Viz E-mailové certifikáty

Šifrování v KDE - Instalace a použití certifikátů

Skoro u všech distribucí Linuxu bylo zatím použití certifikátů problematické, protože pomocné aplikace jako Aegypten a Kleopatra byly v procesu vývoje a také, protože jedna životně důležitá aplikace (gpg-agent) prostě v žádné distribuci neběžela. Tento chybějící "šroubek" je důvodem, že do Kleopatry nelze importovat certifikáty, a proto nejsou v KMailu použitelné.

Zde ukážeme, jak můžete zprovoznit certifikáty X.509 v aplikaci KMail a jiných aplikacích Linuxu.

Pro začátek musíte vytvořit žádosti o certifikáty a předložit je certifikační službě, jako je CACert, pomocí Mozilly nebo Firefoxu. Tím použijete importovací mechanismus Mozilly, který, pokud vím, v Konqueroru neexistuje. První certifikát, který potřebujete, je kořenový certifikát třídy 1 od CACert, který získáte přes jejich domovskou stránku i bez přihlášení. Importujte jej do Firefoxu a pak v Edit|Preferences|Advanced|Encryption|ViewCertificates|Authorities|RootCA uvidíte kořenový certifikát CACertu. Exportujte ho do adresáře Security (zabezpečení) pod svým domovským adresářem (home) jako soubor .pem. (Totéž případně proveďte s kořenovým certifikátem třídy 3.)

Přihlaste se teď k CACertu a vyžádejte si svůj vlastní certifikát pro každý e-mailový účet, pro nějž chcete podepisovat nebo šifrovat zprávy. Každý z nich importujte do Firefoxu a pak je najdete v Edit|Preferences|Advanced|Encryption|ViewCertificates|YourCertificates. V každém zkontrolujte Details|Extensions|CertSubjectAltName, abyste viděl(a), pro kterou e-mailovou adresu je, pak ho exportujte do souboru typu .p12 ve svém adresáři Security s touto e-mailovou adresou jako názvem souboru.

Dalším krokem je našroubování kouzelného šroubku. Program "gpg-agent" musí být spuštěn jako Váš uživatel a je důležité, aby běžel pouze jednou. Z toho důvodu doporučuji upravit Váš soubor ~/.bashrc, protože byste mohl(a) spustit více terminálů. Zavádím gpg-agenta v ~/.kde/Autostart, jenom používám výkonný skript:


#!/bin/bash

# K řešení potíží použijte kwatchgnupg

if test -f $HOME/.gpg-agent-info && kill -0 ‘cut -d: -f 2 $HOME/.gpg-agent-info‘ 2>/dev/null; then

else

fi

export GPG_TTY=‘tty‘


Nastavte vlastnictví (chown) a také oprávnění (chmod na 770), jako pro celý adresář Security. Vyzkoušejte to rebootem a přihlášením:

 ps aux | grep gpg-agent 

a přesvědčete se, že vidíte

 gpg-agent --daemon --use-standard-socket

gpg agenta jako démona.

Normálně zde importujte své certifikáty do Konquerora, což je obratem zavede do Kleopatry a tedy do KMailu. Avšak já osobně nevidím důvod, proč se identifikovat každému webu, který navštívím, takže smažu své osobní certifikáty z Firefoxu poté, co jsem je vyexportoval z YourCertificates, a nebudu je importovat ani do Konquerora.

Je vhodné monitorovat další kroky a celou šifrovací aktivitu pomocí kwatchgnupg, dokud není jasné, že to funguje. Nyní spusťte Kleopatru jako Váš uživatel a importujte v ní certifikáty, počínaje Kořenovými certifikáty CACert. Postupujte podle nápovědy a postupně uvidíte každý certifikát v seznamu Kleopatry.

Nyní je můžete také vidět v aplikaci KMail, ale ještě nejste úplně hotov(a). Vytvořte textový soubor v ~/.gnupg s názvem trustlist.txt, nastavte v chown vlastnictví a oprávnění v chmod na 660, a otevřete soubor pro úpravy. V Kleopatře dvojklikem otevřete kořenový certifikát CACertu, zobrazte si Fingerprint ("otisk prstu") a v bílém okně zkopírujte fingerprint do schránky systému (clipboardu). Uložte ho do souboru trustlist.txt a následujte fingerprint klávesovou kombinací <mezerník>S (mezerník, velké S). Tím řeknete gpg-agentu, že tomuto certifikátu bezvýhradně důvěřujete. Opakujte tuto proceduru pro všechny své osobní certifikáty. Uložte a zavřete soubor trustlist.txt.

Pro jistotu bych teď znovu rebootoval. Pak zkontrolujte v KMail|Settings|Security|Reading - Automatic Import (automatický import), v Composing zkontrolujte Automatically Sign and Encrypt (Automaticky podepisovat a šifrovat), zrušte možnost Always Show (vždy zobrazit), v CryptoBackends zkontrolujte, jsou-li nastaveny možnosti OpenPGP a S/MIME. Nejsou-li, použijte Adept k instalaci Kleopatry, openssl a openpgp. V KMail|Identities dvakrát klikněte každou e-mailovou adresu, pro kterou máte certifikát, Cryptography|S/MIMESigning, Encryption|Change a přiřaďte té adrese certifikát. Uložte tlačítkem OK.

Nyní vytvořte e-mail, ujistěte se, že je podepsán (Options|Signed), a pošlete ho na účet freemailu. Ověřte, že tam vidíte přílohu s kryptografickou signaturou udávající, že zprávu jste napsal(a) Vy a že nebyla cestou změněna. Zpráva též obsahuje Váš veřejný certifikát, takže ho příjemci mohou importovat do svých e-mailových klientů a posílat Vám zašifrované zprávy. Oni mají Váš veřejný certifikát a Vy máte svůj privátní (s privátním klíčem).

Nyní se připojte k Webu důvěry CAcert, kde získáte mnohem více "zákaznických" certifikátů.

-- Quantum


KMail/CZ (last edited 2016-05-04 13:27:45 by AlesKastner)