Enigmail Mime Signieren und OpenPGP-Card

  • Hallo,


    was will ich:


    TB 2.0.0.4 mit Enigmail 0.95.1 und GnuPG 1.4.7.
    CardReader ist ein SCM SPR 532 CHIPDRIVE pinpad 532.


    Eine only-Signierte Mail an jemanden als PGP/MIME
    versenden: Geht nicht.


    Das geht:
    Signieren only ohne Mime
    Verschlüsseln+Signieren als PGP/MIME
    Entschlüsseln


    Ich nutze dazu einen SCM card Reader und eine OpenPGP-Karte.
    Der öffentlicher Schlüssel ist im Schlüsselbund.


    Meine Frage also:


    Warum funktioniert das PGP/MIME Signieren nicht?


    Den Kartenmanager kann ich unter TB aufrufen und bekomme
    alle Kartendetails angezeigt.


    Fehlermeldung beim MIME-Signieren:



    Da Ver- und Entschlüsselung sowie Signieren ohne Mime funktioniert,
    muss es wohl irgendwie am Enigmail liegen.


    Hier zum Vergleich mal die Ausgabe bei Signatur ohne MIME:


    Zitat

    enigmail> C:\Programme\GnuPG-Pack\gpg.exe --charset utf8 --batch --no-tty --sta
    tus-fd 2 --comment 'Using GnuPG with Mozilla - http://enigmail.mozdev.org' -t --
    clearsign -u 0xD0DCBB1D --passphrase-fd 0 --no-use-agent
    gpg: detected reader `SCM Microsystems Inc. SPRx32 USB Smart Card Reader 0'
    gpg: signatures created so far: 102


    Es sieht für mich so aus, als wird pgp zwei mal aufgerufen: Einmal zum signieren und ein anderes mal für das mimen? Hat irgendwer eine Idee?


    MfG...
    Pierre Bernhardt

  • Hi,


    das "Problem" liegt daran, dass ihr beiden wohl so ziemlich die einzigen hier seid, die PGP/GPG mit Chipkarte nutzen. Deshalb befürchte ich, dass die Hilfe hier sehr dürftig sein wird.
    Ich selbst kenne mich zwar (berufsbdingt) sowohl mit Kryptologie als auch mit Chipkarten (Smartcards) recht gut aus, benutze aber die professionelle Version der Verschlüsselung und Signatur.
    Mir ist auch noch nicht klar, ob es sich bei euren Karten um richtige Smartcards handelt (Haupt- und kryptologischer Coprozessor, Rauschgenerator, Betriebssystem usw.) oder nur um "unintelligente" Speicherkarten.


    Hättet ihr mal ein paar Links, so dass ich mich in das Thema einlesen könnte?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Moin,


    "Vic~" schrieb:


    Es kann also auch gar nicht gehen! :shock:


    Kann es doch. Mit einem TB 1.5 habe ich bei diesen ganzen Aktionen keine Probleme gehabt. Erst seit der Installation von TB 2 muckt er rum.


    "Vic~" schrieb:


    [*] enigmail ist die Schnittstelle, die zwischen Thunderbird und GPG "vermittelt".


    "Vic~" schrieb:


    Jedoch werden Smart-Card-Reader durchaus unterstützt.


    Wie schon beschrieben hat es mit TB 1.5 ohne Probleme funktioniert.



    "Vic~" schrieb:


    Bei meinem uralt Laptop verwende ich seit Jahren aus Sicherheitsgründen eine 3½-Diskette { ja es gibt Dinosaurier wie mich die sowas noch verwenden! } als Speicherort für die *secring-Datei*; und es klappt. :)


    Es ist aber ein ganz großer Unterschied, ob der Schlüssel gesichtert auf der Karte liegt und damit nicht direkt greifbar ist oder auf einem für den Rechner lesbaren Datenträger.


    "Vic~" schrieb:


    Wie ich bereits hier schon erwähnte ist PGP / GPG die Verwendung von "cards", "sticks" etc. *primär* fremd, es ist jedoch möglich.


    Ist aber unterstuetzt und in gnupg eingebaut.


    "Vic~" schrieb:


    Möglich ist es auch (!) einfach mal direkt mittels GPG einige Ver- bzw. Entschlüsselungsversuche zu machen um so zu sehen ob's denn vom Grundsatz her klappt! (Richtiges Finden der keys! etc. )


    Schon passiert. TB 1.5 funktioniert mit dem Cardreader immer noch vollständig.


    "Vic~" schrieb:


    Ist denn unter Einstellungen -> PGP/MIME -> "PGP/MIME" angewählt?
    BTW: TB mit enigmail funktioniert sogar auch komplett portabel :!:


    Ja. Aber wenn mime an ist, gibt es Stress wenn ich nur signieren möchte. Ohne Mime funktoniert es auch.


    MfG...
    Pierre Bernhardt

  • Huhu,


    "Vic~" schrieb:


    Das verstehe ich nicht


    Also ich bin weiterhin der Ansicht, daß es auch mit einem Card-Reader klappen muß!
    Leider habe ich aus Zeitgründen das *.pdf* noch nicht "studiert" ~ werde es aber nachholen!


    Die Karte selber kannst Du als Minirechner betrachten. Der Vorteil einer GPG-Card ist dabei, das die Karte die "Privaten Sachen" macht.


    Im Idealfall wird der private key in der Karte erzeugt und bleibt auch dort. Er wird also nicht exportiert. Wenn nun auch noch die Tastatur meines Card 2 Readers benutzt werden könnte, dann würde nicht mal das Mantra im Rechner bekannt werden, was aber leider (noch) nicht geht.


    Wenn nun also jemand auf deinem Rechner mithört/liest/sieht, dann kann er das Mantra von Deiner Tastatur abscannen und den Privatkey einfach von Deinem Memory-Stick kopieren. Damit hat er vollen Zugriff auf Deine verschlüsselte Kommunikation und kann Mails unterschreiben.


    Wenn der Privatkey aber die GPG-Karte nicht verlassen kann, dann muss er physisch auf die Karte zugreifen: Er klaut Sie Dir z.B. und dann hätte er auch vollen Zugriff auf Deine Mails und Du nicht mehr.
    Das ist schon mal eine viel höhere Hürde. Wenn dann endlich mal auch die Eingabe des Mantras per internen Tastatur am Kartenleser unterstützt wird, ja dann muss er Dir auch noch das Mantra rauspressen. Wenn er einfach ausprobiert, dann ist nach dem dritten mal Schluß, weil die Karte dann unbrauchbar wird.


    Ok ok, jetzt habe ich ein wenig stark ausgeholt. Daher höre ich jetzt erst mal auf. Hier aber mal noch schnell ein paar Features, die hinten auf der Karte drauf stehen (unbewertet einfach abgetippt):


    Software available under the GNU GPL
    Compatible with OpenPGP standard
    Compatible with the ISO 7816-4 and -8
    RSA with 1024 bit minimum
    Key generation on card (<20 seconds)
    Hardware Random Number Gemerator
    Key import functionality
    Private data storage


    Dabei ist das teuerste an der Ifrastruktur der Kartenleser. Wenn man auf die interne Tastatur verzichtet, dann werden diese aber um einiges günstiger. Ich habe übrigens zwei im Einsatz: Rainer SCT und einen SCM Microsystems. Funktionieren beide haben aber die gleichen Probleme.


    Achso: Ich glaube auch, das das Problem mehr im Enigmail zu suchen ist. Mit TB2 habe ich zwar auch gekämft (SSL Connect auf port imaps geht nicht mehr) aber das habe ich nun per Workaround gelöst :-(


    MfG...
    Pierre Bernhardt

  • Hi Pierre,


    was ich jetzt so gelesen habe, handelt es sich wirklich um eine echte Smartcard. Also um etwas ähnliches, wie es im professionellen Bereich genutzt wird. Die Karte hat ein Betriebssystem, so in der Art Siemens CardOS, oder ähnlich.


    Ich befasse mich, wie schon geschrieben nicht mehr mit GPG, aber es gibt sicher Analogien.


    Du benötigst (garantiert) 2 unterschiedliche Software, um das Teil zu betreiben:
    - den ganz normalen Treiber für den Kartenleser und
    - die so genannte Middleware, richtiger: CSP "CryptograficServiceProvider".


    Klar kann das beides innerhalb eines Programmes versteckt sein. Zum Treiber brauche ich nichts sagen. Der CSP hat zwei Schnittstellen - zum einen in Richtung Cardreader, also PC/SC o.ä., und zum anderen eine standardisierte Schnittstelle in Richtung Anwendungsprogramm. Bei S/MIME nennt sich diese Schnittstelle PKCS#11. Und diese Software muss eben exakt die jeweilige Karte an die Schnittstelle in Richtung Programm anpassen. Sie ist also auf die Karte abgestimmt.
    Beispiel: Karten mit CardOS funktionieren mit "Nexus personal".


    Jetzt muss du dem Anwendungsprogramm (bei S/MIME eben direkt dem Thunderbird) die CSP anbieten. Also im Zertifikatsmanager als zusätzliches Kryptomodul zum Beispiel die personal.dll (Nexus) aktivieren. Wenn dies geklappt hat, erkennt der Zertifikatsmanager die Karte und du kannst die darauf befindlichen Zertifikate (natürlich nur die öffentlichen Schlüssel + Zertifikatsdaten) lesen.


    Das alles, wie gesagt, aus der Welt von S/MIME. Aber vielleicht gibt es Analogien. Jedenfalls sagt mir die Fehlermeldung, dass die Kette noch nicht funktioniert.


    Einige Fragen noch interessehalber:
    - Wieviel löhnt man für so eine Karte ?
    - wird sie vorpersonalisiert (beschlüsselt) geliefert, oder kann das der Nutzer machen?
    - wird sie personalisiert (Mailadresse, Name usw.) geliefert, oder beschreibst du sie selbst?
    - erfolgt irgendwie eine Registrierung des Benutzers (Personenidentifizierung)? Genau das ist das teuere bei einem X.509-Zertifikat ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!