2 votes

Justin avatar

La clé publique GPG créée avec GnuPG est rejetée par MS Outlook 2010, pourquoi?

Demandé el 24 de Février, 2015
Quand la question a-t-elle été
1349 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai créé une paire de clés GPG avec GnuPG sur la ligne de commande de CentOS 7 et j'ai exporté la clé publique dans un fichier .asc que j'ai ensuite utilisé avec succès pour crypter des e-mails envoyés depuis une autre adresse e-mail et qui ont été décryptés avec succès en utilisant la clé privée qui a été créée avec cette clé publique.

Alors, comment puis-je générer un fichier de clé publique que MS Outlook 2010 acceptera et pourra utiliser avec succès pour crypter des e-mails envoyés afin d'être cryptés avec la même clé privée ?

Voici ce que j'ai fait jusqu'à présent :

  1. En utilisant Putty, j'ai tapé gpg --list-public-keys dans le terminal du serveur. J'ai noté que 12321KP4 était l'identifiant de la clé publique dans les résultats de gpg --list-public-keys

  2. Ensuite, j'ai tapé gpg --armor --export 12321KP4 > /chemin/vers/username_pubkey.cer.

  3. Ensuite, j'ai tapé cat /chemin/vers/username_pubkey.cer et confirmé qu'il s'agissait en fait d'un contenu chiffré.

  4. J'ai téléchargé le fichier username_pubkey.cer obtenu.

  5. J'ai ouvert "Outlook 2010".

  6. Dans "Outlook > Contacts", j'ai ouvert le formulaire de contact pour le contact dont le certificat est username_pubkey.cer.

  7. Sur l'onglet "contact", dans le groupe "afficher", j'ai cliqué sur "certificats", puis sur Importer.

  8. J'ai sélectionné le fichier username_pubkey.cer et cliqué sur "ouvrir", mais j'ai obtenu la boîte de dialogue d'erreur suivante :

entrez la description de l'image ici

Comment puis-je générer un fichier de clé que Outlook peut importer et ensuite utiliser avec succès pour envoyer des e-mails cryptés qui peuvent être décryptés à l'autre extrémité ?

Notez que Thunderbird est capable de le faire avec un fichier de clé de la même clé. Notez également que je veux importer manuellement la clé de cette manière en premier, et attendre pour développer les outils pour envoyer la clé par e-mail. La clé privée est sur un serveur qui héberge une application, et je devrais écrire mon propre code pour envoyer les clés publiques par e-mail. Je veux attendre d'écrire ce code jusqu'à ce que cette approche fonctionne d'abord.

ÉDIT

Comme suggéré par @JakeGould, j'ai tapé sudo unix2dos /chemin/vers/username_pubkey.cer /chemin/vers/username_pubkey_dos.cer, mais j'ai reçu ce qui suit en réponse :

unix2dos: converting file /chemin/vers/username_pubkey.cer to DOS format ...
unix2dos: /chemin/vers/username_pubkey_dos.cer: Aucun fichier ou dossier de ce type
unix2dos: Ignorer /chemin/vers/username_pubkey_dos.cer, ce n'est pas un fichier régulier.

Comment puis-je résoudre cela ?

Demandé el 24 de Février, 2015 par Justin

Réponses

Trop de publicités?

3voto

Jens Erat avatar
Jens Erat Points 16432

Vous confondez deux systèmes de certificats numériques différents. Les certificats ne sont pas interchangeables entre les deux systèmes.

OpenPGP

OpenPGP fournit un système de confiance non hiérarchique, qui ne nécessite pas d'autorités de certificats centrales. C'est un système plus puissant, mais aussi plus complexe. La plupart des clients de messagerie ne le prennent pas en charge par défaut et nécessitent des extensions pour l'utiliser.

Tout le monde peut créer sa propre clé et la faire signer par d'autres personnes.

X.509 and S/MIME

L'autre option pour les certificats numériques est X.509, utilisé dans S/MIME pour les e-mails, mais aussi SSL/TLS pour le chiffrement de transport de HTTP et d'autres protocoles. Vous avez ici une série d'autorités de certification (généralement plusieurs centaines) en qui vous avez confiance (par les paramètres par défaut de votre ordinateur/client de messagerie) et qui peuvent garantir les autres (délivrer des certifications) que vous faites automatiquement confiance.

Ceci convient bien aux entreprises (organisées de manière hiérarchique), ce qui explique probablement pourquoi il est beaucoup plus largement utilisé. Outlook, Thunderbird et la plupart des autres clients de messagerie (raisonnables) le prennent en charge par défaut.

Il existe de nombreuses autorités de certification où vous pourriez acheter un tel certificat (valable pour une période donnée). Je ne liste que deux qui sont particulièrement intéressantes :

  • StartSSL est une entreprise basée en Israël qui délivre gratuitement des certificats de base pour les messageries et les serveurs, mais sans vérifier votre identité réelle (seulement votre adresse e-mail). L'avantage est qu'ils sont approuvés par tous les principaux fournisseurs de navigateurs et de systèmes d'exploitation. Des certificats incluant votre nom réel sont disponibles pour un forfait d'environ 60 $ par an. Soyez conscient que la révocation d'un certificat (par exemple, en cas d'accès par une tierce personne qui peut désormais envoyer des e-mails en votre nom) coûte environ 25 $ (ce qui est également facturé par de nombreuses autres entreprises).

  • CAcert est une "autorité de certification pilotée par la communauté". Ils vérifient votre identité en faisant consensus entre les membres de la communauté pour le faire, vous devrez donc rencontrer d'autres personnes et montrer votre identifiant pour que votre nom figure sur le certificat (pour plus de détails, consultez leur site web). La délivrance de certificats et les révocations sont toujours gratuites, mais l'inconvénient est que leur certificat racine n'est pas approuvé par les principaux systèmes d'exploitation et clients de messagerie.

    Cela peut être envisageable pour des groupes limités ou un usage privé, mais soyez conscient de ce problème si vous l'utilisez commercialement.

Répondu el 24 de Février, 2015 par Jens Erat (16432 Points )

1voto

loyola avatar
loyola Points 121

Outlook 2010 ne peut gérer que S/MIME par défaut. Si vous voulez utiliser OpenPGP, vous avez besoin d'un plugin. Pour GnuPG, il y a trois options

  1. Outlook Privacy Plugin
  2. gpg4o

Le premier est gratuit et open source mais est réservé aux plus courageux. Il en va de même pour le plugin qui fait partie du projet gpg4win. Si vous avez besoin d'un fonctionnant bien, vous devriez essayer gpg4o, qui n'est pas gratuit, mais fonctionne sans problème. Tous devraient être capables d'importer la clé que vous avez créée sous votre CentOS.

Répondu el 24 de Mars, 2015 par loyola (121 Points )

0voto

Giacomo1968 avatar
Giacomo1968 Points 48326

Pas sûr à 100%, mais si le certificat fonctionne ailleurs, il pourrait s'agir d'un simple cas de formatage de fin de ligne DOS par rapport au formatage de fin de ligne Linux perturbant les choses dans Outlook 2010.

Je recommanderais d'installer l'utilitaire unix2dos sur CentOS de cette manière :

sudo yum install unix2dos

Et ensuite, à partir de la ligne de commande dans CentOS, exécutez cette commande unix2dos avec le drapeau -n :

unix2dos -n username_pubkey.cer username_pubkey_dos.cer

Ensuite, essayez d'importer le username_pubkey_dos.cer dans Outlook 2010.

Répondu el 24 de Février, 2015 par Giacomo1968 (48326 Points )

0voto

Christian Koch avatar
Christian Koch Points 31

Outlook n'utilise PAS les clés privées normales (pgp) pour signer des e-mails. Il utilise des certificats de style SSL et leurs clés privées associées (signées par un tiers de confiance) pour faire le travail. Outlook a besoin que ce certificat soit au format pkcs12. (la commande "file" de Linux peut le confirmer)

Cela a l'avantage/désavantage de ne pas obtenir une 'toile de confiance' pour confirmer que la clé privée appartient à qui vous pensez et l'avantage/désavantage de ne faire confiance qu'au "tiers de confiance".

Le gros désavantage est que vous devrez payer pour le certificat Outlook.

Répondu el 24 de Février, 2015 par Christian Koch (31 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X