Thunderbird y certificados OpenSSL

Hace tiempo que no hablaba sobre certificados & firmas digitales, pero hoy me he encontrado un artículo que me parece interesante del cual me gustaría dejar referencia para la posteridad )

El artículo en cuestión trata sobre como realizar comunicaciones firmadas y encriptadas con thunderbird utilizando OpenSSL para crear nuestro propio certificado.

[k3x.es] ~$ Thunderbird y certificados

Certificados Digitales

Certificado Digital (Wikipedia):

Un Certificado Digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.

Autoridad de Certificación (Wikipedia):

En criptografía una Autoridad de certificación, certificadora o certificante (AC o CA por sus siglas en inglés Certification Authority) es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación.

Firma Digital (Wikipedia):

La firma digital o firma electrónica es, en la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos, un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

La firma electrónica, como la firma ológrafa (autógrafa, manuscrita), puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leido o, según el tipo de firma, garantizar que no se pueda modificar su contenido.

Criptografía Asimétrica (Wikipedia):

La criptografía asimétrica es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona a la que se ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. El remitente usa la clave pública del destinatario para cifrar el mensaje, y una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje.

Prestador de Servicios de Certificación (Wikipedia):

Prestador de servicios de certificación es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.

Se define en la Ley 59/2003 de Firma Electrónica y en otras normativas relacionas con la certificación digital.

Bart Van den Bosch (CC BY-SA 2.5)

OpenOffice & FNMT Clase 2 CA: La firma del documento es correcta, pero no se han podido validar los certificados.

Sigo con mis dudas/problemas con la firma digital…

Ahora cuando firmo un documento con OpenOffice me dice que la firma digital es correcta pero que no se ha podido validar.

Envío de correo certificado a webmail (gmail y hotmail)

Haciendo pruebas para firmar digitalmente mensajes de correo electrónico, envío un correo firmado a cuentas de gmail y hotmail y los intento visualizar en un ordenador con Windows, ya que todas estas pruebas se tratan de realizar unas implantaciones en máquinas Windows.

Utilizando Firefox, en la cuenta de hotmail, por ningún lado veo que aparezca mención a que el mensaje se encuentra firmado. Por el contrario, en Gmail, aunque tampoco aparece ninguna mención a la firma, aparece un archivo adjunto con nombre smime.p7s, que si lo descargamos se nos abre con una aplicación llamada P7SFile que al parecer es un programita de Microsoft para ver los certificados.

+certificado

Tras solicitar una nueva firma digital a la FNMT, e intentar firmar digitalmente un mensaje de correo electrónico me sigue apareciendo un mensaje de seguridad, esta vez indicando que la firma digital utilizada no tiene ningún correo electrónico asociado.

Ahora ¿como puedo adjuntarle un correo electrónico a la firma digital? Eso me gustaría saber a mí.

Historia completa:

• http://kikuelo.wordpress.com/2008/03/18/firma-digital/
• http://kikuelo.wordpress.com/2008/03/24/certificado-digital/

Certificado Digital

Como comenté en un post anterior (http://kikuelo.wordpress.com/2008/03/18/firma-digital/) el tema de firmar mensajes digitalmente me estaba dando un problemilla puesto que la dirección de correo electrónico que utilizo actualmente, no es la misma con la que solicité el certificado (el caso, es que no recuerdo haber tenido que indicar ninguna cuenta de correo al solicitarlo pero puedo estar equivocado).

Como no he encontrado información al respecto, seguramente por no saber buscar, me he puesto en contacto con La FNMT, más concretamente con CERES para ver si me podía aclarar el tema. La pregunta que les he enviado a través de un formulario de contacto de la web oficial ha sido:

Tengo un certificado digital emitido por la FNMT. Al ir a firmar un mensaje me sale un mensaje de advertencia diciendo:

“Aunque la firma digital es válida, no se puede discernir si el remitente y el firmante son la misma persona. La dirección de correo indicada en el certificado del firmante es diferente de la dirección de correo que se ha usado para enviar este mensaje. Por favor verifique los detalles del certificado de la firma para descubrir quién firmó el mensaje”

¿Significa esto que necesito un certificado digital para cada una de las cuentas de correo que tengo?

Y la respuesta ha sido:

“El certificado de la FNMT se asocia a un DNI y a una única dirección de correo electrónico. Si desea usar varias direcciones electrónicas quizá debería contratar el servicios de alguna otra empresa que facilite dichos certificados.”

Como soy un cabezón, y además necesito la firma digital de la FNMT les he vuelto a preguntar:

“La pregunta sería entonces si existe forma de cambiar la dirección de email original, o si por el contrario si al perder la cuenta de correo por cambiar de proveedor de servicios de internet ya no puedo tener un certificado FNMT.”

Y la respuesta ha sido:

“Las aplicaciones de correo electrónico de Microsoft y Lotus Notes , no permiten enviar correos firmados con un certificado ( sea de FNMT o de otra AC ) asociado a una cuenta electrónica diferente a la configurada en el gestor de correos. Los gestores de Mozilla, tipo Thunderbird, permiten hacerlo pero cuando se recibe el correo muestran la advertencia que indica en su mensaje.

Lo mejor es que el certificado esté asociado a la cuenta que tenemos en el gestor, si se cambia de dirección mail, no se podrá usar el certificado para firmar electrónicamento correos, pero sí para culaquier trámite vía web que solicite indentificación con certificado. Si queremos usar un certificado para la cuenta nueva de correo, habría que solicitar un certificado completamente nuevo ( nuevo código y nueva acreditación ).”

Total, que parece que me toca solicitar de nuevo el certificado digital….

Dirección de correo indicada en el certificado digital

Cuando firmo mensajes de correo con el certificado digital que solicité en la FNMT me aparece un mensaje diciendo que el correo no ha sido validado puesto que estoy utilizando una cuenta de correo distinta a la que incluye el certificado.

Por más que intento buscar información sobre como modificar esto, no encuentro nada. Supongo que la solución sería solicitar un nuevo certificado digital pero entonces ¿es necesario un certificado digital para cada dirección de correo electrónico que tenga?

Es algo que aún intento averiguar……

FNMT Clase 2CA & OpenOffice

Aunque tengo el certificado digital de la Fabrica Nacional de Moneda y Timbre instalado en el navegador Firefox (Iceweasel para ser más exactos) en una máquina con Debian GNU/Linux Testing/Lenny, no consigo firmar digitalmente archivos en OpenOffice ya que me sale una lista vacía.

Lo que he leído es que OpenOffice busca los certificados en una variable de entorno llamada MOZILLA_CERTIFICATE_FOLDER, y que esta tiene que apuntar a donde tengamos nuestro perfil de firefox, en el cual deberían estar los archivos cert8.db key3.db secmod.db

Al ir a exportarla, tabulando la ruta, veo que me aparecen dos perfiles dentro de la carpeta ~/.mozilla/firefox, lo cual me genera duda de cual estoy usando realmente y si puede ser que esté ahí el problema.

$ cd .mozilla/firefox/
1i764y3m.default/ o0wkmo0e.default/

Para ver cual es mi perfil ejecuto el administrador de perfiles  de firefox.

$ firefox -ProfileManager &

Cual es mi sorpresa cuando veo que en el administrador de perfiles solo tengo un perfil, y que además no me ayuda mucho a identificar el nombre de su carpeta.

Mirando en la ruta de firefox en mi home me encuentro con un archivo que supongo puede ayudarme.

$ cat ~/.mozilla/firefox/profiles.ini

[General]
StartWithLastProfile=1

[Profile0]
Name=default
IsRelative=1
Path=o0wkmo0e.default
Default=1

Efectivamente, solo tengo un perfil con el nombre default y cuya ruta es  o0wkmo0e.default asi que pruebo a asignar dicha ruta a la variable MOZILLA_CERTIFICATE_FOLDER.

$ export MOZILLA_CERTIFICATE_FOLDER=/home/kikuelo/Debian/.mozilla/firefox/o0wkmo0e.default

Abro Openoffice, y pruebo a firmar pero me sigue apareciendo vacío. He probado a exportar el otro perfil que me aparece (solo en los directorios) y tampoco me funciona.

De echo hay otra ruta donde también aparecen los archivos  cert8.db key3.db secmod.db pero tampoco me sale nada.

$ export MOZILLA_CERTIFICATE_FOLDER=/home/kikuelo/Debian/.mozilla/default/8dyt0vmd.slt

La verdad es que voy a desistir de firmar documentos digitalmente así que me toca facturar de manera tradicional a través de correspondencia, una pena.