¿Cómo enviar correos electrónicos encriptados usando la aplicación Mail?

Alice desea enviar un correo electrónico seguro (codificado con S/MIME) a ​​Bob. Ambos usan macs y la aplicación Mail. Ambos están creando certificados autofirmados y pueden intercambiar correos firmados, pero parece que no hay forma de activar el icono del candado.

¿Alguien podría instruirla?

Detalles sangrientos del intento fallido se producen:

Alice busca en Google y descubre que debe crear un certificado autofirmado en KeyChain.App, lo que hace a través del asistente (acceso a Keychain -> asistente de certificados -> crear certificado), teniendo cuidado de:

  • seleccione "Correo electrónico S/MIME"
  • marque la casilla de verificación "permítame anular los valores predeterminados".
  • en "extensión de uso de clave", asegúrese de que estén marcados 'firma' y 'firma de certificado', así como 'cifrado de clave' y 'cifrado de datos'
  • en "extensión de uso de clave extendida", la 'protección de correo electrónico' ya está marcada, pero marque 'cualquiera' también por si acaso

Vale la pena señalar que el correo electrónico de Alice aparece como me@alice.com mientras que la dirección de correo electrónico real está en Gmail: alice@gmail.com. Alice descubrió por las malas que debe usar alice@gmail.com en el asistente.

Ella reinicia la aplicación de correo. En realidad, después de leer el paso 3 aquí , reinicia la máquina.

Luego redacta un correo electrónico para Bob, quien ha hecho lo mismo.

En el campo de asunto, observa dos iconos nuevos: un candado (Y/N cifrado) y una marca (Y/N firmado).

La garrapata es azul. Entonces el mensaje que ella envíe estará firmado. Sin embargo, el candado está atenuado.

Ahora la documentación dice que si:

  1. Mail detecta su certificado (que claramente tiene) y
  2. Mail también encuentra un certificado en su llavero para Bob (que lo hay, porque Bob acaba de enviarle un correo electrónico firmado y Mail ha sido lo suficientemente inteligente como para agregar automáticamente su clave pública al llavero; ella puede verlo allí)

... entonces debería poder hacer clic en el candado para cifrar su correo electrónico a Bob.

Pero esto no parece estar sucediendo.

https://www.macobserver.com/tips/quick-tip/macos-using-email-encryption-apples-mail/ ^ El paso 5 dice que la primera vez que intenta enviar un correo electrónico firmado, debería obtener ese diálogo. Pero no lo hizo.

En este punto, Alice está comenzando a contemplar la jardinería paisajista como un posible cambio de carrera.

PS enlace posiblemente útil:

Perdón por la "falta de respuesta" en la que trato de convencerte de que no existe una manera fácil de encriptar el correo ya que lo hemos estado intentando desde 1988 y PGP y hay demasiados clientes de correo y no hay un depósito central de claves que lo haga viable. solución para cualquiera que no sea un profesional de tiempo completo bien capacitado en seguridad operativa que pueda usar el correo cifrado de manera efectiva.
¿Bob envió a Alice una respuesta cifrada y firmada después de recibir su correo electrónico firmado y no cifrado?
¿Alice confiaba explícitamente en el certificado autofirmado de Bob? Con certificados autofirmados, este es un paso obligatorio. ¿El certificado de Bob se muestra como "de confianza" en el llavero de Alice? Además, puede haber un problema con los certificados. Agregue a su pregunta si ha configurado las extensiones de certificado como críticas, ¿sí o no? Finalmente, ¿agregó la dirección de correo electrónico a la sección de nombre alternativo (como un nombre rfc822)?
Puede ser útil publicar el contenido de los certificados que ha creado. Para obtenerlos en un formato legible por humanos, exporte el certificado de su llavero en .cerformato. Luego, en la terminal, use openssl para mostrar los datos del certificado exportado de la siguiente manera:openssl x509 -inform DER -in alice.cer -text
@zerohedge después de que Alice recibe un correo electrónico firmado y no encriptado de Bob, inspecciona su llavero y descubre que contiene el certificado de Bob que es de confianza. Cree que debería poder enviar un correo electrónico cifrado y firmado a Bob. Correo piensa lo contrario.
Sin embargo, @Pi eso realmente no responde la pregunta: ¿Bob envió un correo encriptado a Alice después de recibir su correo electrónico firmado y no encriptado? (Sé muy poco sobre el tema, así que podría estar arriesgándome aquí)
@zerohedge, si Bob pudo hacer eso, resolvió el problema.

Respuestas (2)

Así es como funciona aquí, con la ayuda de un certificado raíz autofirmado:

Paso 1: Alice crea un certificado raíz autofirmado

  • En la aplicación de llaveros, seleccione Acceso a llaveros > Asistente de certificados > Crear una autoridad de certificación
  • Seleccionar
    • Tipo de identidad: CA raíz autofirmada
    • Certificado de usuario: S/MIME (correo electrónico)
    • Permítanme anular los valores predeterminados:
    • Correo electrónico de: Ingrese una dirección de correo electrónico para la CA raíz (podría ser la de Alice)
    • En el siguiente cuadro de diálogo, seleccione Firme su invitación: no; opcionalmente, cree un sitio web de CA
    • En el siguiente cuadro de diálogo, ingrese los datos de CA que desee
    • En los siguientes dos cuadros de diálogo, deje la información del par de claves tal como está .
    • En el siguiente cuadro de diálogo Extensión de uso de clave
  • Incluir extensión de uso de clave:
  • Esta extensión es crítica: no
  • Seleccione: Firma, Firma de certificado (opcionalmente más, pero no es necesario para un certificado raíz)
  • En el siguiente cuadro de diálogo, deje la Extensión de uso de clave para el certificado del usuario tal como está.
  • En el siguiente cuadro de diálogo, configure opcionalmente Incluir extensión de uso de clave extendida = sí, si desea usar la CA raíz para más que solo certificados de correo electrónico, pero siempre deje Esta extensión es crítica = no
  • En el siguiente cuadro de diálogo, deje Usar extensión de restricciones básicas = Usar este certificado como autoridad de certificación
  • En los cuadros de diálogo restantes, deje las selecciones como están.
  • En el último cuadro de diálogo Especificar una ubicación para el certificado , puede seleccionar Sistema y también seleccionar En esta máquina, confiar en los certificados firmados por esta CA = sí

Paso 2: Alice y Bob confían en la CA raíz

  • Si Alice aún no ha confiado en el certificado de CA durante el paso anterior, ahora selecciona el nuevo certificado de CA raíz en su aplicación de llavero y confía explícitamente en el certificado de CA.
  • Alice exporta el certificado de CA pública en .cerformato y se lo publica a Bob
  • Bob importa el certificado público y confía explícitamente en esta CA

Dado que Alice y Bob confiaron explícitamente en la CA, todos los certificados firmados por esta CA se confiarán automáticamente en sus equipos.

Paso 3: Alice crea un certificado de correo electrónico para ella misma.

  • En la aplicación de llaveros, seleccione Acceso a llaveros > Asistente de certificados > Crear un certificado
  • Ingrese el nombre de Alice, luego seleccione
    • Tipo de identidad: Hoja
    • Certificado de usuario: S/MIME (correo electrónico)
    • Permítanme anular los valores predeterminados:
  • Deje el siguiente cuadro de diálogo (número de serie, etc.) tal como está
  • En el siguiente cuadro de diálogo, para Dirección de correo electrónico , ingrese la dirección de correo electrónico de Alice para la que está destinado este certificado, opcionalmente complete los campos restantes según lo desee
  • En el siguiente cuadro de diálogo Elija un emisor , seleccione la CA creada en el paso 1
  • En el siguiente cuadro de diálogo, mantenga la información del par de claves tal como está.
  • En el siguiente cuadro de diálogo Extensión de uso de clave
  • Incluir extensión de uso de clave:
  • Esta extensión es crítica:
  • Seleccione: Firma, Cifrado de clave (opcionalmente, parece posible agregar Cifrado de datos , ¡pero no agregue más!)
    • En el siguiente cuadro de diálogo, deje la Extensión de uso de clave para el certificado del usuario tal como está.
  • En el siguiente cuadro de diálogo, configure opcionalmente Incluir extensión de uso de clave extendida = sí, pero configure Esta extensión es crítica = no
    • Seleccione "Protección de correo electrónico*, agregue más si desea utilizar el mismo certificado para otros fines
  • En el siguiente cuadro de diálogo, deje Incluir extensión de restricciones básicas = no
  • En el siguiente cuadro de diálogo, seleccione Incluir extensión de nombre alternativo del sujeto = sí
    • Dejar Esta extensión es crítica = no
    • Ingrese la dirección de correo electrónico (nuevamente) en el campo rfc822Name . Opcionalmente, agregue más direcciones de correo electrónico, separadas por espacios, para las que desee usar el certificado
  • En el último cuadro de diálogo Especificar una ubicación para el certificado , puede seleccionar Iniciar sesión

Paso 4: Alice crea un certificado para Bob

Ahora Alice repite el paso 3 para crear un certificado para Bob, luego exporta su certificado en .p12formato, se lo da y Bob lo importa a su llavero.

Nota: Esta es la forma más fácil de crear el certificado de Bob, pero no es la forma recomendada. Esto se debe a que Alice crea la clave privada de Bob, por lo que Bob tiene que confiar en Alice. En realidad, Bob usaría el asistente de certificados en su computadora para solicitar un certificado de una autoridad de certificación .

Paso 5: Alice y Bob se envían mensajes firmados

Alice envía un mensaje de correo electrónico firmado a Bob y Bob envía un mensaje de correo electrónico firmado a Alice. Si todo salió bien, las firmas se mostrarán como de confianza porque ambas confían en el certificado de CA.

Paso 6: Alice y Bob pueden intercambiar mensajes de correo electrónico encriptados

Ambos pueden responder al mensaje firmado utilizando el cifrado con el mensaje de respuesta.

Dios, gracias por el nivel de detalle! Esto me convenció doblemente de usar Signal.
En realidad, es más fácil de lo que parece, porque una vez que haya creado la CA autofirmada y distribuido su certificado público, cualquier certificado posterior funcionará instantáneamente.

Esto no va a ser fácil. Dependiendo de por qué desea usar correo electrónico encriptado, podría ser mucho más fácil revisar el modelo de amenaza y decir: obtenga una aplicación como Signal que maneje las decisiones de encriptación y sepa que está enviando información encriptada solo usando esa aplicación.

Los mensajes también son una opción de encriptación viable para muchas personas, pero elegí Signal porque tiene clientes de Windows/Linux/Android y el correo generalmente se elige cuando necesita tener un perfil de sistema operativo de cliente lo más amplio posible.

A menos que sus usuarios de encriptación estén más capacitados que lo que requiere el enlace EFF anterior para usar Signal, pasar a un correo electrónico seguro parece un objetivo mucho más elevado y no es algo que pueda incluir en un "tres párrafos. Aquí le mostramos cómo proteger el correo electrónico en macOS y la respuesta de la aplicación de correo podría hacer justicia.

Ahora, si realmente se necesita el correo, aquí hay un servicio que tiene una aplicación puente para aliviar la carga de trabajo de hacer que PGP envíe aplicaciones de correo fácilmente.

Si bien esta podría ser una opinión válida bajo ciertas circunstancias, no responde la pregunta en absoluto.
En realidad, responde la pregunta detrás de la pregunta, así que +1. Terminé usando Signal, ¡funciona de maravilla!
¿Cómo enviar correos electrónicos encriptados usando la aplicación Mail?
RespuestasAquíPolítica de privacidad1y, 0v