Elektronický podpis v Thunderbirdu

[Michal Nemček]

Potřeboval bych poradit s nastavením elektronického podpisu v poštovním klientu Thunderbird.
Mám kvalifikovaný certifikát uložený na eObčance. Pokud píši emaily bez diakritiky tak vše funguje jak má. Ale pokud píši česky, tak se podepsaný mail v pohodě odešle a na straně příjemce se zobrazí chybová hláška npř. v Gmailu: "S touto zprávou bylo neoprávněně zacházeno."

Email provozuji u Zoho mail na vlastní doméně.
Má aktuální konfigurace: Windows 10 Pro 22H2, Thunderbird v. 102.10.0.

[Reklama]

[Filip Jirsák]

Bylo by dobré, kdybyste sem mohl nějaký takový podepsaný e-mail přiložit, aby bylo možné zjistit, kde je chyba – za v GMailu nebo v Thunderbirdu a případně kde konkrétně (zda třeba je e-mail dobře podepsaný, ale je někde špatně nastavené kódování; nebo zda je podpis vygenerovaný ze špatných dat).

[none_]

https://bugzilla.mozilla.org/show_bug.cgi?id=1745458

For now i must admit, that it is mail server fault. Using different one to send s/mime signed message works well! Strange is TB 78 did work well so i was sure it must be TB problem! My fault i think.

Sending with mail.strictly_mime set to true also is working fine with the bad server. Message inside looks like that:

TB 78 and Outlook didn't have those problems, because they made messages with "Content-Transfer-Encoding: quoted-printable" even before sending data to server.

??

[Michal Nemček]

Tak tedy zde přikládám odkaz ke stažení celého podepsaného mailu:
https://drive.google.com/file/d/1vh8P1zydM8oIu1wzBWsw0Ar2SApZiBhn/view?usp=sharing

[Lukinno]

Zdravím,

jen upozorňuji že Gmail žádné české certifikační autoritě nedůvěřuje, viz. seznam důvěryhodných kořenových certifikátů: https://support.google.com/a/answer/7448393?hl=en

To je možná ten důvod, proč gmail vyhazuje tuto chybu, pokud tedy emaily protistrana čte v gmailu ve webovém prostředí. Pokud si protistrana čte emaily například v outlooku nebo v Thunderbirdu, tak se zde zase pro změnu uplatňuje důvěryhodnost certifikátů dle Microsoft trust storu, kde jsou české certifikační autority důvěryhodné.

Dodatek: Až teď jsem viděl přiložený obrázek Toto chyba důvěryhodnosti nebude.

[Reklama]

[jjrsk]

Mozna bys moh trochu rozepsat, co od toho cekas.

Totiz, pred nejakou dobou sem testoval moznosti, a dokud jsem to testoval mezi "normalnima" klientama, vse fungovalo naprosto bez problemu. Tzn nikoli web. Naprosto vpohode jsme s kolegou pouzili i selfsign, stacilo poslat protistrane 1x podepsany mail, a klient si to ulozil a odpoved uz i klido zasifroval. Testovali sme tb + utlouk + em + nativni android klient. Nejake "autority" to vubec nezajimalo (coz teda neznamena, ze by nejak neslo rict ktere verit, ale to se tem verejnym neda zadne).

Prakticky se to ale nedalo pouzivat se zadnym webmailem. A to ani v situaci kdy se tedy naprosto vzdas jakekoli realne bezpecnosti, protoze jaky asi tak dava smysl sifrovat (nebo i podepisovat) maily kdyz je pak stejne posles guuglu.

Problem pak nastava mimo jine i v tom, ze nektere servery (google, exchange ...) do mailu zasahuji, takze treba kombinace outlook + exchange fungovala jen a pouze v situaci, kdy byl mail nejen podepsan, ale take zasifrovan. Pokud bys treba na tom exchange chtel revalidovat dkim, tak taky smula, nacpe si do mailu hromadu svych nesmyslu, takze to uz neprojde.

[Filip Jirsák]

Zdravím,

jen upozorňuji že Gmail žádné české certifikační autoritě nedůvěřuje, viz. seznam důvěryhodných kořenových certifikátů: https://support.google.com/a/answer/7448393?hl=en

To je možná ten důvod, proč gmail vyhazuje tuto chybu, pokud tedy emaily protistrana čte v gmailu ve webovém prostředí. Pokud si protistrana čte emaily například v outlooku nebo v Thunderbirdu, tak se zde zase pro změnu uplatňuje důvěryhodnost certifikátů dle Microsoft trust storu, kde jsou české certifikační autority důvěryhodné.

Dodatek: Až teď jsem viděl přiložený obrázek Toto chyba důvěryhodnosti nebude.

Já teda žádný obrázek nevidím. Každopádně to, co popisujete vy, by znamenalo, že GMail nedůvěřuje certifikátu autority, ne že s obsahem zprávy někdo manipuloval. Samozřejmě je možné, že GMail mate uživatele úplně chybnou hláškou, ale nesázel bych na to.

[Filip Jirsák]

Mozna bys moh trochu rozepsat, co od toho cekas.

Totiz, pred nejakou dobou sem testoval moznosti, a dokud jsem to testoval mezi "normalnima" klientama, vse fungovalo naprosto bez problemu. Tzn nikoli web. Naprosto vpohode jsme s kolegou pouzili i selfsign, stacilo poslat protistrane 1x podepsany mail, a klient si to ulozil a odpoved uz i klido zasifroval. Testovali sme tb + utlouk + em + nativni android klient. Nejake "autority" to vubec nezajimalo (coz teda neznamena, ze by nejak neslo rict ktere verit, ale to se tem verejnym neda zadne).

Prakticky se to ale nedalo pouzivat se zadnym webmailem. A to ani v situaci kdy se tedy naprosto vzdas jakekoli realne bezpecnosti, protoze jaky asi tak dava smysl sifrovat (nebo i podepisovat) maily kdyz je pak stejne posles guuglu.

Problem pak nastava mimo jine i v tom, ze nektere servery (google, exchange ...) do mailu zasahuji, takze treba kombinace outlook + exchange fungovala jen a pouze v situaci, kdy byl mail nejen podepsan, ale take zasifrovan. Pokud bys treba na tom exchange chtel revalidovat dkim, tak taky smula, nacpe si do mailu hromadu svych nesmyslu, takze to uz neprojde.

Řekl bych, že píšete nějaký text na dané téma, ale s realitou se to moc nepotkává. Kdyby nechyběly háčky a čárky, řekl bych, že to psala umělé inteligence. Zajímalo by mne, co si třeba představujete pod pojmem „revalidace DKIM“ nebo proč by cokoli související s DKIM mělo měnit tělo zprávy (které se podepisuje certifikátem uživatele).

[Michal Nemček]

Chybu v podobném smyslu mi píše třeba i desktopový Outlook. Opravdu to má něco společného s kódováním. Email odeslaný bez diakritiky npř. v tom Outlooku příjde v pohodě podepsaný a ověřený. Prohledal jsem již všemožná nastavení v Thunderbirdu a nemohu to najít.

[Filip Jirsák]

Do té BugZilly, co odkazoval none_ v komentáři #2 jste se díval? To totiž pravděpodobně popisuje právě váš problém.

[Michal Nemček]

Asi máte pravdu. Zkoušel jsem si to pročíst a nenašel jsem v tom žádné řešení.
Přijde mi divné, že pokud je to vážně bug, tak že ještě nebyl opraven. Nebo snad nikdo kdo podepisuje nepoužívá speciální znaky?

[RDa]

Tak muzete provest vlastni vypocet podpisu a primo porovnat s dumpem z thunderbidu - jak se lisi vstupni data do hashovaci funkce.

Resp. kdyz je znama zprava co to rozbije, tak najit misto kde se to rozbije je ten nejmensi problem.

[Lukinno]

Možná bych ještě zkusil vypnout antivirus (pokud nějaký vy, případně protistrana používáte) před příjmutím/odesláním digitálně podepsané zprávy - Například takový Avast přidává na konec emailové zprávy (přímo do těla zprávy) nějaký otisk na znamení, že je emailová zpráva zkontrolována a čistá.

Za sebe mohu říci, že digitálně podepisuji v outlooku, mám Avast, a nikdy jsem se s tímto problémem nesetkal - nicméně thunderbird může přistupovat k digitálně podepsaným zprávám jinak než Outlook.

[_mbily]

Nevyjadřuji se k S/MIME mailům, ale k problému při doručování do MS Exchange, ať už ve variantě on-premise nebo online.

Pokud bys treba na tom exchange chtel revalidovat dkim, tak taky smula, nacpe si do mailu hromadu svych nesmyslu, takze to uz neprojde.

Ta hromada přidaných nesmyslných hlaviček ale naštěstí nemá vliv na existující DKIM podpis. Alespoň tedy jsem se s takovou situací nepotkal. Problém je s tělem MIME mailů, do nějž Exchange při vkládání mailu do schránky skutečně zasahuje. Stručně jsem to nedávno popsal na konkurenčním serveru, pan domácí doufám promine. Jde o předposlední příspěvek (v tuto chvíli) v debatě https://www.abclinuxu.cz/blog/Max_Devaine/2023/3/office-365-zkusenosti/diskuse

Maily v ASCII z thunderbirdu v mém případě odcházejí jako MIME s jedinou (hlavní) částí, a problém se jich tak netýká.

[Michal Nemček]

To už jsem bohužel všechno vyzkoušel. K tomu aby se to rozbilo stačí jakýkoli znak s diakritikou. Pokud píšu anglicky, tak vše funguje.