Questão Como faço para criar uma chave privada quando tenho um certificado em um arquivo PKCS12?


Eu tenho certificados de cliente para meus endereços de e-mail do cacert.org e guardei-os com sucesso como arquivos PKCS12 e os usei para assinar e-mails no Thunderbird.

No entanto, quando alguém usa meus e-mails assinados para enviar uma resposta criptografada, não consigo descriptografá-los. O Thunderbird me diz que não tenho chave privada, e penso nisso, nunca fiz uma no processo. Embora pareça estranho para mim se a CA me mandasse a chave privada, isso parece um pouco improvável.

Como só eu posso criar a chave privada e, como a CA me fornece o certificado, como criar uma chave correspondente para o certificado? O que me parece estranho é que eu realmente não deveria ser capaz de fazer assim, eu acho. Eu não deveria ter um par de chaves privado-público e ter minha chave pública certificada?

Eu estou no Linux (Ubuntu Precise), e eu usei ssh-keygen e openssl antes, em diferentes contextos. Uma explicação geral que se estende a mais do que apenas minha configuração seria apreciada.


0


origem


Como você gerou as solicitações de certificado? Você provavelmente gerou a chave privada nesse momento. (E é mais provável no arquivo PKCS12.) - David Schwartz
@ David Hmmm. Isso parece plausível, mas a) não me lembro de ter feito isso, eb) tenho certeza de que, se alguma vez tive um, não tenho mais. Vou tentar criar um novo certificado e ver o que acontece. Se estiver no arquivo PKCS12, posso verificar isso? E o Thunderbird não teria importado do arquivo, como aconteceu com o certificado? - Hanno Fietz


Respostas:


Você pode extrair a chave privada do arquivo PKCS # 12 com este comando:

openssl pkcs12 -nocerts -nodes < MyPKCS12file.p12 > myKeyFile.pem

2



Obrigado. Isso com certeza produz uma chave privada. Então, agora, descubra porque o Thunderbird não o usa. - Hanno Fietz
Mas isso significa que a CA me enviou a chave privada pela web. (e tem estado em posse de meu chave privada, pelo menos em um ponto no tempo.) Isso não é derrotar o propósito de toda a idéia de criptografia assimétrica? - Hanno Fietz
A CA lhe enviou o arquivo PKCS # 12? Tem certeza de que seu navegador não conseguiu? (Ou qualquer ferramenta que você estivesse usando.) - David Schwartz
Instalei o certificado através do site da CA no Firefox e, em seguida, exportei um arquivo .p12. Isso significa que o certificado estava pronto antes que o Firefox sequer soubesse disso (solicitei que a CA o criasse indo ao site deles usando o Chrome). Eu não vejo o que deve impedir ninguém de usar o mesmo caminho. OTOH, não ajudará a descriptografar emails endereçados a mim: P - Hanno Fietz
@HannoFietz: Muito provavelmente, um programa em execução localmente dentro de seu navegador gerou o arquivo P12, combinando o certificado da CA com a chave que foi gerada localmente e nunca foi enviada para a CA. Mas para aplicações de alta segurança, eu recomendo não usar nenhum esquema que você não possa controlar diretamente para garantir que você gerou a chave e ela nunca vazou. - David Schwartz