Šifrovanie e-mailov S/MIME#

(Nitrokey HSM 2 - macOS)

Predpoklady#

Existujú dva široko používané štandardy na šifrovanie e-mailov.

  • OpenPGP/GnuPG je obľúbený medzi jednotlivcami,

  • S/MIME/X.509 používajú najmä podniky.

Nitrokey HSM 2 podporuje iba štandard S/MIME/X.509. Táto stránka opisuje použitie šifrovania e-mailov S/MIME.

Musíte si zakúpiť certifikát S/MIME (napr. na CERTUM) alebo ho už možno získala vaša spoločnosť. Okrem toho musíte do svojho Systému nainštalovať OpenSC. Zatiaľ čo používatelia GNU/Linuxu môžu zvyčajne nainštalovať OpenSC cez správcu balíkov (napr. sudo apt install opensc v Ubuntu), používatelia MacOS a Windows si môžu stiahnuť inštalačné súbory zo stránky OpenSC.

Poznámka

Používatelia systému Windows so 64-bitovým systémom (štandard) si musia nainštalovať 32-bitovú aj 64-bitovú verziu OpenSC!

Import existujúceho kľúča a certifikátu#

Nasledujúce pokyny sú založené na wiki OpenSC. Budeme predpokladať, že ste už získali pár kľúč-certifikát vo forme súboru .p12. Ak ste dostali samostatný súbor s kľúčom a certifikátom, pozrite sa na stránku wiki.

Ak chcete otvoriť príkazový riadok systému Windows, stlačte kláves Windows a kláves R. Teraz zadajte do textového poľa príkaz cmd.exe a stlačte kláves enter. Ak chcete otvoriť terminál v systéme MacOS alebo GNU/Linux, použite vyhľadávanie aplikácií (napr. Spotlight v systéme MacOS).

Aby boli tieto príkazy čo najjednoduchšie, súbor .p12 musí byť vo vašom domovskom priečinku. V systéme Windows je to zvyčajne ‚C:UsersVaše používateľské meno‘ a v systémoch MacOS a GNU/Linux to bude ‚/home/Vaše používateľské meno‘. Ak tam súbor .p12 neukladáte, musíte cestu v nasledujúcich príkazoch upraviť. Pred odoslaním príkazov pripojte kľúč Nitrokey.

Za predpokladu, že váš súbor s certifikátom kľúča znie ‚myprivate.p12‘, príkazy pre systém Windows vyzerajú takto:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

a v systémoch macOS a GNU/Linux to bude

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Tieto dva príkazy skopírujú dvojicu kľúč-certifikát do slotu 2 (potrebného na dešifrovanie e-mailov) a slotu 3 (potrebného na podpisovanie). Výstup vyzerá v oboch systémoch približne takto:

img1

Upozorňujeme, že sa vyskytnú chybové hlásenia, ktoré možno bezpečne ignorovať (pozri príklad výstupu vyššie). Teraz máte pár kľúč-certifikát nahraný na Nitrokey.

Používanie#

Ďalšie informácie o používaní nájdete na týchto stránkach:

Riešenie problémov#

  • V systéme Windows: Nainštalovali ste obidve, 32-bitovú aj 64-bitovú verziu OpenSC?

  • Musíte nainštalovať OpenSC vo verzii 0.18 alebo vyššej. Súbory nájdete na Webovej stránke OpenSC pre používateľov Windows a macOS alebo tu pre používateľov Debian/Ubuntu.