Weryfikacja podpisu cyfrowego na fakturach

Znasz to uczucie, gdy faktura przychodzi na maila, a szef firmy nie jest obecnie osiągalny? To jednak nic w porównaniu do sytuacji, w której sam szef przesyła Ci pilną fakturę do zapłacenia późnym piątkowym popołudniem. Może to wywoływać sytuacje stresowe i kończyć się wykonaniem opłaty bez wcześniejszej konsultacji (Nie wyjdę na niezaradnego, jestem świadomą jednostką decyzyjną!). W takim wypadku może okazać się, iż zapłaciłeś za coś, czego firma nawet nie zamawiała lub wykonasz wpłatę na konto zupełnie innej osoby niż zamierzone. W tym momencie jasnym staje się, iż stałeś się ofiarą szalbierskich działań lub opłaciłeś fałszywą fakturę.

Należy zachować szczególną ostrożność w przypadku tego typu sytuacji. Nie każdy jednak sprawdza adres e-mail nadawcy - w końcu w nagłówku stało jak wryte "Jan Kowalski", a to przecież Twój szef. Pracownik nie zauważył, że pełny adres brzmiał "Jan Kowalski" <jan.kowalski@napierwszyrzutokapodejrzanadomena.xyz>. W końcu jest on księgowym, a nie pracownikiem IT!

Dostępne jest bardzo wydajne narzędzie do zapobiegania tego typu fałszerstw - podpis cyfrowy. Potwierdza on tożsamość nadawcy i weryfikuje zmiany w zawartości wiadomości. Nie będziemy zagłębiać się w szczegółowe mechanizmy działania oraz instalacji wspomnianego narzędzia. W niniejszym poradniku skupimy się na przedstawieniu sposobu rozróżniania pożądanych wiadomości na przykładzie faktur dostarczanych do naszego nadawcy, Jana Kowalskiego.

Wszelkie wiadomości o wysokim priorytecie wysyłane przez naszą firmę są podpisywane cyfrowo. Większość klientów pocztowych wyświetli symbol przy wiadomości, wskazujący na wykorzystanie podpisu cyfrowego.

Poprawność podpisu można sprawdzić dzięki ikonom:

Musimy zachować szczególną ostrożność w przypadku poniższych ikon:

Brak prawidłowej ikony obok adresu e-mail oraz wyświetlenie znaku zapytania lub wykrzyknika nie zawsze oznacza, iż wiadomość jest fałszywa. Klient pocztowy (lub system operacyjny) może po prostu jeszcze nie "znać" certyfikatu. Poniżej przedstawiamy sposób weryfikacji nadania certyfikatu dla naszego adresu e-mail. Najpierw jednak trochę teorii.

Certyfikat można określić jako identyfikator weryfikujący Twoją tożsamość. Godny zaufania certyfikat musi zostać wystawiony przez zaufany urząd certyfikujący. Można tutaj zauważyć podobieństwa do typowego dowodu osobistego. W przypadku potrzeby wystawienia nowego dowodu, musisz przedstawić w Urzędzie Miejskim wniosek o wydanie dokumentu, zdjęcie oraz wykorzystywany do tej pory dowód.

W przypadku certyfikatu jest podobnie. Wniosek nie jest jednak składany w typowym urzędzie, zamiast tego dostarczamy go do zaufanego Urzędu Certyfikującego (CA). Weryfikuje on poprawność przedstawionych danych (publiczny klucz szyfrowania + dane identyfikacyjne) i podpisuje je cyfrowo za pomocą własnego klucza. Dzięki temu mamy pewność, że dane są zaufane.
Jeśli klient pocztowy odbiorcy wiadomości przechowuje tak zwany certyfikat źródłowy CA wystawiającego certyfikat nadawcy, jego tożsamość jest uznawana za zaufaną. To właśnie dlatego CA dystrybuuje swoje certyfikaty źródłowe bezpośrednio w systemach operacyjnych (Windows...) lub aplikacjach (Firefox, Thunderbird...). Istnieje jednak wiele CA, więc nie ma możliwości przechowywania wszystkich na jednym komputerze. Certyfikaty CA można jednak importować ręcznie, więc nie ma z tym większego problemu.

Poniżej przedstawiamy przykład wiadomości przychodzącej w programie Thunderbird i wskazujemy na co zwrócić szczególną uwagę. Thunderbird nie wykorzystuje przestrzeni Windows, więc wymagany jest import certyfikatu.

Otwórz wiadomość, a następnie kliknij na ikonę powiadomienia bezpieczeństwa (1.). Następnie wybierz opcję Pokaż certyfikat podpisujący (2.).

Thunderbird nie ufa podpisowi, gdyż nie jest zapoznany z Urzędem Certyfikującym Actalis. 

Sugerujemy weryfikację certyfikatu przed zapisaniem go. Uznajmy, że weryfikacja została już wykonana.

Zapisz certyfikat na dysku - sekcja Informacje o organie (AIA) - nazwa pliku to cacertificate_actalis_autclientg3.cer

 

Zaimportuj plik do Thunderbirda jako nowy organ certyfikacji
1. menu Ustawienia > Prywatność i bezpieczeństwo - Zarządzaj certyfikatami...

2. W oknie Menedżera certyfikatów przejdź do sekcji Organy certyfikacji > przycisk Importuj...

3. wybierz plik cacertificate_actalis_autclientg3.cer, który wcześniej zapisałeś na dysku

4. wybierz poziom zaufania w czasie importu pliku

 

Ponownie otwórz podpisaną wiadomość i zweryfikuj czy podpis jest obecnie autoryzowany.

- za pomocą przycisku Pokaż certyfikat podpisujący możesz wyświetlić pełny certyfikat 

 

Możesz również dodać organ certyfikacji bezpośrednio do systemu (Windows storage)

Otwórz plik cacertificate_actalis_autclientg3.cer, który zapisałeś na dysku w poprzednim kroku. Otwarty zostanie certyfikat CA.

Zainstaluj certyfikat na systemie, zaznaczając po drodze następujące opcje: Zainstaluj certyfikat... > Bieżący użytkownik > Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu > Zakończ

 

Przedstawiliśmy już sposób importu certyfikatu nowego Organu Certyfikacji. Dodawanie CA do listy zaufanych oznacza, iż Twój klient e-mail lub system również będą ufać wszelkim certyfikatom przez niego wystawionych. Nazwywamy to przeniesieniem zaufania.

Pomimo to, warto zweryfikować, czy certyfikat jest rzeczywiście tym, za który go uważamy.

W Thunderbirdzie można wyświetlić certyfikat poprzez przycisk Pokaż certyfikat podpisujący

Możemy tutaj sprawdzić podmiot, wystawcę, ważność oraz adres e-mail, dla którego wydany jest certyfikat - AlphaNet Sp. z o. o. | Actalis S.p.A. | ważność | is@forpsi.com

Jeśli dane się zgadzają, wszystko jest w porządku.

W przypadku skłonności paranoicznych, można również sprawdzić odciski.

Porównaj odcisk z tym opublikowanym na naszej stronie.