¿Puedo enviar un correo electrónico cifrado utilizando el correo y los certificados autofirmados?

1

Quiero poder enviar correos electrónicos firmados y encriptados entre una Mac con Mail y otra Mac con Thunderbird, usando certificados autofirmados en ambos extremos. Solía poder hacerlo, pero a lo largo de los años las cosas se han vuelto más difíciles en ambos extremos. Para hacer que el Thunderbird finalice el trabajo, ahora tengo que crear una entidad de certificación autofirmada y luego usarla para hacer un certificado de correo electrónico. Pero no puedo conseguir que el cifrado funcione en el extremo del Correo. (Creo que Apple lo rompió en Mountain Lion). En mi llavero en el extremo del Correo, tengo el CA del extremo de Thunderbird, que está marcado como de confianza, y el certificado de correo electrónico creado por esa CA, que dice "Este certificado es válida". Pero cuando creo un correo electrónico que va a la otra Mac, el botón de cifrado está atenuado.

Leí en alguna parte que el secreto es agregar la extensión "cifrado clave" al crear el certificado, y lo hice, pero aún no funciona.

    
pregunta JWWalker 05.06.2014 - 07:02

2 respuestas

1

¿Hay alguna razón por la que estás intentando este enfoque en particular?

Si tu pregunta real es cómo enviar un correo electrónico firmado y cifrado, uso GPG (a través de GPGTools). Hay un complemento que funciona con Thunderbird pero yo uso el correo de Apple.

    
respondido por el tim.rohrer 07.08.2014 - 18:13
1

Solo puedo responder a la parte de Mac Mail de esta pregunta ya que no quiero probar la parte de Thunderbird.

Estoy escribiendo esta parte para las personas que no están familiarizadas con el cifrado asimétrico:

En esta forma de cifrado necesitas dos claves, una privada y una pública. Un certificado en ese sentido no es más que la clave pública, pero tiene más información que solo una clave, le dice quién es usted, su organización, etc. Lo privado nunca debe perderse y darse a los demás. Si es así, debe comenzar de nuevo y la persona que lo robó puede descifrar todo, así que guárdelo y guárdelo con una contraseña. Por lo general, los certificados están firmados por las denominadas Autoridades de certificación y con mayor frecuencia reciben dinero por su servicio. Es por eso que algunas personas crean sus propios certificados de CA y autofirmados, que son más baratos.

La forma en que funciona el cifrado de correo electrónico es que le envíe a alguien su clave pública (certificado) firmando su correo electrónico con él. Puede firmar cualquier correo electrónico, ya que no se hace ningún daño al entregar su clave pública. Luego, esta otra persona tiene su clave pública y le encripta un correo electrónico con esta clave. A partir de este punto, nadie, aparte de la NSA con una posible computadora Quantum, puede descifrar este mensaje en un período de tiempo razonable, dada la longitud de clave adecuada. O algunas personas se infiltran en las bibliotecas de encriptación reales como el error HEARTBLEED (latido del corazón), que podría haber sido intencional y quién sabe cuántos más de estas puertas traseras están allí. Los certificados generalmente tienen una duración limitada y deben renovarse de vez en cuando.

Por lo tanto, cosas para quitar: necesita una clave pública y privada y solo regala la pública.

Esto es lo que he hecho:

  1. Creé una CA raíz y una CA de firma (no necesitas eso, pero es lo que hice) y utilicé este muy buen tutorial para ella: CA de varios niveles en enlace

  2. Luego cambié mi openssl.conf de tal manera que Mac Mail me permite usar el certificado para cifrado de correo electrónico también.

    El bit importante es tener keyUsage y extKeyUsage

    [ v3_req ]
    
    # Extensions to add to a certificate request
    
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment,       dataEncipherment
    extKeyUsage = emailProtection, Apple .Mac email signing, Apple .mac email encryption
    

    Para las personas que gustan de las especificaciones, lea este enlace , pero no encontrará las partes específicas de MacOS.

  3. Creó la clave privada y el certificado:

    openssl req -newkey rsa:4096 -keyout <e-mail>.key -config openssl.cnf -out <e-mail>.req -days 3650
    
    openssl ca -config openssl.cnf -out <e-mail>.crt -infiles <e-mail>.req
    

    Podría argumentar que diez años es demasiado tiempo como un certificado de vida útil, pero quería tener algo que esté funcionando ahora y dentro de 10 años o incluso menos, esta forma de cifrado no funcionará de todos modos. No quería renovar los certificados todo el tiempo, ya que los creé para toda mi familia.

    Si algo sale mal en este proceso, puede revocar el certificado de la siguiente manera:

    openssl ca -config openssl.cnf -revoke <e-mail>.crt
    

    Uno también debería crear crls, pero yo tampoco hice eso.

  4. Claves convertidas a formato p12

    openssl pkcs12 -export -in <e-mail>.crt -inkey <e-mail>.key -out <e-mail>.p12
    
  5. Importado p12 a KeyChain en OS X 10.9.4 (13E28)

  6. Lo marcó como de confianza

  7. Certificado asociado con la cuenta de correo en las preferencias de correo de MacOS en Información de cuenta en el campo Certificado TLS. Enviar correo a otra dirección de correo que también tiene un certificado y una clave y firmó el mensaje con mi clave pública, bueno, MacOS Mail lo hizo por mí.

  8. Recibí el correo y devolví mi primer correo cifrado.

Lo que me pasó cuando intenté el procedimiento con mi esposa fue que el símbolo de bloqueo en mi correo de respuesta al primer correo firmado estaba en gris y me quedé perplejo. Esto significaba que no podía cifrar correos. La razón fue que recibí el correo firmado que mi esposa me había enviado, pero no marqué aquí la firma como de confianza en el llavero de MacOS, ya que todas las firmas que uno recibe también terminan ahí. Después de marcarlo como de confianza y reiniciar, todo funcionó bien.

Tal vez alguien o incluso la persona que pregunta puede agregar la parte de Thunderbird a esta respuesta.

    
respondido por el user637338 07.08.2014 - 18:00

Lea otras preguntas en las etiquetas