X-509 és OPENPGP titkosítás megoldása microsoft outlook 2003-ban

Microsoft Windows

Sziasztok!

Az egyik partnercégünk elvárja, hogy az egyik telephelyről az üzeneteket és a csatolmányokat titkosítottan, digitálisan aláírva küldjük outlook 2003-al. Ez önmagában még nem is lenne probléma, csak az, hogy x-509es tanusitványt használ a partnercég, és mi csak openpgp-s kulcsokat tudunk létrehozni, a gpgwin nevű programmal, ami egyébként remek megoldás, mert beépül az outlook 2003-ba, egymás között meg is tudtuk oldani, hogy az openpgp-vel titkosítva küldjünk egymásnak.
De erre nem nagyon tudunk rájönni, hogy ez egyáltalán kivitelezhető-e. Elég sokat keresgettem a neten, de nem találtam használható megoldást, ha van valakinek valami ötlete az sokat segítene.

a válaszokat előre is köszönöm

András

  • 2465 megtekintés

sajnos, ez nem jó, mert x-509 es tanúsítványt nem lehet tudtommal létrehozni, csak ha van tanúsítvány-szervered, vagy hitelesítésszolgáltatótól igényelsz egyet, és itt elvileg csak azt lehet kiválasztani.
a gpg4win-nel kell valahogy megcsinálni, de fogalmam sincs, hogy hogy mert a 2 tanúsítvány (OPENPGP és X-509)véletlenül sem passzol össze, nem kompatibilisek egymással.

Én András kollégája vagyok és elismerem, hogy sem a programozásban, sem a titkosításban nem vagyok otthon. A leírtakat végig csináltam, de nem sikerült létrehozni az .asc kiterjesztésű kulcsokat, amiket aztán elküldhetek a partnercégnek és amiket a Kleopatra-ba be tudok importálni, hogy mi is elküldhessük őket.

Amennyit sikerült utánaolvasnom, az alapján az x.509 abban különbözik az PGP-től, hogy egy központi hitelesítő cég hitelesíti. OpenPGP kulcsot létre is tudunk hozni, azzal megy is az aláírás, meg a titkosítás, de a partnercégnél az X.509-et használják, amire ők be is fizettek. El is küldték a saját X.509-es kulcsaikat, amiket be tudunk importálni a Kleopatra-ba, mi is be tudjuk importálni a saját PGP kulcsainkat, de csodák csodája, a két rendszer nem kompatibilis egymással, így nem tudunk levelet küldeni nekik.

Tehát egészen pontosan arra lenne szükség, hogy létre tudjuk hozni azokat a kulcsokat, amiket elküldhetünk nekik és amikkel mi is kompatibilisen tudjuk aláírni a saját leveleinket. Létre tudunk hozni .p10-et, amit elküldhetnénk a hitelesítő cégeknek, létre tudunk hozni -pem-et, de nekünk .asc kellene, ráadásul küldtek valami .p7c kiterjesztésű fileokat, amiről azt sem tudjuk, mik azok.

A linkeket végigolvastam, végigcsináltam, de sehol nem képződik a számunkra szükséges kiterjesztésű állomány.

> és amiket a Kleopatra-ba be tudok importálni

eddig outlook 2003 -ról volt szó.

> egy központi hitelesítő cég hitelesíti.

Én abból indultam ki hogy self-signed certificate is jó lesz. (Nem vadidegeneknek külditek azokat a digitálisan aláírt email-eket.)

> létre tudunk hozni -pem-et, de nekünk .asc kellene

Nincs ötletem mi lehet az az .ASC Próbáltad a .PEM -et, .P12-őt, stb átnevezni .ASC -re?

> ráadásul küldtek valami .p7c kiterjesztésű fileokat, amiről azt sem tudjuk, mik azok.

Gondolom duplakatty a fájlon windows-ban beimportálja.

( zamboriz v | 2011. 06. 10., p – 21:14 )

Kezdjük előröl: "x-509es tanúsítványt használ a partnercég", "elvárja, hogy az egyik telephelyről az üzeneteket és a csatolmányokat titkosítottan, digitálisan aláírva küldjük outlook 2003-al", "küldtek valami .p7c kiterjesztésű fileokat".

A .p7c fájlok a levelek címzettjeinek a publikus kulcsait tartalmazzák (x509). Ezeket importálni kell, pld: http://office.microsoft.com/en-us/outlook-help/import-a-certificate-fil… Ezután már lehet titkosítva levelet küldeni ezeknek a címzetteknek.

Digitális aláíráshoz x509-es tanúsítvány kell (mert a partnercég erre van beállva). Erre több megoldás is lehet: cert-ek vásárlása a feladók számára pld a netlock-tól, ingyenes cert-ek beszerzése pld a cacert.org -tól. Saját tanúsítvány kiadó (Certification Authorithy) üzembe állítása: ekkor a tanúsítványokat magatok állítjátok ki magatoknak. a partnercég megkapja a kiadó tanusítványát, ami alapján ellenőrizni tudja a digitális aláírások hitelességét. Self-signed certificate, kb ugyanez CA üzembeállítás nélkül. Minden feladó kap egy saját maga által aláírt tanúsítványt, minden tanúsítványt át kell küldeni a partnercégnek, aki importálja a tanúsítványokat a rendszerébe, és mehetnek az aláírt levelek.

PGP sehol sem kap szerepet. Melyik megoldást választjátok?

[ windózerek de csöndben vannak :-))) ]

"Self-signed certificate, kb ugyanez CA üzembeállítás nélkül. Minden feladó kap egy saját maga által aláírt tanúsítványt, minden tanúsítványt át kell küldeni a partnercégnek, aki importálja a tanúsítványokat a rendszerébe, és mehetnek az aláírt levelek."

Na, azt hiszem erre lenne szükségünk és ezt nem tudom sehogyan megcsinálni. Ha nagyon muszáj persze csinálhatunk saját szervert is, de jó lenne ha mi magunk tudnánk a certeket létrehozni, mert állandóan változhatnak azok, akiknek szüksége van az aláírásra, jó lenne, ha nem függnénk harmadik cégtől. És amúgy is el küldjük nekik a certeket és ők is a sajátjukat.

( Biros1986 | 2011. 06. 14., k – 09:08 )

Na, kezdünk haladni. :)

1. A felhasználó jelezte igényét az aláírt levélre és javasolta nekünk a Kleopatra+OpenPGP párost.
2. Mi legeneráltuk a PGP kulcsainkat, működik is egymás közt a levelezésünk. Ezek után elküldtük nekik az alkalmazottaink pgp kulcsait amik .asc kiterjesztésűek, hogy importálják.
3. Megkaptuk tőlük az ő kulcsaikat, .asc és . p7c kitetjesztéssel.
4. Beimportáltuk a Kleopatrába a mi kulcsainkat és az általuk küldött kulcsokat.

5. A küldés nem megy, mert amikor küldeni szeretnénk, vagy a mi pgp kulcsunkat tudjuk kiválasztani, akkor a címzettnél van üres sor (Kleopatra), vagy őket választom, akkor meg a miénk üres.

Úgy okoskodtam, hogy mivel mi PGP-vel titkosítanánk, ők viszont smime aláírást várnak, ezért nem is fog működni (ezt a kleopatrában tudom kiválasztani). Az ő kulcsaik x.509-esek így arra gondoltam, nekünk is x.509-es kulcsot kellene gyártanunk. Ha van más módszer, amivel a pgp kulcsot használhatjuk, akkor semmi gond, mivel ők megkapták a mi kulcsainkat, de akkor mit, kinek és hová kell importálnia?

Az a gond, hogy egy rakat leírást elolvastam már a témában, de valahogyan pont a számunkra lényeges infót sehol nem találtam egyszerűen és érthetően leírva. Kipróbálom, amiket javasoltál, de azt hiszem már az outlook importon is túl vagyunk.

> mivel mi PGP-vel titkosítanánk, ők viszont smime aláírást várnak, ezért nem is fog működni

http://www.gpg4win.org/features.html

"Gpg4win supports both: OpenPGP and S/MIME (X.509)"

"The provided Outlook plugin GpgOL allows to sign and encrypt emails directly in Microsoft Outlook (2003 and 2007). Attachments can be encrypted as well, in one go with the email body. Verifying signatures and decrypting messages is done directly in Outlook, too."

"Kleopatra is the preferred certificate manager in Gpg4win. Kleopatra allows to manage all your certificates (OpenPGP and S/MIME) in one tool."

Igen, meg is csináltuk, ami le van írva, de rendre csak egy p10 tanusítvány kérelem file-t hoz létre, amit el kellene küldeni. Persze, lehet, hogy valamit nem jól csináltunk, de nem tudjuk, hogy mit.

Ezt a leírást követtem. Egzaktul pontosan nem tudom, mi az a "root certificate". :
"(To use S/MIME certificates for sign and encrypt, you have to define the trustability
of X.509 root certificates.)

A root certificate (root CA) is used to check the validity of all child certificates.
If you trust the root certificate therby you trust also all underlying certificates.

To avoid that each user must search and install the required root certificates, and
also check and authenticate the trustworthiness of the same, it is useful to install
a system-wide default of the most important root certificates:

1. Store the root certificates

Copy root certificate file to:
[Windows 2000/XP]:
C:\Documents and settings\All Users\Application data\GNU\etc\
dirmngr\trusted-certs\
[Windows Vista/7]:
C:\ProgramData\GNU\etc\dirmngr\trusted-certs

The corresponding root certificates must be available as files in DER
format in the above file folder, with the file extension .crt or .der.

You get the root certificates from the respective CA administrators.
CA operators often provide their root certificates also on websites
for download.

If the above folder is not visible?
Please read the reference note to the view options [1].

2. Set ultimate trustable

a) Open the following file with a text editor:
[Windows 2000/XP]:
C:\Documents and settings\All Users\Application data\GNU\etc\
gnupg\trustlist.txt
[Windows Vista/7]:
C:\ProgramData\GNU\etc\gnupg\trustlist.txt

b) Create a new line per root certificate with the corresponding fingerprint,
such as:
S

You get the fingerprint from the CA operators (often available
from the website where you can download the root certificate).
Alternatively, you can get the fingerprint also via the command line tool
"openssl" (not included in Gpg4win) from the root certificate file:
openssl x509 -in -noout -fingerprint -sha1

A row that begins with # will be treated as a comment and ignored.
The end of the file must be followed by an empty row.

Example of two entries with comments:
# CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
A6935DD34EF3087973C706FC311AA2CCF733765B S

# CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S

In some cases it is useful to reduce the criteria for checking the root
certificate. To do this, you can set an additional flag relax after the S:
S relax

Important: Using relax reduces the level of security, so it needs to be
decided on a case-by-case basis and should only be used in the case of
problems.

3. Complete Gpg4win installation and restart computer

a) Enable the option "Root certificate defined or skip configuration".

b) Complete the Gpg4win installation wizard regular.

c) Restart your computer! (Required because the DirMngr have to read your root
certificates from (1).)

Now, you have finished your S/MIME configuration successfully.

4. Review later in Kleopatra: Import and check certificate chains

Open Kleopatra and import your X.509 certificate chains.
The imported certificate chains should appear under the tab "Trusted
Certificates". Gpg4win recognizes your imported root certificates as
trustable.

Problems? Kleopatra doesn't shows your root certificate as trustable?
Solutions:
* Click on the "Redisplay" button in Kleopatra to update the certificate view.
* Add "relax" after the relevant root certificate in the trustlist.txt - see
step (2).

--
You will find this S/MIME configuration instruction in the Gpg4win start menu
"Documentation".

For more information, see the Gpg4win Compendium, chapter 22:
http://gpg4win.org/doc/en/gpg4win-compendium_28.html

[1] Note to view options in Windows Explorer:
Ensure that you have enabled the folder option "Show hidden files and folders"
You find this option under:
[Windows 2000/XP]: Tools > Folder Options > View
[Windows Vista/7]: Organize > Folder and Search Options > Ansicht"

( Biros1986 | 2011. 06. 20., h – 14:14 )

Hátha valakit még érdekelni fog a dolog, leírom milyen megoldása lett a problémának.

1. A partner által küldött .asc és p7c file-ok

a .asc a pgp titkosítás volt, a .p7c pedig az x.509-es. Azért küldték el mindkettőt, hogy a nekünk szimpatikusat használjuk. Ez szép és jó, de ők még az 1-es verziójú PGPwin verzióval csinálták a kulcsaikat, nekünk viszont a 2.10-est javasolták és valamilyen rejtélyes ok miatt a két verzió nem kompatibilis, ezért nem tudtuk az ő pgp kulcsaikat importálni, csak a p7c-ket. Visszaálltunk az 1-es verzióra és így megy az OpenPGP titkosítás, aláírás a két cég között. Azt sajnos nem tudom, hol történt a hiba, de a 2.10-es import kiírta, hogy az ő kulcsaikból hiányzik az ID. Mindegy, túlléptünk rajta.

2. X.509-es kulcsok.

A Kleopatra valóban lekezeli az X.509 kulcsokat, de létrehozni nem lehet vele őket. Létre lehet hozni egy tanúsítvány kérelmet, amit el lehet küldeni a tanúsítvány kezelő cégeknek, akik hitelesítik ezeket és visszaküldik a hitelesített kulcsokat. Ezeket aztán be kell importálni pl. egy firefoxba és onnan lehet kiexportálni a P7C-t, ami a levelezés aláírásra/hitelesítésre szolgál. Arra sajnos nem jöttem rá, hogyan írhatom alá saját magamnak az X.509-est, de elvileg a szabvány lényege az, hogy egy ezzel megbízott szervezet végezze el a hitelesítést, szóval elképzelhető hogy nem is lehetséges. Egy magyar céggel felvettem a kapcsolatot és mondták, hogy náluk lehet ilyet csinálni. Amire nekünk van szükségünk, az kulcsonként 4.800 HUF/év és személyi igazolvány másolat kell a személyes kulcs kiadásához, valamint egy űrlapot kell kitölteni.

Remélem lesz olyan, akinek segíteni tudtam ezzel a leírással.