Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Nieprawidłowy podpis maili od mBanku
73 views
Skip to first unread message
Jan Stożek
May 17, 2013, 4:06:06 AM5/17/13
to
Witam,
Używam do poczty programu kmail2 w środowisku KDE. Z jakiegoś
powodu sygnalizuje mi on, że wszystkie wiadomości od mBanku mają
nieprawidłowe podpisy cyfrowe. Wprawdzie jestem pewien, że te
konkretne wiadomości rzeczywiście z mBanku pochodzą, ale i tak trochę
mnie denerwuje, że przez fałszywe alarmy kiedyś mogę przeoczyć
ewentualną podróbę. Stary kmail wyświetlał mi był komunikat, że nie
może zweryfikować podpisu, ale nie pamiętam w tej chwili, czy zmiana
statusu na "Błędny podpis" nastąpiła przy okazji niedawnego upgrade'u
systemu (i połączonej z nią zmiany wersji kmaila), czy też już
wcześniej.
Dziennik audytu zawierał coś takiego:
* Weryfikacja danych zakończona Tak
* Dane dostępne Tak
* Podpis dostępny Tak
* Analiza danych zakończona Tak
* (algorytm skrótu danych: SHA1)
* Podpis 0 Zły
* (#56ED7B849A397658674C67C2DC6483C8/CN=VeriSign Class 2 MPKI
Individual Subscriber CA - G2,OU=Terms of use at
https://www.verisign.com/rpa (c)08,OU=VeriSign Trust
Network,O=VeriSign\, Inc.,C=US)
* (algorytm skrótu danych: SHA1)
* Łańcuch certyfikatów dostępny Nie
* Dołączone certyfikaty 3
* (#56ED7B849A397658674C67C2DC6483C8/CN=VeriSign Class 2 MPKI
Individual Subscriber CA - G2,OU=Terms of use at
https://www.verisign.com/rpa (c)08,OU=VeriSign Trust
Network,O=VeriSign\, Inc.,C=US)
* (/1.2.840.113549.1.9.1=#6B6F6E74616B74406D62616E6B2E706C,
CN=mBank\, Bankowosc Detaliczna BRE Banku
SA,OU=www.verisign.com/repository/CPS Incorp. by Ref.
\,LIAB.LTD(c)99,OU=Departament Infrastruktury Informatycznej,O=BRE
Bank SA)
* (#6170CB498C5F984529E7B0A6D9505B7A/CN=VeriSign Class 2 Public
Primary Certification Authority - G3,OU=(c) 1999 VeriSign\, Inc. - For
authorized use only,OU=VeriSign Trust Network,O=VeriSign\, Inc.,C=US)
* (/CN=VeriSign Class 2 Public Primary Certification Authority -
G3,OU=(c) 1999 VeriSign\, Inc. - For authorized use only,OU=VeriSign
Trust Network,O=VeriSign\, Inc.,C=US)
* (#24A479B3761EEB8D3FDDA91709AC1737/CN=VeriSign Class 2 Public
Primary Certification Authority - G3,OU=(c) 1999 VeriSign\, Inc. - For
authorized use only,OU=VeriSign Trust Network,O=VeriSign\, Inc.,C=US)
* (/CN=VeriSign Class 2 MPKI Individual Subscriber CA -
G2,OU=Terms of use at https://www.verisign.com/rpa (c)08,OU=VeriSign
Trust Network,O=VeriSign\, Inc.,C=US)
Czy ktoś bieglejszy w kryptologii mógłby mi to przetłumaczyć na
nasze i wskazać, co należałoby poprawić?
System OpenSuse 12.3, KDE 4.10.2r.1, KMail 4.10.2, MTA (jeżeli
to ma znaczenie) postfix-2.9.6, MDA procmail-3.22, spamassassin-3.3.2.
Z góry dziękuję za pomoc.
--
Pozdrawiam, | Three switched witches watch 3 Swatch watch switches.
| Which switched witch watch which Swatch watch switch?
(js).
PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi
kolejnymi literami.
Używam do poczty programu kmail2 w środowisku KDE. Z jakiegoś
powodu sygnalizuje mi on, że wszystkie wiadomości od mBanku mają
nieprawidłowe podpisy cyfrowe. Wprawdzie jestem pewien, że te
konkretne wiadomości rzeczywiście z mBanku pochodzą, ale i tak trochę
mnie denerwuje, że przez fałszywe alarmy kiedyś mogę przeoczyć
ewentualną podróbę. Stary kmail wyświetlał mi był komunikat, że nie
może zweryfikować podpisu, ale nie pamiętam w tej chwili, czy zmiana
statusu na "Błędny podpis" nastąpiła przy okazji niedawnego upgrade'u
systemu (i połączonej z nią zmiany wersji kmaila), czy też już
wcześniej.
Dziennik audytu zawierał coś takiego:
* Weryfikacja danych zakończona Tak
* Dane dostępne Tak
* Podpis dostępny Tak
* Analiza danych zakończona Tak
* (algorytm skrótu danych: SHA1)
* Podpis 0 Zły
* (#56ED7B849A397658674C67C2DC6483C8/CN=VeriSign Class 2 MPKI
Individual Subscriber CA - G2,OU=Terms of use at
https://www.verisign.com/rpa (c)08,OU=VeriSign Trust
Network,O=VeriSign\, Inc.,C=US)
* (algorytm skrótu danych: SHA1)
* Łańcuch certyfikatów dostępny Nie
* Dołączone certyfikaty 3
* (#56ED7B849A397658674C67C2DC6483C8/CN=VeriSign Class 2 MPKI
Individual Subscriber CA - G2,OU=Terms of use at
https://www.verisign.com/rpa (c)08,OU=VeriSign Trust
Network,O=VeriSign\, Inc.,C=US)
* (/1.2.840.113549.1.9.1=#6B6F6E74616B74406D62616E6B2E706C,
CN=mBank\, Bankowosc Detaliczna BRE Banku
SA,OU=www.verisign.com/repository/CPS Incorp. by Ref.
\,LIAB.LTD(c)99,OU=Departament Infrastruktury Informatycznej,O=BRE
Bank SA)
* (#6170CB498C5F984529E7B0A6D9505B7A/CN=VeriSign Class 2 Public
Primary Certification Authority - G3,OU=(c) 1999 VeriSign\, Inc. - For
authorized use only,OU=VeriSign Trust Network,O=VeriSign\, Inc.,C=US)
* (/CN=VeriSign Class 2 Public Primary Certification Authority -
G3,OU=(c) 1999 VeriSign\, Inc. - For authorized use only,OU=VeriSign
Trust Network,O=VeriSign\, Inc.,C=US)
* (#24A479B3761EEB8D3FDDA91709AC1737/CN=VeriSign Class 2 Public
Primary Certification Authority - G3,OU=(c) 1999 VeriSign\, Inc. - For
authorized use only,OU=VeriSign Trust Network,O=VeriSign\, Inc.,C=US)
* (/CN=VeriSign Class 2 MPKI Individual Subscriber CA -
G2,OU=Terms of use at https://www.verisign.com/rpa (c)08,OU=VeriSign
Trust Network,O=VeriSign\, Inc.,C=US)
Czy ktoś bieglejszy w kryptologii mógłby mi to przetłumaczyć na
nasze i wskazać, co należałoby poprawić?
System OpenSuse 12.3, KDE 4.10.2r.1, KMail 4.10.2, MTA (jeżeli
to ma znaczenie) postfix-2.9.6, MDA procmail-3.22, spamassassin-3.3.2.
Z góry dziękuję za pomoc.
--
Pozdrawiam, | Three switched witches watch 3 Swatch watch switches.
| Which switched witch watch which Swatch watch switch?
(js).
PS. Odpowiadając bezpośrednio proszę usunąć minus wraz ze wszystkimi
kolejnymi literami.
Wojciech Waga
May 21, 2013, 3:57:26 PM5/21/13
to
Masz ustawione zaufanie do któregoś z łańcuszka certów, które pokazuje?
Akurat KMaila nie używam, ale powinien mieć jak thunderbird w
ustawieniach listę "authorities" którym ufa.
pozdr.
w.
Akurat KMaila nie używam, ale powinien mieć jak thunderbird w
ustawieniach listę "authorities" którym ufa.
pozdr.
w.
Jan Stożek
May 22, 2013, 11:42:52 AM5/22/13
to
Po głębokim namyśle Wojciech Waga napisał w wtorek, 21 maja 2013
21:57:
> Masz ustawione zaufanie do któregoś z łańcuszka certów, które
> pokazuje? Akurat KMaila nie używam, ale powinien mieć jak
> thunderbird w ustawieniach listę "authorities" którym ufa.
Właśnie szukam, gdzie to ustawić.
21:57:
> Masz ustawione zaufanie do któregoś z łańcuszka certów, które
> pokazuje? Akurat KMaila nie używam, ale powinien mieć jak
> thunderbird w ustawieniach listę "authorities" którym ufa.
Jan Stożek
May 23, 2013, 5:24:20 PM5/23/13
to
Po głębokim namyśle Wojciech Waga napisał w wtorek, 21 maja 2013
21:57:
21:57:
> Masz ustawione zaufanie do któregoś z łańcuszka certów, które
> pokazuje? Akurat KMaila nie używam, ale powinien mieć jak
> thunderbird w ustawieniach listę "authorities" którym ufa.
Dzięki. Chwilę zajęło mi dojście, o co właściwie chodzi, ale w
> pokazuje? Akurat KMaila nie używam, ale powinien mieć jak
> thunderbird w ustawieniach listę "authorities" którym ufa.
końcu udało mi się zaimportować certyfikat Certumu (jest
wykorzystywany przy podpisach innego banku) i certyfikat VeriSignu, na
który powołuje się podpis mBanku. W Kleopatrze kliknąłem też przy nich
na "ufaj głównemu certyfikatowi", aczkolwiek nie zauważyłem jakichś
zmian w sposobie wyświetlania... certyfikatów może to jakaś tajna
informacja. ;) Próbowałem też skonfigurowaś OCSP (serwer CERTUM),
aczkolwiek nie jestem pewien, czy mi się to udało.
Pełnego sukcesu jeszcze nie ma, ale jest pewien postęp:
- po otwarciu wiadomości kmail pisze, że weryfikuje podpis,
czego wcześniej nie robił
- niektóre wiadomości (akurat te podpisane kluczem
certyfikowanym przez Certum - ale nie wszystkie) mają teraz status
żółty ("niewystarczające informacje do sprawdzenia podpisu"), a nie
czerwony ("Nieprawidłowy podpis"), zmieniły się też niektóre
informacje statusowe w szczegółach podpisu - tak, jakby zostało
sprawdzonych więcej elementów.
Natrafiłem też w kmail na okno "Przeglądarka dziennika GnuPG",
gdzie znalazłem kilka ciekawych wpisów:
* Brak pliku "/home/jasio/.gnupg/policies.txt" - co w nim
powinno być, ewentualnie który program powinien go utworzyć? Co
prawda, jeżeli dobrze rozumiem, błąd jest opisany jako niekrytyczny.
* "OCSP responder at `http://ocsp.certum.pl' status:
unauthorized". Czy powinienem w jakiś sposób dodatkowo autoryzować ten
serwer, czy to ja powinienem być jakoś autoryzowany na nim? Potem
pojawia się jakiś "błąd ogólny" - a to przy sprawdzaniu CRL, a to przy
weryfikacji łańcucha certyfikatów...
* I wreszcie "błędny podpis: atrybut skrótu wiadomości nie
zgadza się z obliczonym" - czy to znaczy, że coś po drodze zmieniło
treść wiadomości? W sumie możliwości są w zasadzie dwie: albo to
google, który jest MX-em dla mojej domeny, albo coś na komputerze
domowym. Jak to można zweryfikować?
Z góry dziękuję za pomoc i cierpliwość, bo ta cała kryptografia
w praktyce, to trochę dla mnie czarna magia.
0 new messages