česky | english
Šifrování v KDE - Instalace a použití certifikátů
Skoro u všech distribucí Linuxu bylo zatím použití certifikátů problematické, protože pomocné aplikace jako Aegypten a Kleopatra byly v procesu vývoje a také, protože jedna životně důležitá aplikace (gpg-agent) prostě v žádné distribuci neběžela. Tento chybějící "šroubek" je důvodem, že do Kleopatry nelze importovat certifikáty, a proto nejsou v KMailu použitelné.
Zde ukážeme, jak můžete zprovoznit certifikáty X.509 v aplikaci KMail a jiných aplikacích Linuxu.
Pro začátek musíte vytvořit žádosti o certifikáty a předložit je certifikační službě, jako je CACert, pomocí Mozilly nebo Firefoxu. Tím použijete importovací mechanismus Mozilly, který, pokud vím, v Konqueroru neexistuje. První certifikát, který potřebujete, je kořenový certifikát třídy 1 od CACert, který získáte přes jejich domovskou stránku i bez přihlášení. Importujte jej do Firefoxu a pak v Edit|Preferences|Advanced|Encryption|ViewCertificates|Authorities|RootCA uvidíte kořenový certifikát CACertu. Exportujte ho do adresáře Security (zabezpečení) pod svým domovským adresářem (home) jako soubor .pem. (Totéž případně proveďte s kořenovým certifikátem třídy 3.)
Přihlaste se teď k CACertu a vyžádejte si svůj vlastní certifikát pro každý e-mailový účet, pro nějž chcete podepisovat nebo šifrovat zprávy. Každý z nich importujte do Firefoxu a pak je najdete v Edit|Preferences|Advanced|Encryption|ViewCertificates|YourCertificates. V každém zkontrolujte Details|Extensions|CertSubjectAltName, abyste viděl(a), pro kterou e-mailovou adresu je, pak ho exportujte do souboru typu .p12 ve svém adresáři Security s touto e-mailovou adresou jako názvem souboru.
Dalším krokem je našroubování kouzelného šroubku. Program "gpg-agent" musí být spuštěn jako Váš uživatel a je důležité, aby běžel pouze jednou. Z toho důvodu doporučuji upravit Váš soubor ~/.bashrc, protože byste mohl(a) spustit více terminálů. Zavádím gpg-agenta v ~/.kde/Autostart, jenom používám výkonný skript:
#!/bin/bash
# K řešení potíží použijte kwatchgnupg
if test -f $HOME/.gpg-agent-info && kill -0 ‘cut -d: -f 2 $HOME/.gpg-agent-info‘ 2>/dev/null; then
- export GPG_AGENT_INFO=‘cat $HOME/.gpg-agent-info‘
else
- eval 'gpg-agent --daemon --use-standard-socket'
echo $GPG_AGENT_INFO >$HOME/.gpg-agent-info
fi
export GPG_TTY=‘tty‘
Nastavte vlastnictví (chown) a také oprávnění (chmod na 770), jako pro celý adresář Security. Vyzkoušejte to rebootem a přihlášením:
ps aux | grep gpg-agent
a přesvědčete se, že vidíte
gpg-agent --daemon --use-standard-socket
gpg agenta jako démona.
Normálně zde importujte své certifikáty do Konquerora, což je obratem zavede do Kleopatry a tedy do KMailu. Avšak já osobně nevidím důvod, proč se identifikovat každému webu, který navštívím, takže smažu své osobní certifikáty z Firefoxu poté, co jsem je vyexportoval z YourCertificates, a nebudu je importovat ani do Konquerora.
Je vhodné monitorovat další kroky a celou šifrovací aktivitu pomocí kwatchgnupg, dokud není jasné, že to funguje. Nyní spusťte Kleopatru jako Váš uživatel a importujte v ní certifikáty, počínaje Kořenovými certifikáty CACert. Postupujte podle nápovědy a postupně uvidíte každý certifikát v seznamu Kleopatry.
Nyní je můžete také vidět v aplikaci KMail, ale ještě nejste úplně hotov(a). Vytvořte textový soubor v ~/.gnupg s názvem trustlist.txt, nastavte v chown vlastnictví a oprávnění v chmod na 660, a otevřete soubor pro úpravy. V Kleopatře dvojklikem otevřete kořenový certifikát CACertu, zobrazte si Fingerprint ("otisk prstu") a v bílém okně zkopírujte fingerprint do schránky systému (clipboardu). Uložte ho do souboru trustlist.txt a následujte fingerprint klávesovou kombinací <mezerník>S (mezerník, velké S). Tím řeknete gpg-agentu, že tomuto certifikátu bezvýhradně důvěřujete. Opakujte tuto proceduru pro všechny své osobní certifikáty. Uložte a zavřete soubor trustlist.txt.
Pro jistotu bych teď znovu rebootoval. Pak zkontrolujte v KMail|Settings|Security|Reading - Automatic Import (automatický import), v Composing zkontrolujte Automatically Sign and Encrypt (Automaticky podepisovat a šifrovat), zrušte možnost Always Show (vždy zobrazit), v CryptoBackends zkontrolujte, jsou-li nastaveny možnosti OpenPGP a S/MIME. Nejsou-li, použijte Adept k instalaci Kleopatry, openssl a openpgp. V KMail|Identities dvakrát klikněte každou e-mailovou adresu, pro kterou máte certifikát, Cryptography|S/MIMESigning, Encryption|Change a přiřaďte té adrese certifikát. Uložte tlačítkem OK.
Nyní vytvořte e-mail, ujistěte se, že je podepsán (Options|Signed), a pošlete ho na účet freemailu. Ověřte, že tam vidíte přílohu s kryptografickou signaturou udávající, že zprávu jste napsal(a) Vy a že nebyla cestou změněna. Zpráva též obsahuje Váš veřejný certifikát, takže ho příjemci mohou importovat do svých e-mailových klientů a posílat Vám zašifrované zprávy. Oni mají Váš veřejný certifikát a Vy máte svůj privátní (s privátním klíčem).
Nyní se připojte k Webu důvěry CAcert, kde získáte mnohem více "zákaznických" certifikátů.
-- Quantum