none
Не расшифровываются некоторые письма на android RRS feed

  • Вопрос

  • Добрый день, подскажите пожалуйста, с чем может быть связано, что на android в нативном почтовом клиенте не открываются письма от некоторых получателей. Просто висит файл smime.p7m и все. Хотя от некоторых читаются.

    ЗЫ. Некоторые android устройства вообще пишут:

    Не удается отобразить содержимое этого зашифрованного сообщения, так как данная версия сервера Exchange не поддерживает зашифрованные сообщения S/MIME на мобильных устройствах. Чтобы просмотреть это сообщение, откройте его на компьютере с помощью Outlook

    Не могу понять на чьем стороне проблема - сервера Exchange, клиента или в сертификате.

    Очень надеюсь на помощь, так как идей нет вообще и интернет на эту тему молчит


    С уважением, Спицкий Никита

    9 февраля 2015 г. 10:11

Ответы

  • Добрый день. После всевозможных тестирований было выяснено, что почта читается преимущественно от тех, у кого нет поля SAN (доп. имени),  за исключением пары человек. Выпустили "проблемному отправителю" сертификат без SAN и все заработало. Спасибо за помощь, дальше думаю как-нибудь решим вопрос.

    С уважением, Спицкий Никита

    11 февраля 2015 г. 4:19

Все ответы

  • Я так понимаю, что Nine - Exchange ActiveSync проблему не решил?

    1. Exchange? ИМХО, Exchange-сервер, всё-таки не причём. Т.к. цитирую "не открываются письма от некоторых получателей".
    2. Клиент? Возможно, но только в том случае, если проблема наблюдается на какой-то определённой версии Android (или до какой-то версии Android). У меня Android 4.4, проблем с открытием зашифрованных сообщений (при наличии сертификата Отправителя на устройстве, см. ниже) не наблюдается. Возможно в более старых версиях Android такая проблема есть, проверить не могу. 
    3. Сертификат? Наиболее вероятно. Вопросы, которые помогут прояснить ситуацию:
      Присутствует ли сертификат Отправителя в хранилище сертификатов на Android?
      У этих самых "проблемных получателей" (наверное, всё-таки отправителей?) Центр сертификации, выдавший им сертификат тот же, что и у тех, от которых письма нормально отображаются?
      Весь Путь сертификации известен Android (посмотреть на PC, потом проверить на Android)?


      Путь сертификации

    Ведь для того, чтобы расшифровать письмо (насколько мне известно) на устройстве должен быть установлен сертификат пользователя, который это письмо зашифровал (если совсем точнее - то его PublicKey, Открытый ключ). Шифруется письмо своим PrivateKey (Закрытым ключом), расшифровывается PublicKey (Открытым ключом) ОТПРАВИТЕЛЯ этого письма. В Настройка - Безопасность - Надёжные сертификаты - Пользователи есть сертификат ОТПРАВИТЕЛЯ проблемного письма?
    И последнее, что я могу предположить. Надо проверить наличие на Android не только сертификата Пользователя, но и всех Центров сертификации (Корневых и Промежуточных, если они есть) на пути этого сертификата.

    Как-то так... Если что-то не понятно, уточняйте!


    MCSA

    10 февраля 2015 г. 3:56
  • Есть ещё одно предположение.

    В Android программный доступ к Хранилищу учётных данных возможен только в том случае, если устройство каким-то образом блокируется (Графическим ключом, PIN-кодом или Паролем). Проверьте, что выбран какой-то из перечисленных способов блокировки экрана в Настройка - Экран блокировки - Безопасность экрана. Если блокировки Нет или выбран тип блокировки Слайдер - программы не будут иметь доступ к Хранилищу учётных данных, и, следовательно, к сертификатам, которые там хранятся.

    P.S. Это может помочь в том случае, если вообще не расшифровываются никакие письма на устройстве Android. Если хотя бы одно из зашифрованных полученных писем открывается - значит программный доступ к Хранилищу учётных данных есть, и надо искать другую причину.


    MCSA


    • Изменено ЙоЖыГ 10 февраля 2015 г. 5:15 Уточнение
    10 февраля 2015 г. 4:47
  • Спасибо за развернутый ответ. Сейчас есть такая информация. Я сделал хард ресет на планшете, установил туда свой сертификат, настроил свою почту. В почте указал сертификат. Начал проверять - ситуация повторяется. От "неправильных пользоватлей" выдается ошибка "Не удалось проверить цифровую подпись", но далее написано "Почта успешно расшифрована", но в теле письма только фал smime.p7m. От правильных пользователей подпись расшифровывается и вообще все чинно благородно. Выпуском сертификатов у нас занимается СБ, но так сложилось, что мне нужно решить эту проблему, а я сертификацией на Вы. Какие могут быть проблемы с сертификатом, если планшет не может проверить его цифровую подпись?

    ЗЫ. На iPhone в моей же учетке все расшифровывается, но пишет "Ненадежная подпись", а от правильных пользователей все ОК, без предупреждений.


    С уважением, Спицкий Никита

    10 февраля 2015 г. 5:17
  • Хочу дополнить. В сертификатах я вижу только корневой, хотя должно быть больше.

    Центр выдачи у всех один и тот же.


    С уважением, Спицкий Никита

    10 февраля 2015 г. 5:26
  • Уже "теплее". Вы можете открыть проблемное письмо на PC (в Outlook)? Есть ли возможность просмотреть сертификат, которым было зашифровано это письмо? Попробуйте на PC сделать следующее:

    На предпоследнем, перед непосредственно сертификатом пользователя промежуточном центре сертификации (см. скриншот)

    Сертификат

    Выделить его - Просмотр Сертификата - Состав - Копировать в файл - в Мастере экспорта сертификатов выбрать формат файла сертификата как указано на скриншоте:

    Экспорт p7b

    Сохранить этот сертификат. Потом скопировать этот файл .p7b на Android. Установить этот сертификат через Настройка - Безопасность - Установить с карты памяти (выбрать скопированный ранее сертификат).


    MCSA

    10 февраля 2015 г. 5:46
  • Стоп. А попробуйте даже выполнить экспорт сертификата непосредственно Пользователя указанным выше способом (обязательно при экспорте отметить, что Включить по возможности все сертификаты в путь сертификации). А потом его установить на Android?


    MCSA

    10 февраля 2015 г. 5:51
  • Хочу ещё раз акцентировать на принцип шифрования, для понимания:

    1. Ваши письма шифруются Вашим сертификатом (должен быть установлен на Android)
    2. "Чужие" письма расшифровываются сертификатом того пользователя, который это письмо вам отправил. Этот сертификат также должен быть установлен на Android.
    3. Все Центры сертификации (в том числе и промежуточные) должны быть "известны" Android. Т.е. их (ЦС) сертификаты тоже должны быть установлены на Android.

    MCSA

    10 февраля 2015 г. 7:00
  • Извините, я чуть-чуть запутался. Письма от "проблемных пользователей" я могу прочитать и на iPhone, и в OWA, и в Outlook, и даже сторонним клиентом (Nine например) на android.

    Я так понял, мне нужно установить выгрузить сертификат "проблемного пользователя (из AD например) в формате p7b и установить его на планшет? Правильно?


    С уважением, Спицкий Никита

    10 февраля 2015 г. 7:17
  • Не понял? Можете или НЕ можете прочитать "на iPhone, и в OWA..."?

    Чтобы иметь возможность расшифровывать полученное письмо - сертификат пользователя, который отправил вам это письмо (и весь путь сертификации) должен быть доступен на устройстве, где вы это письмо открыли (Планшет, ПК, смартфон и т.д.).

     

    MCSA

    10 февраля 2015 г. 7:35
  • Да, сохраните сертификат "проблемного" пользователя (от которого вы не можете расшифровать письмо) в формате p7b, (не забываем Включить по возможности все сертификаты в путь сертификации, чтобы и сертификаты всех нужных ЦС тоже в этот файл сохранились). Установите этот сертификат на Планшет - и будем вам Щастье! 

    MCSA

    10 февраля 2015 г. 7:40
  • Я бы так не сказал. Почему тогда от некоторых пользователей письма читаются сразу?

    Не все так просто. Я не могу его установить, файл не активен и при нажатии на него ничего не происходит. Выслал его почтой, но андройж говорит, что не может прочесть такой формат. Хотя cer ставятся без проблем.


    С уважением, Спицкий Никита

    10 февраля 2015 г. 7:44
  • Хм. Раз Android не хочет p7b устанавливать - попробуйте сертификат "проблемного" Пользователя в обычном cer-формате сохранить и установить на Android.

    MCSA

    10 февраля 2015 г. 8:06
  • Пробовал, эффекта 0. А почему может проблема с чтением цифровой подписи?

    С уважением, Спицкий Никита

    10 февраля 2015 г. 8:10
  • По той же самой причине. И цифровая подпись удостоверяется сертификатом пользователя и расшифровка письма производится с помощью Открытого ключа, находящегося в сертификате пользователя.

    Попробуйте также в виде cer-файлов скопировать и установить все Промежуточные центры сертификации, указанные в Пути сертификации сертификата проблемного пользователя и установить их на Android.

    Кстати, блокировка экрана (Паролем, PIN или Графическим ключом) у вас установлена на планшете Android или нет?


    MCSA

    10 февраля 2015 г. 8:15
  • Конечно установлена. Попробовал, тоже самое. По идее он же должен сам все подхватывать? Сейчас решил сделать по-другому. Нормальному отправителю создать новый сертификат и посмотреть - повториться ли проблема. О результате отпишу.

    С уважением, Спицкий Никита

    10 февраля 2015 г. 8:26
  • Прошу сердечно извинить! Сам запутался и вас запутал!

    Что-то я с ночной смены совсем затупил. Запутался в PKI-инфраструктуре.

    Читаем здесь. Конкретно вот что: "Сторона Б зашифровывает документ открытым ключом стороны А. Чтобы убедиться, что открытый ключ действительно принадлежит стороне А, сторона Б запрашивает сертификат открытого ключа у удостоверяющего центра. Если это так, то только сторона А может расшифровать сообщение, так как владеет соответствующим закрытым ключом"

    На основе прочитанного всё делаем с точностью до наоборот, а именно:

    Проблема в том что у "проблемного" пользователя (того, от кого вы не можете расшифровать письма) нет вашего действительного сертификата. Или сертификат, который он использует устарел, или был отозван. Пошлите ему письмо с Outlook подписанное ВАШИМ действующим сертификатом.


    MCSA


    • Изменено ЙоЖыГ 10 февраля 2015 г. 8:40 Дополнение
    10 февраля 2015 г. 8:30
  • Отправил, не помогло. Тем более я этими получателями каждый день переписываюсь.

    "Работающему отправителю" пересоздали сертификат и с новым сертификатом и почта от него на планшете читается! Т.е. проблема видимо либо в учетке AD, либо в OAB или фиг знает где еще. У меня все меньше и меньше идей. :(


    С уважением, Спицкий Никита

    10 февраля 2015 г. 9:21
  • Я пожалуй, пока возьму паузу, с вашего позволения. Пойду выпью яду! Такой позор на мою голову!

    Завтра попробую у себя пошагово смоделировать ситуацию с самого начала. Отпишусь.


    MCSA

    10 февраля 2015 г. 9:31
  • Добрый день. После всевозможных тестирований было выяснено, что почта читается преимущественно от тех, у кого нет поля SAN (доп. имени),  за исключением пары человек. Выпустили "проблемному отправителю" сертификат без SAN и все заработало. Спасибо за помощь, дальше думаю как-нибудь решим вопрос.

    С уважением, Спицкий Никита

    11 февраля 2015 г. 4:19