digitale Unterschrift ohne Verschlüsselung

  • Hallo!


    1. Ich würde gerne eMails digital unterschreiben, aber nicht verschlüsseln.


    In Acrobat geht das wunderbar: Jeder kann das Dokument lesen, aber es ist signiert, d. h. eine Veränderung des Dokuments fällt auf.


    Geht das in TH? (Bei eMails verstehe ich eine Verschlüsselung so, dass die Gegenseite eine Schlüssel braucht, um die eMails zu lesen - das will ich aber so nicht).


    2. In Acrobat habe ich ein selbsterstelltes Zertifikat. Gibt es soetwas auch in TH? - Oder kann ich das sogar übernehmen?


    Granut

  • Grundsätzlich würde ich beim E-Mail-Verkehr selbsterstellte Zertifikate nicht benutzen, sondern eher auf einen ZDA (Zertifikatsdiensteanbieter) zurückgreifen.
    Zum Beispiel http://www.thawte.de dessen root-Zertifikat auch für die KostNix-Zertifikate (Class 1) in den gängigen Systemen implementiert sein dürfte.


    Damit man dort nicht lange suchen muss...
    http://www.thawte.com/secure-e…sonal-email-certificates/
    Und wer Interesse an einem Class1-Zertifikat hat... Oben links steht 'Join' :-)


    Was ist das auch für eine Sicherheit, wenn jeder sich selber ein Zertifikat ausstellt, für das ich dann den Empfänger bitten muss, es als 'vertrauenswürdig' einzustufen ?!?!?


    Was die Verschlüsselung angeht... Natürlich benötigt die Gegenseite einen Schlüssel, allerdings einen eigenen (privaten). Viel wichtiger wäre, dass du den öffentlichen Schlüssel des Empfängers besitzt, wenn du Mails doch verschlüsseln möchtest.


    Prinzipiell kannst du natürlich dein eigenes Zertfikat in das Krypto-Modul importieren über
    Extras/Einstellungen => Datenschutz/Sicherheit => Zertifikate
    und dieses dann in den Konteneinstelungen (Abschnitt S/MIME-Sicherheit) verknüpfen um dann damit Mails zu signieren.


    Aber wie oben schon angedeutet... mein Vertrauen würde eine Selbstsignatur nicht erwecken.

  • Hallo Heiggo!


    - Die Fa. Thawte arbeitet von Südafrika aus. Ist sie irgendwie mit einer amerikanischen Firma liiert (falls Du das zufällig weißt)?
    - Sehe ich das richtig, dass das private Zertifikat nur für eine eMail-Adresse gilt? (ich habe 3, die ich benutze)?
    - Könnte jemand über meine eMails mein Zertifikat irgendwie "klauen" und dann nutzen?


    Anmerkung: Wer redet denn von Outlook?


    Granut

  • Hi granut,


    selbstverständlich funktioniert es auch mit TB, dass du eine Mail lediglich mit einer elektronischen Signatur versehen kannst, ohne sie zu verschlüsseln. Die Einstellungen unter Konten >> s/mine sind imho selbsterklärend.
    Bedingung ist, dass du zuerst dein root-Zertifikat und danach dein Schlüsselpaar importierst. Beim root-Z. das Vertrauen einstellen. Und danach in den Konteneinstellungen deinen eigenen Schlüssel dem Konto zuordnen. Das wars schon.


    Aber, so richtigen Sinn macht das nur, wenn:
    1. die Empfänger deiner Mail auch dein root-Z. und dein Absender-Zertifikat importiert haben
    2. und dir als ca vertrauen (und das Vertrauen auch den beiden Zertifikaten erteilt haben).


    Wenn du diese beiden Punkte geregelt bekommst, funktioniert es. Das Vorgenannte trifft nebenbei auch völlig bei der Signatur eines pdf, doc. OpenOffice und sontigen Dokumentes zu.


    > - Die Fa. Thawte arbeitet von Südafrika aus. Ist sie irgendwie mit einer amerikanischen Firma liiert (falls Du das zufällig weißt)?
    Keine Ahnung. Ist das wichtig? Und die Antwort von jetzt kann in einer Stunde schon falsch sein. Das TC Trustcenter in HH war vor ein paar Monaten auch noch eine dt. Firma ... .


    - Sehe ich das richtig, dass das private Zertifikat nur für eine eMail-Adresse gilt? (ich habe 3, die ich benutze)?
    Das Zertifikat ist immer an den cn (common name = Person) gebunden. Im Z. ist aber im Feld E auch die Mailadresse eingetragen. Du kannst also das Z. auch für eine andere Adresse nutzen - allerdings wird dir jedes gute Mailprogramm eine Meldung bringen, dass die Adresse nicht stimmt. Das schafft natürlich Vertrauen ... .
    Du solltest also für jede Adresse ein Zertifikat basteln.


    - Könnte jemand über meine eMails mein Zertifikat irgendwie "klauen" und dann nutzen?
    Definitiv nicht!
    Du musst zwischen dem Zertifikat (= öffentlicher Schlüssel + ein paar Daten über Inhaber und Aussteller usw. + root-Zertifikat - vereinfacht ausgedrückt) und dem Schlüsselpaar (p12 oder pfx) unterscheiden. Das Zertifikat ist und soll öffentlich sein. Mit dem Z. ist kein Missbrauch möglich.


    Ich will auch gleich meinem Freund Heiggo in einem Punkt widersprechen:
    Ich betreibe selbst (auch) zu Hause eine kleine ca (Tinyca2) und habe im Laufe der letzten Monate ca. 250 Zertifikate für Familie,Freunde, Bekannte und weniger Bekannte hergestellt. Obwohl sich von denen die wenigsten selbst kennen, haben sie Vertrauen in mich. Und das reicht doch.
    Klar wirst du nie mit einem selfcert deine Steuererklärung anerkannt bekommen und auch niemand wird ein amtliches Dokument von dir anerkennen. Ich würde auch von niemand ein Auto oder ein Haus mit einem derartig signierten Vertrag kaufen - aber wollen wir das in unserem Fall??? Und das, was ich hier beschrieben habe, trifft auch völlig für cacert, class1 vom Trustcender Hamburg, Thawte und allen sonstigen Kostnix-Zertifikaten zu. Auch wenn du mit deinem Zertifikat vom cacert oder Thawte bei noch so vielen Notaren warst ... .
    (Wir können uns ja morgen am Telefon weiter streiten :-) )


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    ... Ich betreibe selbst (auch) zu Hause eine kleine ca (Tinyca2) und habe im Laufe der letzten Monate ca. 250 Zertifikate für Familie,Freunde, Bekannte und weniger Bekannte hergestellt. Obwohl sich von denen die wenigsten selbst kennen, haben sie Vertrauen in mich. Und das reicht doch...


    Das ist korrekt 'Peter', sie haben Vertrauen in dich (als Mensch und als Zertifizierungsstelle). Demzufolge vertrauen Sie auch auf die Zertifikate untereinander.
    So ist das ja auch bei mir. Deine Zertifikate sind bei mir ja auch als vertrauenswürdig eingestuft und würde mir einer deiner Zertifikatsinhaber eine signierte Mail schreiben, würde das mein Thunderbird auch dementsprechend 'honorieren' :-)
    Man darf dabei auch die Unterschiede zu dir und zum Fragesteller nicht vergessen. Du hast dir (nicht nur hier) durch Fachkompetenz das Vertrauen in Sachen S/MIME erarbeitet, was ja auch bei der Vertrauenswürdigkeit in deine Zertifikate Berücksichtigung finden kann. Das ist beim Fragesteller momentan ein eher unbekannter Status.


    Was die Class1-Klamotte angeht... klar, es ist nur ein Zeritifikat ohne wirkliche Identifikation. Die einzige Identifikation, die es dafür gab war eine gültige E-Mail-Adresse, aber es sagt für mich immer noch mehr aus als ein selbstdefiniertes Zertifikat von anderen :-) Es bringt natürlich auch nur dann etwas, wenn man eine 'seriöse' E-Mail-Adresse hat, von der man nicht gleich ausgehen mus, dass es lediglich als Wegwerfadresse angelegt wurde.

  • Hallo und Dank allen Schreibern hier!


    Was mir jetzt noch fehlt: Im "Verfassen"-Fenster drei Checkboxen:
    - Digitale Unterschrift
    - Verschlüsseln
    - Empfangsbestätigung anfordern


    Vermutlich aber wird es dieses Tool derzeit nicht geben :-(


    Granut

  • Im Verfassen-Fenster einfach


    Ansicht/Symbol-Leisten => Anpassen auswählen und den S/MIME-Button hinzufügen.

  • Zitat von "Peter_Lehmann"

    ...Wir können uns ja morgen am Telefon weiter streiten :-) ...


    Vergiss es :-) Einen Streit mit dir zu dieser Thematik kann ich im Prinzip nur verlieren ;-)
    Aber mir geht es ja auch eher um Vertrauensstellungsprinzipien und nicht um die technische Gangbarkeit, denn die steht ja auch für mich ausser Frage :-)

  • Zitat von "Heiggo"

    Im Verfassen-Fenster einfach


    Ansicht/Symbol-Leisten => Anpassen auswählen und den S/MIME-Button hinzufügen.


    Der Button ist bei mir schon längst da ;-), aber unpraktisch, wenn ich immer in Untermenüs gehen muss, um die entsprechenden Funktionen zu aktivieren. gilt auch für "Empfangsbestätigung anfordern".


    Granut

  • Na ja, es geht ja lediglich um das digitale Signieren einer Mail, das läst sich ja in den Konteneinstellungen automatisch für jede Mail einstellen. Wenn lediglich wenige Mails digital signiert werden sollen, dann muss man wohl damit leben :-)

  • Würde halt alle digital signieren lassen. Wo ist das Problem? ;)