zaimportowanie go do Thunderbirda.

Podsumowanie

I tu nasuwa się pytanie. Skoro to takie proste i niezbyt kosztowne, to dlaczego polscy przedsiębiorcy w dalszym ciągu nie adaptują takiego rozwiązania? Dobry obiad w restauracji kosztuje więcej niż roczny koszt takiego certyfikatu. Na wizytówki i papiery firmowe wydajemy nieporównywalnie więcej. Nie mogę zrozumieć dlaczego zatem nie dbamy o własną tożsamość biznesową. O to aby adresat naszej wiadomości wiedział w 100%, że wiadomość pochodzi od nas i nie została w żaden sposób zmodyfikowana. Czyżbyśmy „taki mieli klimat”?

Gdybyście potrzebowali profesjonalnej pomocy w implementacji takiego rozwiązania to proszę o kontakt. Za niewielką opłata opracujemy ciekawy wygląd dla certyfikatu, tak aby oprócz bezpieczeństwa wzrósł także prestiż Państwa firmy. Jest to jeden z mniej konwencjonalnych sposobów na poprawę wizerunku. Ale od tego jesteśmy, aby konwencje łamać!