SMIME Masterpasswort und Enigmail Passphrase dauerhaft saven

  • So Leute erstmal die Entschuldigung für den blöden Titel des Threads aber die maximale Zeichenanzahl hat nicht ausgereicht ;-)


    Also hier mal mein Problem. Ich habe gerade versucht TB mit Enigmail mit einem OpenPGP-Schlüssel und ein SMIME-Zeritifikat parallel zu betreiben. Funktionierte alles soweit ganz gut nur hab ich mit der Konfiguration noch ein paar Problemchen. Zum einen bin ich es von Apple Mail mit dem GnuPG Plugin gewöhnt, dass ich meinen Passphrase in den Schlüsselbund hauen kann und dann den Key nicht mehr eingeben muss. Ist dies auch mit Enigmail oder mit einem weiteren Zusatz möglich oder muss ich immer den Passphrase einmal eingeben nach einem Neustart und dann die Zeit für im Speicher behalten entsprechend hochsetzen?? Finde ich nämlich sehr unkomfortabel. Zweites Problem bezieht sich auf das SMIME. Hier habe ich ein Passwortgeschütztes Zertifikat von einer Person bekommen und ich muss jetzt immer das Masterpasswort eingeben. Kann ich dies auch irgendwie umgehen, hinterlegen bzw. ausschalten??


    So das wars dann auch schon :-)


    LG


    CaOsKid

  • Hi CaOsKid,


    und willkommen im Forum.
    Ich will nur etwas zu deiner zweiten Frage sagen, weil S/MIME genau "mein" Thema ist.


    Das Masterpasswort dient zum Öffnen der verschlüsselt gespeicherten Datei mit allen Passworten. Damit kannst du also mit einem einzigen PW alle PW in einem "PW-Safe" aufbewahren und musst dir nur das eine merken.


    Du hast also drei Möglichkeiten:


    1. Das Master-PW rausnehmen -> unverschlüsselte Speicherung :-(
    2. Die Einstellung so vornehmen, dass du bei jeder Abfrage das M-PW eingeben musst :-(
    3. So einstellen, dass du 1x (bei der ersten Abforderung eines beliebigen gespeicherten PW) gefragt wirst, und dann nicht mehr :-)


    Wars das?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,


    danke für deinen Tip, hab das selbe auch gerade herausgefunden ;-)


    Das geht ja eigentlich noch, jetzt ist leider noch das Enigmail Problem akut und ich glaube dafür finde ich wohl nicht so schnell eine Lösung. Schade eigentlich bei Apple Mail mit dem Schlüsselbund wars so schön komfortabel, gut die Sicherheit leidet ein wenig aber das könnt ich noch verschmerzen.

  • also Vic das war wohl ein missverständniss... der schlüssel hat natürlich einen passphrase... sonst wie du ja sagst is es auf deutsch gesagt fürn a... ich meine den passphrase im schlüsselbund ablegen ist ja was anderes als keinen zu benutzen... das bedeutet er benutzt den passphrase du musst ihn jedoch nicht von hand eingeben wenn er benötigt wird sondern wird aus dem schlüsselbund von osx genommen... das meinte ich mit komfortabel...


    aber ich hab noch ein weiteres problem... gibt es eine möglichkeit bei smime empfängerregeln wie bei openpgp zu definieren?? oder muss man smime immer manuell aktivieren und kann dies nicht empfängerspezifisch vordefinieren??

  • richtig vic!!


    auf dem mac nennt sich das teil halt schlüsselbund sorry...


    ich will es aber halt auf einem winxp pc benutzen...

  • Hi,


    > ~ ich habe S/MIME nur mal - vor Jahren - ausprobiert, nutze es aber nicht mehr!
    Schade ... .


    LEIDER gibt es im Thunderbird keine Empfängerregeln für S/MIME. Das ist wirklich der momentan einzige Wunsch, den ich an die TB- oder Erweiterungsentwickler noch habe. Ab und an äußere ich diesen Wunsch auch im Forum, aber ... (siehe oben).


    Und, obwohl ich es sehr ungern verrate: Es gibt eine Möglichkeit, auch den geheimen Schlüsses eines X.509-Schlüsselpaares ohne Passwort zu speichern. Du kannst "das Zertifikat" (stimmt zwar nicht ganz, wird aber oft so gebraucht) mit hilfe des IE in den Windows-Zertifikatsspeicher importieren und dann ohne PW wieder exportieren.
    Mit einem Softwaretoken (.pfx- oder .p12-Datei) geht das, auch wenn sich mir dabei die Haare kräuseln. Zum Glück geht das mit "Sicheren Signaturerstellungseinheiten" = Chipkarten, nicht.


    Meine Stunden vor einem mac sind gezählt. Aber ich kann mich gut erinnern, dass der Schlüsselbund des mac genau so wie der wallet unter Linux oder auch der PW-Manager im TB alle PW speichert, sie mit einem Master-PW verschlüsselt und bei Bedarf an der richtigen Stelle einsetzt. Für WIN kann man dafür auch externe Programme einsetzen. Keepass ist eines davon.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    ...Und, obwohl ich es sehr ungern verrate: Es gibt eine Möglichkeit, auch den geheimen Schlüsses eines X.509-Schlüsselpaares ohne Passwort zu speichern...
    ...Mit einem Softwaretoken (.pfx- oder .p12-Datei) geht das, auch wenn sich mir dabei die Haare kräuseln...


    Sieh auch das positve in den Dingen und denke an die eigenen Firmenvorgaben :-)
    Wir dürfen auf Teufel komm raus das Kennwort für ein Software-Token nicht über die Schlüsselverwaltung unseres PlugIns verändern (Vorgabe BSI). Mit den gelieferten Richtlinien wird das auch erfolgreich unterbunden. Da aber die Kennworte bei der Erstellung der Software-Token extrem kryptisch sind, bin ich ehrlich gesagt froh, dass es dafür Möglichkeiten gibt, die Kennworte doch zu 'korrigieren'. Ansonsten ist es vorprogrammiert, dass die Kennworte irgendwo neben dem Rechner auf einem Blatt Papier liegen! Und ich denke mal, dass sich in solchen Fällen nicht nur deine Haare kräuseln werden :-)
    Das Setzen auf ein Null-Kennwort muss ich halt auf organisatorischer Ebene (Weisungs-) unterbinden. Zum Glück ist das in unserer 'Firma' relativ einfach *kicher*

  • Heiggo :
    ... bis auf eine Ausnahme:
    Wenn wir Serverzertifikate herstellen. Dann verschicken wir die Schlüsseldatei mit einem (für uns unbekannten - weil PIN-Brief - Transport-)Passwort, welches du bei der Installation auf NULL setzen musst. Der Server kann schlecht sein PW einhacken ... .


    Hör auf, am Wochenende an die Arbeit zu denken. Sonst siehst du bald um den Kopf herum so grau aus, wie ich :-)


    Wünsche einen schönen Sonntag.


    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    ...Hör auf, am Wochenende an die Arbeit zu denken. Sonst siehst du bald um den Kopf herum so grau aus, wie ich :-)


    hmmmm.. vielleicht ist es das, was ich insgeheim anstrebe, den Schädel der Weis(ss)heit zu erlangen :-)
    Es ist allerdings nicht das Wochenende, dass ir Kopfzerbrechen bereitet, , und mir die Arbeit beschert. Da arbeite ich eher freiwillig. Viel schlimmer ist die Woche, in der ich (wie auch heute) um diese Zeit kurz nach der Arbeit lediglich mal schnell reinschauen kann (da das Bett irgendwann ruft). Ich liebe 80 Stunden Wochen *würg*

  • Zitat von "Vic~"


    Ja - :) - "leider" bin ich ein absolutes PGP-Kind!


    Ja, das kann ich sehr gut nachvollziehen. Irgendwann in grauen (? wirklich so grauen ... ?!) DOS-Zeiten habe ich mir mit meinem 1K2-Modem das als Geheimtipp gehandelte Programm PGP 2.?? von einer örtlichen Box runtergeladen. Und war sofort begeistert! Begeistert schon deswegen, weil mir ja "das Thema", allerdings in Form grüner Metallkisten, schon 15 Jahre lang wohlbekannt war. Als ich die engl. Dokumentation mühsam übersetzt und verteilt hatte, kam dann die uns allen bekannte dt. Doku mit den "NutzerInnen" heraus ... . Und dann folgte die von dir so schön bezeichnete "Missionierung" der Umwelt. Und die "Zertifizierung" der pubkeys auf der ceBit am Heisestand.


    Nur, mittlerweile hat sich für mich die (Krypto-)Welt weiter entwickelt. In Behörden und Firmen setzt man auf S/MIME und verwendet zunehmend elektronische Signaturen nach SigG. Langsam schließt unsere HiTec-Nation zu Österreich und Belgien auf, wo schon lange ein digitaler Personalausweis/Bürgerkarte eingeführt wurde ... . Und in dem Trustcenter, in welchem ich jetzt arbeite, sehe ich ja auch den steigenden Bedarf.


    Ja, und dann habe ich eben auch privat beschlossen, etwas für die (meine eigene) Kompatibilität zu tun und bin auch privat auf S/MIME umgestiegen. Was nicht bedeuten soll, dass ich keinen GnuPG-Schlüssel mehr hätte und auch keineswegs eine Herabwürdigung von GnuPG darstellt!!


    Und die Missionierung?
    Läuft auf Hochtouren. Jedenfalls hat meine kleine Privat-CA alle Hände voll zu tun.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Sorry, dass ich das nochmal aufgreife, aber mir ist eins noch nicht klar geworden:
    Kann ich einstellen, dass ich meine OpenPGP-Passphrase nie eingeben muss, indem sie vom Thunderbird-Passwort-Manager verwaltet und mit dem Masterpasswort verschlüsselt wird?

  • Zitat von "nh2"


    ... Kann ich einstellen, dass ich meine OpenPGP-Passphrase nie eingeben muss, indem sie vom Thunderbird-Passwort-Manager verwaltet und mit dem Masterpasswort verschlüsselt wird?


    Hallo nh2,


    ganz ehrlich gesagt ich habe es nie versucht, da ich es für Unsinn halte. (s.u.)
    Du kannst es ja mal probieren über PW-Import. (?)


    Bedenke aber, daß die Passphrase sozusagen die *letzte* Instanz der Sicherheit ist. Nach meiner Auffassung gehört die nirgends dauerhaft abgespeichert! - Also lieber nur für eine ~ je nach Wunsch einzustellende ~ Zeit zwischenspeichern.
    (So läßt sie sich auch nur mit einem Handgriff wieder entfernen.)


    Auch nutzt es ja de facto wenig, wenn Du dann stets ein Master-PW eingeben mußt um Deine mails zu entschlüsseln bzw. zu signieren.


    MfG ... Vic

  • Hallo,


    wer auf Kosten der Sicherheit auf Komfort wert legt, der sollte sich einmal das GPGrelay ansehen.
    Da geht das wunderbar mit der Passwortspeicherung. Und die Konfig ist auch supereasy... Man sollte aber auch einen Blick in die Registry werfen... da stehen die Passwörter nämlich dann drinne...



    --
    Gruss