Не так давно я описывал устройства eToken компании "Аладдин". В этом материале описана процедура запроса и установки сертификата ЭЦП (в память eToken) для дальнейшего его применения в программе работы с электронной почтой.

Общие настройки:

Перед первым подключением eToken на компьютер необходимо установить пакет драйверов и программу обслуживания устройства (eToken PKI client). Пакет допускает установку без отображения какой-либо информации на экране компьютера - для этого при запуске в параметрах командной строки необходимо указать ключи скрытой установки (подробнее – в руководстве пользователя). Кроме того, формат файла установочного пакета позволяет провести автоматическую массовую установку через групповые политики Active Directory.

До настройки программы работы с электронной почтой необходимо получить цифровой сертификат с использованием криптопровайдера токена (eToken CSP). Кроме того, следует также получить сертификат ЦС, выдавшего сертификат пользователю.

Получение сертификата ЭЦП/шифрования электронной почты:

Для получения сертификата ЭЦП/шифрования необходимо выполнить следующие действия:

• Выбрать пункт «Request certificate»;
• Выбрать пункт «advanced certificate request»;
• Выбрать пункт «Create and submit request to this CA»;
• Ввести в окне параметров сертификата необходимые данные (не забудьте выбрать eToken cryptoprovider!):

• Нажать «Submit».
• Ответить положительно на вопрос о запроса сертификата веб-узлом:

• Ввести PIN-код eToken (устройство должно быть подключено):

После выполнения этих действий запрос на выдачу сертификата помещается в очередь на сервере ЦС. Рекомендую запомнить Request ID, указанный на экране после нажатия кнопки Submit. После одобрения выдачи сертификата администратором необходимо повторно зайти на веб-узел ЦС, и выполнить следующие действия:

• Выбрать пункт «View the Status of a Pending Certificate Request»;
• Выбрать запрошенный сертификат (E-Mail Protection Certificate);
• Выбрать «Install this certificate»;
• Ответить положительно на вопрос системы безопасности об установке сертификата:

• В случае необходимости ввести PIN eToken.

При успешном завершении процедуры появится надпись «Your new certificate has been successfully installed».
Примечание: если ЦС настроен на выдачу сертификатов без одобрения администратором, то за пунктом запроса сертификата сразу последует пункт его инсталляции. И ещё, в процессе обмена информацией с веб-узлом ЦС, может потребоваться установка ActiveX компонентов, которую необходимо будет одобрить, нажав кнопку «Да»:

Получение сертификата ЦС:

Явное сохранение сертификата ЦС необходимо для настройки программы Mozilla Thunderbird, использующей собственное хранилище сертификатов. Для получения сертификата ЦС необходимо выполнить следующие действия:

• Открыть Internet Explorer, в адресной строке набрать адрес ЦС (адрес вида http://server/certsrv), после чего нажать Enter;
• Выбрать пункт «Download a CA certificate, CA chain, or CRL»;
• Выбрать пункт «Download CA» (Если ЦС является изолированным), или пункт «Download certificate chain», если ЦС является подчинённым;
• В открывшемся окне задать имя файла и путь для его сохранения, нажать кнопку «Сохранить».

При использовании других почтовых программ необходимо в свойствах eToken (раздел «Дополнительно», вкладка «Сертификаты и ключи») выбрать установленный сертификат и нажать на кнопку «Импортировать путь».

Настройка Mozilla Thunderbird:

В окне «Инструменты»-«Параметры учётной записи» переходим в раздел «Защита». Здесь необходимо нажать кнопку «Устройства защиты». В открывшемся окне нажимаем кнопку «Загрузить». Далее вводим наименование устройства защиты («eToken») и выбираем файл %WinDir%\System32\eTpkcs.dll, после чего нажимаем кнопку «ОК».

Нажимаем кнопку «Выбрать» в области «Личный сертификат для подписи», и выбираем сертификат, находящийся в памяти токена, который будет использоваться для подписи корреспонденции. Далее выбираем тот же (или другой) сертификат в области «Личный сертификат для шифрования».

Импортируем сертификат, удостоверяющий сам ЦС (центр сертификации), выдавший сертификат пользователя. Для этого нужно нажать кнопку «Просмотр сертификатов», затем в открывшемся окне перейти на вкладку «Центры сертификации», и нажать кнопку «Импорт». Далее необходимо выбрать файл сертификата ЦС для импорта, и нажать кнопку «Открыть». В открывшемся окне устанавливаем уровень доверия к сертификату («Доверять при идентификации пользователей электронной почты»).

Для автоматического добавления электронной подписи к создаваемому письму необходимо установить опцию «Подписывать сообщения цифровой подписью» в разделе «Защита» свойств учётной записи.

Добавляем адрес списка отзыва сертификатов ЦС. В меню выбираем пункт «Инструменты»-«Настройки», в открывшемся окне переходим в раздел «Дополнительно», и затем переходим на вкладку «Сертификаты», где нажимаем кнопку «Списки отзыва сертификатов». В открывшемся окне нажимаем кнопку «Импорт», и указываем адрес списка отзыва ЦС (адрес вида http://server/CertEnroll/list-name.crl):

Настройка TheBat!:

Выбираем пункт меню «Свойства»-«Параметры S/MIME». Устанавливаем параметры, как указано ниже:

Для автоматического добавления электронной подписи к создаваемому письму в свойствах почтового ящика («Ящик»-«Свойства почтового ящика») переходим в раздел «Параметры», и устанавливаем опцию «Подписать перед отправкой».

Настройка Outlook Express:

В окне свойств учётной записи («Сервис»-«Учётные записи»-«Свойства») выбираем вкладку «Безопасность». Далее нажимаем кнопку «Выбрать» и указываем сертификаты для подписи и шифрования:

Для автоматического добавления электронной подписи к создаваемому письму на вкладке параметров безопасности (пункт меню «Сервис»-«Параметры») нужно остановить опцию «Включать цифровую подпись во все отправляемые сообщения»:

Для автоматического удаления отозванных сертификатов из программы нажимаем кнопку «Дополнительно», после чего в открывшемся окне отмечаем опцию «Проверять отмену цифровых подписей»-«Только при нахождении в сети»:

Настройка Outlook 2003:

Выбираем пункт меню «Сервис»-«Программы». В открывшемся окне переходим на вкладку «Безопасность». Нажимаем кнопку «Параметры» в разделе настроек «шифрованная электронная почта». В открывшемся окне нажимаем «Выбрать» и указываем сертификаты для подписи и шифрования:

Для автоматического добавления электронной подписи к создаваемому письму на странице параметров безопасности нужно установить опцию «Добавлять цифровую подпись к исходящим сообщениям»:

Для автоматического удаления отозванных сертификатов из программы нажимаем кнопку «Дополнительно», после чего в открывшемся окне отмечаем опцию «Проверять отмену цифровых подписей»-«Только при нахождении в сети».

Thunderbird имеет собственное хранилище сертификатов и автоматически не получает сертификаты из хранилища сертификатов Windows. Перед выполнением этих инструкций соберите ваш сертификат PersonalSign в формат PFX (PKCS # 12) .

Note:Эти инструкции описаны для Windows, для других операционных систем она может отличаться деталями.

1. Открыть Thunderbird
2. Выберите Сервис из меню
3. Выберите Параметры в раскрывающемся меню
4. В появившемся диалоговом окне выберите вкладку Дополнительно .

Нажмите Управление сертификатами ...

Перейдите к местоположению вашего сертификата PKCS12 и введите все необходимые пароли. После завершения появится сертификат, и вы сможете подписывать электронные письма по электронной почте.

Подпись отдельных писем Email:

Подписание электронной почты гарантирует, что получатель знает, что письмо пришло от вас и сообщает ему /ей, если оно было подделано с момента подписания.

Подпись вашего Email :

Шифрование электронной почты гарантирует, что только получатель может просматривать содержимое электронной почты и любые вложения. Примечание: для шифрования электронной почты для получателя вы должны иметь цифровой сертификат получателя, а их цифровой сертификат должен быть присвоен соответствующей записи в адресной книге

1. Создайте свою электронную почту и прикрепите файлы как обычно
2. Убедитесь, что у получателя есть цифровой сертификат, и вы присвоили сертификат своей записи в своей области контактов
3. Следуйте описанному выше способу и выберите Encrypt This Message
4. Нажмите кнопку Отправить .

Подпись и шифрование почты по умолчанию

Установка цифрового идентификатора для Mozilla Thunderbird

После импорта сертификата в Mozilla Firefox вам необходимо экспортировать его из Mozilla Firefox и импортировать его в Mozilla Thunderbird и после этого включите Mozilla Thunderbird с сертификатом. Firefox (браузер) и Thunderbird (почтовый клиент) не используют один и тот же профиль и никоим образом не связаны друг с другом. Запрос, загрузка и установка сертификата в Firefox не будет автоматически отображаться в Thunderbird. Вам нужно будет экспортировать сертификат из Firefox. После экспорта сертификата из Firefox вам необходимо будет импортировать и включить сертификат в Thunderbird.

Импортировать цифровой идентификатор класса 1 (для защищенной электронной почты) для Mozilla Thunderbird

1. Откройте Mozilla Thunderbird
2. Выберите «Инструменты»> «Настройки учетной записи»> «Безопасность»
3. С правой стороны нажмите «Управление сертификатом и устройствами»> «Управление сертификатами».
   * Примечание. В зависимости от версии Thunderbird, которую вы используете, вы можете увидеть раздел сертификатов. Если это так, нажмите «Просмотреть сертификаты»
4. На вкладке «Сертификаты» нажмите «Импорт».
5. Выберите файл сертификата PCKS12 (.pfx или.p12).
6. При появлении запроса введите главный пароль для устройства безопасности программного обеспечения
   * Примечание. Основной пароль был задан, когда ваш профиль был создан в Firebird. Нажмите ОК.
7. Введите пароль для резервного копирования сертификата
8. Нажмите OK.

После импорта вы получите следующее сообщение: Успешно восстановили ваши сертификаты безопасности и закрытый ключ

Включить цифровой идентификатор класса 1 (для защищенной электронной почты) для Mozilla Thunderbird

1. Выберите «Инструменты»> «Настройки учетной записи»
2. В левой части выберите «Безопасность»> «Цифровое подписание»> «Выбрать...». Выберите свой сертификат из отображаемого списка.
3. Обязательно выберите Digitally sign messages (по умолчанию)
4. В разделе Шифрование> Выбрать... Выберите свой сертификат из отображаемого списка

С того момента, как появились разоблачения Эдварда Сноудена, широкой общественности стало очевидно, что цифровое взаимодействие между пользователями протоколируется и контролируется различными секретными службами.

Однако этой коммуникацией интересуются также преступники: кибергангстеры, например, используют украденные ими идентификационные данные, чтобы выманивать у людей деньги. Впрочем, есть масса способов скрыть содержание ваших сообщений от посторонних глаз, а заодно и проверить происхождение писем, поступающих на ваш электронный адрес.

Зачем нужны сертификаты

Безопасность своей электронной почты можно с легкостью обеспечить, обратившись за помощью к программе Thunderbird . Почтовый клиент Open Source поддерживает все более или менее крупные почтовые ресурсы, например Google, Microsoft и GMX, и позволяет устанавливать локальные сервисы.

Кроме того, посредством этой утилиты удобно «привязывать» бесплатные почтовые сертификаты таких сервисов, как Comodo, WISeKey или StartCom. Сертификат указывает на вас вашему партнеру по электронной переписке как на фактический источник, а также дает возможность принимать закодированные сообщения.

С помощью данного сертификата вы создаете для этого приватный и публичный ключи. Приватный ключ служит, чтобы расшифровывать те сообщения, которые ваш партнер прежде скрыл от чужих глаз, воспользовавшись вашим публичным ключом.

Подлинность и действительность вложенного в вашу почту сертификата почтовая программа получателя проверяет у компании, которая ранее его выдала. Ваш публичный ключ автоматически передается со всей сертифицированной корреспонденцией.

Интегрируем почтовые сертификаты

Загрузите последнюю версию почтового клиента (http://mozilla-russia.org/products/thunderbird/) и установите его.

С помощью ассистента настройте существующий аккаунт почты. Если у вас его нет, здесь вы можете создать новый.

Для проверки имеющихся сертификатов выберите «Настройки | Настройки | Дополнительные | Сертификаты». Нажав на «Просмотр сертификатов», вы откроете окно с реестром всех уже установленных ключей.

Провайдер приватных сертификатов в Сети - Comodo Group. По ссылке comodo.com/home/email-security/free-email-certificate.php вы попадете на страницу создания сертификата безопасности. Для генерации приватного ключа нажмите Free EMail Certificate и следуйте указаниям.

На следующей странице заполните все поля формы (имя, e-mail и пр.). Убедитесь, что в поле под Private Key Option установлена опция «2048 (крупный размер)», иначе вы не получите максимально высокий уровень кодировки (RSA-2048-Bit). Завершите процедуру, нажав «Далее».

Сертификат придет на ваш электронный адрес. В письме щелкните по кнопке «Нажмите, чтобы установить сертификат электронной почты Comodo». Учтите: для этого браузером по умолчанию должен быть Firefox, поскольку только он способен обрабатывать данные из Mozilla-Keystore. Теперь ваш сертификат установлен в браузер.

Для экспорта существующего ключа в Thunderbird выберите в браузере опцию «Дополнения | Настройки | Дополнительные» и нажмите на «Просмотр сертификатов». Кликнув по кнопке «Устройство защиты», вы сохраните ключ как файл PKCS12 с паролем на жестком диске вашего ПК.

В Thunderbird вызовите «Менеджер сертификатов», нажмите на «Ваши сертификаты» и «Импортировать», чтобы записать сохраненный файл. Будет запрошен пароль, полученный на предыдущем шаге. Затем придет уведомление о том, что импорт выполнен успешно. С этого момента каждое ваше письмо будет отправляться с сертификатом и ничто не помешает безопасной переписке.

This tutorial explains how to set up Thunderbird to digitally sign, encrypt and decrypt messages in order to make them secure.

Introduction

The email infrastructure that everyone uses is, by design, not secure. While most people connect to their email servers using a secure ("SSL") connection, some servers allow unsecured access. Furthermore, as the message moves through its transmission path from sender to recipient, the connections between each server are not necessarily secure. It is possible for third parties to intercept, read and alter email messages as they are transmitted.

When you digitally sign a message, you embed information in the message that validates your identity. When you encrypt a message, it appears to be "scrambled" and can only by read by a person who has the key to decrypting the message. Digitally signing a message ensures that the message originated from the stated sender. Encrypting ensures that the message has not been read or altered during transmission.

To encrypt messages, you can use the public-key cryptographic system . In this system, each participant has two separate keys: a public encryption key and a private decryption key . When someone wants send you an encrypted message, he or she uses your public key to generate the encryption algorithm. When you receive the message, you must use your private key to decrypt it.

Note: Never share your private key with anyone.

The protocol used to encrypt emails is called PGP (Pretty Good Privacy). To use PGP within Thunderbird, you must first install:

• GnuPG : (GNU Privacy Guard): a free software implementation of PGP
• Enigmail : a Thunderbird add-on

These two applications also provide the capability to digitally sign messages.

Installing GPG and Enigmail

To install GnuPG, download appropriate package from the GnuPG binaries page . Follow the installation instructions provided for your particular package. For more information on installing PGP on specific operating systems, refer to:

To install Enigmail:

1. In Thunderbird, select Tools > Add-ons .
2. Use the search bar in the top right corner to search for Enigmail.
3. Select Enigmail from the search results and follow the instructions to install the add-on.

Creating PGP keys

Create your public/private keys as follows:

Sending and receiving public keys

Sending your public key via email

To receive encrypted messages from other people, you must first send them your public key:

Receiving a public key via email

To send encrypted messages to other people, you must receive and store their public key:

Sending a digitally signed and / or encrypted email

Note: The subject line of the message will not be encrypted.

Reading a digitally signed and / or encrypted email

When you receive an encrypted message, Thunderbird will ask you to enter your secret passphrase to decrypt the message. To determine whether or not the incoming message has been signed or digitally encrypted you need to look at the information bar above the message body.

If Thunderbird recognizes the signature, a green bar (as shown below) appears above the message.

If the message has been encrypted and signed, the green bar also displays the text "Decrypted message".

If the message has been encrypted but not signed the bar would appear as shown below.

Итак, файл PKCS#12 с клиентским сертификатом severtsev-rv_ deltahw.pl2 у нас имеется. Имеется также в наличии почтовая программа Mozilla Thunderbird, которую мы далее для краткости будем называть просто ТВ, последней на момент написания этих строк версии 12.0. Нужно подружить между собой эти две вещи и сделать так, чтобы при отправке писем с этого клиента и при приеме (по POP3) или работе на удаленном сервере (по IMAP) соединение шифровалось.

Первое, что сразу необходимо отметить, - хранилище сертификатов у Thunderbird свое. Собственное, ни с кем не разделяемое. Даже с лучшим другом и союзничком по захвату мира Mozilla Firefox. Поэтому все управление сертификатамм будет делаться исключительно внутри самой программы - больше его просто никак не сделать. Ну и понятно, что ни одна из процедур установки сертификатов, описанных в главе 1, нам не подходит, и мы опишем процесс установки сертификата прямо здесь.

Итак, запускаем ТВ, переходим в Инструменты => Настройки => Дополнительные (Tools => Preferences => Advanced), рис. 4.1.

Рис. 4.1.

Нажимаем Просмотр сертификатов (View certificates), затем нажимаем Импортировать (Import), в открывшемся стандартном диалоге выбираем файл сертификата - появляется запрос пароля. Здесь надо ввести тот самый пароль, который мы задавали при генерации сертификата (рис. 4.2).

Рис. 4.2.

Вводим пароль, получаем сообщение о том, что наши ключи успешно восстановлены. Правда, если вы ошибетесь в пароле, ТВ почему-то сообщит о том, что операция завершилась неуспешно по неизвестной причине.

После установки PKCS#12 у нас должно прибавиться, как обычно, два сертификата - клиентский сертификат, который видно на закладке Ваши сертификаты (Personal certificates), и сертификат СА, который отображается на закладке Центры сертификации (Trusted root certificates). По-хорошему, на этом следовало бы закончить. Но не тут-то было. Еще нужно установить доверие к только что установленному СА, а иначе им просто будет невозможно пользоваться.

Переходим на закладку Центры сертификации (Trusted root certificates), выбираем сертификат нашего СА и нажимаем кнопку Изменить доверие (Modify trust), рис. 4.3.

Вот теперь настройка сертификатов закончена, можно переходить к созданию учетных записей в программе ТВ.

Правда, я бы не назвал способ добавления, который используется в ТВ, удобным. Выбираем Инструменты => Параметры учетной записи (Tools => Account settings), внизу нужно нажать на малозаметную кнопочку Действия для учетной записи (Account actions). Поди еще догадайся, что это кнопка. После выбрать Добавить учетную запись электронной почты (Add electronic mail account), рис. 4.4.

Впрочем, пока нет ни одной учетной записи, можно нажать ссылку в основном окне программы Создать учетную запись (Create account). Независимо от того, как вы начинаете создавать учетную запись, вызывается какой-то дурацкий мастер - явная попытка сделать

Рис. 4.3.

Рис. 4.4. Добавление учетной записи электронной почты что-то, похожее на мастера создания учетных записей в MS Outlook. В нем нужно указать только Ваше имя (Your name), адрес электронной почты (e-mail address) и пароль (password). Ничтоже сумняше- ся, программа предполагает, что в сети, где она работает, существует только один почтовый сервер и на нем существует учетная запись с именем, равным адресу (рис. 4.5).

Рис. 4.5.

Ну что ж, указываем имя, адрес и пароль учетной записи, нажимаем Продолжить (Next) и тут же - Настройка вручную (Manual setup). Вот почему бы не сделать эту кнопку доступной с первого диалога? И вот здесь уже указываем имена серверов для входящей и исходящей почты, а также имя учетной записи, которое вполне может и отличаться. Параметры серверов оставляем в Авто (Auto).

Нажимаем кнопку Перетестировать (Test again). Параметр Аутентификация (Authentification) изменяем с Зашифрованный пароль (Encrypted password) на Обычный пароль (Simple password) - здесь под «зашифрованным паролем» имеется в виду digest-md5, а с ним почему-то не работает. И вот только теперь можно нажать кнопку Создать учетную запись (Create account), рис. 4.6.

Рис. 4.6.

Уф. Я, конечно, понимаю, что разработчики старались минимизировать действия пользователя, но мне почему-то кажется, что раньше, когда этот непонятный мастер не появлялся, было лучше.

И, кстати сказать, это еще не все. Еще нужно зайти в Инструменты => Параметры учетной записи (Tools => Account Settings), выбрать пункт Защита (Security) и в поле Цифровая подпись (Digital signature) выбрать личный сертификат. Для этого нажать Выбрать (Select) - появится окно со списком сертификатов, будет показан первый. Список можно раскрыть, в нем отображаются все доступные в данный момент действующие личные сертификаты, поле emailAddress которых равно адресу электронной почты, указанному в настройках. Просроченные сертификаты в этом списке не показываются (рис. 4.7).

Все. Если теперь параллельно с приемом-отправкой запустить wireshark, можно будет увидеть, что команда STARTTLS выполняется и при работе по IMAP, и при отправке по SMTP - сниффите на здоровье!

На всякий случай приведем настройки, которые были установлены в клиенте:

• ? IMAP - порт 143, защита соединения STARTTLS, метод аутентификации - обычный пароль;
• ? SMTP - порт 587, защита соединения STARTTLS, метод аутентификации - обычный пароль.

Из не имеющих отношения к безопасности недостатков стоит отметить тот факт, что ТВ ограниченно можно настроить на использо-

Рис. 4.7.

ванне AD в качестве LDAP-сервера для адресной книги - адреса из нее подставляются при поиске, но загрузить ее для автономного использования невозможно - постоянно выдается сообщение Ошибка репликации (Replication error).

Что ж, обычных пользователей настроили (все прочие настраиваются одинаково) - идем настраивать тех, кто «равнее других».