Ero sivun ”Sähköposti” versioiden välillä
(15 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
− | '''Sähköposti''' | + | '''Sähköposti''' tukee viestien allekirjoittamista ja salausta joko [[PGP|PGP/GnuPG]]- tai [[X.509]] [[varmenne|varmenteiden]] avainpareilla. Koska PGP-tyypin avaimissa ei ole hierarkiaa, niiden käyttö ei ole yhtä mielekästä kuin varmenteiden joiden luottosuhde muodostuu takaajan toimesta. Jos sähköpostiohjelma tukee [[PKCS 11|PKCS#11]] varmenteita suoraan tai käyttöjärjestelmän varmennevaraston kautta, lähettäjän ja vastaanottajan henkilökortin varmeneita voi käyttää sähköpostiviestinnässä. |
+ | |||
+ | Suomessa henkilökortin käyttö sähköpostin kanssa on valtion tukemaa viranomaiskäytössä. [[Digivirasto]] on [[Hiekkaa|tarkoituksella estänyt]] kansalaisten sähköpostin tietoturvan lisäämistä henkilökortilla rikkomalla varmennehakemistonsa toimintoja. | ||
+ | |||
+ | Henkilökorttia voi käyttää sähköpostin yhteydessä: | ||
+ | * palvelimen tunnistamisessa | ||
+ | * viestien allekirjoittamisessa | ||
+ | * viestien salausksessa | ||
+ | * viestien liitetiedostoissa (allekirjoitus, salaus) | ||
+ | |||
+ | == Sähköpostiosoite varmenteessa == | ||
+ | [[Henkilökortin hankinta]] | ||
+ | |||
+ | == Salaus == | ||
+ | Varmennekortilla viestien salaus voi olla mielekästä jos viestiä käytetään vain siirtämiseen, sillä tällä hetkellä yksikään sähköpostiohjelma (MUA, Mail User Agent) ei osaa poistaa salausta viestistä vastaanottamisen jälkeen. Jos salaukseen käytetty avainparin on generoitu henkilökortilla joka on [[HSM]]-turvalaite, sen salaista avainta ei ikinä saa sieltä ulos, sitä voi vain käyttää postiohjelmistoon liitettynä. Kun kortti vanhenee, menee rikki tai katoaa, vanhoja sähköposteja avattaessa ja salainen avain ei ole saatavilla, viestejä ei saa auki. Jos viestiä on käytetty vain liitetiedoston kuljettamiseen ja liite on tallennettu muualle, ongelmaa ei ole. | ||
+ | |||
+ | Sähköpostiohjelmat tukevat yleensä PKI-varmennehakemistoja ja henkilökorttia käytettäessä LDAP-asetus on: | ||
+ | ldap.fineid.fi | ||
+ | |||
+ | Vaikka henkilö olisi ilmoittanut sähköpostiosoitteensa varmenteen sisälle ja se löytyy kansalaisvarmenteesta, salauksessa tarvittavan julkisen avaimen lataaminen [[Digivirasto/Varmennehakemisto|varmennehakemisto]]sta ei silti toimi koska sähköpostiosoitteella sieltä saa vain viranomaisten avaimet (sote- ja organisaatiokortit) - ei henkilökorttien kansalaisvarmenteista. Kyse ei ole teknisestä ongelmasta vaan [[Digivirasto]]n virkamiehet ovat järkeilleet asian jostain syystä näin. | ||
== PGP / GPG == | == PGP / GPG == | ||
Rivi 5: | Rivi 24: | ||
* [https://gpg4win.org gpg4win.org] - (''GNU Privacy Guard for Windows'') | * [https://gpg4win.org gpg4win.org] - (''GNU Privacy Guard for Windows'') | ||
* [https://gpgtools.org gpgtools.org] GPG-tuki Applen tietokoneille | * [https://gpgtools.org gpgtools.org] GPG-tuki Applen tietokoneille | ||
+ | |||
== X509 == | == X509 == | ||
== Sähköpostiohjelmat == | == Sähköpostiohjelmat == | ||
− | Postiohjelmien tulee tukea samaa viestimuotoa, jotta allekirjoituksen esittäminen ja salauksen avaaminen tapahtuu helposti | + | Postiohjelmien tulee tukea samaa viestimuotoa, jotta allekirjoituksen esittäminen ja salauksen avaaminen tapahtuu helposti. |
− | |||
{| class="wikitable sortable" style=";" | {| class="wikitable sortable" style=";" | ||
Rivi 20: | Rivi 39: | ||
!S/MIME | !S/MIME | ||
!S/MIME Opaque | !S/MIME Opaque | ||
+ | !korttituki | ||
|- | |- | ||
|'''Apple Mail''' | |'''Apple Mail''' | ||
Rivi 44: | Rivi 64: | ||
|bgcolor='lightgreen' text-align='center'|on | |bgcolor='lightgreen' text-align='center'|on | ||
| | | | ||
+ | |bgcolor='tomato'|ei [https://bugs.kde.org/show_bug.cgi?id=116201 bugi] | ||
|- | |- | ||
|'''Outlook''' | |'''Outlook''' | ||
Rivi 93: | Rivi 114: | ||
| | | | ||
|- | |- | ||
− | | | + | |[[Thunderbird]] |
| | | | ||
|Win | |Win | ||
Rivi 99: | Rivi 120: | ||
| | | | ||
|bgcolor='lightgreen'|on | |bgcolor='lightgreen'|on | ||
− | |-} | + | | |
+ | |- | ||
+ | |[[Thunderbird]] | ||
+ | |38 | ||
+ | |Linux | ||
+ | | | ||
+ | | | ||
+ | |bgcolor='lightgreen'|on | ||
+ | | | ||
+ | |bgcolor='lightgreen'|pkcs11 | ||
+ | |||
+ | |} | ||
+ | |||
+ | == Harjoitteluseuraa == | ||
+ | Allekirjoitusta ja salausta voi harjoitella lähettämällä viestejä taulukon henkilöille, jotka toivon mukaan myös vastaavat. | ||
+ | |||
+ | {| class="wikitable sortable" style=";" | ||
+ | !henkilö | ||
+ | !SATU | ||
+ | !sähköpostiosoite | ||
+ | !muuta | ||
+ | |- | ||
+ | |[[Käyttäjä:TUOMALA JUHA 10000350X|Juha Tuomala]] | ||
+ | |10000350X | ||
+ | |[mailto:juha.tuomala@iki.fi juha.tuomala@iki.fi] | ||
+ | |- | ||
+ | |[[Käyttäjä:TOSSAVAINEN_ATRO_136964277|Atro Tossavainen]] | ||
+ | |136964277 | ||
+ | |[mailto:hst-tunniste@atrotossavainen.fi hst-tunniste@atrotossavainen.fi] | ||
+ | |} | ||
− | + | == Katso myös == | |
+ | * [[GSSAPI]] | ||
+ | == Aiheesta muualla == | ||
+ | * http://en.wikipedia.org/wiki/S%2FMIME| | ||
+ | * https://web.archive.org/web/20120504061837/http://www.viestintavirasto.fi/index/tietoturva/sahkoposti.html | ||
[[Luokka:Ohjelmat]] | [[Luokka:Ohjelmat]] |
Nykyinen versio 19. tammikuuta 2022 kello 09.49
Sähköposti tukee viestien allekirjoittamista ja salausta joko PGP/GnuPG- tai X.509 varmenteiden avainpareilla. Koska PGP-tyypin avaimissa ei ole hierarkiaa, niiden käyttö ei ole yhtä mielekästä kuin varmenteiden joiden luottosuhde muodostuu takaajan toimesta. Jos sähköpostiohjelma tukee PKCS#11 varmenteita suoraan tai käyttöjärjestelmän varmennevaraston kautta, lähettäjän ja vastaanottajan henkilökortin varmeneita voi käyttää sähköpostiviestinnässä.
Suomessa henkilökortin käyttö sähköpostin kanssa on valtion tukemaa viranomaiskäytössä. Digivirasto on tarkoituksella estänyt kansalaisten sähköpostin tietoturvan lisäämistä henkilökortilla rikkomalla varmennehakemistonsa toimintoja.
Henkilökorttia voi käyttää sähköpostin yhteydessä:
- palvelimen tunnistamisessa
- viestien allekirjoittamisessa
- viestien salausksessa
- viestien liitetiedostoissa (allekirjoitus, salaus)
Sisällysluettelo
Sähköpostiosoite varmenteessa
Salaus
Varmennekortilla viestien salaus voi olla mielekästä jos viestiä käytetään vain siirtämiseen, sillä tällä hetkellä yksikään sähköpostiohjelma (MUA, Mail User Agent) ei osaa poistaa salausta viestistä vastaanottamisen jälkeen. Jos salaukseen käytetty avainparin on generoitu henkilökortilla joka on HSM-turvalaite, sen salaista avainta ei ikinä saa sieltä ulos, sitä voi vain käyttää postiohjelmistoon liitettynä. Kun kortti vanhenee, menee rikki tai katoaa, vanhoja sähköposteja avattaessa ja salainen avain ei ole saatavilla, viestejä ei saa auki. Jos viestiä on käytetty vain liitetiedoston kuljettamiseen ja liite on tallennettu muualle, ongelmaa ei ole.
Sähköpostiohjelmat tukevat yleensä PKI-varmennehakemistoja ja henkilökorttia käytettäessä LDAP-asetus on:
ldap.fineid.fi
Vaikka henkilö olisi ilmoittanut sähköpostiosoitteensa varmenteen sisälle ja se löytyy kansalaisvarmenteesta, salauksessa tarvittavan julkisen avaimen lataaminen varmennehakemistosta ei silti toimi koska sähköpostiosoitteella sieltä saa vain viranomaisten avaimet (sote- ja organisaatiokortit) - ei henkilökorttien kansalaisvarmenteista. Kyse ei ole teknisestä ongelmasta vaan Digiviraston virkamiehet ovat järkeilleet asian jostain syystä näin.
PGP / GPG
- gpg4win.org - (GNU Privacy Guard for Windows)
- gpgtools.org GPG-tuki Applen tietokoneille
X509
Sähköpostiohjelmat
Postiohjelmien tulee tukea samaa viestimuotoa, jotta allekirjoituksen esittäminen ja salauksen avaaminen tapahtuu helposti.
ohjelma | versio | OS | inline OpenPGP | OpenPGP/MIME | S/MIME | S/MIME Opaque | korttituki |
---|---|---|---|---|---|---|---|
Apple Mail | |||||||
Claws Mail | |||||||
KMail | 4.14 | Linux | on | ei bugi | |||
Outlook | |||||||
Outlook | |||||||
Outlook | |||||||
Outlook 2011 | 14 | Mac | |||||
Outlook 2013 | 15 | Win | |||||
Outlook | 1.3 | Mac | |||||
Thunderbird | Win | on | |||||
Thunderbird | 38 | Linux | on | pkcs11 |
Harjoitteluseuraa
Allekirjoitusta ja salausta voi harjoitella lähettämällä viestejä taulukon henkilöille, jotka toivon mukaan myös vastaavat.
henkilö | SATU | sähköpostiosoite | muuta |
---|---|---|---|
Juha Tuomala | 10000350X | juha.tuomala@iki.fi | |
Atro Tossavainen | 136964277 | hst-tunniste@atrotossavainen.fi |