Anda di halaman 1dari 36

ESTG Segurança de Informação 2005

GUIA DE UTILIZAÇÃO DE CERTIFICADOS DIGITAIS


NO THUNDERBIRD E NO OUTLOOK
(WINDOWS/LINUX, IE/FIREFOX)
por

João Paulo Diogo nº1392 e Renato Saturnino nº 8559


Área: Segurança de Informação
Departamento de Engenharia Informática
Escola Superior de Tecnologia e Gestão

Coordenador: Engº Miguel Frade

I – INTRODUÇÃO
Este trabalho, desenvolvido na cadeira de Segurança de Informação, pretende fornecer
um guia prático, passo a passo, de como utilizar certificados digitais tanto no Outlook
como no Thunderbird, usando, como web browsers o Internet Explorer e o Firefox, em
plataforma Windows e Linux.

II – CONFIGURAÇÃO DE CONTAS DE MAIL


Para utilizar certificados digitais no ThunderBird é necessário realizar um determinado
número de tarefas prévias das quais, a primeira será, configurar a conta de mail.

II.1 – NO OUTLOOK
1. Carregar em Ferramentas Æ Contas de correio electrónico

Figura 1

1
ESTG Segurança de Informação 2005

2. Seleccionar Adicionar uma nova conta de correio electrónico e carregar


em Seguinte.

Figura 2

3. Seleccionar o tipo de servidor, no nosso caso seleccionamos o POP3


que é o servidor do nosso mail, e carregar em “Seguinte >”

Figura 3

4. Preencher com a informação da conta de mail que vamos utilizar.


De seguida clicar em Testar definições da conta afim de averiguar a
correcta configuração do mail.

2
ESTG Segurança de Informação 2005

Figura 4

5. Em mais definições podemos seleccionar a opção Deixar uma cópia das


mensagens no servidor.

Figura 5

3
ESTG Segurança de Informação 2005

II.2 – NO THUNDERBIRD
1 Abrir o Thunderbird e sob o menu Ferramentas seleccionar Configurar
contas.

Figura 6

2 Seguir o Assistente de contas que é iniciado seleccionando Conta de


email.

Figura 7

3 Seleccionar tipo de servidor como POP e definir servidor de recepção de


mensagens e de envio.

4
ESTG Segurança de Informação 2005

Figura 8

4 Introduzir nome de utilizador e nome de conta

Figura 9

5
ESTG Segurança de Informação 2005

5 Confirmar configurações

Figura 10

II – CRIAÇÃO DE UM CERTIFICADO DIGITAL PARA UMA CONTA DE


MAIL

Vamos, neste caso, mostrar os passos necessários para obter os certificados


digitais pela CA Cert e instalá-los no Firefox.

1 - Aceder à página www.cacert.org e clicar sob o link Join.

Figura 11

2 - Preencher o formulário com os dados pessoais

6
ESTG Segurança de Informação 2005

Figura 12

3 - Novamente em www.cacert.org clicar em Normal Login.

Figura 13

4 – Criar certificado.
Primeiro, sob Client Certificates clicar New.

Figura 14

7
ESTG Segurança de Informação 2005

De seguida clicar em Create Certificate Request.

Figura 15

Por último, definir Senha Mestre

Figura 16

Figura 17

III – INSTALAÇÃO DE CERTIFICADOS

III.1 – INSTALAR ROOT CERTIFICATE

O primeiro passo a dar para instalar um certificado digital é instalar o certificado


da própria CA (Certificate Authority), neste caso o da CA CERT.

1 - Obter o root certificate da CA em questão.

Primeiro, em Miscellaneous seleccionar Root Certificate.

8
ESTG Segurança de Informação 2005

Figura 18

No caso do Internet Explorer basta clicar no primeiro link. No caso do


Firefox são necessários mais alguns passos: em Root Certificate (PEM
Format) clicar com o botão direito do rato e seleccionar Guardar destino
como…

Figura 19

De seguida, ir a Ferramentas -> Opções -> Gerir Certificados.

9
ESTG Segurança de Informação 2005

Figura 20

Em autoridades clicar em Importar e seleccionar o ficheiro criado no passo


anterior.

Figura 21

10
ESTG Segurança de Informação 2005

Figura 22

III.2 – INSTALAR CERTIFICADO DIGITAL NO WEB BROWSER

O Internet Explorer e o Outlook usam o mesmo sítio para armazenar os


certificados (Microsoft Crypto API). Por outro lado, o Firefox e o Thunderbird
guardam os certificados em sítios distintos um do outro.

Mais à frente vamos ver como instalar um certificado digital no Outlook pelo
que seria desprovido de interesse estar a efectuar aqui o mesmo processo para
o Internet Explorer. Assim vamos ver apenas como instalar o certificado digital
no Firefox.

1 – Seleccionar o certificado pretendido

Em primeiro lugar ver certificados da nossa conta em


Client Certificates -> View;

Figura 22

De seguida, clicar no certificado pretendido.

11
ESTG Segurança de Informação 2005

Por último clicar no link click here.

Figura 23

2 - Confirmar que o certificado digital foi instalado no web browser.

Figura 24

3 – Guardar Certificado. Como já foi referido anteriormente o Firefox e o


Thunderbird não guardam os certificados no mesmo sítio. Por isso vamos
guardar em disco o nosso certificado para que mais à frente o possamos
importar para o Thunderbird.

Em primeiro lugar devemos seleccionar o certificado em questão e clicar em


guardar, introduzindo depois uma chave de segurança.

12
ESTG Segurança de Informação 2005

Figura 25

De seguida definir uma sanha para o certificado.

Figura 26

Tendo assim a nossa chave privada arquivada.

Figura 27

III.3 – INSTALAR CERTIFICADOS NO OUTLOOK E NO THUNDERBIRD

III.3.1 – NO OUTLOOK

1. Carregar em Ferramentas Æ Opções

13
ESTG Segurança de Informação 2005

Figura 28

2. Nas opções seleccionar Segurança e carregar no botão


Importar/exportar…

Figura 29

3. Na secção Importar ID digital, carregar em Procurar e seleccionar a


chave.

14
ESTG Segurança de Informação 2005

Figura 30

4. Seleccionar chave.

Figura 31

5. Colocar “Palavra-passe” e atribuir um nome à ID digital.

15
ESTG Segurança de Informação 2005

Figura 32

6. No menu da Figura 9, carregar no botão Definições

Figura 33

16
ESTG Segurança de Informação 2005

7. No menu definições, carregar nos botões Escolher, e escolher o


Certificado de assinatura e o Certificado de encriptação. Também é
possível escolher o algoritmo a usar.

Figura 34

8. Ao carregar no botão Escolher, deverá aparecer o certificado que


escolhemos anteriormente, quando escolhemos a chave. Caso não
apareça é só fechar o Outlook e voltar a abrir que depois já aparece.

Figura 35

17
ESTG Segurança de Informação 2005

9. Na figura 35, pode-se sempre carregar em Ver certificado e confirmar a


autenticidade do certificado respectivo.

Figura 36

III.3.2 – NO THUNDERBIRD

1 – Importar o certificado.
Em Ferramentas -> Opções -> Gerir Certificados importar o certificado
que guardamos no ponto anterior.

Figura 37

18
ESTG Segurança de Informação 2005

De seguida, introduzir a senha usada para cifrar.

Figura 37

Temos então o nosso certificado instalado.

Figura 38

De seguida em Ferramentas -> Contas vamos definir o certificado que


acabamos de importar como sendo o usado para assinar e para cifrar.

Figura 39

19
ESTG Segurança de Informação 2005

Figura 40

Figura 41

IV – UTILIZAÇÃO DOS CERTIFICADOS

IV.1 – NO OUTLOOK

Para enviar uma mensagem assinada ou cifrada deve-se seleccionar os


ícones que se encontram assinalados na figura seguinte, sendo o da
esquerda para assinar e o da direita para cifrar a mensagem.

Figura 42

A primeira mensagem a ser enviada deve ser assinada, pois ao fazê-lo


estamos a enviar a nossa chave pública ao receptor.

20
ESTG Segurança de Informação 2005

IV.1.1 - Envio de um mail com “Assinatura digital”.

1. No menu principal do Outlook, carregar em Nova para criar uma nova


mensagem de correio a enviar.

Figura 43

2. De seguida abre-se uma nova janela, onde se preenche a mensagem/e-


mail a enviar.
Para a mensagem ir com assinatura digital, não esquecer de carregar no
ícone da “Assinatura digital”.
No fim da mensagem estar preenchida, carregar no botão “Enviar”.

Figura 44

21
ESTG Segurança de Informação 2005

3. Recepção de mail assinado:

Figura 45

4. Confirmação da validade da assinatura digital.


Ao carregar no ícone da “Assinatura digital”, aparece a figura que está
em baixo, e onde se pode verificar se a assinatura é válida.

Figura 46

22
ESTG Segurança de Informação 2005

Ao carregarmos no botão “Detalhes…” da figura acima podemos ver as


várias camadas de segurança, como mostra na figura seguinte.

Figura 47

23
ESTG Segurança de Informação 2005

IV.1.2 - Envio de um mail com “Encriptação de mensagem”.

Para o envio de uma mensagem cifrada é necessário ter a chave pública da


pessoa a quem vamos enviar a mensagem.
Na figura seguinte é possível ver-se esse erro:

Figura 48

1. Para o envio da mensagem cifrada o sistema é idêntico ao envio de uma


mensagem assinada, sendo a única diferença ter que seleccionar o
ícone de Encriptação mensagem.

Figura 49

24
ESTG Segurança de Informação 2005

2. Recepção do mail cifrado:

Figura 50

3. Ao carregar no ícone da Encriptação mensagem, aparece a figura que


está em baixo, e onde se pode verificar se a cifragem foi bem sucedida.

Figura 51

25
ESTG Segurança de Informação 2005

IV.1.3 – Visualização dos mails no menu principal do Outlook.

Os mails assinados conseguem ver-se logo do lado direito sem ser preciso
fazer duplo click.
Os mails cifrados isso já não é possível e é preciso fazer duplo click para
ver o conteúdo do mail. Nas figuras seguintes pode visualizar-se esse facto.

Figura do menu principal do Outlook seleccionando o mail assinado:

Figura 52

Figura do menu principal do Outlook seleccionando o mail cifrado:

Figura 53

26
ESTG Segurança de Informação 2005

IV.1.4 – Editar fidedignidade dos mails.

Quando se recebe um mail assinado e aparece nos detalhes da assinatura


válida este triângulo da figura seguinte. É necessário editar a fidedignidade.

Figura 54

Figura 55

Após editarmos a fidedignidade como é visível na figura anterior, já não


aparece o triângulo e passa a ser visível como na figura seguinte:

27
ESTG Segurança de Informação 2005

Figura 56

IV.2 – NO THUNDERBIRD

Para enviar uma mensagem assinada ou cifrada deve-se utilizar o Menu


S/MIME conforme é mostrado na figura.

Figura 57

Como foi exposto anteriormente para se poder enviar uma mensagem


cifrada para alguém, teremos de ter a sua chave pública. Para isso, é
necessário que a pessoa a quem queremos enviar a nossa mensagem nos
tenha enviado previamente uma mensagem assinada (que contêm a sua
chave pública).

28
ESTG Segurança de Informação 2005

Figura 58

Clicando no ícone que representa uma lapiseira na figura anterior podemos


verificar a assinatura digital que acabamos de receber.

Figura 59

Automaticamente a chave pública que acabamos de receber será instalada


como poderemos ver no Gerenciador de Certificados em De outras
pessoas.

Figura 60

29
ESTG Segurança de Informação 2005

Se tentarmos enviar um mail cifrado para um endereço de que não


possuímos a chave pública, obteremos a seguinte mensagem de erro:

Figura 61

V – CRL E OSCP

Existem dois métodos para manter o nosso mail actualizado no que diz
respeito à revogação dos certificados digitais.

A mais antiga delas é o CRL (Certificate Revocation List) que consiste em


obter, periodicamente, da CA a lista dos certificados que foram revogados.

A segunda, e mais recente, é o OSCP (Online Certificate Status Protocol)


que mantêm essa lista actualizada online.

V.1 – NO OUTLOOK

Para configurar o CRL no Outlook podemos fazê-lo através do Internet


Explorer em Opções de Internet > Avançadas. Seleccionando as opções
Verificar existência de revogação de certificados.

Figura 62

30
ESTG Segurança de Informação 2005

No site da CA (no nosso caso CACert) fazer o download da lista CRL


(Miscellaneous > CRL).

V.2 – NO FIREFOX

Esta opção apenas está disponível na versão 1.5 Beta. Em Tools > Options
> Privacy.

Para configurar a RCL clicar em Revocation Lists e importar a lista da CA


em questão.

Figura 63

Para configurar o OCSP clicar em Verification e preencher os campos como


é mostrado na figura de baixo.

Figura 62

31
ESTG Segurança de Informação 2005

VI – Onde são guardados os certificados.

Os certificados são guardados no ficheiro “certmgr.msc” que está em


“C:\WINDOWS\system32”, como é possível ver na figura seguinte:

Figura 63

Abrindo é possível ver os certificados adicionados, estando estes


organizados por directorias:

Figura 64

32
ESTG Segurança de Informação 2005

VII - Conversão de formatos com o OpenSSL

Para a conversão do formato PFX para PEM fizemos os seguintes passos:

1. Download e instalação do OpenSSL para Win32


http://gnuwin32.sourceforge.net/packages/openssl.htm.

2. Criamos a pasta c:\certs e copiamos a “chave.pfx” para lá.

Figura 65

3. Abrimos o OpenSSL que está na pasta da figura seguinte:

Figura 66

33
ESTG Segurança de Informação 2005

4. Inserimos o comando Openssl que está na figura seguinte para converter


o formato:

Comando: openssl pkcs12 -in c:\certs\chave.pfx -out c:\certs\teste.pem –nodes

Figura 67

5. Na figura em cima quando é pedida a password, temos de introduzir a


password que introduzimos para exportar o certificado para o ficheiro .pfx.
Após a introdução da password deve aparecer “MAC verified OK”.

6. Depois é só verificarmos que o ficheiro “teste.pem” foi criado, como


podemos ver na figura seguinte:

Figura 68

34
ESTG Segurança de Informação 2005

7. Podemos sempre abrir o ficheiro “teste.pm” com um bloco de notas e


verificar a “sua informação”.

Vimos que contém uma “Private Key”, um “Certificate” e que diz respeito
ao e-mail “ei08559@student.estg.ipleiria.pt”. Essa informação pode ser
visível na figura seguinte:

Figura 69

35
ESTG Segurança de Informação 2005

Para a conversão do formato PEM para DER:

Os passos são idênticos mudando apenas o comando aplicado, sendo este:

Comando: openssl x509 -in c:\certs\teste.pem –inform PEM -out


c:\certs\teste.der –outform DER

Figura 70

Depois é só ir verificar se foi criado o ficheiro “teste.der”. Podemos ver isso


na figura seguinte:

Figura 71

36

Anda mungkin juga menyukai