S/MIME mit Signaturkate fuer qualifizierte Signatur [gelöst]

  • Hallo !
    ich habe hier einen Kartenleser und eine Signaturkarte. Das Produkt heisst S-TRUST
    Mit Outlook funktioniert alles prima,- der Kartenleser wird angesprochen, die CSA-PIN eingegeben und die Mail geht signiert raus. Mit Outlook will ich aber nicht arbeiten!


    TB 2 möchte für den Signaturimport eine PKCS#12 Datei sehen. Die habe ich jedoch nicht. Die CSA-PIN soll ja ueber den sicheren Kartenleser eingegeben werden.
    Auch das Kryptographiemodul siqp11.dll von S-TRUST wird nicht geladen.


    Hat hier jemand TB 2 in dieser Kombination schon einmal benutzt,- oder vergleichbare Kombination?
    S-TRUST Signaturkarte
    REINER SCT Klasse 3 Kartenleser


    fragt
    Gerd
    --

    Einmal editiert, zuletzt von IngGeKo ()

  • Hi Gerd,


    und willkommen im Forum.
    Ich habe zwar hier keinen Kartenleser deines Typs vorliegen und auch keine Karte deines Herausgebers, aber ich habe schon mal etwas über elektronische Signatur gelesen ... .


    Du musst zuerst die so genannte Middleware oder auch Cryptografik-Serviceprovider (CSP) oder das wie auch immer genannte Programm als zusätzliches Kryptografiemodul einbinden (=> Laden). Für viele Anwendungen habe ich die bewusste dll im Kopf, leider nicht für deine. Wenn du die richtige dll erwischt hast, dann kannst du auch deine Karte bzw. deren Zertifikate "sehen". Einfach mit Hilfe des Explorers etwas nach dem Programm suchen und dann auf gut Glück testen. Kannst ja jederzeit wieder entladen. Versuche es mal mit der von dir genannten dll.
    Der CSP bildet vereinfacht gesagt die Brücke zwischen deiner Karte (unterschiedlich je nach Hersteller) und der standardisierten pkcs#11-Schnittstelle.
    Eigentlich wars das dann schon. Der Rest funktioniert wie beim Softwaretoken. Nur dass das dann eben kein pkcs#12 (also Softtoken, .p12 oder .pfx) ist. Du musst einfach auf das dann sichtbare Zertifikat verweisen. Nur den privaten Schlüssel kannst du natürlich weder sehen noch auslesen. Musst du ja auch nicht.


    Kleiner Hinweis:
    Du magst zwar eine SigG-konforme Signaturkarte für die qualifizierte Signatur haben, aber du weißt schon, dass es niemals eine qualifizierte Signatur von eMails geben wird?
    Das SigG stellt in diesem Falle nämlich nicht nur bestimmte sehr hohe Anforderungen an die "sichere Signaturerstellungseinheit" (die Karte), sondern auch an das Anwendungsprogramm auf beiden Seiten. Es gibt imho kein einziges Mailprogramm, welches nach SigG zugelassen ist. Und selbst wenn, kannst du niemals gewährleisten, dass der Empfänger deiner Mail auch ein derartiges besitzt. Es bleibt also automatisch bei der fortgeschrittenen Signatur der Mails. (Aber das ist ja schon was ... .) Selbstverständlich kannst du die angefügten Dokumente mit geeigneter Software qualifiziert signieren.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Peter schrieb:

    Zitat


    Wenn du die richtige dll erwischt hast, dann kannst du auch deine Karte bzw. deren Zertifikate "sehen".


    dann habe ich die richtige DLL erwischt,- mir wir die richtige Seriennummer der Karte angezeigt.
    Nach dem Verfassen einer Nachricht und dem versuch sie zu versenden kommt dann:
    "Ein interner Fehler ist aufgetreten. Die gewünschte OCSP-Funktion kann nicht erfolgreich beendet werden."
    Das heisst:
    Das "Online Certificate Status Protokoll" kann nicht ausgeführt werden.


    Hmmm ?
    Meine Vermutung: Es fehlt ein Link im Zertifikat damit TB weiss wo er fragen soll.
    Konfiguriere ich das das Protokoll nicht ausgeführt wird, kommt die Fehlermeldung:
    ".. das Unterschriftzertifikat konnte nicht gefunden werden"


    Im Zertifikat Manager von TB stehen aber unter /Ihre Zertifikate/ meine Zertifikate.
    "SparkassenCard / Geldkarte mit e:SignCubes certificate 3"
    wieder Hmmm?


    einen freundlichen Gruss
    sendet
    Gerd
    --

  • Zitat von "IngGeKo"

    dann habe ich die richtige DLL erwischt,- mir wir die richtige Seriennummer der Karte angezeigt.


    Glückwunsch :-)


    Zitat von "IngGeKo"

    Nach dem Verfassen einer Nachricht und dem versuch sie zu versenden kommt dann:
    "Ein interner Fehler ist aufgetreten. Die gewünschte OCSP-Funktion kann nicht erfolgreich beendet werden."
    Das heisst:
    Das "Online Certificate Status Protokoll" kann nicht ausgeführt werden.


    Ja grundsätzlich funktioniert das ocsp im Thunderbird. Ich kann jedenfalls unseren nutzen.
    ABER: wenn du den ocsp deines ZDA mit dem Zertifikat deines Empfängers ansprichst, dann muss dieses natürlich auch von deinem ZDA stammen. Also es muss jeweils der richtige ocsp angesprochen werden.
    Bei Zertifikaten (Empfängern) eines einzelnen ZDA kannst du natürlich den ocsp fest eintragen. Bei mehreren musst du auf den internen Link setzen.
    Ob dieser in deinem Z. eingetragen ist, kannst du ja mit dem Betrachten sehr schnell feststellen. Schon mal nachgeschaut?


    Andererseits: ocsp und crl ist eigentlich eine Sache, die man dort lassen sollte, wo sie hin gehört ... . Du solltest dich also fragen, ob du unbedingt die Sicherheit haben musst, ob das Empfängerzertifikat nicht vor dem Ablaufen gesperrt wurde. Ich habe dir ja schon geschrieben, dass es bei Mail max. die fortgeschrittene Signatur gibt.


    Was sagt denn der Verwendungszweck deines Zertifikates? Ist es wirklich für Mailverschlüsselung zugelassen? Das wird im IE mit Zahlen ausgedrückt (30, 80 usw.) und im TB verbal beschrieben.


    Hast du unter Herausgeber (Zertifizierungsstellen) wirklich die Herausgeberzertifikate deines Herausgebers und die der Empfänger importiert? Normalerweise reicht das völlig aus.
    Ich kann dir gern per PN eine Adresse schicken, an welche du mir das Zertifikat schicken kannst. Dann kann ich es mir mal ansehen. (Ist nur ein Angebot.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    vielen Dank für Deine hilfreichen und informativen Rückmeldungen. Wie oft passte die Fehlermeldung nicht zum Problem,- jedenfalls nicht so direkt wie vermutet.


    Ausgehend von Deinem Hinweis, "Verwendungszweck des Zertifikates" habe bei /S/MIME Sicherheit gesehen, das dort "SignCubes certifikate 3" eingestellt war. Im /Zertifikatmanager/Ihre Zertifikate aber die Nummer 1 für das "eMail unterzeichner Zertifikat" angezeigt wurde. Die Umstellung auf "SignCubes certifikate 1" brachte die Lösung.


    Jetzt klappt es mit der Signatur.


    Erholsame Feiertage
    wünscht
    Gerd
    --

  • Ist das eigentlich noch aktuell, dass man keine Mail selbst "unterzeichnen" kann durch eine qualifizierte Signatur?


    Denn wenn man bei http://www.bundesnetzagentur.d…ndungskomponenten_vv.html schaut, gewinnt man den Eindruck, als könne man mit Lotus Notes oder Outlook und dem entsprechenden Anbieter (samt dessen Plugin) doch eine Mail selbst mit einer qualifizierten Signatur versehen. Oder verstehe ich das falsch und es geht technisch (bisher) nicht, so dass man sich auf die qualifizierte Signierung etwa einer angehängten PDF-Datei beschränken muss?


    Ich bin auch etwas verwirrt, weil ich ebenfalls TRUST-IT mit Thunderbird verwende und mich eigentlich ärgert, dass ich die Mails nur mit dem einfachen Zertifikat legitimieren kann, nicht aber mit der qualifizierten Signatur. Die Wurzelzertifikate sind korrekt eingebunden, aber die qualifizierte Signatur kann in Thunderbird nicht verwendet werden, es wird - wie bei dem ursprünglich beschriebenen Problem hier - stets nur das einfachere Zertifikat verwendet.


    Wäre nett, zu dieser Frage nochmals eine aktualisierte Expertenmeinung zu bekommen!


    Gruß, Stefan