2 utilizacao e instalacao de certificados digitais
TRANSCRIPT
ESTG Segurança de Informação 2005
1
GUIA DE UTILIZAÇÃO DE CERTIFICADOS DIGITAIS NO THUNDERBIRD E NO OUTLOOK
(WINDOWS/LINUX, IE/FIREFOX)
por
João Paulo Diogo nº1392 e Renato Saturnino nº 8559 Área: Segurança de Informação
Departamento de Engenharia Informática Escola Superior de Tecnologia e Gestão
Coordenador: Engº Miguel Frade
I – INTRODUÇÃO Este trabalho, desenvolvido na cadeira de Segurança de Informação, pretende fornecer um guia prático, passo a passo, de como utilizar certificados digitais tanto no Outlook como no Thunderbird, usando, como web browsers o Internet Explorer e o Firefox, em plataforma Windows e Linux. II – CONFIGURAÇÃO DE CONTAS DE MAIL Para utilizar certificados digitais no ThunderBird é necessário realizar um determinado número de tarefas prévias das quais, a primeira será, configurar a conta de mail. II.1 – NO OUTLOOK
1. Carregar em Ferramentas Contas de correio electrónico
Figura 1
ESTG Segurança de Informação 2005
2
2. Seleccionar Adicionar uma nova conta de correio electrónico e carregar em Seguinte.
Figura 2
3. Seleccionar o tipo de servidor, no nosso caso seleccionamos o POP3
que é o servidor do nosso mail, e carregar em “Seguinte >”
Figura 3
4. Preencher com a informação da conta de mail que vamos utilizar. De seguida clicar em Testar definições da conta afim de averiguar a correcta configuração do mail.
ESTG Segurança de Informação 2005
3
Figura 4
5. Em mais definições podemos seleccionar a opção Deixar uma cópia das
mensagens no servidor.
Figura 5
ESTG Segurança de Informação 2005
4
II.2 – NO THUNDERBIRD
1 Abrir o Thunderbird e sob o menu Ferramentas seleccionar Configurar contas.
Figura 6
2 Seguir o Assistente de contas que é iniciado seleccionando Conta de email.
Figura 7
3 Seleccionar tipo de servidor como POP e definir servidor de recepção de mensagens e de envio.
ESTG Segurança de Informação 2005
5
Figura 8
4 Introduzir nome de utilizador e nome de conta
Figura 9
ESTG Segurança de Informação 2005
6
5 Confirmar configurações
Figura 10
II – CRIAÇÃO DE UM CERTIFICADO DIGITAL PARA UMA CONTA DE MAIL Vamos, neste caso, mostrar os passos necessários para obter os certificados digitais pela CA Cert e instalá-los no Firefox.
1 - Aceder à página www.cacert.org e clicar sob o link Join.
Figura 11
2 - Preencher o formulário com os dados pessoais
ESTG Segurança de Informação 2005
7
Figura 12
3 - Novamente em www.cacert.org clicar em Normal Login.
Figura 13
4 – Criar certificado.
Primeiro, sob Client Certificates clicar New.
Figura 14
ESTG Segurança de Informação 2005
8
De seguida clicar em Create Certificate Request.
Figura 15
Por último, definir Senha Mestre
Figura 16
Figura 17
III – INSTALAÇÃO DE CERTIFICADOS III.1 – INSTALAR ROOT CERTIFICATE O primeiro passo a dar para instalar um certificado digital é instalar o certificado da própria CA (Certificate Authority), neste caso o da CA CERT. 1 - Obter o root certificate da CA em questão.
Primeiro, em Miscellaneous seleccionar Root Certificate.
ESTG Segurança de Informação 2005
9
Figura 18
No caso do Internet Explorer basta clicar no primeiro link. No caso do Firefox são necessários mais alguns passos: em Root Certificate (PEM Format) clicar com o botão direito do rato e seleccionar Guardar destino como…
Figura 19
De seguida, ir a Ferramentas -> Opções -> Gerir Certificados.
ESTG Segurança de Informação 2005
10
Figura 20
Em autoridades clicar em Importar e seleccionar o ficheiro criado no passo anterior.
Figura 21
ESTG Segurança de Informação 2005
11
Figura 22
III.2 – INSTALAR CERTIFICADO DIGITAL NO WEB BROWSER O Internet Explorer e o Outlook usam o mesmo sítio para armazenar os certificados (Microsoft Crypto API). Por outro lado, o Firefox e o Thunderbird guardam os certificados em sítios distintos um do outro. Mais à frente vamos ver como instalar um certificado digital no Outlook pelo que seria desprovido de interesse estar a efectuar aqui o mesmo processo para o Internet Explorer. Assim vamos ver apenas como instalar o certificado digital no Firefox. 1 – Seleccionar o certificado pretendido Em primeiro lugar ver certificados da nossa conta em
Client Certificates -> View;
Figura 22
De seguida, clicar no certificado pretendido.
ESTG Segurança de Informação 2005
12
Por último clicar no link click here.
Figura 23
2 - Confirmar que o certificado digital foi instalado no web browser.
Figura 24
3 – Guardar Certificado. Como já foi referido anteriormente o Firefox e o Thunderbird não guardam os certificados no mesmo sítio. Por isso vamos guardar em disco o nosso certificado para que mais à frente o possamos importar para o Thunderbird.
Em primeiro lugar devemos seleccionar o certificado em questão e clicar em guardar, introduzindo depois uma chave de segurança.
ESTG Segurança de Informação 2005
13
Figura 25
De seguida definir uma sanha para o certificado.
Figura 26
Tendo assim a nossa chave privada arquivada.
Figura 27
III.3 – INSTALAR CERTIFICADOS NO OUTLOOK E NO THUNDERBIRD III.3.1 – NO OUTLOOK
1. Carregar em Ferramentas Opções
ESTG Segurança de Informação 2005
14
Figura 28
2. Nas opções seleccionar Segurança e carregar no botão Importar/exportar…
Figura 29
3. Na secção Importar ID digital, carregar em Procurar e seleccionar a
chave.
ESTG Segurança de Informação 2005
15
Figura 30
4. Seleccionar chave.
Figura 31
5. Colocar “Palavra-passe” e atribuir um nome à ID digital.
ESTG Segurança de Informação 2005
16
Figura 32
6. No menu da Figura 9, carregar no botão Definições
Figura 33
ESTG Segurança de Informação 2005
17
7. No menu definições, carregar nos botões Escolher, e escolher o
Certificado de assinatura e o Certificado de encriptação. Também é possível escolher o algoritmo a usar.
Figura 34
8. Ao carregar no botão Escolher, deverá aparecer o certificado que
escolhemos anteriormente, quando escolhemos a chave. Caso não apareça é só fechar o Outlook e voltar a abrir que depois já aparece.
Figura 35
ESTG Segurança de Informação 2005
18
9. Na figura 35, pode-se sempre carregar em Ver certificado e confirmar a autenticidade do certificado respectivo.
Figura 36
III.3.2 – NO THUNDERBIRD 1 – Importar o certificado.
Em Ferramentas -> Opções -> Gerir Certificados importar o certificado que guardamos no ponto anterior.
Figura 37
ESTG Segurança de Informação 2005
19
De seguida, introduzir a senha usada para cifrar.
Figura 37
Temos então o nosso certificado instalado.
Figura 38
De seguida em Ferramentas -> Contas vamos definir o certificado que acabamos de importar como sendo o usado para assinar e para cifrar.
Figura 39
ESTG Segurança de Informação 2005
20
Figura 40
Figura 41
IV – UTILIZAÇÃO DOS CERTIFICADOS IV.1 – NO OUTLOOK
Para enviar uma mensagem assinada ou cifrada deve-se seleccionar os ícones que se encontram assinalados na figura seguinte, sendo o da esquerda para assinar e o da direita para cifrar a mensagem.
Figura 42
A primeira mensagem a ser enviada deve ser assinada, pois ao fazê-lo estamos a enviar a nossa chave pública ao receptor.
ESTG Segurança de Informação 2005
21
IV.1.1 - Envio de um mail com “Assinatura digital”.
1. No menu principal do Outlook, carregar em Nova para criar uma nova mensagem de correio a enviar.
Figura 43
2. De seguida abre-se uma nova janela, onde se preenche a mensagem/e-mail a enviar. Para a mensagem ir com assinatura digital, não esquecer de carregar no ícone da “Assinatura digital”. No fim da mensagem estar preenchida, carregar no botão “Enviar”.
Figura 44
ESTG Segurança de Informação 2005
22
3. Recepção de mail assinado:
Figura 45
4. Confirmação da validade da assinatura digital. Ao carregar no ícone da “Assinatura digital”, aparece a figura que está em baixo, e onde se pode verificar se a assinatura é válida.
Figura 46
ESTG Segurança de Informação 2005
23
Ao carregarmos no botão “Detalhes…” da figura acima podemos ver as várias camadas de segurança, como mostra na figura seguinte.
Figura 47
ESTG Segurança de Informação 2005
24
IV.1.2 - Envio de um mail com “Encriptação de mensagem”.
Para o envio de uma mensagem cifrada é necessário ter a chave pública da pessoa a quem vamos enviar a mensagem. Na figura seguinte é possível ver-se esse erro:
Figura 48
1. Para o envio da mensagem cifrada o sistema é idêntico ao envio de uma
mensagem assinada, sendo a única diferença ter que seleccionar o ícone de Encriptação mensagem.
Figura 49
ESTG Segurança de Informação 2005
25
2. Recepção do mail cifrado:
Figura 50
3. Ao carregar no ícone da Encriptação mensagem, aparece a figura que está em baixo, e onde se pode verificar se a cifragem foi bem sucedida.
Figura 51
ESTG Segurança de Informação 2005
26
IV.1.3 – Visualização dos mails no menu principal do Outlook.
Os mails assinados conseguem ver-se logo do lado direito sem ser preciso fazer duplo click. Os mails cifrados isso já não é possível e é preciso fazer duplo click para ver o conteúdo do mail. Nas figuras seguintes pode visualizar-se esse facto.
Figura do menu principal do Outlook seleccionando o mail assinado:
Figura 52
Figura do menu principal do Outlook seleccionando o mail cifrado:
Figura 53
ESTG Segurança de Informação 2005
27
IV.1.4 – Editar fidedignidade dos mails.
Quando se recebe um mail assinado e aparece nos detalhes da assinatura válida este triângulo da figura seguinte. É necessário editar a fidedignidade.
Figura 54
Figura 55
Após editarmos a fidedignidade como é visível na figura anterior, já não aparece o triângulo e passa a ser visível como na figura seguinte:
ESTG Segurança de Informação 2005
28
Figura 56
IV.2 – NO THUNDERBIRD
Para enviar uma mensagem assinada ou cifrada deve-se utilizar o Menu S/MIME conforme é mostrado na figura.
Figura 57
Como foi exposto anteriormente para se poder enviar uma mensagem cifrada para alguém, teremos de ter a sua chave pública. Para isso, é necessário que a pessoa a quem queremos enviar a nossa mensagem nos tenha enviado previamente uma mensagem assinada (que contêm a sua chave pública).
ESTG Segurança de Informação 2005
29
Figura 58
Clicando no ícone que representa uma lapiseira na figura anterior podemos verificar a assinatura digital que acabamos de receber.
Figura 59
Automaticamente a chave pública que acabamos de receber será instalada como poderemos ver no Gerenciador de Certificados em De outras pessoas.
Figura 60
ESTG Segurança de Informação 2005
30
Se tentarmos enviar um mail cifrado para um endereço de que não possuímos a chave pública, obteremos a seguinte mensagem de erro:
Figura 61
V – CRL E OSCP
Existem dois métodos para manter o nosso mail actualizado no que diz respeito à revogação dos certificados digitais. A mais antiga delas é o CRL (Certificate Revocation List) que consiste em obter, periodicamente, da CA a lista dos certificados que foram revogados. A segunda, e mais recente, é o OSCP (Online Certificate Status Protocol) que mantêm essa lista actualizada online.
V.1 – NO OUTLOOK
Para configurar o CRL no Outlook podemos fazê-lo através do Internet Explorer em Opções de Internet > Avançadas. Seleccionando as opções Verificar existência de revogação de certificados.
Figura 62
ESTG Segurança de Informação 2005
31
No site da CA (no nosso caso CACert) fazer o download da lista CRL (Miscellaneous > CRL).
V.2 – NO FIREFOX
Esta opção apenas está disponível na versão 1.5 Beta. Em Tools > Options > Privacy. Para configurar a RCL clicar em Revocation Lists e importar a lista da CA em questão.
Figura 63
Para configurar o OCSP clicar em Verification e preencher os campos como é mostrado na figura de baixo.
Figura 62
ESTG Segurança de Informação 2005
32
VI – Onde são guardados os certificados.
Os certificados são guardados no ficheiro “certmgr.msc” que está em “C:\WINDOWS\system32”, como é possível ver na figura seguinte:
Figura 63
Abrindo é possível ver os certificados adicionados, estando estes organizados por directorias:
Figura 64
ESTG Segurança de Informação 2005
33
VII - Conversão de formatos com o OpenSSL
Para a conversão do formato PFX para PEM fizemos os seguintes passos:
1. Download e instalação do OpenSSL para Win32 http://gnuwin32.sourceforge.net/packages/openssl.htm.
2. Criamos a pasta c:\certs e copiamos a “chave.pfx” para lá.
Figura 65
3. Abrimos o OpenSSL que está na pasta da figura seguinte:
Figura 66
ESTG Segurança de Informação 2005
34
4. Inserimos o comando Openssl que está na figura seguinte para converter o formato:
Comando: openssl pkcs12 -in c:\certs\chave.pfx -out c:\certs\teste.pem –nodes
Figura 67
5. Na figura em cima quando é pedida a password, temos de introduzir a password que introduzimos para exportar o certificado para o ficheiro .pfx. Após a introdução da password deve aparecer “MAC verified OK”.
6. Depois é só verificarmos que o ficheiro “teste.pem” foi criado, como podemos ver na figura seguinte:
Figura 68
ESTG Segurança de Informação 2005
35
7. Podemos sempre abrir o ficheiro “teste.pm” com um bloco de notas e verificar a “sua informação”.
Vimos que contém uma “Private Key”, um “Certificate” e que diz respeito ao e-mail “[email protected]”. Essa informação pode ser visível na figura seguinte:
Figura 69
ESTG Segurança de Informação 2005
36
Para a conversão do formato PEM para DER:
Os passos são idênticos mudando apenas o comando aplicado, sendo este:
Comando: openssl x509 -in c:\certs\teste.pem –inform PEM -out c:\certs\teste.der –outform DER
Figura 70
Depois é só ir verificar se foi criado o ficheiro “teste.der”. Podemos ver isso na figura seguinte:
Figura 71