S/MIME: Allgemeine Fragen

  • Hallo,


    aufgrund eines Artikels bei Tomshardware habe ich mir nun über das TrustCenter ein konstenloses Zertifikat besorgt.


    Nach all dem Anmeldungsprozedere habe ich es aus dem Firefox exportiert bekommen und im Thunderbird importiert. Das passende Class 1 Zertifikat von TrustCenter habe ich auch gleich mit Importiert.


    Nun wollte ich mal eine Testmail versenden die erstmal nur signiert sein soll.


    In der Testmail habe ich dann markiert das er die mail nur signieren soll und auf senden geklickt. Und weg war Sie. Ist das alles was ich dabei tun sollte? Muss ich nicht irgenwann mal das Passwort eintragen, welches ich beim erstellen des Zertifikates angegeben habe.


    Nebenbei:
    Was bewirkt die Aktivierung von FIPS im Kryptograpie Modul Manager?

  • Hi XadoX,


    und willkommen im Forum.
    Du hast die Schlüsseldatei (= geheimer + öffentlicher Schlüssel + Zertifikat) in das TB-eigene Kryptomodul importiert. Selbiges solltest du durch ein Master-PW schützen. Das PW, welches du bei der Erstellung deines geheimen Schlüssels angegeben hast, ist das Transport-PW und soll den Schlüssel eben wärend diesen schützen. Du musstest es beim Import in den TB angeben. Es wird also durch den TB (nach einmaliger Eingabe des Master-PW bei jeder Sitzung) kein weiteres PW abgefordert.


    Wenn du in den Konteneinstellungen die S/MIME-Einstellungen richtig vorgenommen hast, kannst du Mails signieren und auch an dich selbst verschlüsseln. Jetzt fehlen dir nur noch die öffentlichen Schlüssel deiner Mailpartner.


    FIPS: Bemühe bitte mal die Suchfunktion. Ich habe da mal ausführlich was geschrieben.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ok.


    Ich habe im Thunderbird nun ein Master Passwort festgelegt.


    Nun muss ich bei jedem Start von Thunderbird mein Masterpasswort eintragen. Wenn ich es nun richtig verstanden habe meldet Thunderbird das Kryptographie Modul mithilfe des Masterpassworts auch an. Zumindest steht im Kryptographie Tool Status nun das ich eingeloggt bin.


    Soweit sollte alles richtig konfiguiert sein.


    Können meine Email Kontakte mein Zertifikat aus der Mail entnehmen oder muss ich mein Zertifikat aus Thunderbird exportieren und meinen Bekannen auf dem Postweg zukommen lassen?
    _______
    Sie haben Recht zum Import des Zertifikates musste ich das Passwort eintragen.


    Zum Thema FIPS half wie von ihnen erwähnt die Forensuche!

  • Naja, dann hats doch geklappt.


    Master-PW usw ==> alles richtig erkannt.
    Freut mich auch, dass es nun wieder einen Fan der Forensuche gibt ... .


    Normalerweise importiert TB - so wie viele andere MUAs auch - automatisch das Zertifikat aus der empfangenen Mail. Zumindest meistens ... .


    Es gibt aber eine Reihe von Bedingungen, die erfüllt sein müssen, damit man damit auch was anfangen kann:
    1. Die Empfänger müssen vorher (!) das Herausgeber-Zertifikat des von dir genutzten Trustcenters importiert und ihm das Vertrauen ausgesprochen haben. Das ist der so genannte "Vertrauensanker". Vertraue ich dem Herausgeber, dann vertraue ich auch, dass alle Besitzer eines Zertifikates von ihm mit ihrer Identität geprüft wurden. Und das ist ja bei den kostnix-Zertifikaten nicht der Fall! Deshalb musst du auch immer deren Herausgeber-Zertifikate explizid importieren und das Vertrauen bewusst einstellen.


    2. Die im Zertifikat eingetragene Mailadresse mit mit selbiger übereinstimmen. Sie sind also daran gebunden.


    3. Und die Absender müssen natürlich auch ein Zertifikat besitzen. Dabei ist es völlig gleichgültig, von welchem Trustcenter dieses kommt - so lange du ... (siehe oben).



    Postweg:
    Wozu denn das? Dein Zertifikat ist "das Öffentlichste" was es gibt. Das kann sich bei einem guten Trustcenter jeder übers Internet runterladen. Bei kommerziellen Mailsystemen erfolgt es sogar automatisch und unbemerkt vom Absender, dass der Client sich das Zertifikat des Empfängers holt. Also nix mit Post, maximal als Mailanhang.
    Mit einem Z. kann man auch absolut keinen Unsinn anstellen.


    MfG (und in Erwartung weiterer Fragen, die ich gern beantworte ...)


    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ein paar Fragen habe ich da auch noch... :D


    Wenn ich das Zertifikat nun aus irgendwelchen Gründen exportieren möchte und an meinen Bekannten über USB Stick geben möchte, wie stelle ich das an?


    Im Thunderbird bekomme ich nur die Backup Funktion angeboten, keinen explizieten Export. Die Backup Funktionen sichert ja dann alles mit auch meinen Persönlichen Schlüssel oder nicht:


    Wie sicher ist das ganze mit den Zertifikaten für Lau? Empfiehlt es sich eventuell sogar eher eines zu kaufen. Wenn ja welche Aussteller sind zu empfehlen.

  • Du solltest für dich (!) unbedingt das Schlüsselpaar (.p12 oder .pfx) gesichert haben.
    Für "andere" darfst du nur das Zertifikat (richtiger: den öffentl. schlüssel + das Z.) in der Form .cer oder .der speichern und weitergeben.


    Dazu drei Möglichkeiten:
    - Jedermann kann sich diese von so ziemlich jedem ordentlichen TC runterladen. Damit auch du und diese dann verschicken ... .
    - Beim TB geht der Export einzelner Zertifikate leider nur mit der Erweiterung "Cert Viewer Plus", aber dafür damit sehr gut. Insgesamt ist diese Erw. für X.509-Nutzer sehr zu empfehlen.
    - Du kannst deine Schlüsseldate (p12 pfx) in den Browser mit dem blauen "e" importieren und von dort aus den öffentl. Schl. exportieren.



    Wie sicher ...
    Auch zu dieses Thema habe ich mir im Forum schon die Finger wundgeschrieben ... . Deshalb nur (relativ ...) kurz:


    Welche Definition hast du von "Sicher"?
    Was die Verschlüsselungsfunktion anbetrifft, da gibt es keine signifikanten Unterschiede zwischen den Kostnix-Zertifikaten und den fortgeschrittenen oder gar qualifizierten Z. eines TC. Die Unterschiede beziehen sich neben der hochsicheren Aufbewahrung des geheimen Schlüssels auf der Chipkarte vor allem auf die Art und Weise der Produktion der Zufallszahlen für den Schlüssel und für die interne symmetrische Verschlüsselung. Es ist kryptologisch schon ein Unterschied, ob die Zufallszahlen von einer echten kryptologischen Rauschquelle (auf der Chipkarte!) oder vom üblichen Zufallszahlengenerator eines PC stammen! Selbiges trifft im Übrigen auch auf PGP/GPG zu.
    Aber wie schon geschrieben, für dich/uns hier als private Nutzer ist dies absolut nicht relevant.


    Signaturfunktion:
    Hier gibt es die eigentlichen Unterschiede. Selbige sind im Signaturgesetz und in der Signaturverordnung festgelegt.


    - "einfache Signaturen": vom Dreizeiler unter der Mail bis zum selbst hergestellten oder kostnix-Zertifikat eines Trustcenters. Es erfolgt keinerlei Identitätsprüfung der Person, daraus folgt, die Signatur ist rechtlich nicht relevant. (Wie bei GPG ...)
    - "fortgeschrittene Signatur": Das Trustcenter führt eine Identifizierung der Person durch. Das können sie selbst durchführen (vor Ort), oder durch externe Dienstleister (im "Telefonladen" oder per "Post-Ident" usw.). Durch diese so genannten Registrierung ist sichergestellt, dass die digitale Unterschrift auch wirklich zu dieser Person gehört.
    - "qualifizierte Signatur": Registrierung wie oben genannt, aber der Schlüssel muss auf einer so genannten "Sicheren Signaturerstellungseinheit" => Chipkarte gespeichert sein, zugelassene Soft- und Hardware usw. Sowie weitere Forderungen, welche selbst für mich als jemanden, der sich schon sehr lange mit IT-Sicherheit befasst, als extrem hoch vorkommen.


    Du musst also sehr genau überlegen, wofür du das Z. benötigst. Denn es ist alles eine Kostenfrage. Auch wenn die Z., speziell die qualifizierten, sehr teuer sind, ich kenne die Prozesse und Aufwendungen aus meiner täglichen Arbeit und kann dir nur sagen, dass die Preise gerechtfertigt sind.


    Wenn es dir also lediglich um Mailverschlüsselung unter Freunden ankommt, dann bist du mit einem kostnix gut bedient. Auch hier kann man per Telefon schnell den Hashwert austauschen und dann sicher sein, dass der Absender wirklich derjenige ist. Willst du aber mit Firmen online Verträge abschließen oder deine Steuererklärung vollelektronisch abgeben, dann musst du schon in die Geldbörse greifen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Peter_Lehmann : Vorab... ein großes Dankeschön für all ihre Ausführlichen Antworten :signthanks:


    Jaja das mit der sicheren Email ist schon so eine Sache wie ich sehe. Mittlerweile verstehe ich warum nicht schon jeder auf der Welt seine Emails signiert oder gar verschlüsselt.


    Ich habe mitlerweile erstmal selber darüber nachgedacht: "Was will ich eigentlich, in Bezug auf Emailversand?"


    In erster Linie möchte ich natürlich meine Emails soweit absichern das der eigentliche Empfänger feststellen kann ob diese wirklich von mir sind (Im Privaten wie im Geschäftlichen).
    Zweitens wäre da die Kommunikation mit Geschäftskunden die ich gerne verschlüsselt hätte, da es bei diesen Gesprächen um sehr vertrauliche Daten geht.
    Der dritte Punkt wäre noch die Rechtliche Seite, das Zertifikat bzw. die Digitale Signatur sollte die rechtlichen Anforderungen erfüllen.


    Zitat

    ... Du kannst deine Schlüsseldate (p12 pfx) in den Browser mit dem blauen "e" importieren und von dort aus den öffentl. Schl. exportieren...

    Genauso habe ich es vorerst gelöst :D


    Zitat

    ..."fortgeschrittene Signatur": Das Trustcenter führt eine Identifizierung der Person durch. Das können sie selbst durchführen (vor Ort), oder durch externe Dienstleister (im "Telefonladen" oder per "Post-Ident" usw.). Durch diese so genannten Registrierung ist sichergestellt, dass die digitale Unterschrift auch wirklich zu dieser Person gehört...

    Die wirds dann wohl werden.


    Kann man bei Class 2 oder 3 Zertifikaten davon ausgehen das die entsprechenden Zertifizierungstellen bereits in den Mailsystemen vorinstalliert sind?


    Was mich generell schon einiges an Überlegungen gekostet hat war die Frage nach dem passenden System. S/MIME oder doch OpenPGP?
    Letztendlich habe ich mich für S/MIME entschieden, da dies zumindest schon in Outlook bzw. Thunderbird fest verankert ist. Ich erhoffe mir dadurch eine vereinfachte Integration mit meinem Bekanntenkreis.

  • Zitat von "Peter_Lehmann"


    Wenn es dir also lediglich um Mailverschlüsselung unter Freunden ankommt, dann bist du mit einem kostnix gut bedient. Auch hier kann man per Telefon schnell den Hashwert austauschen und dann sicher sein, dass der Absender wirklich derjenige ist. Willst du aber mit Firmen online Verträge abschließen oder deine Steuererklärung vollelektronisch abgeben, dann musst du schon in die Geldbörse greifen.


    Interessante Ausführungen, mit denen ich mich bisher noch nie beschäftigt habe. Nun würde mich denn interessieren, wie es mit dem "Internet Banking" aussieht? Hier geht ja nichts über email, sondern alles über https-Formulare. Sind die sicher genug, wenn die Firewall rigoros ist und man aufpasst und grundsätzlich keine Links anklickt, die Passwörter und Konten-details erfragen - ausser man hat sie selber ab vertrauenswürdiger Quelle eingetippt?


    Ich habe bisher (seit ca. 10 Jahren) lediglich mit der schweizerischen Post "Internet Banking gemacht, so. ca. 5 Transaktionen/Jahr. Nun hat aber meine schottische Bank das ganze von einem rudimentären und äusserst apierintensiven Versuch auf eine gute, schnell, kostengünstige und kundenfreundliche Basis gestellt, die ich gerne benützen möchte. Nur eben, da sind es dann schon eher 20 Transaktionen/Woche.

  • Wegen mir können wir noch stundenlang (zu diesem Thema) diskutieren ... .
    (Heute gehts noch, morgen habe ich Urlaub ...)


    > Kann man bei Class 2 oder 3 Zertifikaten davon ausgehen das die entsprechenden Zertifizierungstellen bereits in den Mailsystemen vorinstalliert sind?


    JEIN ...
    "In den Mailsystemen" ist erstmal gar nix installiert.
    Die Herausgeberzertifikate sind grundsätzlich öffentlich. Und wenn der Hersteller eines Browsers oder eines Mailclients oder sonst einer mit Zertifikaten arbeitenden Anwendung einen derartigen ZDA (Zertifikatsdiensteanbieter) als vertrauenswürdig einstuft, dann kann er dir diese Verantwortung abnehmen und das Zertifikat gleich mit installieren. So kommen diese "von Hause aus" ins System.


    Nun ist es natürlich auch ein werbewirksamer Effekt, wenn ein Trustcenter im XX-Browser schon genannt ist. Den Effekt lässt sich der Hersteller dieses Browsers sicherlich auch gut vergüten. Zumindest bei kommerziellen Produkten.
    So kann es zum Beispiel passieren, dass das Class 1-Zertifikat irgend eines Trustcenters auf einmal in einem Browser vorinstalliert wurde, OHNE dass diese Zertifikate auch nur den kleinsten Anforderungen entsprechen.
    Was kann passieren? Du bekommst eine Class 1-signierte Mail, wirst nicht entsprechend gewarnt und glaubst ... .
    Glauben ist zwar etwas, was unsereiner haben darf, aber nicht in meiner Branche. Ich finde dieses also keinesfalls richtig.



    zu Arran:
    Internet-Banking funktioniert prinzipiell nach zwei Verfahren:
    - PIN/TAN und
    - HBCI


    Ich glaube (...) zu PIN/TAN muss ich nichts mehr sagen. Ein imho nicht mehr zeitgemäßes Verfahren, welches nun endlich in einer Erweiterung mit zusätzlicher SSL-Verschlüsselung der Verbindung kombiniert wurde.


    HBCI (HomeBankingComputerInterface) ist ein Verfahren, welches so ähnlich wie das von mir schon oft beschriebene S/MIME-Verfahren im Maildienst funktioniert. Du bekommst von deiner Bank entweder eine Chipkarte oder zumindest eine Schlüsseldatei, welche beide deinen privaten (geheimen) und deinen öffentlichen Schlüssel, den öffentlichen Bankschlüssel und einige Angaben zu deiner Bankverbindung enthalten.
    Die gesamte Kommunikation erfolgt also von der ersten Verbindugnsaufnahme an mit sicherer Indentifizierung und Verschlüsselung.


    Näheres findest du zum Beispiel unter: http://www.onlinebanking-forum.de



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Peter_Lehmann :


    Ich bin mittlerweile fast ein wenig überschlagen. Kaum hat man angefangen sich mit der Materie zu beschäftigen hört es garnicht mehr auf mit der Informationsflut :lol:


    Nach einigem Suchen im Internet habe ich zum Thema profesionelle Zertifikate nun GlobalSign entdeckt, diese bieten ein Jahres Zertifikat Class 2 ab 50€ an. Das ist schon mal ne Ecke Geld.


    Wenn ich mich unter Wikipedia richtig informiert habe benötigt man eine "fortgeschrittene Signatur" dann wenn man folgendes möchte:
    - Verträge abschließen
    - Rechnung erstellen
    - Steuererklärung
    - Beweiskraft vor Gericht


    Verträge, Rechnung und Steuererklärungen interesieren mich relativ wenig. Nur die Beweiskraft vor Gericht wäre noch ein Punkt von Interesse.


    Nach der Suche nach Class 2 Zertifikaten bin ich auf CAcert gestossen. Wie sind dazu die Meinungen?

  • ... Wobei die Beweiskraft vor Gericht schon wieder ein Thema ist, wo es beim fortgeschrittenen Zertifikat recht eng wird. Lediglich ein qualifiziertes Z. besitzt eine Beweiskraft, welche "der menschlichen Unterschrift (fast) gleichgestellt " ist.
    Selbst bei den qualifizierten Z. gibt es noch eine weitere Stufe, die ich vorhin bewusst unterschlagen habe - die "Qualifizierte Signatur mit Anbieterakkreditierung". Das bedeutet, dass der jeweilige ZDA nicht einmal "einfach" erklären darf, dass er nach SigG arbeitet, sondern dass dieses noch durch die Bundesnetzagentur in einem äußerst scharfen Verfahren überprüft wird.


    Und nur derartige Zertifikate (!) sind vor dem Gesetz der menschlichen Unterschrift ... . Sollte es nämlich zu einem Rechtsstreit kommen, dann musst du nachweisen - gemeinsam mit dem Herausgeber deines Zertifikates -, dass du und er alle Punkte des Gesetztes und der Verordnung beachtet habt, wenn du kein derartiges Zertifikat benutzt hast.
    Nach einer Akkreditierung des ZDA dreht sich die Beweislast in etwa um.


    Aber das ist jetzt alles Juristerei.



    Du allein musst selbst einschätzen, was für dich notwendig ist. Für alles, was mit E-Mail zu tun hat, liegt ggw. die Grenze bei der fortgeschrittenen Signatur. Lediglich für einige wenige Anwendungen (Dokumentensignatur als pdf, Spezialprogramm von Adobe, usw.) gibt es eine Zulassung zur qualifizierten Signatur.



    Meinungen zu Anbietern?
    Werde ich mir tunlichst verkneifen ... .


    In DL handeln alle Anbieter nach den gleichen Regeln und Anforderungen. Wenn du dir einen aussuchst, der auch qualifizierte Z. herausgibt, dann kannst du sicher sein, dass deren fortgeschr. Z. mit der gleichen sorgfalt produziert werden.


    Andere, viel einfachere Möglichkeiten, bieten zum Beispiel diverse Banken und Sparkassen. Manche verlangen nicht einmal, dass du dort ein Konto hast. Und auch ein Besuch in dem Laden mit dem großen rötlichen "T" ist auch nicht umsonst. Du musst auch selbst einschätzen, ob du eine Chipkarte benötigst oder ob eine Schlüsseldatei nicht vielleicht deinen Anforderungen auch genügt. Preise ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!