Ondertekening van dienstverlening voortaan met S/MIME

Om onze dienstverlening te optimaliseren gaat Z-CERT haar mailverkeer voortaan voorzien van een S/MIME ondertekening. Dit houdt in dat lezers van e-mail niet meer de bekende header en footer in de tekst krijgen en dat gebruikers van Outlook voortaan een 'zegel' in hun overzicht krijgen.

S/MIME wordt alleen gebruikt ter ondertekening, daarnaast blijven we PGP ondersteunen indien partijen ons willen benaderen met versleutelde mail.

Omdat een S/MIME certificaat eenvoudig aan te schaffen is en we er zeker van willen zijn dat deelnemers het vertrouwen van het S/MIME certificaat kunnen verifiëren zijn de publieke certificaten behorende bij onze S/MIME sleutel ondertekend met de PGP jaarsleutel 2019.

Het certificaat is hier te downloaden, samen met de verificatiebestanden. De certificaat chain wordt in twee formaten gepubliceerd als .crt bestand en een .pkcs7 bestand.

Om de certificaten te verifiëren moeten een aantal stappen gedaan worden. Hiervoor is een bestaande vertrouwensrelatie nodig tot de PGP jaarsleutel 2019 van Z-CERT. De snelste methode om een verificatie te doen is op een Linux besturingssysteem.

Er zijn vier bestanden in het ZIP bestand:

  1.   cert_zcert.crt
  2.   cert_zcert.p7b
  3.   SHA256SUM
  4.   SHA256SUM.sig

Om de authenticiteit te controleren voer het volgende command uit:

gpg --keyid-format long --verify SHA256SUMS.sig SHA256SUMS

Dit controleert de ondertekening (SHA256SUMS.sig) op het SHA256SUMS bestand. Het verwachte resultaat is een Good signature.

Om de integriteit van de bestanden te controleren voer het volgende command uit:

sha256sum -c SHA256SUMS

Dit controleert of de SHA-256 hashes in het SHA256SUMS bestand overeenkomen met de bestanden die meegeleverd worden in het ZIP bestand


Voorbeelden van output:

gpg --verify SHA256SUMS.sig SHA256SUMs
gpg: Signature made Wed 06 Nov 2019 03:33:30 PM CET
gpg:                using RSA key 4C815347E0D64843DAC0D69430E3D8A2313EE286
gpg:                issuer "[email protected]"
gpg: Good signature from "Z-CERT 2019 team key <[email protected]>" [unknown]

sha256sum -c SHA256SUMS
cert_zcert.crt: OK
cert_zcert.p7b: OK

In het geval dat er een 'BAD signature' als resultaat is of de sumcheck een 'FAILED' teruggeeft neem dan contact op met [email protected]