SMIME Zertifikate per LDAP automatisch Importieren

  • Hallo,


    ich baue gerade eine Mailverschlüsselungs-Infrastruktur auf und habe eine PKI mit eigener CA und LDAP Verzeichniss.
    Nachdem ich in Thunderbird die ganzen Konfigurationen von CA-Vertrauen, eigenes Schlüsselpaar und LDAP-Adressbuch-Zugriff eingestellt habe können sich jetzt die User gegenseitig verschlüsselte Mails schicken. Das Problem ist jedoch noch, dass erst Alice eine signierte Mail an Bob schicken muss, damit Bob den Public Key von Alice bekommt, nun kann Bob eine signierte (und verschlüsselte) Mail zurück an Alice schicken, welche dadurch nun auch Bobs Public Key hat. (Also Thunderbird überprüft die Signaturen immer erst bevor es die public keys aufnimmt/automatisch importiert)


    Ich will jetzt aber das Alice sich den public key aus dem LDAP Verzeichniss automatisch zieht, ohne dass sie zuerst Bob eine signierte Mail schicken muss, und der das dann auch machen muss. Also das quasi jeder der im LDAP seinen public key liegen hat ohne vorheriges rumgemache verschlüsselte Mails an jeden (der auch im LDAP ist) schicken kann, ohne vorheriges rumgemache.


    Gibt es da vielleicht in der about:config eine Einstellungsmöglichkeit oder sonst irgendwo einen Punkt wo man das einstellen kann?


    THX


    Gruß
    dida

  • "dida259" schrieb:

    ... ohne vorheriges rumgemache.


    Hallo dida,


    und Willkommen im Forum! :)
    Das hast du aber "nett" ausgedrückt!
    Da ich in S/MIME nicht absolut sattelfest bin verweise ich Dich auf die Hilfe, die Dir sicherlich bald *unser* S/MIME-Fachmann hier im Forum geben wird! :wink:


    Ich denke aber ich weiß was Du Dir vorstellst.
    Es soll wohl so etwas Ähnliches wie Meta-Introducer bzw. Trusted-Introducer aus PGP sein.
    (Jedoch muß auch dort der Betreffende zumindest einmal dem Schlüssel des *Introducers* das Vertrauen aussprechen!)
    Ob es sowas auch bei S/MIME gibt kann ich Dir leider nicht sagen! - Zumindest bei gewissen Zertifikaten habe ich da meine Zweifel.


    MfG ... Vic

  • Danke Vic~ :-)


    Hi dida259,


    ich weiß, was du meinst und kenne so etwas auch aus meiner eigenen beruflichen Tätigkeit. Auch wenn ich jetzt nicht speziell auf den Thunderbird eingehen kann - denn da weiß ich wirklich nicht wie man das realisiert. Kann dir also deine eigentliche Frage nicht beantworten.


    Fakt ist aber, mit einem kommerziellen Mailprogramm (L*N*) und einem geeigneten Krypto-Plugin ist folgendes möglich:
    - neben viiiiielen anderen Benutzerdaten liegen alle Zertifikate auf einem zentralen LDAP-Server
    - ebenso die Sperrlisten
    - auf dem Client befinden sich nur die root-Zertifikate der vertrauenswürdigen Herausgeber (*) und natürlich der privat-key sowie das Zertifikat (selbstverständlich auf Chipkarte ...).
    - die Zertifikate der Adressaten werden automatisch vom LDAP geladen. Du musst sie also nicht vorher austauschen.
    - viele weitere Funktionen, wie Zertifikatsprüfungen, ocsp-Responder usw. will ich nur der Vollständigkeit halber erwähnen.


    Damit ist also das von dir vorgesehene prinzipiell möglich. Wie du das allerdings im TB realisierst, weiß ich nicht. Ich bin eben "nur" der Spezialist für Kryptologie und IT-Sicherheit und kein besonders guter Kenner der tiefen Innereien unseres Thunderbird :-)


    Allerdings: solltest du einen Weg finden, würde ich mich sehr über eine Info freuen. Ich betreibe nämlich auch schon seit längerer Zeit (neben meiner Tätigkeit in einem richtigen Trustcenter) zu Hause eine kleine (?) Privat-ca ... .


    (*)
    Vic~ : das mit den root-Zertifikaten ist eben der große Unterschied. Vertraue ich dem Herausgeber, dann vertraue ich allen Zertifikaten dieses Herausgebers.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:


    ... das mit den root-Zertifikaten ist eben der große Unterschied. Vertraue ich dem Herausgeber, dann vertraue ich allen Zertifikaten dieses Herausgebers.


    Hallo Peter,


    ja das habe ich schon gesehen (ist ja auch nicht uninteressant) , meine "Bedenken" waren z.B. bei Zertifikaten mit welchen man beispielsweise Verträge abschließen kann ... etc.
    Ist da ein "importiertes" Vertrauen auch statthaft? Sprich geht das?


    MfG ... Vic

  • Hi Vic~,


    auch wenn das jetzt nicht ganz zum Thema des Threats passt ... .
    Wenn du bestimmte Geschäftsfälle elektronisch abwickeln willst, dann benötigst du nach der bestehenden Gesetzeslage ein Zertifikat für eine "qualifizierte Signatur". Das SigG gliedert Signaturen in:
    - einfache Signaturen (nicht näher definiert, rechtlich unwirksam)
    - fortgeschrittene Signaturen
    - qualifizierte Signaturen
    - qualifizierte Signaturen mit Anbieterakkreditierung.


    Nur die beiden letzteren sind der menschlichenen Unterschrift weitestgehend gleichgestellt. Die Anforderungen an die Akkreditierung sind sehr hoch. Das sind sowohl rechtliche, wie auch IT-Sicherheitsanforderungen, wie ich sie in meinem ganzen langen Arbeitsleben in dieser Branche noch nicht kennengelernt habe. Um nicht zu sagen "etwas übertrieben". In DL ist die Bundesnetzagentur für die Akkreditierung zuständig.
    Das bedeutet aber auch (deshalb habe ich das so ausführlich beschrieben ...), dass du grundsätzlich jedem Trustcenter vertrauen darfst, welches diesen Prozess durchlaufen hat und sich "Akkreditiertes Trustcenter" nennen darf. Deren root-Zertifikate kannst du von der Webseite der Bundesnetzagentur runterladen und in das entsprechende (ebenfalls evaluierte!) Programm importieren. Und bei diesem Import musst du diesem Zertifikat bewusst (!) das Vertrauen aussprechen. Der Import kann automatisch geschehen, das Aussprechen des Vertrauens muss bewusst gemacht werden. Das nennen wir auch, den "Vertrauensanker" setzen.


    Alles klar? (Falls weiteres Interesse besteht, stehe ich gern "zu Diensten" :-) )


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    ... dass du grundsätzlich jedem Trustcenter vertrauen darfst, welches diesen Prozess durchlaufen hat und sich "Akkreditiertes Trustcenter" nennen darf. Deren root-Zertifikate kannst du von der Webseite der Bundesnetzagentur runterladen und in das entsprechende (ebenfalls evaluierte!) Programm importieren. Und bei diesem Import musst du diesem Zertifikat bewusst (!) das Vertrauen aussprechen. Der Import kann automatisch geschehen, das Aussprechen des Vertrauens muss bewusst gemacht werden. Das nennen wir auch, den "Vertrauensanker" setzen.{


    Danke Peter,


    ja das war mir klar, daß das deutlich mehr und gewissenhaftere Konsequenzen hat als würde ich "nur" jemanden in mein web-of -trust einbinden! :wink:


    MfG ... Vic

  • ... wobei aber nichts entgegensteht, das auch mir, der nach getaner Arbeit zu Hause eine kleine Privat-ca betreibt, schon recht viele Leute ihr Vertrauen ausgesprochen haben und sich von mir ein (einfaches) Zertifikat geholt haben.
    Wichtig ist doch, dass wir der großen Neugier in der Welt zumindest einen ganz kleinen Riegel vorschieben. Bei der ganz großen Neugier haben wir ja eh keine Chance (ja, du hast richtig gelesen ...).


    Grüße an Wolfgang :-)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    ... . Bei der ganz großen Neugier haben wir ja eh keine Chance (ja, du hast richtig gelesen ...)


    Ja unser "Wolferl" - der *Schnüffel-Schäuble (weiß gar nicht ob das hier erlaubt ist ...) - und nicht *Wolfgang*!
    Der mag wohl all unsere Daten! ...


    Ich denke aber durch die Verschlüselungsmöglichkeiten ist schon ein recht profunder Gewinn getätigt!


    Vor "zu großer Neugier" habe ich keine Bedenken! ~ Ich will aber die Grundrechte gewahrt wissen!
    Leider vergessen unsere Politiker immer wieder:
    „If privacy was outlawed, only outlaws will have privacy“


    Ein Satz der IMCO allen denkenswert erscheinen sollte!


    MfG ... Vic