PLATAFORMADEDESENVOLVIMENTOPINHOPARAN MANUALDECONFIGURAODOCLIENTEDEEMAILMOZILLA THUNDERBIRDECOMPATVEIS

Agosto2006

Sumrio de Informaes do Documento

Tipo do Documento: Manual Ttulo do Documento: Manual de configurao do Mozilla Thunderbird Estado do Documento: EB (Elaborao) Responsveis: Emerson Sachio Saito Palavras-Chaves: Leitor, Smart, Card, Perto, USB, Certificado, Digital, Thunderbird Resumo: Manual de configurao do leitor de e-mail Mozilla Thunderbird em ambiente LINUX/DEBIAN Nmero de pginas: 22 Software utilizados: OpenOffice Writer Verso Data Mudanas 1.0 30/08/2006 Criao ( Reviso: Cntia A Evangelista ) 1.1 06/02/2007 Mudana na URL da Raiz da ICP-BRASIL

SUMRIO
1 INTRODUO.....................................................................................................................................................4 2 PR-REQUISITOS BSICOS.............................................................................................................................4 3 INSTALAO E CONFIGURAO DO MOZILLA THUNDERBIRD........................................................5 4 CONFIGURAO DAS AUTORIDADES CERTIFICADORAS....................................................................8 4.1 CONFIGURAO DAS LISTAS DE CERTIFICADOS REVOGADOS..........................................................................................11 5 PROCEDIMENTOS...........................................................................................................................................13 5.1 CONFIGURAO DO CERTIFICADO EM ARQUIVO.............................................................................................................13 5.2 CERTIFICADOS EM HARDWARE...................................................................................................................................14 5.2.1 Pr-requisitos.......................................................................................................................................14 5.2.2 Configurao e Ativao.....................................................................................................................14 5.3 ENVIO DE MENSAGENS ASSINADAS E CRIPTOGRAFADAS. ...............................................................................................16 5.4 VALIDAO DE ASSINATURA E RECEBIMENTO DE MENSAGENS CRIPTOGRAFADAS. .............................................................18 5.5 ALTERAO DE SENHA DE CERTIFICADO ARMAZENADO EM UM TOKEN OU SMARTCARD...................................................20 6 ADICIONANDO CERTIFICADOS (CHAVES PBLICAS) DOS CONTATOS...........................................21 7 CONSIDERAES FINAIS..............................................................................................................................22

1INTRODUO
Estemanualtemporobjetivoorientaraconfiguraodoleitor/clientedeEMAIL Mozilla/Thunderbird e compatveis para uso de certificados digitais em ambiente LINUX/DEBIAN. Isto fornece os meios para envio de email criptografados e/ou com assinaturadigital. Serabordadoousodecertificadosdigitaisarmazenadosemarquivos,quesoosde nvelA1eS1,eosarmazenadosemhardwarecriptogrficoquesoosdenvelA3,S3,A4e S4(tokenousmartcard). OambienteoperacionalhomologadooLINUX/DEBIAN. O documento no detalhar nenhum conceito de certificao digital, ou das ferramentasrelacionadas,poisestesconhecimentossoconsideradosprrequisitosparaeste manual.

2PRREQUISITOSBSICOS

ConceitosdeCertificaoDigital:AplataformadedesenvolvimentoPINHOfornece materialecursosparaaaquisiodestesconhecimentos.

Cliente/LeitordeemailMozilla/Thunderbird1.5.0.4ousuperior. Instalaodo pacotemozillapsm que opacotede gerenciamentodesegurana pessoal,quenamaioriadoscasosestnainstalaopadro.

CertificadospadroICPBRASIL. Cadeias de certificados da autoridade emissora e seus respectivos emissores e principalmenteacadeiaRAIZdaIPCBRASIL.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

3INSTALAOECONFIGURAODOMOZILLATHUNDERBIRD.
AgrandemaioriadasinstalaesdeLINUXjtrazemesteclientedeemailcomo padro, por isto devese verificar se o mesmo j est instalado (menu: Aplicaes/Internet/ClientedeEmailThunderbird). Casosejanecessrioainstalaoprecisopermissoderoot,epoderserfeitaatravs docomandoaptgetinstallmozillathunderbirdnaconsole,oupelainterfacegrficasynaptic queamaisamigvelerecomendada(vejafigura1).

Figura1GerenciadordePacotesSynaptic.

Comoprogramainstaladoprecisofazerasconfiguraesdacontaaseracessada. Executar o programa atravs do menu: Aplicaes/Internet/Cliente de Email Thunderbird. Astelasseguintesseroapresentadasautomaticamente:

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

Figura2Configurarconta

OprimeiropassoserescolherContadeemail.

Figura3Identidade PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

7 Informaronomeeoemail(parausuriosdaCELEPARoemaildoexpresso).

Figura4InformaesdoServidor.

Nestatelainformarotipodoservidor,quenocasodosusuriosdaCELEPARo IMAP, e tambm os endereos para Receber e Enviar que no caso da CELEPAR o expressomx.pr.gov.brparaambos.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

Figura5Nomedeusurio.

Informaro usurionoservidordeemail,parausuriosdaCELEPARopadro CELEPAR<nome>.Paraoutrosusuriosdoexpresso<ORGO><nome>. Naseqnciaserapresentadaumateladeconfirmaodasconfiguraesbsicas.

4CONFIGURAODASAUTORIDADESCERTIFICADORAS.
Aprimeiraconfiguraoaserexecutadaainserodascadeiasdecertificadosdas autoridadescertificadoras,quecorrespondemaocertificadoemitido. Certificarsequeosarquivos(.cer)doscertificadosdasautoridades,estejamemum diretrioacessvel.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

Figura6TelaprincipaldoThunderbird.

Com o Thunderbird aberto selecionar a conta (no painel esquerda) que ser configurada,clicarcombotodireitodomouse,escolheraopopropriedadesouviamenu Editar/ConfigurarContas...logoatelaabaixoaparecer:

Figura7Configurarcontas. PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

10 Selecionar a opo segurana conforme a figura 7, em seguida clicar no boto CertificadosnoquadroGerenciamento. NatelaapresentadacliquenaabaAutoridades

Figura8Gerenciadordecertificadosnaabaautoridades.

Clicar no boto Importar... e informar o diretrio e o nome dos arquivos de certificadosdasAC's.

Figura9Arquivosdecertificados.

Sernecessriorepetiratarefaparacadaarquivoconformeahierarquia,partindoda RAIZdaICPBRASILqueobrigatrio,edepoisasdemaisconformeahierarquia,emarcar todasaopesdeconfianaefinalidadesconformeatelaabaixo:

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

11

Figura10Recebendoocertificado.

Estatarefanecessriaparaainclusodoscertificadosautnticos. Repetir o mesmo passo para todas as autoridades, conforme a hierarquia do certificado. 4.1ConfiguraodasListasdeCertificadosRevogados. O complemento para configurao das autoridades a incluso das listas de revogaes,quegaranteavalidadedoscertificados. Paraconfigurloprecisoabrirateladeprefernciasnomenu: Editar/Preferencias (alt+e+n).AbrirateladeprefernciasdoThunderbird:

Figura11Preferncias.

ClicarnoconePrivacidadeeemseguidanaabaSegurana(figura11),clicarento nobotoRevogaesqueapresentaratelaabaixo:

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

12

Figura12GerenciadordeCRL(listadecertificadosrevogados)

ClicarentonobotoImportar...queexibiratelaseguinte:

Figura13ImportarListasdeRevogaodeCertificado

Informaroendereocompletodalista,sendoqueaprimeiradeveserobrigatriamente aRAIZdaICPBRASIL(http://acraiz.icpbrasil.gov.br/LCRacraiz.crl). Executaromesmoprocedimentoparatodasasautoridadescertificadoras,conformea hierarquiadocertificadoqueestsendoutilizado.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

13

5PROCEDIMENTOS
5.1Configuraodocertificadoemarquivo.
Repetirospassosdoitemanterioratafigura8.

Figura14GerenciadordecertificadosDestaqueparaSeuscertificados.

Depoisclicarnoboto Importar... einformarodiretrioeonomedoarquivode certificadonoformatoPKCS12(.pfxou.p12). Neste momento o programa pedir a senha MESTRE para os dispositivos de segurana,estasenhaservirparaqueoThunderbirdutilizeoscertificados. serpedidaasenhaparaocertificadoeateladeconfirmaoaparecer. Em seguida

Figura15Confirmaodeimportao.

Apsistoocertificadodeverserlistadonateladafigura11. ApartirdestemomentoocertificadoestararmazenadonoThunderbirdeasenhapara usoamesmaquefoiinformadacomosenhaMESTRE. Noitem5.3serdemonstradocomofazerassinaturaecifragemdemensagens.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

14

5.2Certificadosemhardware
OThunderbirdtambmfoidesenvolvidoparatrabalharcomcertificadosarmazenados emhardware,quesoosTokenseSmartCards(nveisA2,A3,A4,S2,S3eS4)nesteitemser feitaaconfiguraodestesdispositivos. 5.2.1Prrequisitos

Instalao e configurao da leitora de SmartCard ou Token: ver arquivo GIC_ManualInstalacaoLeitorSmartCard.

ConfiguraodasAutoridadesCertificadorasconformeoitem4destemanual.

5.2.2ConfiguraoeAtivao. Comtodososprrequisitosvalidados,certificarsedequeaLeitoradeSmartCardou Token,estejaconectadoaocomputadorenocasodoSmartCardqueomesmoestejainserido naLeitora. Seguiroitem4atafigura7. NaabaGerenciamentoclicarnobotoDispositivos...quemostrararatelaabaixo:

Figura16Gerenciadordedispositivosdesegurana. Clicarnobotocarregarqueabriratelaabaixo:

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

15

Figura17CarregardispositivoPKCS#11

Nesta tela informar o Nome do mdulo, que poder ser qualquer nome de fcil identificao,comoporexemplo:LeitoraSmartCard,eemseguidainformaro Nomedo arquivodomduloquedeverser:/usr/lib/opensc/openscpkcs11.so,ouentoclicarnoboto Procurar...parainformarodiretrio(conformeafigura16),estaformaamaisprticae tambmparacasosondeoarquivoopenscpkcs11.sonoestejanodiretrio/usr/lib/opensc.

Figura18Seleododispositivodesegurana.

Logoapsserapresentadaatelaabaixo:

Figura19Confirmaoparainstalarmdulo

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

16 Nestemomentoocertificadoserlidoecarregado,oquepoderlevarumcertotempo dependendodoequipamento. Apsistoocertificadodeverserlistadocomonafiguraabaixo:

Figura20GerenciadordeDispositivosdeSeguranaesquerdaonovodispositivo.

AssimoThunderbirdestaraptoalerocertificadodigitalarmazenadonaLeitoraou Token.

5.3EnviodemensagensAssinadaseCriptografadas.
Nositensanterioresfoiorientadaainstalaoeconfiguraodoscertificadosdigitais, tantoparaarmazenamentoemarquivocomoparahardware.Paraaexecuodastarefasde AssinaturaeCriptografiaaconfiguraoamesmaparaamboseoThunderbirdirtratlos damesmaforma. Seguiroitem4atafigura7. NestatelatantoparaoquadroAssinaturaDigitaleCriptografiapodeseselecionaro certificadoqueserusadoparaestastarefas,paraistodevese clicarnobotoSelecionar... queapresentaratelaabaixoondeserlistadoocertificadoquefoiincludo.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

17

Figura21SeleodocertificadoparaAssinaturaDigitaleCriptografia.

Para certificados em arquivos obrigatrio executar este passo para o quadro Criptografia. Nocasodecertificadosemhardware(SmartCardouToken)oThunderbirdapresentar aseguintetela:

Figura22Certificadoparacriptografia.

Clicar no boto OK para que o certificado de criptografia seja selecionado automaticamente,clicaremCANCELARsomenteseestiverutilizandocertificadosdiferentes paraAssinaturaeCriptografia. ComestesprocedimentosoThunderbirdestarpreparadoparaassinarecriptografaras mensagens. Paracriptografarmensagensnecessrioterarmazenadoachavepblicadoscontatos, eaformamaisfcileautomticaparaisto.pediraoscontatosparaenviaremumamensagem assinadadigitalmente,apartirdomomentoqueoThunderbirdlerestamensagem,eleir armazenarachavepblicadocontato.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

18 Tambm importanteenviar a prpriaassinaturaparaos contatos, paraque estes possamreenviarmensagenscriptografadas. Paraseverificaraschavesdoscontatosdeveseseguiroitem4atafigura8. Na tela apresentada clicar na aba De Outras Pessoas, que listar todas as chaves pblicas armazenadas, estes sero os contatos para os quais poderse criptografar uma mensagem. Paraassinarumamensagembastacriarumanovamensagemeselecionarnomenu Opes/Segurana/AssinarDigitalmente. ParacriptografarumamensagemselecionenomenuOpes/Segurana/Criptografar, lembrandoqueacriptografiasomenteparaoscontatoscomchavespblicas. Tambmpossvelassinarecriptografaramesmamensagem.

5.4ValidaodeAssinaturaerecebimentodemensagenscriptografadas.
Aoreceberumamensagemamesmapodeestar:assinada,criptografadaoucomambas asopes. As mensagens criptografadas s podero ser abertas pelo receptor, se o emissor utilizouachavepblicadocertificadoqueoreceptorestutilizando,nestecasooThunderbird spoderapresentlasseocertificadodoreceptorestiverarmazenadoeconfigurado,nocaso dos Tokens e SmartCards, se os mesmo estiverem disponveis. Ao abrir a mensagem o Thunderbird pedirasenhadocertificadoouasenhamestre,nocasodoscertificadosem arquivos.Asenhapedidaapenasumavezporsesso/aberturadoprograma,oucasooToken ouSmarCardfordesconectado. Avalidaodeassinaturaumatarefabemsimples:aoreceberamensagem,esta apresentarumitemamais,queaassinaturadoemissorapresentadocomooconeabaixo:

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

19 Vejaateladeumamensagemassinada:

Figura23Mensagemassinada.

Paraverificaraassinatura,posicionarasetadomousenoconeapresentadoacimae clicarduasvezescomobotodireito,oThunderbirddeverapresentaratelaabaixocomas informaesdaassinatura:

Figura24AssinaturadaMensagem.

A tela apresenta que a mensagem possui uma assinatura vlida e garante que a mensagemnofoicorrompida.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

20

5.5AlteraodesenhadeCertificadoArmazenadoemumTokenouSmartCard.
Atravs do Thunderbird possvel alterar, caso desejado, a senha do certificado armazenadonoTokenouSmartCard,paraistoselecionaromenuEditar/Preferncias que apresentaratelaabaixo:

Figura25TeladePreferncias.

Clicar no cone Privacidade, depois na aba Segurana, em seguida em Disp. de Segurana.Atelaabaixodeveraparecer.

Figura26AssinaturadaMensagem.

Selecionando o Certificado no dispositivo (normalmente apresenta o nome do proprietrio)serhabilitadoobotoModificarsenha.Deveseclicarnestebotoparaquese possafazeramudanadeacordocomodesejado,conformemostradonafiguraabaixo:

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

21

Figura27Mudanadesenhadocertificado.

6ADICIONANDOCERTIFICADOS(CHAVESPBLICAS)DOS CONTATOS.
OThunderbirdfazoarmazenamentoautomticodoscertificados(chavespblicas), dos contatos que enviaram uma mensagem assinada. O email do certificado dever corresponderaoendereodeemailutilizadoparaenviaramensagem. Emoutroscasostalvezsejanecessrio,adicionarmanualmenteumcertificadoparaum endereodeemail. UtilizeomenuEditar/Preferncias.Queirexibiraseguintetela:

Figura28Preferncias

ApartirdestatelaclicarnobotoCertificadosquemostraratelaabaixo:
Figura29GerenciadordeCertificados.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR

22

Clicarentonobotoimportareindicaroarquivodocertificadodechavepblica,que deverserimportado(normalmentecomasextenses.pemou.cer).

7CONSIDERAESFINAIS.
AhomologaodestemanualfoifeitacomusodeumaleitorahomologadapelaICP BRASIL,atravsoLEALaboratriodeEnsaioseAuditoria(http://www.lea.gov.br/),mas as instrues devem funcionar para os dispositivos suportados pelo OPENCT (http://www.openscproject.org/openct/). ParaseobtermaisinformaesarespeitodofuncionamentodoMozillaThunderbird, entrarnosite:http://www.mozilla.com/thunderbird/. O CentrodeDifusodeTecnologiaeConhecimento(CDTC) doGovernoFederal (http://cdtc.org.br/brasil/),ofereceumcursoparausodestaferramenta. Existe uma lista sobre perguntas freqentes, que auxiliam no uso de certificados digitaisnodocumento:GIC_ManualUsuarioCertificacaoDigital. NoambienteDEBIAN,porquestesdelicenciamento,oleitoroICEDOVEquena realidadeomesmoThunderbird.

PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR