IBM Lotus Symphony
|
W programie Lotus® Symphony™ można cyfrowo podpisywać swoje dokumenty i makra.
Aby podpisać cyfrowo dokument, użytkownik musi mieć klucz osobisty - certyfikat. Klucz osobisty jest przechowywany na komputerze użytkownika jako kombinacja klucza prywatnego, który musi być tajny, i klucza publicznego dodawanego do dokumentów podczas ich podpisywania.
Po zastosowaniu podpisu cyfrowego do dokumentu obliczana jest pewnego rodzaju suma kontrolna na podstawie treści dokumentu i klucza osobistego. Suma kontrolna i klucz publiczny są przechowywane wraz z dokumentem.
Gdy inny użytkownik będzie później otwierał dokument na innym komputerze z zainstalowaną najnowszą wersją programu Lotus Symphony, program ponownie obliczy sumę kontrolną i porówna ją z zapisaną sumą kontrolną. Jeśli obie wartości są takie same, program zasygnalizuje, że otwierany dokument jest oryginalny i nie został zmieniony. Ponadto program może wyświetlić informacje dotyczące klucza publicznego z certyfikatu.
Ten klucz publiczny można porównać z kluczem publicznym publikowanym w serwisie WWW ośrodka certyfikacji.
Gdy ktokolwiek zmodyfikuje dokument, ta zmiana naruszy podpis cyfrowy. W takiej sytuacji informacje o oryginalności dokumentu nie będą wyświetlane.
Po otrzymaniu podpisanego dokumentu nawet w przypadku, gdy oprogramowanie zgłosi poprawność podpisu, nie można mieć pewności, że jest to ten sam dokument, który został wysłany przez nadawcę. Podpisywanie dokumentów przy użyciu certyfikatów programowych nie jest idealnie bezpieczną metodą. Znane są liczne metody obejścia funkcji zabezpieczających.
Przykład: Ktoś może chcieć podszyć się pod pracownika banku. W tym celu może łatwo uzyskać certyfikat, używając fałszywych danych osobowych, a następnie wysłać wiadomość e-mail, w której przedstawi się jako pracownik banku. Taka wiadomość e-mail oraz załączony do niej dokument zostaną dostarczone z ikoną poprawnego podpisu.
Nie należy ufać samej ikonie. Należy zweryfikować certyfikaty.
![]() |
Poprawny podpis nie jest w żaden sposób prawnie wiążącą gwarancją. |
W systemach operacyjnych Windows używane są funkcje sprawdzania poprawności podpisu dostępne w samym systemie. W systemach Solaris i Linux są używane pliki dostarczane wraz z programami Thunderbird, Mozilla lub Firefox. Konieczne jest sprawdzenie, czy pliki używane w systemie są oryginalnymi plikami dostarczonymi przez dostawców oprogramowania. Włamywacze znają wiele sposobów zastąpienia oryginalnych plików plikami dostarczonymi przez siebie.
![]() |
Komunikaty w sprawie poprawności podpisu widoczne w programie Lotus Symphony są komunikatami zwracanymi przez pliki do sprawdzania poprawności. Oprogramowanie Lotus Symphony nie może w żaden sposób zagwarantować, że komunikaty odpowiadają rzeczywistemu statusowi certyfikatu. W oprogramowaniu Lotus Symphony wyświetlane są tylko komunikaty zwracane przez inne pliki, które pozostają poza kontrolą ze strony oprogramowania Lotus Symphony. Dostawca programu Lotus Symphony nie ponosi odpowiedzialności prawnej dotyczącej ewentualnej niezgodności wyświetlanych komunikatów z prawdziwym statusem podpisu cyfrowego. |