Šifrování e-mailů S/MIME#

(Nitrokey Start - Linux)

Předpoklady#

Existují dva široce používané standardy pro šifrování e-mailů.

  • OpenPGP/GnuPG je oblíbený mezi jednotlivci,

  • S/MIME/X.509 používají především podniky.

Pokud váháte, který z nich zvolit, měli byste použít OpenPGP, viz zde. Tato stránka popisuje použití šifrování e-mailů S/MIME.

Certifikát S/MIME si musíte zakoupit (např. na adrese CERTUM) nebo jej již vaše společnost může mít. Dále je třeba do systému nainstalovat OpenSC. Zatímco uživatelé GNU/Linuxu mohou obvykle nainstalovat OpenSC přes správce balíčků (např. sudo apt install opensc v Ubuntu), uživatelé MacOS a Windows si mohou stáhnout instalační soubory ze stránky OpenSC.

Import existujícího klíče a certifikátu#

Následující pokyny vycházejí z wiki OpenSC. Budeme předpokládat, že jste již získali dvojici klíč-certifikát jako soubor .p12. Pokud jste získali samostatný soubor klíče a certifikátu, podívejte se prosím na stránku wiki.

Příkazový řádek systému Windows otevřete stisknutím klávesy Windows a klávesy R. Nyní do textového pole napište „cmd.exe“ a stiskněte klávesu enter. Chcete-li otevřít terminál v systému MacOS nebo GNU/Linux, použijte vyhledávání aplikací (např. Spotlight v systému MacOS).

Aby byly tyto příkazy co nejjednodušší, musí být soubor .p12 ve vaší domovské složce. V systému Windows je to obvykle ‚C:Usersvaše uživatelské jméno‘ a v systémech MacOS a GNU/Linux ‚/home/vaše uživatelské jméno‘. Pokud tam soubor .p12 neukládáte, musíte cestu v níže uvedených příkazech upravit. Před odesláním příkazů připojte klíč Nitrokey.

Za předpokladu, že váš soubor s certifikátem klíče zní ‚myprivate.p12‘, vypadají příkazy pro systém Windows takto:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

a v systémech macOS a GNU/Linux to bude

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Oba příkazy zkopírují dvojici klíč-certifikát do slotu 2 (potřebného pro dešifrování e-mailů) a slotu 3 (potřebného pro podepisování). Výstup vypadá v obou systémech nějak takto:

img1

Upozorňujeme, že se objeví chybová hlášení, která lze bezpečně ignorovat (viz příklad výstupu výše). Nyní máte pár klíč-certifikát nahraný na Nitrokey.

Použití#

Další informace o používání najdete na těchto stránkách: