Підтвердження клієнта цифровим підписом електронної пошти


10

Я Аліса, і я отримав підписаний електронний лист від Боба.

Я використовую веб-клієнт електронної пошти (наприклад, GMail) і бачу, що одним із вкладень є smime.p7s.

Я знайшов варіант "показати оригінальне повідомлення" і зберег у ньому вміст message.orig.

Якщо припустити, що Боб підписав електронну пошту, як я можу це перевірити з командного рядка?

(Припустимо, Боб використовує сертифікований ключ, підписаний деякими авторитетними органами - я не знаю, але, мабуть, це)

(Аліса не хоче встановлювати клієнт електронної пошти з відповідною функцією, лише для одного повідомлення)


+1 для відповіді, -1 за те, що не згадав про Труді (будь ласка, редагуйте: P)
Авіо

Відповіді:


9
openssl smime -verify -in message.orig

Додайте -CAfileабо -CApathпараметр, щоб вказати інший список довірених сертифікатів за замовчуванням системи.

Ви можете отримати інформацію з сертифіката, який використовувався для підпису електронної пошти за допомогою:

openssl smime -noverify -in message.orig -pk7out |
  openssl pkcs7 -print_certs -text -noout

Або з smime.p7s, якщо ви його вже видобули:

openssl pkcs7 -in smime.p7s -text -inform DER -print_certs -noout

ОК, я тільки що оновив ca-certificates(Arch pacman -S ca-certificates), але я отримую помилку: Verification failure 140717529130664:error:21071065:PKCS7 routines:PKCS7_signatureVerify:digest failure:pk7_doit.c:1048: 140717529130664:error:21075069:PKCS7 routines:PKCS7_verify:signature failure:pk7_smime.c:410: Чи є у вас підказки, що це означає? Можливо, "відкрити оригінальну повідомлення", а потім зберегти джерело, здійснив деякі перетворення на джерело повідомлень?
Grzegorz Wierzowiecki

Чи openssl pkcs7 -in smime.p7s -text -inform DER -print_certs -nooutпрацює (щоб повідомити інформацію про сертифікат у файлі pk7)?
Стефан Шазелас

Так. (btw. Це дуже корисна команда. Будь ласка, додайте її у свою відповідь. Я вірю, що й інші користувачі отримають користь.)
Grzegorz Wierzowiecki

Нова команда теж не допомагає: pastebin.com/xNMG2gwQ
Grzegorz Wierzowiecki

Я щойно спробував "показати оригінал" в gmail, потім використав "save page as" у firefox і команда спрацювала нормально. Я також помітив, що при розширенні програми gmail показує заголовок "підписаний".
Стефан Шазелас
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.