Posta ve kendinden imzalı sertifikaları kullanarak şifreli e-posta gönderebilir miyim?

1

Her iki uçta da kendinden imzalı sertifikaları kullanarak Mail kullanarak Mac ile Thunderbird kullanarak başka bir Mac arasına imzalı ve şifreli e-postalar gönderebilmek istiyorum. Bunu başarabilirdim, ama yıllar geçtikçe her iki uçta da işler zorlaştı. Thunderbird'ün çalışmasını sağlamak için, şimdi kendinden imzalı bir sertifika yetkilisi oluşturmalı ve sonra bunu bir e-posta sertifikası oluşturmak için kullanmalıyım. Ancak Posta ucunda çalışmak için şifreleme alamıyorum. (Apple'ın Mountain Lion'da kırdığını düşünüyorum.) Posta ucundaki anahtarlığımda, güvenilen olarak işaretlenmiş Thunderbird ucundan CA'ya ve bu CA tarafından oluşturulan e-posta sertifikasına "Bu sertifika geçerlidir " Ancak diğer Mac'e gidecek bir e-posta oluşturduğumda, şifreleme düğmesi soluk görünüyor.

Bir yerde sırrı sertifikayı oluştururken "anahtar şifreleme" uzantısını eklemek olduğunu okudum ve bunu yaptım, ancak yine de çalışmıyor.

mail.app  email  keychain  encryption 
JWWalker
kaynak

Yanıtlar:

1

Bu özel yaklaşımı denemek için bir sebep var mı?

Asıl sorunuzun imzalı ve şifreli e-posta göndermesiyse, GPG kullanıyorum (GPGTools aracılığıyla). Thunderbird ile çalışan bir eklenti var ancak Apple Mail'i kullanıyorum.

tim.rohrer
kaynak
1

Thunderbird bölümünü test etmek istemediğim için bu sorunun yalnızca Mac Mail bölümünü yanıtlayabilirim.

Bu kısmı sadece asimetrik şifrelemeye aşina olmayan insanlar için yazıyorum:

Bu şifreleme biçiminde iki anahtara ihtiyacınız var: özel bir anahtar ve genel bir anahtar. Bu anlamda bir sertifika, genel anahtardan başka bir şey değildir, ancak sadece bir anahtardan daha fazla bilgiye sahiptir, kim olduğunuzu, kuruluşunuzu vb. Baştan başlamanız gerekiyorsa ve onu çalan kişi her şeyin şifresini çözebilir, bu yüzden kaydetmesini ve parola korumasını korumasını sağlayın. Genellikle sertifikalar Sertifika Makamları tarafından imzalanır ve çoğu zaman hizmetleri için para alırlar. Bu nedenle bazı insanlar daha ucuz olan kendi CA ve kendinden imzalı sertifikalarını yaratırlar.

E-posta şifrelemenin çalışma şekli, birisine ortak anahtarınızı (sertifikanızı) e-postanızı onunla imzalayarak göndermenizdir. Herhangi bir e-postayı imzalayabilirsiniz, çünkü ortak anahtarınızı vermeniz zarar vermez. Sonra bu diğer kişinin ortak anahtarınız var ve bu anahtarla size bir e-posta şifreliyor. Bu noktadan itibaren, olası bir Quantum bilgisayarı olan NSA dışındaki hiç kimse, bu anahtarın uygun anahtar uzunluğu göz önüne alındığında makul bir süre içinde şifresini çözemez. Ya da bazı insanlar kasıtlı olabilecek ve bu arka kapıların ne kadarının orada olduğunu bilen HEARTBLEED (kalp atışı) gibi gerçek şifreleme kitaplıklarına sızarlar. Sertifikalar genellikle sınırlı bir ömre sahiptir ve her zaman ve sonra yenilenmeleri gerekir.

Öyleyse almanız gerekenler: Açık ve özel anahtara ihtiyacınız var ve sadece açık olanı verdiniz.

İşte yaptığım şey:

  1. Bir Kök CA ve İmzalayan CA oluşturdum (buna ihtiyacım yok, ama yaptığım şey buydu) ve bunun için çok iyi bir eğitim kullandım: http://pages.cs.wisc.edu/~ zmiller / ca-NASIL /

  2. Daha sonra openssl.conf'umu Mac Mail'in e-posta şifrelemesi için sertifikalı olarak kullanmama izin verecek şekilde değiştirdim.

    Önemli olan keyUsage ve extKeyUsage öğelerine sahip olmaktır.

    [ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment,       dataEncipherment
extKeyUsage = emailProtection, Apple .Mac email signing, Apple .mac email encryption

    Özellikleri seven kişiler için bu https://www.ietf.org/rfc/rfc2459 adresini okuyun , ancak MacOS'ta belirli parçaları bulamazsınız.

  3. Özel anahtar ve sertifika oluşturuldu:

    openssl req -newkey rsa:4096 -keyout <e-mail>.key -config openssl.cnf -out <e-mail>.req -days 3650

openssl ca -config openssl.cnf -out <e-mail>.crt -infiles <e-mail>.req

    On yıllık bir sertifikanın yaşam süresi kadar uzun olduğunu, ancak şu anda çalışan bir şeye sahip olmak istediğimi ve 10 yıl sonra veya daha az bu şekilde şifreleme yönteminin işe yaramayacağını iddia edebilirsiniz. Tüm ailem için onları yaratırken, her zaman cerleri yenilemek istemedim.

    Bu işlem sırasında bir şeyler yanlış giderse, sertifikayı şununla iptal edebilirsiniz:

    openssl ca -config openssl.cnf -revoke <e-mail>.crt

    Birinin de crl oluşturması gerekir, ama ben de yapmadım.

  4. Anahtarları p12 formatına dönüştürdü

    openssl pkcs12 -export -in <e-mail>.crt -inkey <e-mail>.key -out <e-mail>.p12

  5. P12, OS X 10.9.4 (13E28) üzerindeki KeyChain'e aktarıldı

  6. Güvenilir olarak işaretlendi

  7. TLS Sertifikası alanındaki Hesap Bilgileri altındaki MacOS Posta tercihlerinde posta hesabıyla ilişkilendirilmiş Sertifika. Bir e-posta adresi ve sertifikası olan diğer posta adresine posta gönder ve mesajı ortak anahtarımla imzaladım, MacOS Mail bunu benim için yaptı.

  8. Postaları aldım ve şifreli ilk postamı geri gönderdim.

Eşimle olan prosedürü denediğimde başıma gelen, benim cevaplı postamdaki ilk imzalanan postadaki kilit sembolünün gri olduğu ve şaşkın olduğum oldu. Bu, postaları şifreleyemediğim anlamına geliyordu. Bunun nedeni, karımın bana gönderdiği imzalı postayı almamdı, ancak burada imza attığım tüm imzalar gibi MacOS anahtarlığında güvenilen olarak da işaret etmedim. Güvenilir olarak işaretleyip Postaları yeniden başlattıktan sonra her şey yolunda gitti.

Belki birisi veya hatta soran kişi bu cevaba Thunderbird bölümünü ekleyebilir.

user637338
kaynak
Sanırım soru ile ilgili eksik olan şey şudur: extKeyUsage = emailProtection, Apple .Mac e-posta imzası, Apple .mac e-posta şifrelemesi ve muhtemelen imzanın güvendiğine güvenmek. Ben sadece bu sürecin anlaşılabilir bir biçimde yarattığı korkunun bir kısmını ortadan kaldıracak kadar açık olmak istedim. Şifreleme desteği bugünlerde hala kötü ve bence insanlar şifreleme kullanmaya başlamalı ve kendilerine casusluk yapan insanlar hakkında şikâyet etmeyi bırakmalılar, ama şifrelemenin zorluğunun hala çok yüksek olduğunu, aslında hiç kimsenin onları suçlayamayacağını anlıyorum.
user637338
Bu eklentilere ihtiyacın yok. Hiçbir şeyi etkilemiyor gibiler. Apple posta şifreleme için oluşturduğum sertifikaları kullanamadığım konusunda şikayet etti. Kaçırdığım kritik bitlerin keyUsage'daki dataEncipherment ve konu satırında emailAddress = <foo> olması olduğunu düşünüyorum. Daha önce onları altSubjectName'e taşıyordu.
Arran Cudbard-Bell
İlginçtir ki, S / MIME veri şifreleme için simetrik bir anahtar kullandığından, aslında Veri Şifreleme yerine Anahtar Şifrelemeye ihtiyacınız olduğunu öğrendim, ardından bu simetrik anahtarı sertifikadaki asimetrik anahtarı kullanarak şifreliyor. Bu açıklamayı burada buldum .
not2savvy
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.