Win98SE mit TB 2.0.0.16 - Kann nicht entschlüsseln?

  • Hallo Forum, ich hab langsam die Suchfunktion mit meinem Problem ausgeleiert.


    Das Problem:
    Rechner mit WIN98SE - nicht lachen, aber ist einziger Rechner im Netzwerk mit 98SE und Internetzugang, in der Hoffnung, dass hier nicht mehr gehackt wird. Mein wöchentlicher Virenscan hat auch seit Jahren nix mehr angezeigt.


    TB in Vers. 2.0.0.16 neu installiert. Netzzugang i.O. Testmail geht rein und raus.
    Bei TrustCenter Class1 Zertifikat bezogen, Schlüssel generiert und in TB eingebunden.
    Schlüssel der Gegenseite eingebunden. Ich kann Mail verschlüsseln und senden. Gegenseite öffnet und beantwortet die Mail. Die kann ich aber nicht entschlüsseln.


    Wenn ich die gleiche Chose auf dem Laptop mit WinXP(SR3) aufspiele, die backups der Schlüssel installiere, funktioniert das ganze ohne Probs rein wie raus.


    Es hapert also an der Maschine mit dem 98SE.


    Wer kann Tips geben, ob da entweder 98SE-Bugs bekannt sind, oder Tips zur Strategie, wo es klemmen könnte ???


    Den Tip mit dem neuen Betriebssystem (am besten noch LINUX) kenne ich und kann damit wenig anfangen.


    Ich würd schon gerne bei dem 98SE bleiben.

  • Hi Runningtrilo,


    und willkommen im Forum.


    Nun, so lange du hintger einem Router bist und nicht gerade Homebanking betreibst, kannst du ruhig bei deinem 98SE bleiben. Gefällt mir noch immer viel besser als Vista ... .


    Du hast zuerst (!) das richtige Herausgeberzertifikat vom Trustcenter importiert und diesem das Vertrauen ausgesprochen? Wichtig: Es MUSS das root-Z. für class1-Zertifikate sein.


    Danach deine eigene Schlüsseldatei unter "eigene" installiert?
    Wird deren Verwendungszweck angezeigt (dann stimmt das o.g.)


    Hast du in den Konteneinstellungen => S/MIME dein eigenes Zertifikat zum Entschlüsseln und zum Signieren ausgewählt?


    Ja dan müsste es eigentlich funktionieren. Du kannst auch an dich selbst senden um zu testen.


    Wichtig ist bei S/MIME, dass immer alles zueinander passen muss! Hier kommt es auf Exaktehit an. Überprüfe die Fingerabdrücke bzw. die Zertifikatsnummern.


    Das ist übrigens bei allen OS gleich. Bugs bzgl. 98SE sind mir nicht bekannt.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    ich hatte schon Kontakt zu den Leuten vom TrustCenter. Die haben mir die Rootzertifikate per Mail geschickt. Jetzt habe ich die Root-Z, meinen persönlichen Schlüssel und den öffentlichen von der Gegenseite in einem Verzeichnis zum installieren parat, da kann also nix schiefgehen.
    Wenn ich TB auf dem Laptop (WinXP-SR3) laufen lasse, habe ich deshalb genau die gleichen Zertifikate wie auf dem 98SE Rechner. Im Laptop gehts, im 98SE nicht.
    Ich habe auch die Einstellungen von TB und das auszusprechende Vertrauen 1 zu 1 bei beiden Geräten verglichen und der eine tut, der andere nicht.


    Übrigens danke für den Tip mit dem an sich selbst schicken.


    Auch dabei tut die 98SE-Kiste nicht wie sie soll.
    Fehlermeldung - kann nicht entschlüsseln, unbekannte Fehler mit verschlüsselter Nachricht.


    Jetzt habe ich beim testen mit an mich selbst adressierten Mails folgendes gefunden:
    Ich hatte TB so eingestellt, dass er nur die Betreffzeile runterlädt und mich dann zu herunterladen der Nachricht auffordert (Alte Gewohnheit aus T-Online-Zeiten).
    Wenn ich die Nachricht automatisch runterladen lasse, dann kann TB meine eigene Nachricht entschlüsseln.


    Wunder der Technik. Da funzt also was bei der "Nachladerei" der Nachricht und der Entschlüsselung nicht.


    Erstmal danke für die Antwort.
    Runningtrilo

  • Bei S/MIME wird der gesamte Content, also alles was nach der Betreffzeile kommt, zur Signaturprüfung und zum Entschlüsseln benötigt. Oder anders gesagt, es wird im Gegensatz zu PGP der gesamte Content auch verschlüsselt. Also vorher geht da so wie so nichts.
    Ich habe das mit dem alleinigen Download der Headerzeilen noch nicht probiert.


    Du musst also jetzt unter "Herausgeber" genau das gleiche Herausgeberzertifikat haben, wie es als Herausgeber in deinem eigenen Z. enthalten ist.
    Bei den Zertifikaten der Mailpartner ist ein kleiner Trick zu beachten: Wenn du diese nach "Andere" importierst - wo sie ja auch hingehören -, dann sind sie nach dem Aussprechen des 'Vertrauens dort verschwunden und tauchen bei "Websites" auf. Und dort musst du wieder das Vertrauen einstellen. Du solltest also gleich nach "Websites" importieren. Das ist ein kleiner aber folgenloser Bug.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    danke für Erklärungen.
    Die Sache mit der Einstellung TB - nur Betreffzeile runterladen - war es.
    Bei Win98SE ist es das gleiche wie bei WinXP - wenn nur die Betreffzeile kommt,
    kann TB nicht entschlüssel.
    Das heißt, ich muss immer die ganze Nachricht runterladen.


    Wie kann ich mich jetzt am besten vor Viren etc. schützen, wenn ich TB wie oben beschrieben einstellen muss (Nachricht gleich runterladen ).
    Wo sitzen die Viren (ich denke bislang vor allem im Anhang)???


    Für strategisch Tipps währe ich dankbar.


    Nochmal Danke für Hilfe - Ver- und Entschlüsselung funzt jedenfalls.


    Gruß
    Runningtrilo

  • Hi Runningtrilo,


    freut mich, dass es jetzt funktioniert.
    Wenn du dir mal eine (kleine) verschlüsselte und signierte Mail im Quelltext ansiehst, dann kannst du gut nachvollziehen, warum das nur nach dem vollständigen Herunterladen funktioniert. Nur dann ist etwas "da" zur Prüfung der Signatur.


    Zur Problematik mit dem Virenschutz:
    Du hast völlig Recht, der Anhang - auch der evtl. infizierte - befindet sich im so genannten Content der Mail. Das ist der "exakt ausgerichtete" Block nach der Überschrift. Bei Programmdaten sind die Binärdaten etwas umcodiert, so dass sie sowohl ansehbar aber vor allem im Mailprotokoll übertragbar werden.


    Wenn du jetzt dem Virenscanner gestattest, das Mailprofil direkt zu überwachen ("Virenwächter" oder auch "on demand-Scanner" genannt) dann _kann_ passieren, dass dieser in diesem Programmcode die Signatur eines Virus erkennt. Egal, ob diese Erkennung richtig oder eine Fehlinformation des Scanners ist - ein falsch konfigurierter Scanner kann dir dann die komplette mbox-Datei (= einen kompletten Mailordner) völlig zerstören. Bis hin zum "Shreddern" der Datei, wo dann wirklich nichts mehr zu retten ist. Aber auch wenn der Scanner nichts findet, so muss er trotzdem bei jeder Bearbeitung dieser mitunter sehr großen (!) Datei diese durch seine Engine ziehen. Ein enormer Rechenaufwand, welcher sogar zum Stillstand des Systems führen kann.
    (Nebenbei: Ein Vorgang, den so mancher Nutzer nicht verstehen will, und der mitunter sogar zu ausfälligen Äußerungen desselben führen kann ... .)


    Also darfst du niemals den Scanner das Mailprofil überwachen lassen.


    Wie kannst du aber trotzdem deinen Virenschutz organisieren?
    Manche Scanner sind in der Lage, den ein- und ausgehenden Mailtraffic direkt zu scannen. Wenn du den eingehenden Traffic scannen lässt, dann wird der Schadcode erkannt, bevor er in die mbox-Datei geschrieben wird => optimal. Dagegen ist das Scannen des ausgehenden Traffics imho sowohl sinnfrei, als auch sehr problembehaftet!


    Sollte dein Scanner dieses nicht können, so ist das auch kein Problem. Dann ist "der Virus" eben im Posteingang (=> der Datei "inbox") gespeichert. Das allein ist kein Problem! Zum Problem wird es erst, wenn der entsprechende infizierte Dateianhang geöffnet, also gestartet, wird. Dann müsste aber sofort der Scanner reagieren und den Virus erkennen. Aber auch hier kann niemand so richtig sicher sein, dass dabei die mbox-Datei keinen Schaden erleidet. Das ist aber dann kein Schaden durch den Virus, also keine "Verseuchung" des Rechners, sondern eher eine Zerstörung der mbox-Datei durch einen evtl. falsch konfigurierten Virenscanner. Niemand kann das ausschließen ... .


    Deshalb meine drei immer wieder genannten Empfehlungen:
    1.) Einen Anhang immer erst in ein Downloadverzeichnis ablösen, dort manuell scannen und erst dann öffnen!
    2.) Der Posteingang hat immer völlig leer zu sein. Da gehört wirklich nur der gerade hereingekommene Eingang rein. Die gelesenen aufhebenswerten Mails befinden sich in diversen Unterordnern. Wenn dann wirklich mal der Posteingang "zerschossen" wird (denke daran: er befindet sich in vorderster Front!), dann sind nur einige wenige Mails betroffen.
    3.) Den Virenscanner immer so konfigurieren, dass er niemals automatisch "desinfiziert", "reinigt" oder "löscht". Zum einen schützt das mitunter vor Totalverlust, zum anderen kann ein befreundeter Linux- oder Mac-Nutzer oftmals ein verseuchtes Word-Dokument bedenkenlos öffnen und den Inhalt retten.


    Hat also der Scanner in einem Anhang einen Schadcode erkannt, dann löschst du einfach diese Mail und führst eine Komprimierung des betreffenden Mailordners und des geleerten Papierkorbs durch. Erst durch das Komprimieren wird die Mail wirklich aus der jeweiligen mbox-Datei gelöscht.
    Und damit bis du den Virus los, ohne dass er Schaden angerichtet hat.


    Ja, das wären meine strategischen Tipps ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!