Passwortabfrage beim Nutzen eines S/MIME-Zertifaktes

  • Hallo zusammen,
    Ich nutze seit langem GnuPG. Soweit so gut. Nun bin ich dabei mich auch für S/MIME zu wappnen.


    Aus GnuPG kenne ich es, dass dort beim Zugriff auf den seckey ein Passwort abgefragt wird. Gibt es sowas auch für S/MIME? Im Moment wird einfach durch ein Mausklick die E-Mail signiert und unterschrieben. Gibt es da Möglichkeiten?


    Grüße und Danke für die Rückmeldungen

  • Hi Sven,


    selbstverständlich wird wie bei GPG auch bei S/MIME der private Schlüssel mit einem Passwort geschützt. (Bei Nutzung einer p12 oder pfx-Schlüsseldatei kannst du auch das Speichern ohne Passwort vornehmen, bei Chipkarte geht das nicht)


    Wenn du die Schlüsseldatei in den Passwortmanager importierst, wird dieses Passwort für den privaten Schlüssel auch zwingend angefordert. Ist der Schlüssel einmal importiert, dann übernimmt das Masterpasswort des PW-Managers diesen Schutz.


    Oder anders gesagt:
    - Bei jedem Zugriff auf die Schlüsseldatei wird das PW benötigt - aber das machst du ja nur 1x, beim Import.
    - Bei jedem Zugriff auf den Passwortmanager wird dessen Passwort benötigt - aber dieses wird pro Sitzung gecached.


    Alles klar?
    (Meinen Beitrag in den FAQ zu diesem Thema hast du gelesen?)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    Danke für die Antwort. Das Masterpasswort - genau das habe ich vergessen und in der FAQ überlesen.


    An dieser Stelle vielleicht auch noch gleich ein paar weitere Fragen. Hast du oder auch jemand anders Erfahrungen mit S/MIME und Mailinglisten (mailman)? Wie verhält sich das zusammenspiel von Enigmail und S/MIME. Man könnte ja auf die Idee kommen PGP/INLINE und S/MIME zu gleich verwenden.


    Grüße

  • Ich kenne mailman leider nicht. Meine "Massenmails" mit 20-30 Empfängern kann ich noch mit dem Adressbuch des TB zusammenklicken :-)


    Grundsätzlich kannst du "beliebig viele" Adressaten per S/MIME bedienen. Wir verschicken auf Arbeit schon an größere Nutzerkreise. Bedingung ist natürlich, dass du für jeden Empfänger das Zertifikat mit seinem öffentlichen Schlüssel importiert hast. Aber das ist ja bei jeder asymm. Verschlüsselung der Fall.


    Zwischen GPG und S/MIME gibt es schon mehr Gemeinsamkeiten als Unterschiede. Der größte Unterschied ist die dezentrale bzw. zentrale Zertifizierung.
    (Achtung: Nicht unbedingt mit der Erzeugung des privaten Schlüssels verwechseln! Dieser wird selbst bei den primitiven Kostnix-Zertifikaten (class 1) bei dir auf deinem Browser erzeugt! Zum Trustcenter wird nur ein Request mit deinen persönlichen Daten und dem öffentlichen Schlüssel verschickt.)


    Der wohl größte Unterschied bei der eigentlichen Verschlüsselung ist der Umfang der zu verschlüsselnden Daten.
    Während bei S/MIME grundsätzlich "alles unterhalb der Überschrift", also der gesamte Text einschließlich sämtlicher Anhänge, verschlüsselt wird, so ist das beim herkömmlichen (!!) GPG/PGP etwas anders. Hier werden die Anhänge und der Text einzeln verschlüsselt.
    Eine Ausnahme macht das neue PGP/MIME. Hier wird ebenfalls der ges. Body mit dem allem Inhalt verschlüsselt. Manche Leute sprechen sogar von einer Kompatibilität zwischen S/MIME und PGP/MIME. Ich habe das allerdigns nie getestet, halte es aber grundsätzlich für möglich.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!