Vzhledem k tomu, že na přelomu roku jsem dostal několik dotazů jak importovat kvalifikované certifikáty do Lotus Notes dovoluji si to zde shrnout a nově doplnit i o video jak postupovat.
Pokud používáte kvalifikované certifikáty pro elektronický podpis emailů, tak jste již určitě zjistili, že podle stanovaní Ministerstva vnitra je v České republice je od 1.1.2010 ze zákona povinnost vydávat kvalifikované certifikáty s podporou algoritmu SHA-2 a minimální délkou kryptografického klíče pro algoritmus RSA je 2048 bitů. Tomu se přizpůsobili i naše certifikační autority a od 1.1.2010 vydávají pouze tyto certifikáty.
Z výše uvedenou povinností přímo souvisí problém co dělat, pokud Váš produkt nepodporuje kvalifikované certifikáty SHA-2. Nevím kolika produktů se toto týká, ale zcela jistě se to týká Lotus Notes a ve verzích 8.5.1 a 8.5.2 nelze tento certifikát naimportovat. Nicméně podle informací z IBM produkt Lotus Notes nikdy oficiálně nepodporoval certifikáty SHA-2. Tento problém byl reportovaný i na support IBM a jejich odpověď je následující (převzato z diskuse na webu SvětNotes.cz):
I have contacted development about this issue with SHA-2 certificates, this was their reply.
As background, there is no support for the SHA-2 hash in the product and, even if previous releases were permitting the import, they could not generate or validate such hashes. We have gotten out of the business of building our own crypto and, instead, consume a standard,IBM recommended,
FIPS validated crypto library from Tivoli called ICC. The version of ICC in ND 8.51 does not contain SHA-2 and there is no mechanism to patch in support of SHA2 without invalidating FIPS. So there is no possibility to actually implement this into ND 851.
As a result, unfortunately, we will not be creating a fix for SHA-2 certificates, and are advised to use a different form of encryption.
Další informace kterou mám je následující:
Ostatní země to opravdu nemají používání SHA-2 nijak nařízeno. Našel jsem jenom, že v USA to jejich bezpečnostní úřad doporučil, a Ed Brill říkal, že snad v Brazílii se o něčem mluví.
Takže jsme v tom nějak samy 🙁 Všichni to doporučují, ale žádný stát k tomu nepřistoupil tak jako v ČR, že by užívání přímo uzákonil.
Co s tím může uživatel dělat? Řešení jsou v zásadě asi tři:
Řešení 1
Používat klienta Lotus Notes verze 8.5 a starší. V těchto verzích sice taky ze strany IBM není certifikát SHA-2 podporovaný, ale import kvalifikovaného certifikátu do ID funguje a i následné odesílání podepsané pošty pomocí tohoto certifikátu funguje.
Toto řešení není ze strany IBM oficiálně podporované pro certifikáty SHA-2, ale zatím jsem se nesetkal s tím, že by s podepsaným emailem byl problém.
Řešení 2
Pro import kvalifikovaného certifikátu SHA-2 do ID souboru použít klienta 8.5 a staršího a následně používat toto ID ve verzích 8.5.1 a 8.5.2. Pozor, v těchto verzích není vidět v ID kvalifikované certifikáty SHA-2, pokud si dáte File-Security – User Security – Your Identity – Your Certificates – Your Internet Certificates.
Toto řešení není ze strany IBM oficiálně podporované pro certifikáty SHA-2, ale zatím jsem se nesetkal s tím, že by s podepsaným emailem byl problém.
Řešení 3
Použít produkt třetí strany, který umožní podepisovat odesílanou poštu. Jednu takovou možnost popsal Petr Kunc na svém blogu článku Lotus Notes a kvalifikovaný certifikát (i SHA-2)
Za případné nepřesné informace ohledně legislativy se omlouvám a budu rád pokud mě opravíte níže v diskusi.