Wie öffentlichen S/MIME-Schlüssel exportieren? [erledigt]

  • Hallo,


    habe mir bei Thawte ein S/MIME-Zertifikat besorgt. Gerne würde ich auf meiner Internetseite meinen öffentlichen Schlüssel zum Download anbieten (so wie meinen öffentlichen OpenPGP-Schlüssel).


    Wie kann ich nur den öffentlichen Schlüssel exportieren?


    Danke und Gruß,
    ignoramus

  • Hi ignoramus,


    ich sehe da vier Möglichkeiten:


    1. Von jedem _ordentlichen_ Trustcenter kannst du die Zertifikate herunterladen. Alle mir bekannten TC haben eine entsprechende Suchfunktion oder gar einen öffentlichen ldap-Server.


    2. Du installierst dir das Add-on "CertViewerPlus", dieses bietet eine Exportfuktion in verschiedenen Formaten an.


    3. Du schickst eine signierte Mail an einen anderen Empfänger. Dann kann dieser es auch exportieren. Voraussetzung: er hat vorher das Herausgeberzertifikat importiert.


    4. Mit openssl kannst du aus einer Schlüsseldatei das Zertifikat exportieren.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    herzlichen Dank für Deine Antwort! Habe mir die FF-Extension installiert. Das scheint mir der einfachste Weg zu sein. Kannst Du mir noch einen Tipp geben, in welchem Format ich den Schlüssel am besten zur Verfügung stellen sollte, damit möglichst viele Clients etwas damit anfangen können? Und wie kann ich kontrollieren, dass die Datei dann wirklich nur den öffentlichen Schlüssel enthält?


    Danke und Gruß,
    ignoramus

  • Ich hätte mir zwar das Add-on für den Thunderbird installiert ... .
    Gängige Formate für den Zertifikatsexport sind .cer und .der. Du musst unterscheiden zwischen einem Zertifikat und einer Schlüsseldatei (.pfx, .p12). Außerdem musst du bei einem Zugriff auf deinen secret key das Transport-Passwort angeben, mit dem du (hoffentlich) selbigen geschützt hast.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke Dir. Das Übertragen des Zertifikats auf einen anderen Rechner funktioniert mithilfe der exportierten Datei wunderbar.


    Was mich wundert ist, dass TB offenbar verlangt, dass man selbst ein S/MIME-Zertifikat besitzt, um einem anderen eine verschlüsselte E-Mail zu schreiben. Dabei reicht doch - sofern man die Mail nicht auch signieren möchte - der öffentliche Schlüssel des Empfängers.


    Wie wir wissen, verwendet kaum jemand Verschlüsselung. Anders als PGP ist S/MIME aber in den gängigen Clients bereits integriert - die Installation von Plugins wäre nicht notwendig, die Einstiegshürde entsprechend niedrig. Nun wäre es schön, wenn man sagen könnte "Hier ist mein öffentlicher Schlüssel, lies ihn ein und schreibe mir verschlüsselt". Auch wenn ich dann nicht verschlüsselt antworten kann, wäre das doch ein schöner Weg, den Normaluser an die Verschlüsselung heranzuführen. Ihm sagen zu müssen, dass er sich erst einmal selbst ein Zertifikat besorgen muss, legt die Latte doch unnötig hoch.


    Wenn ich mich nicht irre, ist das bei PGP nicht anders. Aber da muss man eh Zusatzsoftware installieren. Auch generiert man sich bei PGP den Schlüssel selbst im Rahmen der Installation. Für die S/MIME-Variante wäre es daher durchaus hilfreich, wenn man ohne eigenes Zertifikat verschlüsseln könnte.


    Gibt es diese Möglichkeit?

  • "ignoramus" schrieb:

    Das Übertragen des Zertifikats auf einen anderen Rechner funktioniert mithilfe der exportierten Datei wunderbar.


    Gehört sich so ... .


    "ignoramus" schrieb:

    Was mich wundert ist, dass TB offenbar verlangt, dass man selbst ein S/MIME-Zertifikat besitzt, um einem anderen eine verschlüsselte E-Mail zu schreiben. Dabei reicht doch - sofern man die Mail nicht auch signieren möchte - der öffentliche Schlüssel des Empfängers.


    Grundsätzlich hast du völlig Recht. Nur zum Verschlüsseln reicht das Zertifikat des Empfängers. Dies verschickst du - wenn der Herausgeber ein offizieller und in den gängigen Programmen bereits gelistet ist - bequem, indem du eine Mail signierst.
    Ich habe es aber noch nicht erlebt, dass jemand verschlüsselt, ohne selbst einen eigenen Schlüssel zu besitzen - ich hatte immer mindestens einen ... . Habe es also auch noch nie mit dem TB getestet. Wobei ich nicht ausschließen will, dass es in den "Innereien" des TB nicht vielleicht eine entsprechende Einstellung dafür gibt. Da bin ich nicht der Experte dafür. Vielleicht mal about:config danach durchforsten.


    "ignoramus" schrieb:

    Wie wir wissen, verwendet kaum jemand Verschlüsselung.


    Ja, aber die Tendenz steigt. Noch dürfen wir es ... .
    Der meiner bescheidenen Meinung nach etwas höhere Aufwand bei der Nutzung von GnuPG scheint keine Rolle zu spielen. PGP/GnuPG war einfach eher für den Privatmann verfügbar. Somit ist dieses Verfahren eben bei den privaten Anwendern der Platzhirsch. Bei Firmen setzt meiner Beobachtung nach langsam ein Umdenken hin zu S/MIME ein. Das hat auch etwas mit der rechtlichen Verbindlichkeit einer qualifizierten Signatur mit X.509-Zertifikaten zu tun. Aber der Prozess verläuft sehr langsam.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    Wobei ich nicht ausschließen will, dass es in den "Innereien" des TB nicht vielleicht eine entsprechende Einstellung dafür gibt. Da bin ich nicht der Experte dafür. Vielleicht mal about:config danach durchforsten.


    Die Überlegung war ja, dass dies auch gänzlich Unerfahrenen ermöglichen würde, zumindest mal verschlüsselt zu versenden, als Einstieg sozusagen. Wenn aber erst eine tief eingreifende Konfiguration erforderlich ist, dann ist das wieder eine Hürde zuviel.


    Vielen Dank für Deine Hilfe!