česky | english
Jak-na-to: klientské programy elektronické pošty (e-mail)
Viz také Import kořenových certifikátů do operačních systémů a Import kořenových certifikátů do webových prohlížečů
Toto Jak-na-to popisuje, jak lze ručně importovat kořenové certifikáty CAcert a Vaše zálohové soubory *.p12 / *.pfx (s certifikáty a privátními klíči) do Vašeho e-mailového klienta.
Očekávaný výsledek: Lze použít podpisy a šifrování S/MIME nebo PGP/GPG s použitím certifikátů vydaných CAcert.
Contents
Android
DJIGZO
DJIGZO má dvě oddělená úložiště klíčů: "Certificates & Keys (Certifikáty a klíče)" pro Vaše osobní klíče (a zprostředkující [intermediary] certifikáty). Ale kořenové certifikáty CA se ukládají do "Root certificates (Kořenové certifikáty)". Takže je-li certifikát Vaší CA (sám sebou podepsaný) kořenový certifikát, musíte ho přidat do "Root certificates (Kořenových certifikátů)" volbou "Store to import to: root (Úložiště, kam importovat: kořenové)". To je rozdíl oproti certifikátům zprostředkujícím (intermediary) nebo certifikátům koncových uživatelů, podepsaným CA; ty se ukládají do "Certificates & Keys (Certifikáty a klíče)" volbou "Store to import to: certificates (Úložiště, kam importovat: certifikáty)".
Viz také: https://lists.cacert.org/wws/arc/cacert/2012-12/msg00009.html
R2Mail2
Pro šifrování a podepisování S/MIME existuje aplikace R2Mail2 pro Android, což je plně funkční e-mailový klient. Není bohužel zdarma, stojí € 4,80 (cena licence; jinak ve zkušební verzi vidíte nejvíce 5 zpráv v každé složce). R2Mail2 je stále inovován a vylepšován. Zjistil jsem, že je mnohem lepší než standardní klient Androidu. Nemá sice tolik možností jako K-9 mail, ale plně podporuje S/MIME (a v omezené míře také PGP).
Viz také zde: https://lists.cacert.org/wws/arc/cacert/2012-12/msg00009.html
FairEmail
Tento klient je dostupný na Google Play a je schopen zprávy jak podepisovat, tak šifrovat. Program ovládá jak S/MIME, tak PGP. Šifrování PGP je zdarma.
Funkce odesílání šifrované pošty S/MIME však patří do placených funkcí, které je třeba koupit za cca Kč 190.- (€ 7,35) (2021)
Klient od Vás potřebuje pouze instalaci Vašeho certifikátu i s privátním klíčem, nejlépe ze záložního souboru *.p12 / *.pfx (ikona souboru: otisk prstu), a ovšem instalaci kořenových certifikátů CAcert (ty mohou, ale nemusí, být také v tomtéž souboru).
Instalace těchto souborů do systému Android vyšších verzí (5+) je popsána jinde; odkazy jsou na začátku tohoto článku. Přijímáte-li poštu ze stejného zdroje na více zařízeních, je třeba dbát na to, aby Váš soubor *.p12 / *.pfx obsahoval stejný privátní klíč a k němu příslušný certifikát, jaký používáte v e-mailových klientech jinde. Certifikát a privátní klíč se nainstalují automaticky při stažení nebo otevření souboru. Máte-li v systému Android instalován více než jeden privátní klíč + certifikát, budete muset při odesílání zvolit, který má klient použít.
Pro dešifrování přijaté zprávy může být nutné stisknout v záhlaví zprávy ikonu zámku.
Jako u jiných e-mailových klientů je i zde třeba, aby ten, s kým chcete šifrovaně korespondovat, Vám poslal jednu nešifrovanou, ale podepsanou zprávu. Podpis (ikona klikyháku) je označen v záhlaví zprávy a klient si jej uloží automaticky. Po stisknutí zmíněné ikony Vám FairEmail ukáže, kdo zprávu podepsal a další detaily.
iOS (iPhone, iPad)
S/MIME má výhodu, že je v iOS již pro e-mail zabudováno. Abyste tuto funkčnost zapnuli, musíte jít do Settings (Nastavení) > Account (Účet) > Advanced (Upřesnit či Pokročilé) každého e-mailového účtu a tam zapnout S/MIME.
Samsung Galaxy
PGP/GPG v (Apple) Mail
česky | Dansk | Deutsch | English | Español | Français | Nederlands | polski | Português
Mail získává veřejný klíč certifikátu jednou ze dvou metod podle toho, zda je příjemce v prostředí Exchange.
Je-li příjemce uživatelem téhož prostředí Exchange, iOS získá potřebný certifikát pro zašifrování zprávy. iOS prohlédne globální seznam adres (GAL) a Vaše kontakty. Všimněte si zámku a označení Encrypted zašifrováno) nahoře. Když Mail najde certifikát, objeví se modře zvýrazněná ikona zámku vpravo vedle názvu kontaktu příjemce.
Není-li příjemce uvnitř odesilatelova prostředí Exchange, nebo nepoužívá-li odesilatel účet Exchange, musí být do zařízení instalován příjemcův certifikát. Podrobnosti - přejděte na odkaz výše.
Linux
PGP/GPG v klientu Thunderbird
S/MIME v klientu Thunderbird
MacOS (Macintosh)
Mac OS X obsahuje Keychain, vestavěný správce klíčů a hesel, který ukládá uživatelova hesla, uživatelské a serverové certifikáty a klíče. Některé aplikace používají tento centralizovaný Keychain pro ukládání a čtení informací certifikátu namísto udržování svých vlastních, oddělených úložišť certifikátů.
S/MIME je do Mail na Mac již vestavěno, což je výhoda.
Import klíčů z Vašeho certifikátu:
Otevřete utilitu Keychain Access (Applications -> Utilities)
Zvolte položky File -> Import…
- Vyhledejte umístění svého certifikátu CAcert a klikněte Open. Následuje dotaz na heslo pro export obou klíčů.
Po importu se klíče Vašeho certifikátu objeví v utilitě Keychain Access v obou kategoriích: Certificates a Keys (Certifikáty a klíče).
Apple Mail
instalujte "Mac GNU Privacy Guard (Mac GNU Strážce soukromí)" odtud: http://macgpg.sourceforge.net/de/index.html#files a kopírujte GPG keychain do složky Aplikace (Applications).
- Spusťte GPG Keychain.app a importujte certifikát.
Stáhněte a instalujte GPGMailPlugin odtud: http://www.sente.ch/software/GPGMail/English.lproj/GPGMail.html#Download
S/MIME v (Apple) Mail
S/MIME v Entourage
Thunderbird
Viz: Linux
Outlook pro OS X
Z menu Outlook zvolte Preferences > Accounts (Účty). Vyberte svůj e-mailový účet, klikněte Advanced (Pokročilé/Upřesnit) a pak záložku Security (zabezpečení).
- V sekci "Digital signing (digitální podepisování)" vyberte svůj certifikát z roletového menu.
- Pro "Signing algorithm (Podpisový algoritmus)" je standardní hodnotou SHA-256, vhodná pro většinu situací.
- Pro vyšší využití označte všechny tři možnosti:
- Podepisovat odchozí zprávy
- Posílat digitálně podepsané zprávy jako prostý text
- K podepsaným zprávám přidat moje certifikáty
- V sekci "Encryption (Šifrování)" vyberte z roletového menu svůj certifikát.
- Klikněte OK - uložení změn a odchod z Outlook Preferences.
Windows
S/MIME v programu Outlook 2003
S/MIME v programu Outlook 2007
S/MIME v programu Outlook 2010
viz: MS Outlook 2010 a MS Outlook
S/MIME v programu Outlook 2016 & 2019
Předpoklady:
- Oba účastníci používají Outlook 2016 nebo 2019.
- Každý z účastníků má ve svém Outlooku instalován svůj certifikát určený pro e-mail, a jemu odpovídající privátní klíč. Ideální je import ze záložního souboru typu P12 (.p12, .pfx). (Soubor doporučuji označit názvem obsahujícím e-mailovou adresu, pro niž je certifikát vystaven, a pořadové číslo certifikátu.)
- V Centru zabezpečení, Soubor - Možnosti - (dialog) - panel Centrum zabezpečení - Nastavení Centra zabezpečení - (dialog) - v panelu "Zabezpečení e-mailu", je třeba otevřít pod S/MIME "Výchozí nastavení", tlačítko Nastavení... (v dalším dialogu) vybrat podpisový certifikát a algoritmus hash (např. SHA256), dále šifrovací certifikát a šifrovací algoritmus (např. AES 128-bit) - maximum pro daný certifikát. Certifikát může být pro obě funkce tentýž. Pozor, při výběru se neukáže ten certifikát, který jste vybrali, ale první, který má systém "na řadě" a jiný (nebo první) vyberete po kliknutí na odkaz "Další možnosti". Nakonec postupně uzavřete všechny dialogy asi třemi OK.
Tuto složitost, odrazující od použití šifrování, tam má MS asi záměrně!
Postup:
Jeden z účastníků (označme ho Alice) zahájí šifrované spojení tak, že pošle svému partnerovi (Bobovi) zprávu podepsanou svým veřejným klíčem (odešle se také celý Alicin certifikát). Ve zprávě by měl být uveden mimo vysvětlující nebo jiný text i "otisk prstu" (kryptografický otisk) Alicina veřejného certifikátu.
Druhý účastník (Bob) tuto zprávu přijme, jeho Outlook zkontroluje neporušenost a certifikát uloží. Nyní je řada na něm (Bobovi), aby odeslal Alici podobnou podepsanou zprávu se svým veřejným certifikátem. Pro úplné (paranoidní) zabezpečení by si měli oba vzájemně potvrdit kryptografické otisky svých certifikátů, určených pro výměnu zpráv e-mailem, za použití jiného kanálu (např. telefonicky).
Nyní může Alice pokračovat v konverzaci odpovědí na Bobovu podepsanou zprávu. Odpověď je třeba otevřít v samostatném okně (ne pouze "Koncept" z náhledu přijaté zprávy), kde v záhlaví pod "Možnosti" zvolí zašifrování zprávy i podpis zprávy.
Bob zprávu přijme a jeho Outlook ji dešifruje, opět je lépe otevřít ji v samostatném okně. Konverzace pak může pokračovat stejným způsobem.
Nové zahájení
Jestliže některý účastník zahajuje další šifrovanou konverzaci po delší pauze, je třeba vybrat adresáta z adresáře nebo potvrdit "našeptávání". Použijete-li zápis přímo do pole Komu: nebo i vložení ze schránky, zašifrování se nezdaří a ohlásí chybu. (Nevyzvedl se certifikát adresáta; to může být i chyba Outlooku.)
Když se to stane, najděte znovu nešifrovanou podepsanou zprávu (nebo si takovou znovu vyžádejte a zkontrolujte kryptografický otisk) a odpovězte na ni už šifrovaně.
Thunderbird
viz také: Linux
Thunderbird v.78.12.0
Předpoklady:
- V programu jsou nainstalovány certifikáty se svými privátními klíči: ikona "hamburger" - Možnosti - Soukromí a zabezpečení - poslední na panelu - Certifikáty - Manage certificates - (dialog) - Osobní - Importovat. Protože Thunderbird má vlastní úložišttě certifikátů, je třeba zajistit, aby pod "Autority" byly instalovány kořenové certifikáty CAcert. Import pod Autority vyžaduje soubory PEM (.crt) a jiné, import klientských certifikátů pod Osobní vyžaduje soubory formátu P12 (.p12, .pfx).
- Nastavení šifrovacího systému se provádí pro každý účet (e-mailovou adresu) zvlášť. Klepnutím na název účtu získáte v pravém panelu nahoře řadu odkazů. Použijte "End-to-end Encryption". Otevře se dialog nastavení. Horní část je určena pro openPGP, spodní pro S/MIME. Úplně vespod je nastavení preferované techniky šifrování.
- Pod S/MIME můžete především vybrat vhodné certifikáty pro digitální podpis a pro šifrování (pro obě funkce můžete vybrat tentýž certifikát). Lze též zvolit, aby se zprávy standardně šifrovaly. Lze rovnou spustit Správce certifikátů. Hašovací ani šifrovací algoritmus se nenastavuje.
Pro openPGP je třeba vybrat vhodný, předem vygenerovaný klíč (tlačítko AddKey). Lze také přímo spustit Správce klíčů OpenPGP.
Postup:
U S/MIME je podobný jako u Outlooku, jenom bez komplikací s výběrem adresáta ani se samostatným oknem.
Jeden z účastníků (označme ho Alice) zahájí šifrované spojení tak, že pošle svému partnerovi (Bobovi) zprávu podepsanou svým veřejným klíčem (odešle se také celý Alicin certifikát). Ve zprávě by měl být uveden mimo vysvětlující nebo jiný text i "otisk prstu" (kryptografický otisk) Alicina veřejného certifikátu.
Druhý účastník (Bob) tuto zprávu přijme, jeho Thunderbird zkontroluje neporušenost a certifikát uloží. Nyní je řada na něm (Bobovi), aby odeslal Alici podobnou podepsanou zprávu se svým veřejným certifikátem. Pro úplné (paranoidní) zabezpečení by si měli oba vzájemně potvrdit kryptografické otisky svých certifikátů, určených pro výměnu zpráv e-mailem, za použití jiného kanálu (např. telefonicky).
Nyní může Alice pokračovat v konverzaci odpovědí na Bobovu podepsanou zprávu. V záhlaví zprávy pod "Možnosti" zvolí zašifrování zprávy, typ šifrování (PGP nebo S/MIME) i podpis zprávy.
Bob zprávu přijme a jeho Thunderbird ji dešifruje. Konverzace pak může pokračovat stejným způsobem.
Je samozřejmě možné, aby každý z partnerů - účastníků šifrované konverzace - měl jiný e-mailový klient, za předpokladu, že se dohodnou na typu šifrování a že oba klientské programy dohodnutý typ šifrování ovládají.
Nové zahájení
S novým zahájením konverzace nejsou u Thunderbirdu žádné problémy.