Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

7.4.4         Ověřování podpisů v MS Outlook

Pro správné porozumění tomu, jak MS Outlook pracuje s elektronickými podpisy, si ještě musíme upřesnit, jakým způsobem je ověřuje, resp. jak vyhodnocuje jejich platnost.

V zásadě postupuje stejně, jako ostatní programy z balíku MS Office, a to verze 2007 – když rozeznává jen dva možné stavy, resp. výsledky vyhodnocení podpisu: platný a neplatný podpis.

Podobnost s ostatními programy je bohužel i v tom, že dělá stejné chyby, konkrétně při zjišťování stavu revokace právě posuzovaného certifikátu: příslušné informace si zjišťuje pouze tehdy, pokud má přístup on-line. Jinak nikoli - a pak se chová, jako kdyby certifikát nebyl revokovaný.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad, kdy Outlook hodnotí podpis jako platný, i když neměl možnost ověřit případnou revokaci.

Obrázek 7 - 47: Příklad, kdy Outlook hodnotí podpis jako platný, i když neměl možnost ověřit případnou revokaci.

Uživateli to ale Outlook sám najevo nedá. Teprve pokud si uživatel nechá zobrazit podrobnosti o platně ověřeném podpisu, může se dozvědět, že toto ověření nebralo v úvahu případnou revokaci, protože potřebné informace nebyly k dispozici (viz předchozí obrázek)[13].

Jiným příkladem může být situace, kdy při ověřování podpisu není k dispozici některý z nadřazených certifikátů toho certifikátu, na kterém je podpis zprávy založen. Obvykle jde o certifikát vydavatele tohoto certifikátu (příslušné certifikační autority). Zatímco například Word 2010 by ve stejné situaci hodnotil vše jako „zotavitelnou chybu“ (viz část 7.3.2), Outlook 2010 to hodnotí rovnou jako neplatný podpis.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Situace, kdy certifikát vydavatele není v úložišti důvěryhodných certifikátů, a Outlook vyhodnotil podpis jako neplatný 

Obrázek 7 - 48: Situace, kdy certifikát vydavatele není v úložišti důvěryhodných certifikátů, a Outlook vyhodnotil podpis jako neplatný.


[13] Toto chování MS Outlooku lze ovlivnit nastavením položky UseCRLChasing v registru, ve složce HKCU\software\policies\ microsoft\office\14.0\outlook\security: Standardně je nastavena na hodnotu 1, kdy se chová tak jak je popisováno (CRL seznam stahuje, jen když je online). Při nastavení na hodnotu 2 CRL seznam nestahuje vůbec, a pro UseCRLChasing=0 se chová dle implicitního nastavení systému.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61