S/MIME криптиране на имейли#

Предварителни условия#

Съществуват два широко използвани стандарта за криптиране на имейли.

  • OpenPGP/GnuPG е популярен сред частните лица,

  • S/MIME/X.509 се използва предимно от предприятия.

Понастоящем Nitrokey HSM 2 поддържа стандарта S/MIME/X.509. Тази страница описва използването на S/MIME криптиране на електронна поща.

Необходимо е да закупите S/MIME сертификат (например на адрес CERTUM) или може вече да сте получили такъв от вашата компания. Освен това трябва да инсталирате OpenSC на вашата система. Докато потребителите на GNU/Linux обикновено могат да инсталират OpenSC чрез мениджъра на пакети (напр. sudo apt install opensc в Ubuntu), потребителите на macOS и Windows могат да изтеглят инсталационните файлове от страницата OpenSC.

Импортиране на съществуващ ключ и сертификат#

Следващите инструкции се основават на wiki на OpenSC. Ще предположим, че вече сте получили двойка ключ-сертификат като файл .p12. Моля, погледнете страницата в уикито, ако сте получили отделен файл с ключ и сертификат.

За да отворите командния ред на Windows, натиснете клавиша Windows и клавиша R. Сега въведете „cmd.exe“ в текстовото поле и натиснете Enter. За да отворите терминал в MacOS или GNU/Linux, използвайте търсенето на приложения (напр. Spotlight в MacOS).

За да бъдат тези команди възможно най-прости, файлът .p12 трябва да се намира в домашната ви папка. В Windows това обикновено е ‚C:Usersyourusername‘, а в macOS и GNU/Linux - ‚/home/yourusername‘. Ако не съхранявате файла .p12 там, трябва да адаптирате пътя в командите по-долу. Моля, включете Nitrokey, преди да изпратите командите.

Ако приемем, че вашият файл с ключове и сертификати се чете като „myprivate.p12“, командите за Windows изглеждат по следния начин:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

а за macOS и GNU/Linux това ще бъде

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Двете команди копират двойката ключ-сертификат в слот 2 (необходим за декриптиране на имейли) и слот 3 (необходим за подписване). Изходът и на двете системи изглежда по следния начин:

Изображение 1

Имайте предвид, че ще има съобщения за грешки, които могат спокойно да бъдат пренебрегнати (вж. примера за изход по-горе). Вече сте заредили двойката ключ-сертификат в Nitrokey.

Употреба#

На тези страници можете да намерите допълнителна информация за използването: