A chave pública GPG criada com o GnuPG é rejeitada pelo MS Outlook 2010, por quê?

2

Eu criei um par de chaves GPG com o GnuPG na linha de comando do CentOS 7 e exportei a chave pública para um arquivo .asc e usei com sucesso essa chave pública para criptografar e-mails enviados de outro endereço de e-mail que foram descriptografados com sucesso chave privada que foi criada junto com essa chave pública.

Então, como posso gerar um arquivo de chave pública que o MS Outlook 2010 aceitará e poderá usar com êxito para criptografar os e-mails enviados para serem criptografados pela mesma chave privada?

Aqui está o que eu fiz até agora:

  1. Usando o putty, digitei gpg --list-public-keys no terminal do servidor. Observei que 12321KP4 era o id da chave do pub nos resultados de gpg --list-public-keys

  2. em seguida, digitei gpg --armor --export 12321KP4 > /path/to/username_pubkey.cer .

  3. Em seguida, digitei cat /path/to/username_pubkey.cer e confirmei que, na verdade, é um monte de conteúdo criptografado.

  4. Eu fiz o download do arquivo username_pubkey.cer resultante.

  5. Eu abri o "Outlook 2010".

  6. No “Outlook > Contatos, ”abri o formulário de contato para o contato cujo certificado é username_pubkey.cer .

  7. Na guia "contato", no "grupo de exibição", cliquei em "certificados" e, em seguida, cliquei em Importar.

  8. Selecionei o arquivo username_pubkey.cer e cliquei em "abrir", mas recebi o seguinte diálogo de erro:

Como posso gerar um arquivo-chave que o Outlook possa importar e usar com êxito para enviar e-mails criptografados que podem ser descriptografados no outro lado?

Observe que o Thunderbird é capaz de fazer isso com um arquivo-chave dessa mesma chave. Observe também que quero importar manualmente a chave primeiro dessa maneira e esperar até mais tarde para desenvolver as ferramentas para enviar a chave por email. A chave privada está em um servidor que hospeda um aplicativo e eu teria que escrever meu próprio código para enviar chaves públicas por email. Eu quero esperar para escrever esse código até depois de fazer com que essa abordagem funcione primeiro.

EDITAR

De acordo com a sugestão do @JakeGould, digitei sudo unix2dos /path/to/username_pubkey.cer /path/to/username_pubkey_dos.cer , mas recebi o seguinte em resposta:

unix2dos: converting file /path/to/username_pubkey.cer to DOS format ...
unix2dos: /path/to/username_pubkey_dos.cer: No such file or directory
unix2dos: Skipping /path/to/username_pubkey_dos.cer, not a regular file.

Como posso resolver isso?

    
por CodeMed 24.02.2015 / 03:47

4 respostas

2

Você está confundindo dois sistemas de certificados digitais diferentes. Certificados não são intercambiáveis entre os dois sistemas.

OpenPGP

O OpenPGP fornece um sistema de confiança não hierárquico, que não requer autoridades de certificação centrais. É o sistema mais poderoso, mas também mais complexo. A maioria dos clientes de e-mail não oferece suporte imediato e requer complementos para usá-lo.

Todos podem criar sua própria chave e assiná-la por outras pessoas.

X.509 e S / MIME

A outra opção para certificados digitais é o X.509, usado em S / MIME para e-mail, mas também SSL / TLS para criptografia de transporte de HTTP e outros protocolos. Aqui você tem um monte de autoridades de certificação (na verdade, várias centenas) nas quais você confia (por padrão, configurações de seu computador / cliente de e-mail) e que podem garantir a confiança de outras pessoas (emitir certificações).

Esse é um bom ajuste para empresas (hierarquicamente organizadas), o que provavelmente é o motivo pelo qual ele tem uma implementação muito mais abrangente. O Outlook, o Thunderbird e a maioria dos outros clientes de email (razoáveis) o suportam por padrão.

Existem muitas autoridades de certificação nas quais você pode comprar esse certificado (válido para um determinado período de tempo). Estou listando apenas dois especialmente interessantes:

  • A StartSSL é uma empresa baseada em Israel que emite certificados básicos gratuitos para correio e servidores, mas sem validar o seu ID real (apenas o seu endereço de e-mail). A vantagem é que eles são confiáveis por todos os principais fornecedores de navegadores e sistemas operacionais. Certificados incluindo o seu nome real estão disponíveis para uma taxa fixa de cerca de 60 $ por ano. Esteja ciente de que revogar um certificado (por exemplo, no caso de um terço ter acesso a ele e agora poder escrever um e-mail em seu nome) é de cerca de 25 $ (que também é cobrado por muitas outras empresas).
  • O CAcert é uma "autoridade de certificação orientada pela comunidade". Eles verificam sua identidade por outros membros da comunidade concordando em fazer isso, então você terá que conhecer outras pessoas e mostrar seu ID para obter seu nome no certificado (para detalhes, leia o site deles). A emissão de certificados e revogações é sempre gratuita, mas a desvantagem é que seu certificado raiz não é confiável para os principais sistemas operacionais e clientes de e-mail.

    Pode ser viável para grupos limitados ou uso privado, mas esteja ciente desse problema se estiver sendo usado comercialmente.

por 24.02.2015 / 11:06
0

O Outlook NÃO usa chaves privadas normais (pgp) para assinar emails. Ele usa certificados de estilo SSL e suas chaves privadas associadas (assinadas por um terceiro confiável) para fazer o trabalho. O Outlook precisa que esse certificado esteja no formato pkcs12. (o comando "file" do Linux pode confirmar isso)

Isso tem a vantagem / desvantagem de você não obter uma 'web of trust' para confirmar que a chave privada pertence a quem você acha que faz e a vantagem / desvantagem de que você está confiando apenas na "terceira parte confiável". ".

A grande desvantagem é que você terá que pagar pelo certificado do Outlook.

    
por 24.02.2015 / 10:12
0

Não tem 100% de certeza, mas se o certificado funcionar em outro lugar, isso pode ser um caso simples de formatação de linha do DOS finalizando a formatação da linha Linux finalizando as obras no Outlook 2010.

Eu recomendaria a instalação do utilitário unix2dos no CentOS assim:

sudo yum install unix2dos

E a partir da linha de comando no CentOS executando este comando unix2dos com o -n flag:

unix2dos -n username_pubkey.cer username_pubkey_dos.cer

Em seguida, tente importar o username_pubkey_dos.cer para o Outlook 2010.

    
por 24.02.2015 / 07:19
0

O Outlook 2010 só pode lidar com S / MIME fora da caixa. Se você quiser usar o OpenPGP, você precisa de um plugin. Para o GnuPG existem três opções

  1. Plug-in de privacidade do Outlook
  2. gpg4o

O primeiro é gratuito e de código aberto, mas é apenas para os corajosos. O mesmo se aplica ao plugin que faz parte do projeto gpg4win. Se precisar de um bom trabalho, você deve tentar o gpg4o, que não é gratuito, mas funciona sem problemas. Todos eles devem ser capazes de importar a chave que você criou no seu CentOS.

    
por 24.03.2015 / 15:47