2 utilizacao e instalacao de certificados digitais

ESTG Segurança de Informação 2005

1

GUIA DE UTILIZAÇÃO DE CERTIFICADOS DIGITAIS NO THUNDERBIRD E NO OUTLOOK

(WINDOWS/LINUX, IE/FIREFOX)

por

João Paulo Diogo nº1392 e Renato Saturnino nº 8559 Área: Segurança de Informação

Departamento de Engenharia Informática Escola Superior de Tecnologia e Gestão

Coordenador: Engº Miguel Frade

I – INTRODUÇÃO Este trabalho, desenvolvido na cadeira de Segurança de Informação, pretende fornecer um guia prático, passo a passo, de como utilizar certificados digitais tanto no Outlook como no Thunderbird, usando, como web browsers o Internet Explorer e o Firefox, em plataforma Windows e Linux. II – CONFIGURAÇÃO DE CONTAS DE MAIL Para utilizar certificados digitais no ThunderBird é necessário realizar um determinado número de tarefas prévias das quais, a primeira será, configurar a conta de mail. II.1 – NO OUTLOOK

1. Carregar em Ferramentas Contas de correio electrónico

Figura 1


2

2. Seleccionar Adicionar uma nova conta de correio electrónico e carregar em Seguinte.

Figura 2

3. Seleccionar o tipo de servidor, no nosso caso seleccionamos o POP3

que é o servidor do nosso mail, e carregar em “Seguinte >”

Figura 3

4. Preencher com a informação da conta de mail que vamos utilizar. De seguida clicar em Testar definições da conta afim de averiguar a correcta configuração do mail.


3

Figura 4

5. Em mais definições podemos seleccionar a opção Deixar uma cópia das

mensagens no servidor.

Figura 5


4

II.2 – NO THUNDERBIRD

1 Abrir o Thunderbird e sob o menu Ferramentas seleccionar Configurar contas.

Figura 6

2 Seguir o Assistente de contas que é iniciado seleccionando Conta de email.

Figura 7

3 Seleccionar tipo de servidor como POP e definir servidor de recepção de mensagens e de envio.


5

Figura 8

4 Introduzir nome de utilizador e nome de conta

Figura 9


6

5 Confirmar configurações

Figura 10

II – CRIAÇÃO DE UM CERTIFICADO DIGITAL PARA UMA CONTA DE MAIL Vamos, neste caso, mostrar os passos necessários para obter os certificados digitais pela CA Cert e instalá-los no Firefox.

1 - Aceder à página www.cacert.org e clicar sob o link Join.

Figura 11

2 - Preencher o formulário com os dados pessoais


7

Figura 12

3 - Novamente em www.cacert.org clicar em Normal Login.

Figura 13

4 – Criar certificado.

Primeiro, sob Client Certificates clicar New.

Figura 14


8

De seguida clicar em Create Certificate Request.

Figura 15

Por último, definir Senha Mestre

Figura 16

Figura 17

III – INSTALAÇÃO DE CERTIFICADOS III.1 – INSTALAR ROOT CERTIFICATE O primeiro passo a dar para instalar um certificado digital é instalar o certificado da própria CA (Certificate Authority), neste caso o da CA CERT. 1 - Obter o root certificate da CA em questão.

Primeiro, em Miscellaneous seleccionar Root Certificate.


9

Figura 18

No caso do Internet Explorer basta clicar no primeiro link. No caso do Firefox são necessários mais alguns passos: em Root Certificate (PEM Format) clicar com o botão direito do rato e seleccionar Guardar destino como…

Figura 19

De seguida, ir a Ferramentas -> Opções -> Gerir Certificados.


10

Figura 20

Em autoridades clicar em Importar e seleccionar o ficheiro criado no passo anterior.

Figura 21


11

Figura 22

III.2 – INSTALAR CERTIFICADO DIGITAL NO WEB BROWSER O Internet Explorer e o Outlook usam o mesmo sítio para armazenar os certificados (Microsoft Crypto API). Por outro lado, o Firefox e o Thunderbird guardam os certificados em sítios distintos um do outro. Mais à frente vamos ver como instalar um certificado digital no Outlook pelo que seria desprovido de interesse estar a efectuar aqui o mesmo processo para o Internet Explorer. Assim vamos ver apenas como instalar o certificado digital no Firefox. 1 – Seleccionar o certificado pretendido Em primeiro lugar ver certificados da nossa conta em

Client Certificates -> View;

Figura 22

De seguida, clicar no certificado pretendido.


12

Por último clicar no link click here.

Figura 23

2 - Confirmar que o certificado digital foi instalado no web browser.

Figura 24

3 – Guardar Certificado. Como já foi referido anteriormente o Firefox e o Thunderbird não guardam os certificados no mesmo sítio. Por isso vamos guardar em disco o nosso certificado para que mais à frente o possamos importar para o Thunderbird.

Em primeiro lugar devemos seleccionar o certificado em questão e clicar em guardar, introduzindo depois uma chave de segurança.


13

Figura 25

De seguida definir uma sanha para o certificado.

Figura 26

Tendo assim a nossa chave privada arquivada.

Figura 27

III.3 – INSTALAR CERTIFICADOS NO OUTLOOK E NO THUNDERBIRD III.3.1 – NO OUTLOOK

1. Carregar em Ferramentas Opções


14

Figura 28

2. Nas opções seleccionar Segurança e carregar no botão Importar/exportar…

Figura 29

3. Na secção Importar ID digital, carregar em Procurar e seleccionar a

chave.


15

Figura 30

4. Seleccionar chave.

Figura 31

5. Colocar “Palavra-passe” e atribuir um nome à ID digital.


16

Figura 32

6. No menu da Figura 9, carregar no botão Definições

Figura 33


17

7. No menu definições, carregar nos botões Escolher, e escolher o

Certificado de assinatura e o Certificado de encriptação. Também é possível escolher o algoritmo a usar.

Figura 34

8. Ao carregar no botão Escolher, deverá aparecer o certificado que

escolhemos anteriormente, quando escolhemos a chave. Caso não apareça é só fechar o Outlook e voltar a abrir que depois já aparece.

Figura 35


18

9. Na figura 35, pode-se sempre carregar em Ver certificado e confirmar a autenticidade do certificado respectivo.

Figura 36

III.3.2 – NO THUNDERBIRD 1 – Importar o certificado.

Em Ferramentas -> Opções -> Gerir Certificados importar o certificado que guardamos no ponto anterior.

Figura 37


19

De seguida, introduzir a senha usada para cifrar.

Figura 37

Temos então o nosso certificado instalado.

Figura 38

De seguida em Ferramentas -> Contas vamos definir o certificado que acabamos de importar como sendo o usado para assinar e para cifrar.

Figura 39


20

Figura 40

Figura 41

IV – UTILIZAÇÃO DOS CERTIFICADOS IV.1 – NO OUTLOOK

Para enviar uma mensagem assinada ou cifrada deve-se seleccionar os ícones que se encontram assinalados na figura seguinte, sendo o da esquerda para assinar e o da direita para cifrar a mensagem.

Figura 42

A primeira mensagem a ser enviada deve ser assinada, pois ao fazê-lo estamos a enviar a nossa chave pública ao receptor.


21

IV.1.1 - Envio de um mail com “Assinatura digital”.

1. No menu principal do Outlook, carregar em Nova para criar uma nova mensagem de correio a enviar.

Figura 43

2. De seguida abre-se uma nova janela, onde se preenche a mensagem/e-mail a enviar. Para a mensagem ir com assinatura digital, não esquecer de carregar no ícone da “Assinatura digital”. No fim da mensagem estar preenchida, carregar no botão “Enviar”.

Figura 44


22

3. Recepção de mail assinado:

Figura 45

4. Confirmação da validade da assinatura digital. Ao carregar no ícone da “Assinatura digital”, aparece a figura que está em baixo, e onde se pode verificar se a assinatura é válida.

Figura 46


23

Ao carregarmos no botão “Detalhes…” da figura acima podemos ver as várias camadas de segurança, como mostra na figura seguinte.

Figura 47


24

IV.1.2 - Envio de um mail com “Encriptação de mensagem”.

Para o envio de uma mensagem cifrada é necessário ter a chave pública da pessoa a quem vamos enviar a mensagem. Na figura seguinte é possível ver-se esse erro:

Figura 48

1. Para o envio da mensagem cifrada o sistema é idêntico ao envio de uma

mensagem assinada, sendo a única diferença ter que seleccionar o ícone de Encriptação mensagem.

Figura 49


25

2. Recepção do mail cifrado:

Figura 50

3. Ao carregar no ícone da Encriptação mensagem, aparece a figura que está em baixo, e onde se pode verificar se a cifragem foi bem sucedida.

Figura 51


26

IV.1.3 – Visualização dos mails no menu principal do Outlook.

Os mails assinados conseguem ver-se logo do lado direito sem ser preciso fazer duplo click. Os mails cifrados isso já não é possível e é preciso fazer duplo click para ver o conteúdo do mail. Nas figuras seguintes pode visualizar-se esse facto.

Figura do menu principal do Outlook seleccionando o mail assinado:

Figura 52

Figura do menu principal do Outlook seleccionando o mail cifrado:

Figura 53


27

IV.1.4 – Editar fidedignidade dos mails.

Quando se recebe um mail assinado e aparece nos detalhes da assinatura válida este triângulo da figura seguinte. É necessário editar a fidedignidade.

Figura 54

Figura 55

Após editarmos a fidedignidade como é visível na figura anterior, já não aparece o triângulo e passa a ser visível como na figura seguinte:


28

Figura 56

IV.2 – NO THUNDERBIRD

Para enviar uma mensagem assinada ou cifrada deve-se utilizar o Menu S/MIME conforme é mostrado na figura.

Figura 57

Como foi exposto anteriormente para se poder enviar uma mensagem cifrada para alguém, teremos de ter a sua chave pública. Para isso, é necessário que a pessoa a quem queremos enviar a nossa mensagem nos tenha enviado previamente uma mensagem assinada (que contêm a sua chave pública).


29

Figura 58

Clicando no ícone que representa uma lapiseira na figura anterior podemos verificar a assinatura digital que acabamos de receber.

Figura 59

Automaticamente a chave pública que acabamos de receber será instalada como poderemos ver no Gerenciador de Certificados em De outras pessoas.

Figura 60


30

Se tentarmos enviar um mail cifrado para um endereço de que não possuímos a chave pública, obteremos a seguinte mensagem de erro:

Figura 61

V – CRL E OSCP

Existem dois métodos para manter o nosso mail actualizado no que diz respeito à revogação dos certificados digitais. A mais antiga delas é o CRL (Certificate Revocation List) que consiste em obter, periodicamente, da CA a lista dos certificados que foram revogados. A segunda, e mais recente, é o OSCP (Online Certificate Status Protocol) que mantêm essa lista actualizada online.

V.1 – NO OUTLOOK

Para configurar o CRL no Outlook podemos fazê-lo através do Internet Explorer em Opções de Internet > Avançadas. Seleccionando as opções Verificar existência de revogação de certificados.

Figura 62


31

No site da CA (no nosso caso CACert) fazer o download da lista CRL (Miscellaneous > CRL).

V.2 – NO FIREFOX

Esta opção apenas está disponível na versão 1.5 Beta. Em Tools > Options > Privacy. Para configurar a RCL clicar em Revocation Lists e importar a lista da CA em questão.

Figura 63

Para configurar o OCSP clicar em Verification e preencher os campos como é mostrado na figura de baixo.

Figura 62


32

VI – Onde são guardados os certificados.

Os certificados são guardados no ficheiro “certmgr.msc” que está em “C:\WINDOWS\system32”, como é possível ver na figura seguinte:

Figura 63

Abrindo é possível ver os certificados adicionados, estando estes organizados por directorias:

Figura 64


33

VII - Conversão de formatos com o OpenSSL

Para a conversão do formato PFX para PEM fizemos os seguintes passos:

1. Download e instalação do OpenSSL para Win32 http://gnuwin32.sourceforge.net/packages/openssl.htm.

2. Criamos a pasta c:\certs e copiamos a “chave.pfx” para lá.

Figura 65

3. Abrimos o OpenSSL que está na pasta da figura seguinte:

Figura 66


34

4. Inserimos o comando Openssl que está na figura seguinte para converter o formato:

Comando: openssl pkcs12 -in c:\certs\chave.pfx -out c:\certs\teste.pem –nodes

Figura 67

5. Na figura em cima quando é pedida a password, temos de introduzir a password que introduzimos para exportar o certificado para o ficheiro .pfx. Após a introdução da password deve aparecer “MAC verified OK”.

6. Depois é só verificarmos que o ficheiro “teste.pem” foi criado, como podemos ver na figura seguinte:

Figura 68


35

7. Podemos sempre abrir o ficheiro “teste.pm” com um bloco de notas e verificar a “sua informação”.

Vimos que contém uma “Private Key”, um “Certificate” e que diz respeito ao e-mail “[email protected]”. Essa informação pode ser visível na figura seguinte:

Figura 69


36

Para a conversão do formato PEM para DER:

Os passos são idênticos mudando apenas o comando aplicado, sendo este:

Comando: openssl x509 -in c:\certs\teste.pem –inform PEM -out c:\certs\teste.der –outform DER

Figura 70

Depois é só ir verificar se foi criado o ficheiro “teste.der”. Podemos ver isso na figura seguinte:

Figura 71

2 utilizacao e instalacao de certificados digitais

Documents