Ověření elektronického podpisu v e-mailu

Ověření elektronického podpisu v e-mailu
« kdy: 29. 12. 2019, 10:48:20 »
Dobrý den,

Potřebuji ověřit integritu dokumentu (příloha) v e-mailu který jsem obdržel.
K e-mailu byl dodán soubor smime.p7s který slouží jako elektronický podpis pro tyto účely, bohužel jsem ověřování nikdy neprováděl a potřebuji s tím poradit.

Dohledal jsem, že soubor smime.p7s by měl být podporovaný v mozilla thunderbird.
U poskytovatele e-mailu který používám, nemám možnost se připojit přes pop3 nebo IMAP na mozilla thunderbird.
A nenašel jsem způsob jak bez propojeného účtu v mozilla thunderbird. ověřit e-mail pomocí souboru smime.p7s.

Může mi někdo poradit jak prakticky v nějaké aplikaci která je dostupná pro Windows nebo Linux, přečíst a ověřit data v smime.p7s?


Dodatek:
Ještě bych chtěl dodat že Státní správa používá výhradně (jestli se nepletu) smime.p7s které je založeno na PKI tedy centralizační systém - certifikační autority, kde se důvěra klíčů řeší pomocí stromu důvěry.

Běžní uživatelé ale pro elektronický podpis používají PGP přesněji PGP/MIME a starší PGP/Inline.

Jestli se v této teorii nepletu, je možné jednoduše u některého poskytovatele e-mailu zřídit ověřování pomocí PKI, setkal se s tím někdo někdy ?

Děkuji.



Jose D

  • *****
  • 850
    • Zobrazit profil
Re:Ověření elektronického podpisu v e-mailu
« Odpověď #1 kdy: 29. 12. 2019, 14:46:37 »
Pokud nenapíšeš co máš za poskytovatele/mailové řešení, tak můžeme jen hádat.

První trik co mě napadá (bez znalosti tvého mail systému) - pokud jsi schopný přeposlat mail jako přílohu, pošli si to na nějaký normální mail, kam se dostaneš přes POP3/IMAP, a další postup je asi jasný..

Citace
je možné jednoduše u některého poskytovatele e-mailu zřídit ověřování pomocí PKI

afaik microsoftí web-interface k jejich office (hosted/on-premise) mailerům to uměl/umí.

Re:Ověření elektronického podpisu v e-mailu
« Odpověď #2 kdy: 29. 12. 2019, 15:28:03 »
Pro ověření podpisu e-mailu potřebujete především celý ten e-mail. Např. GMail má v kontextovém menu každého e-mailu položku „Stáhnout zprávu“. Bez celého e-mailu v nezměněném stavu ten podpis neověříte, protože podpis slouží právě k tomu, aby zaručil, že se ve zprávě nezmění ani jediný bit.

Když budete mít ten e-mail, k ověření podpisu můžete použít třeba openssl (konkrétně openssl smime).

Běžní uživatelé pro podpis také používají PKI, PGP je spíš záležitost fandů opensource.

Ověřovat podpis e-mailu můžete u každého poskytovatele, který vám poskytne kompletní e-mail v nezměněné podobě. Takže buď přes POP3 nebo IMAP, nebo v případě webového rozhraní umožní stáhnout původní zprávu. Spíš by mne zajímalo, on to nějaký poskytovatel e-mailových služeb neumí? Nebo chcete poskytovatele s nějakým webovým rozhraním ve kterém to ověřování bude integrované? To bude asi docela výjimečné, protože když chcete umět ověřovat podpis, dává smysl umět i podpis vytvářet. A to je dnes u webových rozhraní problém, protože prohlížeče nepodporují obecnou technologii, která by to uměla. Dříve se pro to používala Java, ale tu prohlížeče přestaly podporovat, takže teď zase musíte mít plugin pro každý prohlížeč zvlášť.

Re:Ověření elektronického podpisu v e-mailu
« Odpověď #3 kdy: 30. 12. 2019, 09:22:42 »
...

U poskytovatele e-mailu který používám, nemám možnost se připojit přes pop3 nebo IMAP na mozilla thunderbird.
A nenašel jsem způsob jak bez propojeného účtu v mozilla thunderbird. ověřit e-mail pomocí souboru smime.p7s.

...
Přestěhujte se k poskytovateli, který podporuje IMAP. Seznam, Google, Microsoft, i skoro všichni další IMAP podporují.
POP3 raději nikdy nepoužívejte, protože si maily stáhnete k sobě a (pokud se hodně nesnažíte a nikdy nespletete) zmizí ze serveru.
Pokud tedy nezaměňujete IMAP a IMAPS, protože IMAP na portu 143 bez STARTTLS nepodporuje nikdo, obvykle se používá IMAPS (993/SSL).
V každém případě protokol IMAP sám nešifruje, takže se musí používat přes šifrované spojení.
Co to máte za poskytovatele? Atlas? Centrum? Pryč od něj!