Solo puedo responder a la parte de Mac Mail de esta pregunta ya que no quiero probar la parte de Thunderbird.
Estoy escribiendo esta parte para las personas que no están familiarizadas con el cifrado asimétrico:
En esta forma de cifrado necesitas dos claves, una privada y una pública. Un certificado en ese sentido no es más que la clave pública, pero tiene más información que solo una clave, le dice quién es usted, su organización, etc.
Lo privado nunca debe perderse y darse a los demás. Si es así, debe comenzar de nuevo y la persona que lo robó puede descifrar todo, así que guárdelo y guárdelo con una contraseña. Por lo general, los certificados están firmados por las denominadas Autoridades de certificación y con mayor frecuencia reciben dinero por su servicio. Es por eso que algunas personas crean sus propios certificados de CA y autofirmados, que son más baratos.
La forma en que funciona el cifrado de correo electrónico es que le envíe a alguien su clave pública (certificado) firmando su correo electrónico con él. Puede firmar cualquier correo electrónico, ya que no se hace ningún daño al entregar su clave pública. Luego, esta otra persona tiene su clave pública y le encripta un correo electrónico con esta clave. A partir de este punto, nadie, aparte de la NSA con una posible computadora Quantum, puede descifrar este mensaje en un período de tiempo razonable, dada la longitud de clave adecuada. O algunas personas se infiltran en las bibliotecas de encriptación reales como el error HEARTBLEED (latido del corazón), que podría haber sido intencional y quién sabe cuántos más de estas puertas traseras están allí.
Los certificados generalmente tienen una duración limitada y deben renovarse de vez en cuando.
Por lo tanto, cosas para quitar: necesita una clave pública y privada y solo regala la pública.
Esto es lo que he hecho:
-
Creé una CA raíz y una CA de firma (no necesitas eso, pero es lo que hice) y utilicé este muy buen tutorial para ella: CA de varios niveles en enlace
-
Luego cambié mi openssl.conf de tal manera que Mac Mail me permite usar el certificado para cifrado de correo electrónico también.
El bit importante es tener keyUsage y extKeyUsage
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment
extKeyUsage = emailProtection, Apple .Mac email signing, Apple .mac email encryption
Para las personas que gustan de las especificaciones, lea este enlace , pero no encontrará las partes específicas de MacOS.
-
Creó la clave privada y el certificado:
openssl req -newkey rsa:4096 -keyout <e-mail>.key -config openssl.cnf -out <e-mail>.req -days 3650
openssl ca -config openssl.cnf -out <e-mail>.crt -infiles <e-mail>.req
Podría argumentar que diez años es demasiado tiempo como un certificado de vida útil, pero quería tener algo que esté funcionando ahora y dentro de 10 años o incluso menos, esta forma de cifrado no funcionará de todos modos. No quería renovar los certificados todo el tiempo, ya que los creé para toda mi familia.
Si algo sale mal en este proceso, puede revocar el certificado de la siguiente manera:
openssl ca -config openssl.cnf -revoke <e-mail>.crt
Uno también debería crear crls, pero yo tampoco hice eso.
-
Claves convertidas a formato p12
openssl pkcs12 -export -in <e-mail>.crt -inkey <e-mail>.key -out <e-mail>.p12
-
Importado p12 a KeyChain en OS X 10.9.4 (13E28)
-
Lo marcó como de confianza
-
Certificado asociado con la cuenta de correo en las preferencias de correo de MacOS en Información de cuenta en el campo Certificado TLS. Enviar correo a otra dirección de correo que también tiene un certificado y una clave y firmó el mensaje con mi clave pública, bueno, MacOS Mail lo hizo por mí.
-
Recibí el correo y devolví mi primer correo cifrado.
Lo que me pasó cuando intenté el procedimiento con mi esposa fue que el símbolo de bloqueo en mi correo de respuesta al primer correo firmado estaba en gris y me quedé perplejo. Esto significaba que no podía cifrar correos. La razón fue que recibí el correo firmado que mi esposa me había enviado, pero no marqué aquí la firma como de confianza en el llavero de MacOS, ya que todas las firmas que uno recibe también terminan ahí. Después de marcarlo como de confianza y reiniciar, todo funcionó bien.
Tal vez alguien o incluso la persona que pregunta puede agregar la parte de Thunderbird a esta respuesta.