Jak-na-to: klientské programy elektronické pošty (e-mail)

Viz také Import kořenových certifikátů do operačních systémů a Import kořenových certifikátů do webových prohlížečů

Toto Jak-na-to popisuje, jak lze ručně importovat kořenové certifikáty CAcert a Vaše zálohové soubory *.p12 / *.pfx (s certifikáty a privátními klíči) do Vašeho e-mailového klienta.

Očekávaný výsledek: Lze použít podpisy a šifrování S/MIME nebo PGP/GPG s použitím certifikátů vydaných CAcert.

Android

DJIGZO

DJIGZO má dvě oddělená úložiště klíčů: "Certificates & Keys (Certifikáty a klíče)" pro Vaše osobní klíče (a zprostředkující [intermediary] certifikáty). Ale kořenové certifikáty CA se ukládají do "Root certificates (Kořenové certifikáty)". Takže je-li certifikát Vaší CA (sám sebou podepsaný) kořenový certifikát, musíte ho přidat do "Root certificates (Kořenových certifikátů)" volbou "Store to import to: root (Úložiště, kam importovat: kořenové)". To je rozdíl oproti certifikátům zprostředkujícím (intermediary) nebo certifikátům koncových uživatelů, podepsaným CA; ty se ukládají do "Certificates & Keys (Certifikáty a klíče)" volbou "Store to import to: certificates (Úložiště, kam importovat: certifikáty)".

Viz také: https://lists.cacert.org/wws/arc/cacert/2012-12/msg00009.html

R2Mail2

Pro šifrování a podepisování S/MIME existuje aplikace R2Mail2 pro Android, což je plně funkční e-mailový klient. Není bohužel zdarma, stojí € 4,80 (cena licence; jinak ve zkušební verzi vidíte nejvíce 5 zpráv v každé složce). R2Mail2 je stále inovován a vylepšován. Zjistil jsem, že je mnohem lepší než standardní klient Androidu. Nemá sice tolik možností jako K-9 mail, ale plně podporuje S/MIME (a v omezené míře také PGP).

Viz také zde: https://lists.cacert.org/wws/arc/cacert/2012-12/msg00009.html

FairEmail

Tento klient je dostupný na Google Play a je schopen zprávy jak podepisovat, tak šifrovat. Program ovládá jak S/MIME, tak PGP. Šifrování PGP je zdarma.

Klient od Vás potřebuje pouze instalaci Vašeho certifikátu i s privátním klíčem, nejlépe ze záložního souboru *.p12 / *.pfx (ikona souboru: otisk prstu), a ovšem instalaci kořenových certifikátů CAcert (ty mohou, ale nemusí, být také v tomtéž souboru).

Instalace těchto souborů do systému Android vyšších verzí (5+) je popsána jinde; odkazy jsou na začátku tohoto článku. Přijímáte-li poštu ze stejného zdroje na více zařízeních, je třeba dbát na to, aby Váš soubor *.p12 / *.pfx obsahoval stejný privátní klíč a k němu příslušný certifikát, jaký používáte v e-mailových klientech jinde. Certifikát a privátní klíč se nainstalují automaticky při stažení nebo otevření souboru. Máte-li v systému Android instalován více než jeden privátní klíč + certifikát, budete muset při odesílání zvolit, který má klient použít.

Pro dešifrování přijaté zprávy může být nutné stisknout v záhlaví zprávy ikonu zámku.

Jako u jiných e-mailových klientů je i zde třeba, aby ten, s kým chcete šifrovaně korespondovat, Vám poslal jednu nešifrovanou, ale podepsanou zprávu. Podpis (ikona klikyháku) je označen v záhlaví zprávy a klient si jej uloží automaticky. Po stisknutí zmíněné ikony Vám FairEmail ukáže, kdo zprávu podepsal a další detaily.

iOS (iPhone, iPad)

S/MIME má výhodu, že je v iOS již pro e-mail zabudováno. Abyste tuto funkčnost zapnuli, musíte jít do Settings (Nastavení) > Account (Účet) > Advanced (Upřesnit či Pokročilé) každého e-mailového účtu a tam zapnout S/MIME.

Samsung Galaxy

Viz Samsung Galaxy s PGP/GPG

PGP/GPG v (Apple) Mail

česky | Dansk | Deutsch | English | Español | Français | Nederlands | polski | Português

Linux

PGP/GPG v klientu Thunderbird

S/MIME v klientu Thunderbird

Viz: http://luxsci.com/blog/installing-smime-and-pgp-encryption-certificates-into-major-email-clients.html

MacOS (Macintosh)

Mac OS X obsahuje Keychain, vestavěný správce klíčů a hesel, který ukládá uživatelova hesla, uživatelské a serverové certifikáty a klíče. Některé aplikace používají tento centralizovaný Keychain pro ukládání a čtení informací certifikátu namísto udržování svých vlastních, oddělených úložišť certifikátů.

S/MIME je do Mail na Mac již vestavěno, což je výhoda.

Import klíčů z Vašeho certifikátu:

Po importu se klíče Vašeho certifikátu objeví v utilitě Keychain Access v obou kategoriích: Certificates a Keys (Certifikáty a klíče).

Apple Mail

Úvod v německém jazyku

S/MIME v (Apple) Mail

Viz: http://luxsci.com/blog/installing-smime-and-pgp-encryption-certificates-into-major-email-clients.html

S/MIME v Entourage

Viz: http://luxsci.com/blog/installing-smime-and-pgp-encryption-certificates-into-major-email-clients.html

Thunderbird

Viz: Linux

Outlook pro OS X

Windows

S/MIME v programu Outlook 2003

viz: http://luxsci.com/blog/installing-smime-and-pgp-encryption-certificates-into-major-email-clients.html

S/MIME v programu Outlook 2007

viz: http://luxsci.com/blog/installing-smime-and-pgp-encryption-certificates-into-major-email-clients.html

S/MIME v programu Outlook 2010

viz: MS Outlook 2010 a MS Outlook

S/MIME v programu Outlook 2016 & 2019

Předpoklady:

  1. Oba účastníci používají Outlook 2016 nebo 2019.
  2. Každý z účastníků má ve svém Outlooku instalován svůj certifikát určený pro e-mail, a jemu odpovídající privátní klíč. Ideální je import ze záložního souboru typu P12 (.p12, .pfx). (Soubor doporučuji označit názvem obsahujícím e-mailovou adresu, pro niž je certifikát vystaven, a pořadové číslo certifikátu.)
  3. V Centru zabezpečení, Soubor - Možnosti - (dialog) - panel Centrum zabezpečení - Nastavení Centra zabezpečení - (dialog) - v panelu "Zabezpečení e-mailu", je třeba otevřít pod S/MIME "Výchozí nastavení", tlačítko Nastavení... (v dalším dialogu) vybrat podpisový certifikát a algoritmus hash (např. SHA256), dále šifrovací certifikát a šifrovací algoritmus (např. AES 128-bit) - maximum pro daný certifikát. Certifikát může být pro obě funkce tentýž. Pozor, při výběru se neukáže ten certifikát, který jste vybrali, ale první, který má systém "na řadě" a jiný (nebo první) vyberete po kliknutí na odkaz "Další možnosti". Nakonec postupně uzavřete všechny dialogy asi třemi OK.
  4. /!\ Tuto složitost, odrazující od použití šifrování, tam má MS asi záměrně! /!\

Postup:

Jeden z účastníků (označme ho Alice) zahájí šifrované spojení tak, že pošle svému partnerovi (Bobovi) zprávu podepsanou svým veřejným klíčem (odešle se také celý Alicin certifikát). Ve zprávě by měl být uveden mimo vysvětlující nebo jiný text i "otisk prstu" (kryptografický otisk) Alicina veřejného certifikátu.

Druhý účastník (Bob) tuto zprávu přijme, jeho Outlook zkontroluje neporušenost a certifikát uloží. Nyní je řada na něm (Bobovi), aby odeslal Alici podobnou podepsanou zprávu se svým veřejným certifikátem. Pro úplné (paranoidní) zabezpečení by si měli oba vzájemně potvrdit kryptografické otisky svých certifikátů, určených pro výměnu zpráv e-mailem, za použití jiného kanálu (např. telefonicky).

Nyní může Alice pokračovat v konverzaci odpovědí na Bobovu podepsanou zprávu. Odpověď je třeba otevřít v samostatném okně (ne pouze "Koncept" z náhledu přijaté zprávy), kde v záhlaví pod "Možnosti" zvolí zašifrování zprávy i podpis zprávy.

Bob zprávu přijme a jeho Outlook ji dešifruje, opět je lépe otevřít ji v samostatném okně. Konverzace pak může pokračovat stejným způsobem.

Nové zahájení

Jestliže některý účastník zahajuje další šifrovanou konverzaci po delší pauze, je třeba vybrat adresáta z adresáře nebo potvrdit "našeptávání". Použijete-li zápis přímo do pole Komu: nebo i vložení ze schránky, zašifrování se nezdaří a ohlásí chybu. (Nevyzvedl se certifikát adresáta; to může být i chyba Outlooku.)

Když se to stane, najděte znovu nešifrovanou podepsanou zprávu (nebo si takovou znovu vyžádejte a zkontrolujte kryptografický otisk) a odpovězte na ni už šifrovaně.

Thunderbird

viz také: Linux

Thunderbird v.78.12.0

Předpoklady:

  1. V programu jsou nainstalovány certifikáty se svými privátními klíči: ikona "hamburger" - Možnosti - Soukromí a zabezpečení - poslední na panelu - Certifikáty - Manage certificates - (dialog) - Osobní - Importovat. Protože Thunderbird má vlastní úložišttě certifikátů, je třeba zajistit, aby pod "Autority" byly instalovány kořenové certifikáty CAcert. Import pod Autority vyžaduje soubory PEM (.crt) a jiné, import klientských certifikátů pod Osobní vyžaduje soubory formátu P12 (.p12, .pfx).
  2. Nastavení šifrovacího systému se provádí pro každý účet (e-mailovou adresu) zvlášť. Klepnutím na název účtu získáte v pravém panelu nahoře řadu odkazů. Použijte "End-to-end Encryption". Otevře se dialog nastavení. Horní část je určena pro openPGP, spodní pro S/MIME. Úplně vespod je nastavení preferované techniky šifrování.
  3. Pod S/MIME můžete především vybrat vhodné certifikáty pro digitální podpis a pro šifrování (pro obě funkce můžete vybrat tentýž certifikát). Lze též zvolit, aby se zprávy standardně šifrovaly. Lze rovnou spustit Správce certifikátů. Hašovací ani šifrovací algoritmus se nenastavuje.
  4. Pro openPGP je třeba vybrat vhodný, předem vygenerovaný klíč (tlačítko AddKey). Lze také přímo spustit Správce klíčů OpenPGP.

Postup:

U S/MIME je podobný jako u Outlooku, jenom bez komplikací s výběrem adresáta ani se samostatným oknem.

Jeden z účastníků (označme ho Alice) zahájí šifrované spojení tak, že pošle svému partnerovi (Bobovi) zprávu podepsanou svým veřejným klíčem (odešle se také celý Alicin certifikát). Ve zprávě by měl být uveden mimo vysvětlující nebo jiný text i "otisk prstu" (kryptografický otisk) Alicina veřejného certifikátu.

Druhý účastník (Bob) tuto zprávu přijme, jeho Thunderbird zkontroluje neporušenost a certifikát uloží. Nyní je řada na něm (Bobovi), aby odeslal Alici podobnou podepsanou zprávu se svým veřejným certifikátem. Pro úplné (paranoidní) zabezpečení by si měli oba vzájemně potvrdit kryptografické otisky svých certifikátů, určených pro výměnu zpráv e-mailem, za použití jiného kanálu (např. telefonicky).

Nyní může Alice pokračovat v konverzaci odpovědí na Bobovu podepsanou zprávu. V záhlaví zprávy pod "Možnosti" zvolí zašifrování zprávy, typ šifrování (PGP nebo S/MIME) i podpis zprávy.

Bob zprávu přijme a jeho Thunderbird ji dešifruje. Konverzace pak může pokračovat stejným způsobem.

Je samozřejmě možné, aby každý z partnerů - účastníků šifrované konverzace - měl jiný e-mailový klient, za předpokladu, že se dohodnou na typu šifrování a že oba klientské programy dohodnutý typ šifrování ovládají.

Nové zahájení

S novým zahájením konverzace nejsou u Thunderbirdu žádné problémy.


FAQ/eMailClients/CZ (last edited 2021-08-18 15:41:58 by AlesKastner)