From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <greycat@altlinux.org>
Message-ID: <45CD9D35.3020703@altlinux.org>
Date: Sat, 10 Feb 2007 13:23:49 +0300
From: Mikhail Yakshin <greycat@altlinux.org>
User-Agent: Thunderbird 1.5.0.8 (X11/20061205)
MIME-Version: 1.0
To: ALT Devel discussion list <devel@lists.altlinux.org>
References: <45CBA28F.9020804@altlinux.org>	<20070208225219.GA25014@hell.immo.ru>	<45CC2E6B.5030108@altlinux.org>
	<20070209092204.GJ3718@immo.ru>	<45CD9220.8010900@altlinux.org>
	<20070210101113.GC28950@lks.home>
In-Reply-To: <20070210101113.GC28950@lks.home>
X-Enigmail-Version: 0.94.1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] I: TLS/SSL policy - broken packages
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Devel discussion list <devel@lists.altlinux.org>
List-Id: ALT Devel discussion list <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 10 Feb 2007 10:23:56 -0000
Archived-At: <http://lore.altlinux.org/devel/45CD9D35.3020703@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Konstantin A. Lepikhov wrote:
> Hi Mikhail!
> 
> Saturday 10, at 12:36:32 PM you wrote:
> 
>> Надо проверять. Проверять S/MIME нам сейчас, я так понимаю, не на чем.
>> Нужно хотя бы 1-2 именных сертификата выписать от ALT CA с этими проверками.
>>
>> 2ldv: можно попробовать это проверить? Я так понимаю, шаги следующие:
>>
>> 1. Выписать сертификат на человека с возможностью S/MIME (cert.pem)
>> 2. Создать файл с сообщением message.txt
>> 3. openssl smime -sign -in message.txt -out message-signed.txt cert.pem
>> 4. openssl smime -verify -in message-signed.txt
>>
>>> 2lakostis: Кость, ты вроде пользуешься S/MIME в mutt?
>>> Прокомментируй пожалуйста?
>> Было бы неплохо, да :) Присоединяюсь к просьбе.
> Проверяю :) Письмо подписано сертификатом, CA которого есть в
> общестистемном ca-bundle

И в том, и в другом случае - никак. Что я делаю не так?

Для полного текста письма:

$ openssl smime -verify -in message.signed
Error reading S/MIME message
10965:error:2107A083:PKCS7 routines:SMIME_read_PKCS7:invalid mime
type:pk7_mime.c:364:type: multipart/mixed

То есть даже прочитать не может внешнюю MIME-оболочку.

Если отрезать multipart и оставить только 2 части - письмо и подпись:

$ openssl smime -verify -in message2.signed
Verification failure
10944:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify
error:pk7_smime.c:233:Verify error:unable to get local issuer certificate

$ openssl smime -verify -CAfile /usr/share/ca-certificates/ca-bundle.crt
-in message2.signed
Verification failure
10955:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify
error:pk7_smime.c:233:Verify error:unable to get local issuer certificate

И в том, и в другом случае - проверить не получается.

-- 
WBR, Mikhail Yakshin AKA GreyCat
ALT Linux [http://www.altlinux.ru] [xmpp:greycat@altlinux.org]