Digitale Signatur beim Versand von Nachrichten

  • Hallo miteinander,


    ich habe heute bei meiner Bank den Service "Digitale Signatur" eingerichtet und die Bestätigung erhalten, dass ich von meiner Bank zukünftig signierte Emails erhalte.


    • Wie kann ich diese Signatur in TB einbinden, um selbst signierte Emails an meine Bank versenden zu können?
    • Oder ist es möglicherweise einfacher, mir von meiner Bank eine signierte Email schicken zu lassen, weil mich TB dann möglicherweise durchs Programm führt?


    Lieben Dank
    Gerhard

  • Hallo Vic~,


    Zitat von "Vic~"

    ich vermute es handelt sich um S/MIME ~ oder?
    Na dann hast Du ja wahrscheinlich auf alle Fälle schon mal einen öffentlichen Schlüssel / bzw. ein Zertifikat erhalten!?


    einen öffentlichen Schlüssel habe ich zumindest bewusst nicht erhalten.


    Zitat

    Das muß *importiert* werden (siehe Anleitung im Forum!!!) - danach kannst Du anhand des Schlüssels eine signierte e-mail verifizieren = auf Gültigkeit überprüfen!


    Vielleicht hilft der Hinweis weiter, dass ich die Installation von dieser Seite meiner Bank installiert habe.


    Noch eine Bitte zu dem Hinweis "siehe Anleitung im Forum": Ich halte in solchen Fällen grundsätzlich eine entsprechende Verlinkung für sinnvoll und fair, um auch direkt bei der entsprechenden Anleitung anzukommen. Vielen Dank.


    Lieben Gruß
    Gerhard

  • Die Ausage der Bank war doch, dass du in Zukunft signierte E-Mails von der Bank erhälst. Ich verstehe das so, dass die Bank Ihre Signatur mit der nächsten Mail an dich 'mitliefert' und damit hast du 'vollautomatisch' das öffentliche Zertifikat.


    Allerdings sind die CA-Zertifikate etwas seltsam. Wen ich das auf die Schnelle richtig gesehen habe, dann sind diese von der Bank selber ausgestellt. NIcht gerade sehr professionell.


    Was soll's... speichere die beiden Zertifikate (Rechtsklick) auf der Platte und improtiere die Dinger in der Zertifikatsmanager.
    Das erste (CA.CER) über Extras/Einstellungen => Erweitert/Zertifikate unter Zertifizierungsstellen (Vertrauenseinstellungen nicht vergessen).
    Beim zweiten Zertifikat (EMAIL.CER) kann es sein, dass esnur im Abschnitt Websites und nicht im Abschnitt Zertifikate anderer Personen funktioniert.


    ALlerdings muss man auch dazu sagen, dass manche Banken ohnehin nicht richtig 'ticken' was den Sektor S/MIME angeht. Meine Bank hat zum Beispiel nur ein einziges Gruppenzertifikat, dass allen Nutzern dort bereitgestellt wird. Schön und gut, aber mit Vertraulichkeit und Co hat das wenig zu tun.

    Einmal editiert, zuletzt von Heiggo ()

  • Hi Gerhard,


    in unserem Wiki (oder ganz oben unter "Fragen und Antworten") findest du einen langen Beitrag von mir über Verschlüsselung und digitale Signaturen. Dort kannst du dich gern erst einmal belesen.


    Aber keine Angst: die Mails von der Bank kannst du trotzdem lesen. Die Signatur der Bank bestätigt "nur", dass die Mails wirklich von der Bank und auch unverfälscht sind. Und keine Bank wird dich zu "Kontrollzwecken" auffordern eine TAN einzugeben usw.


    In meinem Beitrag kannst du lesen, wie du die Signatur aktivierst und überprüfst. Es ist ganz einfach und wenn noch Fragen übrigbleiben, dann stelle sie bitte. Das hilft mir auch, die FAQ zu verbessern.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Heiggo,


    Zitat von "Heiggo"

    Die Ausage der Bank war doch, dass du in Zukunft signierte E-Mails von der Bank erhälst. Ich verstehe das so, dass die Bank Ihre Signatur mit der nächsten Mail an dich 'mitliefert' und damit hast du 'vollautomatisch' das öffentliche Zertifikat.


    dann hatte ich in meinem Ursprungs-Beitrag schon richtig gelegen, dass mir meine Bank mit ihrer ersten Email das öffentliche Zertifikat "mitliefert". Vermute ich richtig, dass die Einbindung in TB dann selbst erläuternd ist?


    Zitat

    Allerdings sind die CA-Zertifikate etwas seltsam. Wen ich das auf die Schnelle richtig gesehen habe, dann sind diese von der Bank selber ausgestellt. NIcht gerade sehr professionell.


    Interessehalber hätte ich gerne gewusst, warum die CA-Zertifikate seltsam und unprofessionell sind?


    Einen schönen Abend noch
    Gerhard

  • Zitat von "Naturfreund"

    ...
    Interessehalber hätte ich gerne gewusst, warum die CA-Zertifikate seltsam und unprofessionell sind?


    Na ja, der Herausgeber des Zertifikats ist die Bank selber. Das ist ungefähr so, als würde ich dir sagen, ich bin vertrauenswürdig, erkenne mich an, auch wenn du mich nicht kennst.
    Wenn das in der Welt Standard sein soll, muss man die Trickbetrüger an der Haustür legalisieren *kicher*, denn die sabbeln ihre eigene Vertrauensseligkeit ja auch selber herbei. OK, das ist ein wenig übertrieben, aber hier geht es eigentlich um das Prinzip.
    'Peter' kann dazu aber mit Sicherheit mehr sagen, denn er ist der Profi, auf den ich bei Fragen (privat und beruflich) zur Thematik immer wieder zurückgreife :-)

  • Unter nochmaligem Verweis auf die FAQ will ich gleich antworten:


    Bei der Signatur mit X.509-Zertifikaten wird ein "Vertrauensbaum" aufgebaut.
    Ganz oben (oder unten => root) sitzt eine anerkannte Autorität, der man vertrauen darf. Das kann eine nationale Sicherheitsbehörde (in unserem Fall das BSI) oder auch ein anerkanntes Unternehmen (Trustcenter) sein. Mit deren root-Zertifikat signieren sie das Zertifikat einer untergeordneten Stelle, zum Beispiel eines Bank. Und mit deren Zertifikat wird dann die Mail signiert.
    Wenn du ein Zertifikat selbst herausgibst und auch selbst signierst, dann ist dieses Vertrauen eben nicht so viel wert. Aber du vertraust ja deiner Bank ... .


    Allerdings ( Heiggo ) gibt es mittlerweile auch schon Banken, die von der Bundesnetzagentur als Trustcenter selbst für qualifizierte Signaturen (!) anerkannt sind. In deren Zertifikat steht aber auch das root der BNA. ich habe keine Lust nachzusehen ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi 'Peter'
    schdümmt, das haste mir mal erklärt, aber bei den hier benannten Zertifikaten kann ich tatsächlich nur eine Selbstsignierung erkennen :-)


    Aber... auch diese 'Dinger' kann man ja als vertrauenswürdig einstufen. MIr ging es nur darum, dass ich es nicht für sonderlich 'sauber' halte.

  • Hi,


    Widerrufslisten oder auch crl geben Zertifizierungsstellen (ca oder allgemein Trustcenter) heraus, wenn Zertifikate vor Ablauf ihrer Gültigkeit zurückgezogen oder eben widerrufen werden. Gründe können Kompromittierung, Verlust oder in der Art sein. Bei Personenzertifikaten kommt dies schon sehr häufig vor ... . Bei einer Bank dürfte dies allerdings seltener der Fall sein. Auf jeden Fall wäre das ein sehr negativer Werbeeffekt.


    Ein gutes Programm prüft gleich zu Beginn der Signaturprüfung, ob das Zertifikat für die Mailsignatur in der crl steht. Wenn ja, dann gibt es eine deutliche Warnung aus.


    Es schadet also keinesfalls, wenn du die crl importiert hast. Hättest aber auch darauf verzichten können, siehe oben. Jetzt kann es allerdings passieren, dass nach der ersten erfolgreich empfangenen signierten Mail eine Meckermeldung wegen abgelaufener crl kommt. Das ist kein Fehler, sondern ein Sicherheitsfeature. Die Trustcenter geben crl immer nach einer Sperrung und nach Ablauf i.d.Regel eines Monats heraus. Ich kenne auch eines, welches früh und abend eine crl generiert ... .


    MfG Peter


    Heiggo : bin in Hannover, gleiche Übung wie damals bei dir.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • HI 'Peter',


    Grüß mir die Hannoveraner (Fast-Heimat für Ex-Hamburger). Bin mal gespannt, was ich demnächst dort erfragen kann.

  • Zitat von "Naturfreund"

    Die automatischen Updates habe ich nicht aktiviert.


    Das hätte ich vermutlich aktiviert :)
    Wenn man schon mal eine CRL mit Update-Datum erhält.

  • Hallo Peter,
    hallo Heiggo,


    zwischenzeitlich habe ich mich auf Wikipedia über die Digitale Signatur etwas mehr informiert. Ein schwieriges Unterfangen für einen Laien auf diesem Gebiet.


    Dabei bin ich auf den Begriff "Privater Schlüssel" gestoßen ==> Woher bekomme ich den?


    Gehe ich recht in der Annahme, dass die Einbindung des Zertifikats in TB aufgrund der ersten signierten Email meiner Bank quasi selbst erläuternd ist?


    Lieben gruß
    Gerhard

  • Hallo Peter,


    Zitat von "Peter_Lehmann"

    Allerdings ( Heiggo ) gibt es mittlerweile auch schon Banken, die von der Bundesnetzagentur als Trustcenter selbst für qualifizierte Signaturen (!) anerkannt sind. In deren Zertifikat steht aber auch das root der BNA. ich habe keine Lust nachzusehen ... .


    ist >>>DAS<<< ein solcher Hinweis. Wenn nicht, sage mir doch bitte, wo ich suchen muss/könnte und nach was. Mich interessiert das schon sehr.


    Lieben Gruß
    Gerhard

  • Hallo Peter,


    Zitat von "Peter_Lehmann"

    in unserem Wiki (oder ganz oben unter "Fragen und Antworten") findest du einen langen Beitrag von mir über Verschlüsselung und digitale Signaturen. Dort kannst du dich gern erst einmal belesen.


    ......


    In meinem Beitrag kannst du lesen, wie du die Signatur aktivierst und überprüfst. Es ist ganz einfach und wenn noch Fragen übrigbleiben, dann stelle sie bitte. Das hilft mir auch, die FAQ zu verbessern.


    ich habe Deinen Beitrag gelesen und finde ihn auch verständlich und nachvollziehbar. Beschäftigen muss ich mich noch näher mit der GnuPG-Seite und der entsprechenden Installationsanleitung von GnuPG und Enigmail.


    Zitat

    Aber keine Angst: die Mails von der Bank kannst du trotzdem lesen. Die Signatur der Bank bestätigt "nur", dass die Mails wirklich von der Bank und auch unverfälscht sind. Und keine Bank wird dich zu "Kontrollzwecken" auffordern eine TAN einzugeben usw.


    Die erste Email von meiner Bank ist ohne Digitale Unterschrift eingegangen. Ich habe nochmals nachgefragt, was da falsch gelaufen sein könnte.


    Ich habe zwar versucht, diese Anleitung von Heiggo umzusetzen, aber offensichtlich ist das was falsch gelaufen.


    Gut Ding - und gerade dieses - will Weile haben und ich bin überzeugt, mit Eurer Hilfe letztendlich ans Ziel (zur Digitalen Signatur) zu kommen.


    Für den Augenblick lieben
    Gruß und eben solchen Dank
    Gerhard

  • Hallo zusammen


    eine erneute Email an meine Bank ergab wieder, dass in der Korrespondenz mit meiner Bank die Digitale Signatur nicht funktioniert.


    Allerdings hat mir meine Bank in diesem Zusammenhang mitgeteilt, das in absehbarer Zeit ein neues Verfahren eingeführt wird, das komfortabler und dessen möglichen Fehlerquellen deutlich reduziert sein sollen.


    Darum warte ich dieses Verfahren ab und hoffe, damit besser klar zu kommen.


    Dank und Gruß
    Gerhard

  • Hallo zusammen,


    zwischenzeitlich habe ich GnuPG und Enigmail installiert. So ganz klar ist mir noch nicht geworden,

    • wann ist die Verschlüsselung zu bevorzugen und
    • wann ist die Unterschrift zu bevorzugen?


    Wer kann mir helfen, hier klarer zu sehen?


    Dank und Gruß
    Gerhard

  • Hallo Gerhard,


    mir haben für den Einstieg in Enigmail + GnuPG damals die beiden Handbücher "für Einsteiger" und "für Durchblicker" sehr geholfen, auf die in der FAQ auch hingewiesen wird. Das kurze Kapitel zum Signieren hilft dir wahrscheinlich bei deiner Frage (wobei beide Dokumente auch als Ganze lesenswert sind).


    Schöne Grüße
    Robert