Trustcenter Identitaet kann nicht verifiziert werden :-/

  • Hi,


    ich setzte Thunderbird in Version 2.0.0.17 ein und habe ein Problem mit der digitalen Unterschrift meiner eMails. Ich habe mir von Trustcenter eine "Internet ID" (glaube die meisten hier wissen was das ist bin über euch erst drauf gekommen, halt Klasse 1 Zertifikat zur Bestätigung meiner eMail Adresse) geholt.


    Nach langem Hin- und Her kann ich jetzt endlich eMails signieren und sie werden bei mir selbst auch als signiert angezeigt. Wenn ich allerdings jemand anderem deine so signierte eMail sende meint sein Client (auch Thuderbird) er könne die Signatur nicht verifizieren:


    Zertifikats-Basisbedingungen: Kritisch Ist keine Zertifizierungsstelle.


    Ich habe "TC TrustCenter Class 1 L1 CA III" und "TC Class 1" importiert und vertraut. Wenn ich die beiden importierten Zertifikate jetzt allerdings anschaue kommt "Dieses Zertifikat kann aus unbekannten Gründen nicht verifiziert werden".


    Weiß jemand Rat? Ein Class-1 Zertifikat von TrustCenter wäre ja witzlos wenn der CA nicht standardmäßig von den meisten Clients (zumindest Thunderbird und Outlook) vertraut wird.


    Gruß PeterM

  • "PeterM" schrieb:

    ... Wenn ich allerdings jemand anderem deine so signierte eMail sende meint sein Client (auch Thuderbird) er könne die Signatur nicht verifizieren:
    ... Ein Class-1 Zertifikat von TrustCenter wäre ja witzlos wenn der CA nicht standardmäßig von den meisten Clients (zumindest Thunderbird und Outlook) vertraut wird.


    Hallo PeterM,


    und Willkommen im Forum! :)


    So ganz schlau werde ich da nicht!
    Hat denn der andere mail-Partner da auch *richtig* importiert und vertraut?
    Eine standardmäßige Vertrauenseinstellung gibt es bei keinem mail-Client!
    Auch Zertifikate müssen dort importiert und verifiziert werden.


    Peter_Lehmann hat hier im Forum und in der Hilfe sehr gut, einleuchtend und verständlich geschrieben!
    Lies da mal nach und durchdenke das Problem! ;)


    MfG ... Vic

  • Hallo,
    das sind ja zwei Probleme:


    "PeterM" schrieb:


    Ich habe "TC TrustCenter Class 1 L1 CA III" und "TC Class 1" importiert und vertraut. Wenn ich die beiden importierten Zertifikate jetzt allerdings anschaue kommt "Dieses Zertifikat kann aus unbekannten Gründen nicht verifiziert werden".


    Als was hast Du die Zertifikate importiert? Du musst Sie als "Zertifizierungsstellen" importieren und als "Vertrauen für E-Mail" einstellen.


    Ist das "III" (römisch drei") Zertifikat überhaupt das, mit dem Dein Zertifikat ausgestellt wurde? Aktuell ist inzwischen " "1.11 ... Class 1 .. VI" (Stand 2008-10)

    "PeterM" schrieb:


    Wenn ich allerdings jemand anderem deine so signierte eMail sende meint sein Client (auch Thuderbird) er könne die Signatur nicht verifizieren:


    Dann fehlt in dessen Email-Programm auch das Zertifikat des Trustcenters.


    "PeterM" schrieb:


    Ein Class-1 Zertifikat von TrustCenter wäre ja witzlos wenn der CA nicht standardmäßig von den meisten Clients (zumindest Thunderbird und Outlook) vertraut wird.

  • Hi,


    erstmal danke fuer die Antworten und sorry das ich so lange nicht geantwortet habe. Ich bin davon ausgegangen, dass ich per eMail benachrichtigt werde und dachte schon mir antwortet keiner :redface:



    Zitat

    Hat denn der andere mail-Partner da auch *richtig* importiert und vertraut?
    Eine standardmäßige Vertrauenseinstellung gibt es bei keinem mail-Client!
    Auch Zertifikate müssen dort importiert und verifiziert werden.


    Nein aber das waere das nicht ziemlich bloed wenn mein eMail-Partner die Zertifikate erst auch noch importieren und ihnen vertrauen muesste? Dafuer gibt es doch eben bekannte Zertifikatsstellen, dass diesen standardmaessig vertraut wird. TrustCenter wird doch bestimmt nicht allen ihren Kunden sagen ,,und wenn sie jetzt eMails schreiben wollen muessen Sie alle Ihre Kontakte dazu bewegen uns manuell zu vertrauen''.


    Firefox z.B. bringt doch auch eine Reihe von Zertifikaten mit (genauso wie Thunderbird) denen vertraut wird.



    Zitat


    Als was hast Du die Zertifikate importiert? Du musst Sie als "Zertifizierungsstellen" importieren und als "Vertrauen für E-Mail" einstellen.


    Ist das "III" (römisch drei") Zertifikat überhaupt das, mit dem Dein Zertifikat ausgestellt wurde? Aktuell ist inzwischen " "1.11 ... Class 1 .. VI" (Stand 2008-10)


    Ich dachte schon, hier mal die genauen Informationen:


    http://i38.tinypic.com/5y6kab.png
    http://i38.tinypic.com/b4yj69.png
    http://i35.tinypic.com/mhr68y.png



    Zitat

    Dann fehlt in dessen Email-Programm auch das Zertifikat des Trustcenters.


    Siehe oben. Welchen Sinn macht eine Zertifizierungsstelle gegenueber einem selbst unterschriebenen Schluessel wenn man ihr doch noch manuell vertrauen muss.



    Evtl. liesse sich das Problem klaeren wenn ich jemandem eine Testemail zukommen lassen kann?

  • "PeterM" schrieb:


    Ich dachte schon, hier mal die genauen Informationen:


    Bitte auch ein Bild des EMail-Zeritifkats.

    "PeterM" schrieb:


    Siehe oben. Welchen Sinn macht eine Zertifizierungsstelle gegenueber einem selbst unterschriebenen Schluessel wenn man ihr doch noch manuell vertrauen muss.


    Das ganze System funktioniert nur, wenn Du einer Zertifzierungsstelle vertraust. [Philosphisch: Aber woher soll ein Programm wissen, was "Vertrauen" ist? Ein Programm kennt kein "Vertrauen".] Du vertraust darauf, dass die Zertifizierungsstellen vertrauenswürdig sind, deren Zertifikate im Programm als "vertrauenswürdig" eingetragen sind. Wenn der Hersteller des Programms eine Zertifizierungsstelle aber gar nicht kennt oder nicht einträgt (bspw. die CA einer Firma), dann sind die Zeritfikate, die diese CA ausstellt, aus Sicht des Programms auch nicht "vertraunswürdig".


    Der Unterscheid zu einem selbstsignierten Zertifikat ist: Wenn Du eine Zertifizierungsstelle als vertrauenswürdig einstufst, werden alls Zeritifikate als "gültig" angesehen, die diese Zertifizierungsstelle ausgestellt hat. Bei einem selbstsignierten Zertifikat wird nur diesem einen Zeritfikat vertraut.

  • Hi,



    Zitat

    Bitte auch ein Bild des EMail-Zeritifkats.


    http://i35.tinypic.com/mhr68y.png <-- Das ist das Bild des Zertifikates welches ich zum signieren von eMails benutze.



    Zitat

    Das ganze System funktioniert nur, wenn Du einer Zertifzierungsstelle vertraust. [Philosphisch: Aber woher soll ein Programm wissen, was "Vertrauen" ist? Ein Programm kennt kein "Vertrauen".] Du vertraust darauf, dass die Zertifizierungsstellen vertrauenswürdig sind, deren Zertifikate im Programm als "vertrauenswürdig" eingetragen sind. Wenn der Hersteller des Programms eine Zertifizierungsstelle aber gar nicht kennt oder nicht einträgt (bspw. die CA einer Firma), dann sind die Zeritfikate, die diese CA ausstellt, aus Sicht des Programms auch nicht "vertraunswürdig".


    Also wird Trustcenter standardmaessig nicht von Thunderbird und Outlook vertraut? Welche alternativen (die am besten auch eine "Internet-ID" zum kostenlosen Testen anbieten) gibt es denn?


    Bei VeriSign habe ich nichts entsprechendes gefunden :-/

  • Hallo Peter M,


    also da mußt Du Dich wohl oder übel doch noch tiefer in die Materie einlesen.
    Stichwort: 'Vertrauensanker setzen'.
    Ich hoffe Du hast das interne Wiki gelesen. Es gibt weitere sehr gute Hilfen zum Thema S/MIME im Netz.
    Würdest Du das Thema schon etwas verstehen wäre Dir sonnenklar, daß es unsinnig wäre, wenn TB, Outlook oder O.E. "standardmäßig" hier einem Zertifikat vertrauen würden!
    Das von Dir gezeigte Zertifikat ist "zum kostenlosen Testen" absolut geeignet! ;)


    Auch wenn ich mich da wiederhole und mich unbeliebt mache, die Grundzüge des public-key-Verfahrens müssen halt verstanden werden. Dann wird einem auch schnell vieles klarer.


    MfG ... Vic

  • Hi,


    Zitat

    also da mußt Du Dich wohl oder übel doch noch tiefer in die Materie einlesen.
    Stichwort: 'Vertrauensanker setzen'.
    Ich hoffe Du hast das interne Wiki gelesen. Es gibt weitere sehr gute Hilfen zum Thema S/MIME im Netz.


    Ja die entsprechenden Wiki-Artikel habe ich gelesen, hat mir allerdings nicht wirklich weitergeholfen.



    Zitat

    Auch wenn ich mich da wiederhole und mich unbeliebt mache, die Grundzüge des public-key-Verfahrens müssen halt verstanden werden. Dann wird einem auch schnell vieles klarer.


    Ich bin der Meinung sie verstanden zu haben aber vielleicht hakt es ja irgendwo und du kannst mich erleuchten :-)


    * Ich erstelle mir einen privaten (S1) und einen oeffentlichen (S2) Schluessel, mit dem privaten kann ich Nachrichten verschluesseln, mit dem oeffentlichen entschluesseln.
    * Den oeffentlichen Schluessel (S2) gebe ich nun einer Zertifizierungsstelle welche ihn mit ihrem privaten Schluessel verschluesselt und mir wieder gibt (S2z) wenn mir die Zertifizierungsstelle vertraut (bzw. ich ihr meine Identitaet per Handelsregisterauszug o.ae. offengelegt habe).
    * Wenn ich nun eine Nachricht sende verschluessle ich diese zunaechst mit meinem privaten Schluessel S1 und haenge den Schluessel S2z an.


    Jetzt kommt der meiner Meinung nach entscheidende Punkt, der Gegenueber muss bereits im Besitz des oeffentlichen Schluessels der Zertifizierungsstelle sein (was ich gleichsetze mit ihr vertrauen) um den verschluesselten oeffentlichen Schluessel S2z zu entschluesseln und meinen oeffentlichen Schluessel S2 zu erhalten mit dem es meine Nachricht S1 entschluesseln kann.


    Natuerlich wird nicht die Nachricht selbst verschluesselt sondern eine Art vcard oder sowas wo meine Identitaet drinsteht. Und meiner Meinung nach muss eben das Mailprogramm den oeffentlichen Schluessel der Zertifizierungsstelle bereits besizten (wie es ja auch der Fall bei sehr vielen ist nur eben nicht bei dem Schluessel welcher die Trustcenter "Internet-ID"s signiert).



    Kann mich jemand aufklaeren?

  • "PeterM" schrieb:


    * Den oeffentlichen Schluessel (S2) gebe ich nun einer Zertifizierungsstelle welche ihn mit ihrem privaten Schluessel verschluesselt und mir wieder gibt (S2z) wenn mir die Zertifizierungsstelle vertraut (bzw. ich ihr meine Identitaet per Handelsregisterauszug o.ae. offengelegt habe).


    Naja, die große Richtung stimmt so ungefähr.
    Ein Punkt, den Du gar nicht erwähnt hast, aber wichtig ist: Mit dem Privaten Schlüssel (S1) kannst Du Nachrichten und Dateien signieren. Die Zertifizierungsstelle (CA) erstellt nun ein Zertifikat, indem sie eine "Nachricht" signiert, in der steht »"peterm@irgenwo.de" hat den öffentlichen Schlüssel S2«. Die CA muss Dir dazu gar nicht vertrauen. Die CA hat aber nur dann einen Sinn, wenn Dritte ihr vertrauen können, wenn die CA also nur Zertifikate ausstellt, deren Wahrheitsgehalt sie geprüft hat. Wenn eine CA dies nicht tut, ist sie ganz schnell weg vom Fenster: kein Mensch wir ihr mehr vertrauen, damit sind die Zertifikate, die sie ausstellt, nichts mehr wert, damit bricht das Geschäft zusammen.
    Das steckt hinter Deinem Zertifikat S2z. BT: S2z ist ein schöne Notation, die zeigt, was im Zertifikat steckt.

    "PeterM" schrieb:


    * Wenn ich nun eine Nachricht sende verschluessle ich diese zunaechst mit meinem privaten Schluessel S1 und haenge den Schluessel S2z an.


    Leider völlig falsch! (Unter der Annahmen,dass Du die Mail an einen Anderen schicken willst.) Verschlüsselt wird immer mit dem öffentlichen Schlüssel des Empfängers. D.h. Du musst vertrauen haben, dass Du den richtigen öffentlichen Schlüssel für "iris@anderswo.de" hast. (Wozu Du in S/MIME-Umgebungen ein Zertifikate des Empfängers brauchst, was typischerweise bedeutet, dass Du dessen ausstellende CA vertraust.) Technisch kannst Du aber auch verschlüsseln, wenn Du Dir nicht sicher bist, ob du den richtigen öffentlichen Schlüssel hast. (Siehe PGP Web of Trust, aber das würde hier zu weit führen.)

    "PeterM" schrieb:


    Jetzt kommt der meiner Meinung nach entscheidende Punkt, der Gegenueber muss bereits im Besitz des oeffentlichen Schluessels der Zertifizierungsstelle sein (was ich gleichsetze mit ihr vertrauen) um den verschluesselten oeffentlichen Schluessel S2z zu entschluesseln und meinen oeffentlichen Schluessel S2 zu erhalten mit dem es meine Nachricht S1 entschluesseln kann.


    Das ist leider völlig falsch. Der Empfänger muss im Besitz seines privaten Schlüssels sein, um die Nachricht zu entschlüsseln. Dazu braucht er weder ein Zertifikat des CA noch eines von Dir.


    So das war jetzt Verschlüsselung. Signieren funktioniert "genau andersrum": Zum Signieren verwendest Du immer Deinen privaten Schlüssel. Die Nachricht und die Signatur (Sig2) schickst Du dem Empfänger, zusammen mit Deinem öffentlichen Schlüssel (typischerweise gleich als Zertifikat (S2z)).


    Der Empfänger prüft nun die Signatur in zwei Schritten: 1) Ist die Nachricht (Mail) unverändert und 2) stammt sie von dem, vom dem zu stammen sie vorgibt.
    zu 1) lassen wir hier weg. Einfache kryptographische Magie, spielt hier keine Rolle.
    zu 2) Es könnt nun ja jeder kommen und Iris eine signierte Nachricht schicken. Aber woher weißt sie, dass die wirklich von "peterm@irgenwo.de" kommt? Für Schritt 1 hat sie den Öffentlichen Schlüssel aus der Mail (M2) verwendet. Sie weiß also, dass die Mail vom Besitzer des zugehörigen privaten Schlüssels (M1) die Nachricht signiert hat. Nun hat sie ja das Zertifikat S2z, dass den gleichen öffentlichen Schlüssel enthält (also S2 = M2). Und Sz2 besagt, dass dieser öffentliche Schlüssel "peterm@irgenwo.de" gehört.


    Bis zu diesem Punkt ist die "Nachricht unverändert", aber "stammt von einer nicht vertrauenswürdigen Quelle" (so ungefähr die Meldungen der Mailprogramme).


    So, und nun kommen die CA und das Vertrauen:
    S2z wurde ja von einer CA ausgestellt, also mit einem Schlüssel CA2 signiert. Iris benötigt also zuerst einmal das Zertifikat CA2z, um die Gültigkeit von S2z zuprüfen. Wenn Iris der CA vertraut, dann kann sie annehmen, dass (wie S2z behauptet) S2 zu "peterm@irgenwo.de" gehört und damit (entsprechend Punkt 2) die Nachricht auch von "peterm@irgenwo.de" stammt.
    Welchen CAs Iris vertraut, stellt sie im Mailprogramm ein, indem Sie zu CA2z den Haken "kann Mail-Benutzer identifizieren" setzt. Thunderbird wertet das als "vertrauen".


    "PeterM" schrieb:

    Und meiner Meinung nach muss eben das Mailprogramm den oeffentlichen Schluessel der Zertifizierungsstelle bereits besizten (wie es ja auch der Fall bei sehr vielen ist nur eben nicht bei dem Schluessel welcher die Trustcenter "Internet-ID"s signiert).


    Richtig. Wichtig ist aber, dass der Empfänger das Zertifikat der CA hat und im Mailprogramm als "vertrauenswürdig" gekennzeichnet hat.


    Hoffe, das hat die Verwirrung verkleinert ;-)

  • Hallo PeterM,


    "PeterM" schrieb:

    ... Ich bin der Meinung sie verstanden zu haben ...


    Dem ist bedauerlicherweise nicht so.

    "Hartmut_Goebel" schrieb:


    Leider völlig falsch! Verschlüsselt wird immer mit dem öffentlichen Schlüssel des Empfängers.


    So stimmt es!
    {Auch andere Verständnisprobleme scheinen mir da noch vorzuliegen!}
    Mache es Dir nicht so kompliziert - der Kern der Angelegenheit ist einfach und linear!


    Ich weiß, daß manche die Thematik für sich in einem "munteren" Frage - Antwort - Spiel erarbeiten wollen. Quasi interaktiv - kommunikativ. Oft hört man: ' Dazu sind Foren ja da! '
    Ich (persönlich !) bin beim Thema *Verschlüsselung* nicht dieser Ansicht. Sprich nach meiner Meinung ist es unverzichtbar sich das Thema selbst zu erarbeiten.


    Zumindest mir fehlt simpel und einfach die Zeit (und auch die Lust) allseits Bekanntes zum zigten Male - nur für einen Neuen - durch zu kauen!


    Das Problem bei der Sache ist schon, daß man sich ja dann auch darauf verlässt, daß da *immer* einer da ist, der zeitnah antwortet!
    ~ Damit kann ich nicht dienen.


    Mir ist bekannt, daß das *arrogant* klingt; so ist es nicht gemeint.
    Gerne helfe ich, wenn es wo 'hakt' und ich einen Lösungsweg kenne. Die Grundlagen setze ich nun mal einfach voraus.


    Auch ist S/MIME nicht mein Spezialgebiet, da gibt es sehr viel versiertere Ratgeber in diesem Forum :!:


    MfG ... Vic [ der sich aus diesem Thread zurückzieht :hallo: ]


    /fin

  • Hallo.
    Ich habe auch gesucht nach Verschlüsseln und Unterschrift. Nach langem Lesen und ????? folgendes.
    1. Digitale Unterschrift
    Das ist das Zertifikat von Tristcenter usw.
    Hiermit kannst du deine mail unterschreiben. der Empfänger sieht, du bist der Absender. Name usw.


    2: Verschlüsseln
    Verschlüsselte Mails können unter z. b. 2 Clients, z.b. Mr.A und Mr.B gelesen werden.
    Mr. A sendet eine digital unterschrieben Mail an Mr. B.
    Mr. B. sendet eine digital unterschrieben Mail an Mr. A
    Nachdem beide dem Zertifikat vertrauen, können sie untereinander verschlüsselte Mail austauschen (lesen).
    Verschüsseln bedeutet nur der ein Empfänger kann die Mail lesen, für alle Anderen, die evtl. auch dem Trustcenter vertrauen ist diese Mail nicht lesbar, da verschlüsselt.
    Ich hoffe das war relativ einfach ausgedrückt.
    Gruß anitchen