Signaturprüfung nicht erfolgreich [erledigt]

  • Hallo zusammen!


    ich habe folgendes Problem (Thunderbird 2.0.0.23, Windows XP):


    Ich empfange mit Thunderbird eine Email, die eine smime-Signierte Email als Attachment enthält. Wenn ich die attachte Email öffne, dann erscheint oben rechts das Unterschrift-nicht-gültig Symbol. Wenn ich darauf klicke kommt die folgende Fehlermeldung:


    "
    Digitale Unterschrift ist nicht gültig
    Diese Nachricht enthält eine digitale Unterschrift, aber die Unterschrift ist ungültig. Die Unterschrift stimmt nicht korrekt mit dem Nachrichteninhalt überein. Die Nachricht scheint verändert worden zu sein, nachdem der Absender sie unterschrieben hat. ....
    "


    Wenn ich allerdings die Nachricht bei mir lokal speichere und sie mit 'openssl smime -verify' prüfe, dann wird die Signatur als zum Nachrichteninhalt passend anerkannt. Bei Outlook gibt es übrigens auch ein Problem - vermutlich das gleiche nur mit einer anderen Fehlermeldung.


    Wie kann es kommen, dass bei der Kommandozeilen-Verfifikation etwas anderes herauskommt, als bei Thunderbird? Kennt jemand dieses Problem?


    Hintergrundinfo:
    Ich habe das Zertifikat mit dem die Signatur generiert wurde und dessen root-Zertifikat in Thunderbird importiert, das sollte also kein Problem sein (würde ja auch nicht zur Fehlermeldung passen).


    Alles Gute


    Tim

  • Hi Tim,


    und willkommen im Forum!
    Da hast du mir ja eine echt komplizierte Aufgabe gestellt :-) Ich muss etwas raten und fragen, da ich dieses Problem auch noch nie hatte.


    Du hast also eine signierte Nachricht, in deren Content sich eine als Anhang, also nicht inline, weitergeleitete ebenfalls signierte Nachricht befindet. (=> korrigiere bitte, wenn ich etwas falsch sehe.)
    Die gesamte Nachricht einschl. Anhang wird als gültig geprüft. => das ist ja die normale Reaktion bei S/MIME.


    Der Anhang ist als .eml gespeichert? Wie öffnest du diesen? Einfach so, wie viele Leute aus einem Mailprogramm heraus Anhänge öffnen? (Du weißt, dass man da nie machen sollte, auch wenn es möglich ist?)
    Was passiert, wenn du diesen Anhang ablöst, und danach mit der dafür vorgesehenen Anwendung (wieder der TB) öffnest, oder die Mail in den TB importierst und dann öffnest?


    Ich vermute (!), dass dann die Signaturprüfung der "Anhangsmail" positiv verlaufen wird.
    Aber warum? Gute Frage - ich kann sie dir nicht beantworten ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter!


    Vielen Dank für Deine schnelle Antwort!


    Zitat von "Peter_Lehmann"


    Du hast also eine signierte Nachricht, in deren Content sich eine als Anhang, also nicht inline, weitergeleitete ebenfalls signierte Nachricht befindet. (=> korrigiere bitte, wenn ich etwas falsch sehe.)
    Die gesamte Nachricht einschl. Anhang wird als gültig geprüft. => das ist ja die normale Reaktion bei S/MIME.


    etwas anders: wir haben eine unsignierte Nachricht, die als Attachment eine signierte Nachricht enthält. Beide Nachrichten werden von einer Java-Applikation, entsprechend zusammengesetzt und verschickt.


    Zitat von "Peter_Lehmann"


    Der Anhang ist als .eml gespeichert?


    Ja! (bzw. als .msg, da der Anhang so heißt -- ist allerdings tatsächlich eine plaine Email und nicht das MS-format zum speichern von Emails, das ja auch diese Erweiterung hat)



    Zitat von "Peter_Lehmann"


    Wie öffnest du diesen? Einfach so, wie viele Leute aus einem Mailprogramm heraus Anhänge öffnen?


    Also ich habe zwei Varianten versucht, die das selbe Verhalten (Signaturprüfung schlägt fehl) nach sich ziehen:
    1) unsignierte Nachricht öffnen, dann Doppelklick auf den Anhang (also die signierte Nachricht)
    2) unsignierte Nachricht öffnen, dann "Speichern unter" und dann mit "Datei"->"Gespeichterte Nachricht öffnen" (oder so ähnlich) öffnen


    Zitat von "Peter_Lehmann"


    (Du weißt, dass man da nie machen sollte, auch wenn es möglich ist?)


    Das war mir tatsächlich nicht bewusst. Was ist der Grund dafür?


    Zitat von "Peter_Lehmann"


    Was passiert, wenn du diesen Anhang ablöst, und danach mit der dafür vorgesehenen Anwendung (wieder der TB) öffnest, oder die Mail in den TB importierst und dann öffnest?


    Wenn ich den Anhang ablöse (detach), und sie dann mit TB öffne passiert leider genau das gleiche: die Signaturprüfung schlägt fehl ...
    Was meinst Du mit importieren? Wenn sich das unterschiedlich Verhalten könnte würde ich das auch noch probieren.


    Zitat von "Peter_Lehmann"


    Ich vermute (!), dass dann die Signaturprüfung der "Anhangsmail" positiv verlaufen wird.
    Aber warum? Gute Frage - ich kann sie dir nicht beantworten ... .


    Tja, leider nicht ... mir ist es auch absolut schleierhaft. Scheinbar arbeitet die openssl Prüfung anders als Outlook und TB ... wobei das ja eigentlich IMHO nicht sein sollte. Wirklich komisch.


    Alles Gute


    Tim

  • Hi Tim,


    ich kann das alles leider nicht nachvollziehen. Wir werden mal im Kollegenkreis darüber diskutieren. Praktisch kommt bei uns nämlich so etwas nicht vor. Mal sehen, ob wir eine Idee haben.
    Und wir nutzen auch nicht den TB, sondern LoNo mit einem gesonderten S/MIME-Plugin.


    Mit dem Starten von Anhängen direkt aus einem Mailprogramm ist das so eine Sache.
    Klar geht das, ist ja implementiert in vielen MUA.
    Aber ich mag das nicht und lehne es auch immer öffentlich ab. Zum einen ist es immer noch eine Tatsache, dass ein on-access-Scanner oft nicht die Sicherheit bietet, wie ein on-demand-Scanner. Zum anderen, wenn ich mir so die Abläufe überlege: entschlüsseln, decodieren ins Binärformat, unter Umständen dabei mehrfach durch den Virenscanner laufen lassen, ausführen ... . Und das alles in der empflindlichen Inbox. Ehrlich, mich gruselt dabei.
    Jedenfalls habe ich schon viele Nutzer gehabt, die dabei auf die Schn**** gefallen sind. Die erkennen dann aber auch meine Meinung an ... .


    Zur letzten Methode, Import:
    Mit dem Add-on "ImportExportTools" kannst du .eml wieder importieren. Einzeln und auch in ganzen Ordnern. Klar ist das für dein Problem nicht zumutbar, aber das Ergebnis des Tests einer wieder importierten Mail würde mich schon interessieren.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter!


    habe das mal gerade mit ImportExportTools probiert und die abgetrennte signierte Nachricht in meinen lokalen Posteingang importiert ... beim Öffnen der Nachricht ergibt sich allerdings wieder das gleiche Problem (oder zumindest die gleiche Fehlermeldung).


    Alles Gute


    Tim

  • Hallo zusammen,


    Das Problem war übrigens folgendes: die zum verschlüsseln verwendete SMIME Version wird noch nicht von Thunderbird & Outlook unterstützt. Wir haben auf eine niedrigere Version gewechselt und jetzt tut's.


    Gruß


    Tim