Thunderbird/TDC Digital signatur
Thunderbird generelt
Du kan læse om teknikken bag Den Digitale signatur på siden Digital signatur/Baggrund.
De efterfølgende vejledninger er baseret på en dansk version af Thunderbird 2.0.0.4 under Windows XP SP 2, men det skulle være muligt at få det til at virke på andre operativsystemer og med andre versioner af Thunderbird.
Thunderbird har indbygget funktionalitet til signering og kryptering af e-mails. Du behøver altså ikke at installere ekstra programmer eller plug-ins. Man kan vælge kun at signere, kun at kryptere eller både at signere og kryptere e-mails. Du kan bruge din Digitale Signatur til formålet, hvis blot du har din e-mail-adresse i certifikatet. Hvis du har certifikatet liggende i Firefox, kan du undersøge, om du har e-mail-adresse i certifikatet på følgende måde:
Vælg 'Funktioner' -> 'Indstillinger...' i menuen.
Vælg 'Avanceret', fanebladet 'Kryptering' og klik på knappen 'Vis certifikater'.
Marker det relevante certifikat og klik på 'Vis'
Vælg fanebladet 'Detaljer' og check, om der under 'Udvidelsesmoduler' findes 'Certificat enmes alternative navn' (stavefejl er måske rettet i din version?) og om dette indeholder din e-mail-adresse.
Hvis certifikatet indeholder din e-mail-adresse, kan du bruge din Digitale Signatur til Thunderbird.
Standardformatet for signerede og/eller krypterede e-mails hedder S/MIME. Dette format er heldigvis understøttet af hovedparten af alle mail-klienter. Derfor behøver man oftest ikke bekymre sig om modtageren nu er i stand til at læse signeret e-mail. En væsentlig undtagelse er dog webmail-klienter, hvor det stadig halter. Her vil signerede og/eller krypterede e-mails manifestere sig som e-mails med vedhæftede filer, der ikke umiddelbart lader sig læse.
Det er vigtigt at have for øje, hvad der krypteres og signeres i en e-mail. Generelt kan man sige, at alt bortset fra såkaldt header-information sikres (indhold og vedhæftede filer). Bemærk at det betyder, at afsender, modtager og emne-feltet ikke sikres. Det er altså muligt at ændre information i emne-feltet på en signeret e-mail. Af samme grund skal du ikke skrive fortrolig information i emne-feltet for en krypteret e-mail.
Du har måske hørt om det alternative signerings- og krypteringsformat, GPG, der er knyttet til programmeret PGP. Efter min mening er dette format for længst overhalet af S/MIME, der nyder en langt større udbredelse og derfor har jeg ikke beskrevet det i denne vejledning.
Installation af Digital Signatur i Thunderbird
Firefox og Thunderbird anvender samme teknologi til håndtering af Digital Signatur. Faktisk bruges samme programkode, kaldet NSS, men desværre køres det uafhængigt af hinanden, så signaturer installeret i Firefox ikke kan ses i Thunderbird og omvendt. Det betyder, at du bliver nødt til at lave installationen separat for Thunderbird. Den gode nyhed er så, at det for de flestes tilfælde er identisk med en Firefox installation.
Installation af Digital Signatur i PKCS#12-filformat
For at installere din Digitale Signatur fra en PKCS#12-fil i Thunderbird skal du bruge samme metode som for Firefox. Se afsnittet Installation af Digital Signatur i PKCS#12-format
Installation af Digital Signatur i TDC's HTML-filformat
Thunderbird kan ikke umiddelbart læse HTML-filformatet. Derfor bliver du nødt til at lave signaturen om til at format Thunderbird kan forstå, PKCS#12. I afsnittet Fra TDC's HMTL-format til PKCS#12-format finder du et par ideer til, hvordan du kan lave en PKCS#12-fil fra HTML-filformatet.
Særligt for Thunderbird på Microsoft Windows
Som nævnt i afsnittet Firefox på Microsoft Windows, er der mulighed for at anvende TDC's program til den Digitale Signatur (TDC Digital Signatur CSP). Thunderbird opsættes på fuldstændig på samme måde som Firefox i Enhedsadministrationen. Se derfor vejledningen for Firefox i afsnittet Særligt for Firefox på Microsoft Windows
Opsætning af Thunderbird til digital signatur og kryptering
Jeg antager, at du nu har fået installeret din Digitale Signatur i Thunderbird med en af de ovenfor nævnte metoder, at du har e-mail-adresse i dit certifikat og at denne e-mail-adresse er den samme som den konto, du vil opsætte. Du skal nu fortælle Thunderbird hvilke signaturer, du ønsker at anvende:
Højre-klik på den konto, som du ønsker at opsætte og vælg 'Egenskaber...'.
(Alternativt til ovenstående kan du markere kontoen og vælge 'Vis indstillinger for denne konto')
Vælg 'Sikkerhed' og klik på øverste 'Vælg...'-knap.
Der kommer nu et vindue med en drop-down boks øverst, hvor du kan vælge certifikat. Når et certifikat er valgt, kan du se certifikat-detaljer i boksen nedenunder.
Vælg relevant certifikat og klik 'OK'.
Du bliver nu spurgt, om du vil anvende et samme certifikat til kryptering.
Klik på 'OK'.
Det var det hele!
Klik på 'OK' for at forlade opsætningen.
Opsætning af adgang til TDC's "certifikat-telefonbog"
Som nævnt i afsnittet Ultra-kort om teknikken bag Digital Signatur er det nødvendigt at være i besiddelse af en modtagers certifikat, for at kryptere en e-mail til vedkommende. TDC stiller en såkaldt "certifikat-telefonbog" frit til rådighed.
Telefonbogen anvender en åben og veldefineret grænseflade, der hedder LDAP (en forkortelse for Lightweight Directory Access Protocol). Du skal blot opsætte adgangen til telefonbogen én gang i Thunderbird og så er du kørende. Men inden du kaster sig over opslag i TDC's "certifikat-telefonbog", er der dog et par ting du skal være opmærksom på:
Hvis modtageren har fravalgt offentliggørelse i TDC's "certifikat-telefonbog", kan vedkommendes certifikat naturligvis ikke slås op.<p> <p class="obs">TDC har spærret for wildcard-søgninger for at undgå høstning af e-mail-adresser til spamformål.
Hvis du har en eller anden form for firewall, skal der være åbent udadgående for LDAP (port 389) mod TDC's LDAP-server, dir.certifikat.dk.
Det er ikke sikkert at modtageren har opsat sin e-mail klient, selv om vedkommende har et certifikat i TDC "certifikat-telefonbog". Derfor KAN det være, at han/hun ikke umiddelbart kan dekryptere de krypterede e-mails, som du sender til ham/hende.
Der er en række parametre, der skal sættes op for anvendelse af LDAP-opslag:
- TDC's LDAP Server
- dir.certifikat.dk
- LDAP port
- 389
- searchbase
- c=DK
Og nu er vi klar til at foretage opsætningen!
Du kan vælge at lave en generel opsætning af LDAP for Thunderbird eller du kan vælge at sætte det op for en specifik konto. I dette eksempel har jeg valgt at sætte det op for en specifik konto.
Højre-klik på den konto, du ønsker at opsætte og vælg 'Egenskaber...'.
(Alternativt til ovenstående kan du markere kontoen og vælge 'Vis instillinger for denne konto').
Vælg 'Komposition og adressering' og klik på knappen 'Rediger LDAP...'.
Klik på knappen 'Tilføj'.
Skriv "TDC Digital Signatur LDAP" for Navn, "dir.certifikat.dk" for Værtsnavn, "c=DK" for Base DN og "389" for Port nummer.
Klik på 'OK'.
Klik på 'OK'.
Marker 'Benyt en anden LDAP-server' og vælg 'TDC Digital Signatur LDAP'.
Klik på 'OK' for at komme ud af opsætningen.
Elektronisk underskrift på e-mails
Afsendelse
Når du har konfigureret din konto til at anvende dit certifikat er du klar til at signere e-mails. Det gøres ret simpelt ved at trykke på pilen til højre for hængelåsen og markere 'Underskriv meddelelsen digitalt'.
(Alternativt kan denne funktion også sættes via menu-punktet 'Valgmuligheder').
Signering af e-mail kan naturligvis kombineres med kryptering.
Modtagelse
Hvis du modtager en elektronisk underskrevet e-mail, vil Thunderbird lave nogle kontroller af underskriften og afsenderens certifikat. Hvis Thunderbird ikke finder noget mistænkeligt, vises en lille konvolut i højre hjørne, når e-mailen åbnes.
Hvis Thunderbird derimod finder en fejl, markeres dette med et lille rød kryds på konvolutten.
I begge tilfælde kan man få yderligere information ved at klikke på konvolutten. Vær dog opmærksom på, at det første vindue der åbnes er stærk misvisende i sin tekst
I ovenstående eksempel var der tale om et certifikat, som var udløbet. En bedre fejlmeddelelse fås som regel, hvis man trykker på 'Vis underskrifts certifikat'. Her findes ofte en yderligere beskrivelse i toppen af vinduet:
Bemærk, at Thunderbird ikke som standard foretager spærrelistekontrol af certifikater. I afsnittet Spærrelistekontrol beskrives, hvordan du sætter dette op.
Kryptering af e-mails
Afsendelse
Hvis du har adgang til modtagers certifikat (enten fordi det ligger i dit Thunderbird certifikatlager, eller fordi du har sat LDAP op som beskrevet i tidligere afsnit), kan du kryptere til vedkommende. På samme måde som for elektronisk signering af e-mail gøres dette ret simpelt ved at trykke på pilen til højre for hængelåsen og markere 'Krypter denne meddelelse'.
(Alternativt kan denne funktion også sættes via menu-punktet 'Valgmuligheder')
Kryptering af e-mail kan naturligvis kombineres med signering.
Modtagelse
Når du åbner en krypteret e-mail, vil dette være markeret med en hængelås i e-mailens højre hjørne.
Vær opmærksom på, at krypterede e-mails gemmes krypteret. Hvis du har kryptede e-mails, som du gerne vil kunne læse også efter at dit certifikat er udløbet, skal du lade din Digitale Signatur forblive installeret i Thunderbird. Det vil desuden være en meget god idé, at have gemt en backup af signaturen på et andet medie (USB-disk, CD eller lignende).
Spærrelistekontrol
Ligesom et kreditkort kan et certifikat spærres. Det kan f.eks. ske, hvis der er mistanke om risiko for misbrug eller hvis informationerne i et givet certifikat ikke længere er korrekte (ny e-mail-adresse, nyt navn osv.).
Når der er en spærremekanisme, skal der naturligvis også være en mulighed for at kontrollere, om et givet certifikat er spærret. Udstederen udsender gerne en digitalt underskrevet spærreliste med serienumre på alle de certifikater, som er spærret og hvor udløbsdatoen endnu ikke er overskredet. Formatet på listen er internationalt standardiseret og kaldes en Certification Revocation List (forkortet CRL). TDC udsteder en sådan CRL hver gang et certifikat bliver spærret (dog mindst hver 12. time, hvis ingen certifikater spærres i tidsrummet).
Spærrelister kan blive meget store og derfor findes der et andet standardiseret alternativ kaldet Online Certificate Status Protocol (forkortet OCSP). Man kan populært sige, at denne protokol er en ultrakort spærreliste, idet klienten typisk forespørger gyldigheden af ét certifikat og en OCSP-server svarer, hvorvidt dette ene certifikat er gyldigt.
Thunderbird understøtter både CRL'er og OCSP, men jeg vil anbefale, at du som hovedregel anvender OCSP til Thunderbird. Dog skal du være opmærksom på, at den opsætning, som jeg beskriver herunder, antager, at der findes et link til OCSP-serveren i certifikatet. TDC har understøttet OCSP fra 8. december 2005 og har haft link til OCSP-serveren i alle certifikater udstedt efter denne dato. Men da certifikaterne før denne dato har gyldighed i 2 år, vil OCSP først fungere for alle gyldige certifikater fra 8. december 2007.
Opsætning af CRL
Vælg 'Funktioner' og herefter 'Indstillinger...' i menuen.
Klik på 'Avanceret' og vælg fanebladet 'Certifikater'.
Klik på 'Blokeringslister'.
Klik på knappen 'Importer'.
Skriv "http://crl.oces.certifikat.dk/oces.crl" og klik på 'OK'.
Thunderbird henter og kontrollerer nu spærrelisten. Det kan godt tage lidt tid afhængig af din båndbredde.
Klik herefter på 'Ja' til automatisk opdatering af spærrelisten.
Marker 'Aktiver automatisk opdatering for denne CRL'.
Marker 'Opdater hver 1 Dag(e)'.
Klik på 'OK'.
Hva' nu! Det ser udmiddelbart ud til du ikke fik konfigureret spærrelisten, når du vender tilbage til vinduet 'Håndter CRLer'. Det er nu bare fordi vinduet ikke er blevet opdateret. Prøv at lukke vinduet ved at trykke 'OK' og herefter åbne det igen. Vupti, så dukker 'TDC' op på listen.
Opsætning af OCSP
Opsætning af OCSP er endnu nemmere:
Vælg 'Funktioner' og herefter 'Indstillinger...' i menuen.
Klik på 'Avanceret' og vælg fanebladet 'Certifikater' igen.
Klik på 'Bekræftelse'.
Vælg midterst mulighed 'Brug OCSP til kun at validere certifikater som specificerer en OCSP service-URL'.
Klik på 'OK'.
Det var det hele!
Afsluttende bemærkning om spærrelister i Thunderbird
Så fik du sat spærrelistekontrol op. Men hvordan finder du så ud af, hvad resultatet af Thunderbirds spærrelistekontrol blev?
Som nævnt i afsnittet Modtagelse for "Elektronisk underskrift på e-mails" vises en konvolut, hvis e-mailen er signeret og denne konvolut er markeret med et rødt kryds, hvis der er noget galt. Dette gælder også for spærrede certifikater, hvis Thunderbird konstaterer dette.
Desværre er Thunderbird ikke så meddelsom vedrørende årsagen, når certifikatet viser sig at være spærret. Hvis du trykker på konvolutten, vises vinduet:
Hvis du trykker på 'Vis underskrifts certifikat', bliver du desværre ikke meget klogere.
Men når alt kommer til alt er det væsentlige vel også, at du advares om, at der er en eller andet galt?
Hvordan du bliver uvenner med MS Outlook Express brugere
Nu er dette en vejledning for Thunderbird, men det er væsentligt at bemærke følgende, hvis du kommunikere med parter, der stadig anvender MS Outlook Express (MSOE).
MSOE's strategi for at kontrollere spærrelister er at "låse" klienten, mens spærrelisten downloades. Det er sikkert meget godt i små systemer, men når man anvender certifikater i en stor dansk infrastruktur, vil den tilhørende spærreliste automatisk blive stor. Da TDC's spærreliste nemt kan være mere end 2 Mb, vil MSOE-brugere med et "mindre" hul ud til internettet opleve det som om, klienten er "gået ned", imens spærrelisten downloades.
Derfor skal du overveje, om du vil sende signerede e-mails til din gamle mor, der anvender en MSOE og har en ISDN-linie eller anvender forbrugsafregnet netadgang. Det skulle være blevet bedre i Vista, der efter signende anvender OCSP.
Artiklen er oprindeligt skrevet af: © 2007 Peter Lind Damkjær - Some Rights Reserved.