SMIME Masterpasswort und Enigmail Passphrase dauerhaft saven

Hi CaOsKid,

und willkommen im Forum.
Ich will nur etwas zu deiner zweiten Frage sagen, weil S/MIME genau "mein" Thema ist.

Das Masterpasswort dient zum Öffnen der verschlüsselt gespeicherten Datei mit allen Passworten. Damit kannst du also mit einem einzigen PW alle PW in einem "PW-Safe" aufbewahren und musst dir nur das eine merken.

Du hast also drei Möglichkeiten:

1. Das Master-PW rausnehmen -> unverschlüsselte Speicherung
2. Die Einstellung so vornehmen, dass du bei jeder Abfrage das M-PW eingeben musst
3. So einstellen, dass du 1x (bei der ersten Abforderung eines beliebigen gespeicherten PW) gefragt wirst, und dann nicht mehr

Wars das?

MfG Peter

Hi,

> ~ ich habe S/MIME nur mal - vor Jahren - ausprobiert, nutze es aber nicht mehr!
Schade ... .

LEIDER gibt es im Thunderbird keine Empfängerregeln für S/MIME. Das ist wirklich der momentan einzige Wunsch, den ich an die TB- oder Erweiterungsentwickler noch habe. Ab und an äußere ich diesen Wunsch auch im Forum, aber ... (siehe oben).

Und, obwohl ich es sehr ungern verrate: Es gibt eine Möglichkeit, auch den geheimen Schlüsses eines X.509-Schlüsselpaares ohne Passwort zu speichern. Du kannst "das Zertifikat" (stimmt zwar nicht ganz, wird aber oft so gebraucht) mit hilfe des IE in den Windows-Zertifikatsspeicher importieren und dann ohne PW wieder exportieren.
Mit einem Softwaretoken (.pfx- oder .p12-Datei) geht das, auch wenn sich mir dabei die Haare kräuseln. Zum Glück geht das mit "Sicheren Signaturerstellungseinheiten" = Chipkarten, nicht.

Meine Stunden vor einem mac sind gezählt. Aber ich kann mich gut erinnern, dass der Schlüsselbund des mac genau so wie der wallet unter Linux oder auch der PW-Manager im TB alle PW speichert, sie mit einem Master-PW verschlüsselt und bei Bedarf an der richtigen Stelle einsetzt. Für WIN kann man dafür auch externe Programme einsetzen. Keepass ist eines davon.

MfG Peter

Quote from "Peter_Lehmann"

...Und, obwohl ich es sehr ungern verrate: Es gibt eine Möglichkeit, auch den geheimen Schlüsses eines X.509-Schlüsselpaares ohne Passwort zu speichern...
...Mit einem Softwaretoken (.pfx- oder .p12-Datei) geht das, auch wenn sich mir dabei die Haare kräuseln...

Sieh auch das positve in den Dingen und denke an die eigenen Firmenvorgaben
Wir dürfen auf Teufel komm raus das Kennwort für ein Software-Token nicht über die Schlüsselverwaltung unseres PlugIns verändern (Vorgabe BSI). Mit den gelieferten Richtlinien wird das auch erfolgreich unterbunden. Da aber die Kennworte bei der Erstellung der Software-Token extrem kryptisch sind, bin ich ehrlich gesagt froh, dass es dafür Möglichkeiten gibt, die Kennworte doch zu 'korrigieren'. Ansonsten ist es vorprogrammiert, dass die Kennworte irgendwo neben dem Rechner auf einem Blatt Papier liegen! Und ich denke mal, dass sich in solchen Fällen nicht nur deine Haare kräuseln werden
Das Setzen auf ein Null-Kennwort muss ich halt auf organisatorischer Ebene (Weisungs-) unterbinden. Zum Glück ist das in unserer 'Firma' relativ einfach *kicher*

Heiggo:
... bis auf eine Ausnahme:
Wenn wir Serverzertifikate herstellen. Dann verschicken wir die Schlüsseldatei mit einem (für uns unbekannten - weil PIN-Brief - Transport-)Passwort, welches du bei der Installation auf NULL setzen musst. Der Server kann schlecht sein PW einhacken ... .

Hör auf, am Wochenende an die Arbeit zu denken. Sonst siehst du bald um den Kopf herum so grau aus, wie ich

Wünsche einen schönen Sonntag.

Peter

Quote from "Peter_Lehmann"

...Hör auf, am Wochenende an die Arbeit zu denken. Sonst siehst du bald um den Kopf herum so grau aus, wie ich

hmmmm.. vielleicht ist es das, was ich insgeheim anstrebe, den Schädel der Weis(ss)heit zu erlangen
Es ist allerdings nicht das Wochenende, dass ir Kopfzerbrechen bereitet, , und mir die Arbeit beschert. Da arbeite ich eher freiwillig. Viel schlimmer ist die Woche, in der ich (wie auch heute) um diese Zeit kurz nach der Arbeit lediglich mal schnell reinschauen kann (da das Bett irgendwann ruft). Ich liebe 80 Stunden Wochen *würg*

Quote from "Vic~"

Ja - - "leider" bin ich ein absolutes PGP-Kind!

Ja, das kann ich sehr gut nachvollziehen. Irgendwann in grauen (? wirklich so grauen ... ?!) DOS-Zeiten habe ich mir mit meinem 1K2-Modem das als Geheimtipp gehandelte Programm PGP 2.?? von einer örtlichen Box runtergeladen. Und war sofort begeistert! Begeistert schon deswegen, weil mir ja "das Thema", allerdings in Form grüner Metallkisten, schon 15 Jahre lang wohlbekannt war. Als ich die engl. Dokumentation mühsam übersetzt und verteilt hatte, kam dann die uns allen bekannte dt. Doku mit den "NutzerInnen" heraus ... . Und dann folgte die von dir so schön bezeichnete "Missionierung" der Umwelt. Und die "Zertifizierung" der pubkeys auf der ceBit am Heisestand.

Nur, mittlerweile hat sich für mich die (Krypto-)Welt weiter entwickelt. In Behörden und Firmen setzt man auf S/MIME und verwendet zunehmend elektronische Signaturen nach SigG. Langsam schließt unsere HiTec-Nation zu Österreich und Belgien auf, wo schon lange ein digitaler Personalausweis/Bürgerkarte eingeführt wurde ... . Und in dem Trustcenter, in welchem ich jetzt arbeite, sehe ich ja auch den steigenden Bedarf.

Ja, und dann habe ich eben auch privat beschlossen, etwas für die (meine eigene) Kompatibilität zu tun und bin auch privat auf S/MIME umgestiegen. Was nicht bedeuten soll, dass ich keinen GnuPG-Schlüssel mehr hätte und auch keineswegs eine Herabwürdigung von GnuPG darstellt!!

Und die Missionierung?
Läuft auf Hochtouren. Jedenfalls hat meine kleine Privat-CA alle Hände voll zu tun.

MfG Peter

Sorry, dass ich das nochmal aufgreife, aber mir ist eins noch nicht klar geworden:
Kann ich einstellen, dass ich meine OpenPGP-Passphrase nie eingeben muss, indem sie vom Thunderbird-Passwort-Manager verwaltet und mit dem Masterpasswort verschlüsselt wird?