Cli-Überprüfung von digital signierten E-Mails

10

Ich bin Alice und habe eine unterschriebene E-Mail von Bob erhalten.

Ich verwende einen Web-E-Mail-Client (z. B. GMail) und sehe, dass einer der Anhänge ist smime.p7s.

Ich habe die Option "Originalnachricht anzeigen" gefunden und Inhalte in gespeichert message.orig.

Angenommen, Bob hat eine E-Mail signiert. Wie kann ich sie über die Befehlszeile überprüfen?

(Nehmen wir an, Bob verwendet einen zertifizierten Schlüssel, der von einigen angesehenen Behörden signiert wurde - ich weiß nicht, welcher, aber ich nehme an, dass)

(Alice möchte keinen E-Mail-Client mit der entsprechenden Funktion installieren, nur für eine Nachricht.)

Grzegorz Wierzowiecki
quelle
+1 für die Antwort, -1 für die Nichterwähnung von Trudy (bitte bearbeiten: P)
Avio

Antworten:

9
openssl smime -verify -in message.orig

Fügen Sie eine Option -CAfileoder hinzu -CApath, um eine andere Liste vertrauenswürdiger Zertifikate als die Standardeinstellung des Systems anzugeben.

Informationen erhalten Sie möglicherweise aus dem Zertifikat, mit dem die E-Mail signiert wurde:

openssl smime -noverify -in message.orig -pk7out |
  openssl pkcs7 -print_certs -text -noout

Oder aus der smime.p7s, wenn Sie es bereits extrahiert haben:

openssl pkcs7 -in smime.p7s -text -inform DER -print_certs -noout
Stéphane Chazelas
quelle
ok, ich habe gerade meinen ca-certificates(Arch pacman -S ca-certificates) aktualisiert, aber ich erhalte die Fehlermeldung: Verification failure 140717529130664:error:21071065:PKCS7 routines:PKCS7_signatureVerify:digest failure:pk7_doit.c:1048: 140717529130664:error:21075069:PKCS7 routines:PKCS7_verify:signature failure:pk7_smime.c:410: Haben Sie eine Ahnung, was das bedeutet? Vielleicht "Original-Nachricht öffnen" und dann Quelle speichern, einige Transformationen zur Nachrichtenquelle vorgenommen?
Grzegorz Wierzowiecki
Funktioniert openssl pkcs7 -in smime.p7s -text -inform DER -print_certs -noout(um Ihnen Informationen über das Zertifikat in der pk7-Datei zu geben)?
Stéphane Chazelas
Ja. (Übrigens. Das ist ein sehr nützlicher Befehl. Bitte fügen Sie ihn Ihrer Antwort hinzu. Ich glaube, andere Benutzer werden ebenfalls davon profitieren.)
Grzegorz Wierzowiecki
Neuer Befehl hilft auch nicht: pastebin.com/xNMG2gwQ
Grzegorz Wierzowiecki
Ich habe gerade versucht, "Original anzeigen" in Google Mail, dann "Seite speichern unter" in Firefox verwendet und der Befehl hat gut funktioniert. Mir ist auch aufgefallen, dass Google Mail beim Erweitern einen "Signed By" -Header angezeigt hat.
Stéphane Chazelas