Linux Kamarada
Cadê o anúncio que estava aqui?
Parece que você está usando um bloqueador de anúncios. Mas dependemos deles para continuar criando conteúdo gratuito e de qualidade para você. Se você gosta do nosso conteúdo, por favor apoie nosso site desativando seu bloqueador de anúncios. Alternativamente, se você vem aqui com frequência, por favor considere fazer uma doação.Se você tem um certificado digital, pode assinar os e-mails que envia, conferindo-lhes mais segurança quanto a autenticidade e integridade. Já mostramos aqui, em outro texto, como assinar digitalmente e-mails enviados pelo Thunderbird, o cliente de e-mail da Fundação Mozilla. Se você é usuário do Evolution, o cliente de e-mail padrão do GNOME e também do Linux Kamarada, verá hoje como pode assinar os e-mails que envia por esse programa.
Para referência futura, aqui utilizo o Linux Kamarada 15.1, baseado no openSUSE Leap 15.1.
Sincronizando seus e-mails
Se seu certificado digital está associado a uma conta de e-mail do Gmail (ou do G Suite), comece configurando o Evolution para sincronizar seus e-mails:
Já se você usa uma conta de e-mail do Microsoft Exchange, veja:
Instalando a mídia criptográfica
Antes de continuar, certifique-se de que seu token ou cartão inteligente (smart card) é devidamente reconhecido pelo sistema operacional. Se precisar de ajuda com isso, veja:
Instalando o certificado da AC no Evolution
Devemos importar o certificado da nossa Autoridade Certificadora para o Evolution, para que ele possa verificar a hierarquia de certificados e validar o nosso certificado digital.
Se você usa o navegador Chromium (ou outro baseado nele, como o Google Chrome, Opera, Vivaldi ou Brave), saiba que o Evolution usa a mesma configuração de certificados desse navegador, armazenada na pasta ~/.pki/nssdb/. Portanto, se você instalou o certificado da AC nesse navegador, não precisa repetir essa configuração e pode pular esse passo.
Se você usa o Linux Kamarada 15.1, também pode pular esse passo, porque o navegador padrão é o Chromium e a AC raiz brasileira já vem pré-instalada.
Se quiser saber como instalar o certificado da AC no Chromium (e semelhantes), veja:
Se você está fazendo essa configuração pela primeira vez e vai importar o certificado da AC diretamente pelo Evolution, continue lendo.
Clique aqui para baixar o certificado de segurança da ICP-Brasil, a AC raiz brasileira.
Na tela principal do Evolution, abra o menu Editar e clique na opção Preferências:
No painel da esquerda, selecione Certificados e na direita, a aba Seus certificados. Clique no botão Importar:
Informe o caminho para o certificado que você baixou.
Na caixa de diálogo seguinte, marque as três opções e clique em OK:
O Evolution solicita a senha para o banco de dados de certificados, que, por padrão, é vazia. Nesse caso, você pode simplesmente clicar em OK sem digitar nada:
Verifique que a ICP-Brasil aparece na lista de autoridades certificadoras:
Configurando o token no Evolution
Assim como o navegador Chromium, e diferentemente do Firefox e do Thunderbird, o cliente de e-mail Evolution não dispõe de uma interface gráfica para a configuração de tokens, motivo pelo qual faremos esse procedimento usando o terminal.
Esse passo também pode ser pulado se você usa o navegador Chromium e já configurou seu token nele. Falamos sobre isso em outro tutorial:
Se você está fazendo essa configuração pela primeira vez, continue lendo.
Conecte seu token antes de continuar.
Primeiro, comece abrindo o terminal e instalando as ferramentas NSS da Mozilla (é possível que já estejam instaladas em seu sistema, como já vem no Linux Kamarada):
1
# zypper in mozilla-nss-tools
Depois, certifique-se que está em sua pasta pessoal (home) e execute o comando a seguir (fazendo as devidas substituições) para adicionar o token à lista de dispositivos e módulos de segurança:
1
2
$ cd
$ modutil -dbdir sql:.pki/nssdb/ -add "nome_do_token" -libfile /caminho/para/biblioteca
No lugar de nome_do_token, digite um nome para identificar o token (por exemplo, eToken).
No lugar de /caminho/para/biblioteca, informe o caminho para a biblioteca do token:
- se seu token foi reconhecido pelo OpenSC, informe
/usr/lib64/opensc-pkcs11.so; - se você instalou o SafeNet Authentication Client (meu caso), informe
/usr/lib64/libeToken.so; - para outros tokens, siga as instruções fornecidas pela fabricante ou certificadora.
Para mim, que uso atualmente um token SafeNet eToken 5110, o comando ficou assim:
1
$ modutil -dbdir sql:.pki/nssdb/ -add "eToken" -libfile /usr/lib64/libeToken.so
O programa modutil alerta que é necessário fechar o navegador (no nosso caso, o cliente de e-mail):
1
2
3
4
WARNING: Performing this operation while the browser is running could cause
corruption of your security databases. If the browser is currently running,
you should exit browser before continuing this operation. Type
'q <enter>' to abort, or <enter> to continue:
Feche o Evolution e, de volta ao terminal, tecle Enter.
Quando o programa encerrar, pode reabrir o Evolution:
1
Module "eToken" added to database.
Certifique-se de que o Evolution reconhece o seu token. Para isso, abra o menu Editar e clique na opção Preferências.
Se o Evolution pedir a senha PIN do seu token (o que já é um bom sinal), digite-a e clique em OK:
No painel da esquerda, selecione Certificados e à direita, na aba Seus certificados, note que seu certificado digital aparece na lista:
Configurando a assinatura digital no Evolution
A partir de agora, estamos todos na mesma página: usuários de Chromium ou de outros navegadores, assim como usuários de Linux Kamarada ou de outras distribuições.
O próximo passo é configurar o Evolution para assinar os e-mails que enviamos a partir da nossa conta com o nosso certificado.
Na caixa de diálogo Preferências do Evolution, no painel da esquerda, selecione Contas de correio (a primeira opção). À direita, selecione sua conta de e-mail e clique no botão Editar:
Dentro de MIME seguro (S/MIME), em Certificado de assinatura, clique em Selecionar:
Selecione o Certificado a ser usado para assinatura e clique em OK:
De volta à caixa de diálogo Editor de contas, caso deseje sempre assinar digitalmente os e-mails que envia, marque a opção Sempre assinar mensagens enviadas ao usar esta conta, abaixo de MIME seguro (S/MIME).
Clique em OK para fechar a caixa de diálogo Editor de contas.
Depois, clique em OK para fechar a caixa de diálogo Preferências do Evolution e voltar à tela principal.
A assinatura digital está configurada e pronta para ser usada.
Enviando e-mails com assinatura digital
Na tela principal do Evolution, clique no botão Novo:
Como de costume, preencha os campos De, Para e Assunto e redija a mensagem.
Antes de enviar, certifique-se de que a opção Assinar S/MIME, dentro do menu Opções, está marcada (se você marcou aquela opção nas configurações da conta, essa opção já deve vir marcada por padrão):
Quando terminar, clique em Enviar.
O Evolution solicita o PIN do token para assinar a mensagem no momento do envio:
Verificando a assinatura digital de e-mails recebidos
Se o destinatário usa o Evolution, ele pode verificar a assinatura digital da mensagem:
Pode ser que o Evolution não reconheça a assinatura, exibindo Assinatura inválida:
Se isso acontecer, é sinal que o destinatário não conhece o certificado da sua Autoridade Certificadora. Oriente-o instalar esse certificado, seguindo as instruções presentes nesta página. Feito isso, ao voltar ao Evolution, perceberá que a assinatura é reconhecida.
Se o destinatário utiliza o webmail, pode ser que o webmail possibilite verificar a assinatura da mensagem, como o Gmail, por exemplo, possibilita:
Note que o Gmail também não reconhece a assinatura, muito provavelmente pelo mesmo motivo: não conhece o certificado da ICP-Brasil. Infelizmente, a solução definitiva para isso demandaria ao Google instalar esse certificado em seus servidores.
Ainda assim, o Gmail te possibilita, clicando em Informações do remetente, baixar o certificado do remetente:
Com isso, você pode verificar o certificado você mesmo:
Referências
