• =?UTF-8?B?TmllcHJhd2lkxYJvd3k=?= podpis maili od mBanku

    From Jan =?UTF-8?B?U3Rvxbxlaw==?=@110:300/1.1 to All on Fri May 17 10:06:06 2013
    Witam,

    Używam do poczty programu kmail2 w środowisku KDE. Z jakiegoś powodu sygnalizuje mi on, że wszystkie wiadomości od mBanku mają nieprawidłowe podpisy cyfrowe. Wprawdzie jestem pewien, że te
    konkretne wiadomości rzeczywiście z mBanku pochodzą, ale i tak trochę
    mnie denerwuje, że przez fałszywe alarmy kiedyś mogę przeoczyć ewentualną podróbę. Stary kmail wyświetlał mi był komunikat, że nie może zweryfikować podpisu, ale nie pamiętam w tej chwili, czy zmiana statusu na "Błędny podpis" nastąpiła przy okazji niedawnego upgrade'u systemu (i połączonej z nią zmiany wersji kmaila), czy też już wcześniej.

    Dziennik audytu zawierał coś takiego:

    * Weryfikacja danych zakończona Tak
    * Dane dostępne Tak
    * Podpis dostępny Tak
    * Analiza danych zakończona Tak
    * (algorytm skrtu danych: SHA1)
    * Podpis 0 Zły
    * (#56ED7B849A397658674C67C2DC6483C8/CN=VeriSign Class 2 MPKI
    Individual Subscriber CA - G2,OU=Terms of use at
    https://www.verisign.com/rpa (c)08,OU=VeriSign Trust
    Network,O=VeriSign\, Inc.,C=US)
    * (algorytm skrtu danych: SHA1)

    * Łańcuch certyfikatów dostępny Nie
    * Dołączone certyfikaty 3
    * (#56ED7B849A397658674C67C2DC6483C8/CN=VeriSign Class 2 MPKI
    Individual Subscriber CA - G2,OU=Terms of use at
    https://www.verisign.com/rpa (c)08,OU=VeriSign Trust
    Network,O=VeriSign\, Inc.,C=US)

    * (/1.2.840.113549.1.9.1=#6B6F6E74616B74406D62616E6B2E706C,
    CN=mBank\, Bankowosc Detaliczna BRE Banku SA,OU=www.verisign.com/repository/CPS Incorp. by Ref. \,LIAB.LTD(c)99,OU=Departament Infrastruktury Informatycznej,O=BRE
    Bank SA)

    * (#6170CB498C5F984529E7B0A6D9505B7A/CN=VeriSign Class 2 Public
    Primary Certification Authority - G3,OU=(c) 1999 VeriSign\, Inc. - For authorized use only,OU=VeriSign Trust Network,O=VeriSign\, Inc.,C=US)

    * (/CN=VeriSign Class 2 Public Primary Certification Authority - G3,OU=(c) 1999 VeriSign\, Inc. - For authorized use only,OU=VeriSign
    Trust Network,O=VeriSign\, Inc.,C=US)

    * (#24A479B3761EEB8D3FDDA91709AC1737/CN=VeriSign Class 2 Public
    Primary Certification Authority - G3,OU=(c) 1999 VeriSign\, Inc. - For authorized use only,OU=VeriSign Trust Network,O=VeriSign\, Inc.,C=US)

    * (/CN=VeriSign Class 2 MPKI Individual Subscriber CA -
    G2,OU=Terms of use at https://www.verisign.com/rpa (c)08,OU=VeriSign
    Trust Network,O=VeriSign\, Inc.,C=US)


    Czy ktoś bieglejszy w kryptologii mógłby mi to przetłumaczyć na nasze i wskazać, co należałoby poprawić?

    System OpenSuse 12.3, KDE 4.10.2r.1, KMail 4.10.2, MTA (jeżeli
    to ma znaczenie) postfix-2.9.6, MDA procmail-3.22, spamassassin-3.3.2.


    Z góry dziękuję za pomoc.

    --
    Pozdrawiam, | Three switched witches watch 3 Swatch watch switches.
    | Which switched witch watch which Swatch watch switch?
    (js).

    PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi kolejnymi literami.


    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: ATMAN - ATM S.A. (110:300/1.1@linuxnet)
  • From Wojciech Waga@110:300/1.1 to All on Tue May 21 21:57:26 2013
    Masz ustawione zaufanie do któregoś z łańcuszka certów, które pokazuje? Akurat KMaila nie używam, ale powinien mieć jak thunderbird w
    ustawieniach listę "authorities" którym ufa.

    pozdr.
    w.

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: A noiseless patient Spider (110:300/1.1@linuxnet)
  • From Jan =?UTF-8?B?U3Rvxbxlaw==?=@110:300/1.1 to All on Wed May 22 17:42:52 2013
    Po głębokim namyśle Wojciech Waga napisał w wtorek, 21 maja 2013
    21:57:

    Masz ustawione zaufanie do któregoś z łańcuszka certów, które
    pokazuje? Akurat KMaila nie używam, ale powinien mieć jak
    thunderbird w ustawieniach listę "authorities" którym ufa.

    Właśnie szukam, gdzie to ustawić.

    --
    Pozdrawiam, | Three switched witches watch 3 Swatch watch switches.
    | Which switched witch watch which Swatch watch switch?
    (js).

    PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi kolejnymi literami.


    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: ATMAN - ATM S.A. (110:300/1.1@linuxnet)
  • From Jan =?UTF-8?B?U3Rvxbxlaw==?=@110:300/1.1 to All on Thu May 23 23:24:20 2013
    Po głębokim namyśle Wojciech Waga napisał w wtorek, 21 maja 2013
    21:57:

    Masz ustawione zaufanie do któregoś z łańcuszka certów, które
    pokazuje? Akurat KMaila nie używam, ale powinien mieć jak
    thunderbird w ustawieniach listę "authorities" którym ufa.

    Dzięki. Chwilę zajęło mi dojście, o co właściwie chodzi, ale w końcu udało mi się zaimportować certyfikat Certumu (jest
    wykorzystywany przy podpisach innego banku) i certyfikat VeriSignu, na
    który powołuje się podpis mBanku. W Kleopatrze kliknąłem też przy nich na "ufaj głównemu certyfikatowi", aczkolwiek nie zauważyłem jakichś
    zmian w sposobie wyświetlania... certyfikatów może to jakaś tajna informacja. ;) Próbowałem też skonfigurowaś OCSP (serwer CERTUM), aczkolwiek nie jestem pewien, czy mi się to udało.

    Pełnego sukcesu jeszcze nie ma, ale jest pewien postęp:

    - po otwarciu wiadomości kmail pisze, że weryfikuje podpis,
    czego wcześniej nie robił

    - niektóre wiadomości (akurat te podpisane kluczem
    certyfikowanym przez Certum - ale nie wszystkie) mają teraz status
    żółty ("niewystarczające informacje do sprawdzenia podpisu"), a nie czerwony ("Nieprawidłowy podpis"), zmieniły się też niektóre
    informacje statusowe w szczegółach podpisu - tak, jakby zostało sprawdzonych więcej elementów.

    Natrafiłem też w kmail na okno "Przeglądarka dziennika GnuPG", gdzie znalazłem kilka ciekawych wpisów:

    * Brak pliku "/home/jasio/.gnupg/policies.txt" - co w nim
    powinno być, ewentualnie który program powinien go utworzyć? Co
    prawda, jeżeli dobrze rozumiem, błąd jest opisany jako niekrytyczny.

    * "OCSP responder at `http://ocsp.certum.pl' status:
    unauthorized". Czy powinienem w jakiś sposób dodatkowo autoryzować ten serwer, czy to ja powinienem być jakoś autoryzowany na nim? Potem
    pojawia się jakiś "błąd ogólny" - a to przy sprawdzaniu CRL, a to przy weryfikacji łańcucha certyfikatów...

    * I wreszcie "błędny podpis: atrybut skrótu wiadomości nie
    zgadza się z obliczonym" - czy to znaczy, że coś po drodze zmieniło treść wiadomości? W sumie możliwości są w zasadzie dwie: albo to
    google, który jest MX-em dla mojej domeny, albo coś na komputerze
    domowym. Jak to można zweryfikować?


    Z góry dziękuję za pomoc i cierpliwość, bo ta cała kryptografia w praktyce, to trochę dla mnie czarna magia.


    --
    Pozdrawiam, | Three switched witches watch 3 Swatch watch switches.
    | Which switched witch watch which Swatch watch switch?
    (js).

    PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi kolejnymi literami.


    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: ATMAN - ATM S.A. (110:300/1.1@linuxnet)