La clé publique GPG créée avec GnuPG est rejetée par MS Outlook 2010, pourquoi?

2

J'ai créé une paire de clés GPG avec GnuPG sur la ligne de commande CentOS 7, puis j'ai exporté la clé publique dans un .ascfichier et l'ai utilisée avec succès pour chiffrer les e-mails envoyés à partir d'une autre adresse e-mail qui ont été déchiffrés avec succès à l'aide de la clé privée créée. avec cette clé publique.

Alors, comment puis-je générer un fichier de clé publique que MS Outlook 2010 acceptera et pourra utiliser avec succès pour chiffrer les courriers électroniques envoyés pour être chiffrés avec la même clé privée?

Voici ce que j'ai fait jusqu'à présent:

  1. En utilisant du mastic, j'ai tapé gpg --list-public-keysau terminal du serveur. J'ai noté que 12321KP4c'était l'id de la clé pub dans les résultats degpg --list-public-keys

  2. J'ai ensuite tapé gpg --armor --export 12321KP4 > /path/to/username_pubkey.cer.

  3. J'ai ensuite tapé cat /path/to/username_pubkey.ceret confirmé qu'il s'agissait en fait d'un tas de contenu crypté.

  4. J'ai téléchargé le username_pubkey.cerfichier résultant .

  5. J'ai ouvert «Outlook 2010.»

  6. Dans «Outlook> Contacts», j'ai ouvert le formulaire de contact du contact dont le certificat est username_pubkey.cer.

  7. Sur l'onglet "contact", dans le "groupe d'affichage", j'ai cliqué sur "certificats", puis sur Importer.

  8. J'ai sélectionné le username_pubkey.cerfichier et cliqué sur «Ouvrir», mais la boîte de dialogue d'erreur suivante s'affiche:

entrez la description de l'image ici

Comment puis-je générer un fichier de clé que Outlook peut importer puis utiliser avec succès pour envoyer des courriels cryptés qui peuvent être déchiffrés de l'autre côté?

Notez que Thunderbird est capable de faire cela avec un fichier de clé à partir de cette même clé. Notez également que je souhaite d'abord importer manuellement la clé de cette manière, puis d'attendre plus tard pour développer les outils d'envoi de la clé par courrier électronique. La clé privée se trouve sur un serveur hébergeant une application et je devrais écrire mon propre code pour envoyer les clés publiques par courrier électronique. Je veux attendre pour écrire ce code qu'après avoir obtenu cette approche au travail en premier.

MODIFIER

Selon la suggestion de @ JakeGould, j'ai tapé sudo unix2dos /path/to/username_pubkey.cer /path/to/username_pubkey_dos.cer, mais j'ai obtenu ce qui suit en réponse: 

unix2dos: converting file /path/to/username_pubkey.cer to DOS format ...
unix2dos: /path/to/username_pubkey_dos.cer: No such file or directory
unix2dos: Skipping /path/to/username_pubkey_dos.cer, not a regular file.

Comment puis-je résoudre ça?

microsoft-outlook encryption microsoft-outlook-2010 gnupg pgp CodeMed
la source

Réponses:

2

Vous confondez deux systèmes de certificats numériques différents. Les certificats ne sont pas interchangeables entre les deux systèmes.

OpenPGP

OpenPGP fournit un système de confiance non hiérarchique, qui ne nécessite pas d'autorité de certification centrale. C'est le système le plus puissant, mais aussi le plus complexe. La plupart des clients de messagerie ne le prennent pas en charge immédiatement et ont besoin d’extensions pour l’utiliser.

Chacun peut créer sa propre clé et la faire signer par d'autres.

X.509 et S / MIME

L’autre option pour les certificats numériques est X.509, utilisée dans S / MIME pour les courriers électroniques, mais également SSL / TLS pour le cryptage de transport de HTTP et d’autres protocoles. Vous avez ici un ensemble d'autorités de certification (généralement plusieurs centaines) en qui vous avez confiance (paramètres par défaut de votre ordinateur / client de messagerie) et qui peuvent en garantir d'autres (émissions de certifications) en lesquelles vous faites automatiquement confiance.

Cela convient bien aux entreprises (hiérarchiquement organisées), ce qui explique probablement une implémentation beaucoup plus étendue. Outlook, Thunderbird et la plupart des autres clients de messagerie (raisonnables) le prennent en charge par défaut.

Il existe de nombreuses autorités de certification où vous pouvez acheter un tel certificat (valable pour une période donnée). Je n'en énumère que deux particulièrement intéressantes:

  • StartSSL est une société basée en Israël qui émet des certificats de base gratuits pour le courrier et les serveurs, mais sans valider votre véritable identifiant (uniquement votre adresse de messagerie). L'avantage est qu'ils sont approuvés par tous les principaux fournisseurs de navigateurs et de systèmes d'exploitation. Les certificats comprenant votre vrai nom sont disponibles pour un forfait d'environ 60 $ par an. Sachez que la révocation d'un certificat (par exemple, au cas où un tiers aurait accès à celui-ci et pourrait désormais écrire un courrier électronique en votre nom) avoisine les 25 € (qui est également facturée par de nombreuses autres entreprises).

  • CAcert est une "autorité de certification axée sur la communauté". Ils vérifient votre identité auprès des autres membres de la communauté qui ont accepté de le faire. Vous devrez donc rencontrer d'autres personnes et montrer votre identité pour obtenir votre nom dans le certificat (pour plus de détails, consultez leur site Web). L'émission de certificats et les révocations sont toujours gratuites, mais l'inconvénient est que leur certificat racine n'est pas approuvé par les principaux systèmes d'exploitation et les clients de messagerie.

    Peut-être faisable pour des groupes limités ou un usage privé, mais soyez conscient de ce problème si vous l'utilisez commercialement.

Jens Erat
la source
StartSSL propose uniquement des certificats 128/256 bits. Mon cert GnuPG est 2048 bits. Pouvez-vous suggérer un moyen d'obtenir 2048 (ou 4096?) Clés pour travailler avec Outlook? Ceci est une application médicale qui doit fournir les plus hauts niveaux de sécurité.
CodeMed
Je pense que vous confondez la somme de hachage avec la taille de la clé RSA. StartSSL n'accepte pas les clés RSA plus petites de 2048 bits. Quoi qu'il en soit: si la sécurité / la confidentialité est cruciale pour toute application commerciale (ou médicale, peu importe), obtenez (et payez) une personne familiarisée avec le sujet . Il existe un nombre incroyable de façons d’échouer lors de la configuration du cryptage, bien au-delà de la portée de tout tutoriel et probablement même d’un manuel.
Jens Erat
Puis-je simplement utiliser OpenSSL pour créer le certificat? Comme dans cette annonce? security.stackexchange.com/questions/17583/…
CodeMed
Je ne pense pas que StartSSL accepte les demandes de certificat pour les certificats clients. Pendant le processus de certification, la clé est générée dans le navigateur et n’est jamais envoyée à StartSSL (ni à quiconque).
Jens Erat
0

Outlook n'utilise PAS de clé privée normale (pgp) pour signer des courriels. Il utilise des certificats de style SSL et leurs clés privées associées (signées par un tiers de confiance) pour effectuer le travail. Outlook a besoin que ce certificat soit au format pkcs12. (la commande "fichier" de Linux peut le confirmer)

Cela présente l’avantage / le désavantage de ne pas disposer d’un «réseau de confiance» pour confirmer que la clé privée appartient à qui vous pensez le faire, et l’avantage / le désavantage que vous ne faites que faire confiance au «tiers de confiance».

Le gros inconvénient est que vous devrez payer pour le certificat Outlook.

utilisateur3710044
la source
0

Pas tout à fait sûr, mais si le certificat fonctionne ailleurs, il pourrait s'agir d'un simple cas de formatage de fin de ligne DOS, le formatage de fin de ligne verus Linux gâchant le travail dans Outlook 2010.

Je recommanderais d'installer l' unix2dosutilitaire sur CentOS comme ceci:

sudo yum install unix2dos

Et puis à partir de la ligne de commande dans CentOS, exécutez cette unix2doscommande avec l' -nindicateur:

unix2dos -n username_pubkey.cer username_pubkey_dos.cer

Essayez ensuite d'importer le username_pubkey_dos.cerdans Outlook 2010.

JakeGould
la source
J'explore cela maintenant. Je ferai un rapport avec les résultats dans 15 minutes. Notez cependant que la version Thunderbird fonctionne sous Windows bien qu’elle ait été créée sur CentOS et n’ait jamais été traitée par unix2dos.
CodeMed
@ CodeMed True à propos de Thunderbird. Mais gardez à l'esprit que Microsoft ne se soucie généralement pas de tout ce qui existe en dehors de sa plate-forme, alors que Thunderbird est multi-plateforme et compatible Linux.
JakeGould
S'il vous plaît voir l' EDIT à la fin de mon OP.
CodeMed
@ CodeMed Eh bien, c'est ma meilleure idée. Comme je le disais dans ma réponse: «Pas tout à fait sûr…». Je vous souhaite une bonne chance pour trouver une solution .
JakeGould
1
La syntaxe correcte consiste unix2dos -n username_pubkey.cer username_pubkey_dos.cerà convertir le texte au format dos. Cependant, cette approche entraînait toujours le même problème dans Outlook, probablement en raison de problèmes soulevés par d'autres. Je suis actuellement à la recherche d'options proposées dans d'autres réponses. Merci de m'avoir fait installer unix2dos. Je vais l'utiliser pour d'autres choses plus tard.
CodeMed
0

Outlook 2010 ne peut gérer que S / MIME tel quel. Si vous voulez utiliser OpenPGP, vous avez besoin d'un plugin. Pour GnuPG il y a trois options

  1. Outlook Privacy Plugin
  2. gpg4o

Le premier est gratuit et open source, mais est réservé aux courageux. La même chose s'applique au plugin qui fait partie du projet gpg4win. Si vous en avez besoin, essayez gpg4o, qui n’est pas gratuit, mais fonctionne très bien. Tous doivent pouvoir importer la clé que vous avez créée sous votre CentOS.

utilisateur396309
la source