Digital signatur og Thunderbird på en MS platform
Dette afsnit beskriver, hvordan man med fordel kan udnytte et særligt interface, hvis man anvender TB på en MS platform, men indledningsvis må jeg lige fortælle lidt om, hvordan den certifikatteknologi håndteres i dette operativsystem.
Microsoft har designet et API (CryptoAPI eller kort CAPI) specielt til kryptofunktionalitet. Det betyder, at applikationer blot kan lave operativsystemkald, når der skal laves en digital signatur eller hvis man ønsker at kryptere data. Det er samtidig muligt for udviklere at kryptosystemer at lave såkaldte Crypto Service Providere (CSP'ere), der stiller krypto-funktionalitet til rådighed gennem CryptoAPI. Her der det vist på plads med en tegning:
Microsoft har udviklet deres egen CSP, men anvender man denne, risikerer man let at miste passwordbeskyttelsen som foreskrevet af IT- og Telestyrelsen. DanID har derfor fået udviklet en særlig CSP til håndtering af den danske digitale signatur. Det smarte er at CryptoAPI-enabled applikationer som f.eks. MSIE, MSOE og Adobe Acrobat Reader umiddelbart kan anvende denne DanID CSP, fordi den stilles til rådighed gennem CryptoAPI.
Desværre understøtter Mozilla-produkter ikke CryptoAPI og derfor har de ikke umiddelbart adgang til den digitale signatur. Det betyder, at man bliver nødt til at eksportere signaturen ud af DanID's CSP og ind i Mozilla Firefox og Thunderbird.
OG DOG! Der er faktisk en smartere måde på en MS platform. DanID har fået udviklet en såkaldt driver med en anden grænseflade ovenpå DanID's CSP, der hedder PKCS#11 og DEN er understøttet af Mozilla. Tegningen kommer derfor nu til at se således ud:
Opgaven består nu i at fortælle Mozilla, hvor denne PKCS#11-driver findes.
Denne vejledning er baseret på en engelsk Mozilla Thunderbird version 1.5.0.8. Men det skulle være umiddelbart simpelt at lave tilsvarende opsætning på andre Mozilla produkter og versioner, når blot de ligger på en Win32 platform.
Vælg 'Tools' -> 'Account Settings...'
Vælg 'Security' for den konto, du ønsker at anvende din digitale signatur med.
Tryk på 'Security Devices'
Tryk på 'Load'
Skriv "OCES PKCS11 Wrapper" (eller lign.) for 'Module Name' og vælg filen "$Programmer$\TDC\Digital Signatur CSP\capi_pkcs11.dll" for 'Module Filename'.
Tryk 'OK'
Tryk 'OK'
Tryk 'OK'
Du har nu installeret DanID's PKCS#11 wrapper til CSP'en. Tryk 'OK'.
Tilbage står nu bare at vælge signaturen (eller rettere certifikatet) under 'Security' for den konkrete konto. Dette har jeg ikke illusteret, men det skulle være ligetil.
Den store fordel ved at anvende denne metode fremfor eksport/import er, at signaturen kun ligger eet sted på computeren. Samtidig er det CSP'en der styre password-beskyttelsen og man behøver ikke at rode med Mozilla's masterpassword.