S/MIME mit eigenem Zertifikat

Hallo Jürgen,

und willkommen im Forum!

Zitat von "otto-hh"

Wie viele Stunden muss ich denn noch investieren, um z.B. mit XCA so etwas zu machen?

Die Frage wird dir niemand beantworten können.
Wenn du das Prinzip verstanden hast, ca. 20-30 Minuten ... . Wobei es völlig uninteressant ist, ob du das mit openssl auf der Konsole, mit XCA oder mit dem Programm von abylon realisierst.

Zitat von "otto-hh"

Gibt es keinen einfacheren Weg?

Erst einmal grundsätzlich: Kryptologische Anwendungen sind nie "einfach". Sie sind höchstens mehr oder weniger komfortabel.

Aber auch hier müssen wir wissen, was du konkret vor hast:
A) Willst du nur für dich einen Schlüssel und ein Zertifikat haben, damit du mit anderen verschlüsselt kommunizieren kannst?
B) Benötigst du das für die interne Kommunikation innerhalb einer (kleinen) Firma und max. zu anderen Firman/Personen, die sich kennen?
C) Willst du (so wie ich) es auf dich nehmen und für Freunde, Bekannte, Forenmitglieder usw. massenhaft Zertifikate herstellen?

Einige Lösungen:
zu A)
Hier empfehle ich dir, dass du dir von einem der vielen Anbieter von "Kostnix-Zertifikaten" ein entspr. Z. beschaffst. Für eine private Verschlüsselung reicht es völlig aus, und die Herausgeberzertifikate von vielen Trustcentern sind bereits im Thunderbird und anderen Programmen installiert. Damit umgehst du, dass du allen Mailpartnern immer dein eigenes Herausgeberzertifikat mitsenden musst. Bei den meisten Adressaten stiftest du mit einer signierten Mail eh nur Verwirrung, vor allem, wenn ein unbekannter Herausgeber im Spiel ist ... .
Eine Produktion von selbstsignierten Zertifikaten empfehle ich dir nur, wenn du dich ernsthaft mit diesem Thema auseinandersetzen willst.
Sollte das wirklich der Fall sein, helfe ich dir gern bei weiteren Fragen!

zu B)
Hier ist ein Tool wie XCA u.a. sehr angebracht!
Gerade bei diesem Programm können wunderbar Vorlagen angelegt werden, mit denen ich im Minutentakt Zertifikate erstelle. (Aber für einen einzigen Nutzer, wie gesagt, etwas übertrieben ... .)
Innerhalb eines eingeschränkten Nutzerkreises absolut problemlos. Gegenüber bislang unbekannten Mailpartnern musst du dir eben Gedanken machen, wie du das Herausgeberzertifikat verteilst (Mitsenden, auf der Webseite veröffentlichen usw.)

zu C)
Auch dafür sind Programme wie XCA sehr gut geeignet. Aber irgendwann wird die händische Produktion zu anstrengend ... . Dann gibt es mächtige Programme wie "openCA".
Aber auch hier das Problem mit den Herausgeberzertifikaten. Das Ganze hat auch was mit "Vertrauen" (der anderen in dich) zu tun. Das zu erarbeiten ist ein langer Weg ... .

MfG Peter

Hallo Jürgen,

ok, dann will ich dir wie versprochen etwas helfen.

Zuerst empfehle ich dir, falls noch nicht geschehen, einiges zu diesem Thema von mir zu lesen. (Wer schreibt schon gern doppelt ...).
Letztens hatten wir erst hier das Thema:
https://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=43242
Und ich gehe davon aus, dass du meinen Artikel in den FAQ auch kennst.

Zuerst ein "Herausgeberzertifikat" erstellen. Dieses signiert dann alle weiteren erstellten Zertifikate und ist deshalb besonders schützenswert! Es sollte eine längere Gültigkeit haben, 15 Jahre sind üblich. Es ist selbst signiert.
Und dann erstellst du mit Signatur von diesem die entsprechenden Userzertifikate. Hier ist eine Gültigkeit von 1 bis 3 Jahren angesagt, was zwar im professionellen Bereich Pflicht ist, aber privat natürlich nur eine Empfehlung.

Du solltest dir vorher Templates erstellen, das erspart dann viel Arbeit ... .
Wenn du dir die einzelnen Einstellungen ansiehst, ist das eigentlich fast selbsterklärend ... . Sehr empfehlenswert ist auch noch, wenn du schon in dem Templates und somit auch in den Zertifikaten die Verwendung einschränkst.
Also: das CA-Zertifikat eben nur für diese Funktion (Signieren von Zertifikaten und Sperrlisten), Userzertifikate für Signatur und Verschlüsselung von Mails, evtl. Server- und Clientzertifikate nur für SSL usw. Es darf also nie passieren, dass ein User mit seinem Zertifikat CA spielen kann und jemand mit einem Maschinenzertifikat E-Mails verschlüsselt usw.
Und du solltest auch zu deinem eigenen Schutz eine Bemerkung in der folgenden Art eintragen: XCA generiertes Zertifikat. Nur für "einfache Signaturen" und privaten Gebrauch!
Schlüssellänge 2K ist in Ordnung, viele, aber nicht alle Clients können schon mit 4K umgehen. Und als Hashwert solltest du SHA1 nehmen, weil das alle Clients "können".
Du kannst ja erst einmal hemmungslos spielen - und hinterher die komplette Spiel-CA wieder löschen.

Und noch was Schönes an XCA: Du kannst die Schlüsseldateien als .pfx und mit allen Zertifikaten (mit Z.-Chain) exportieren. Dann ist beim Import das Herausgeberzertifikat schon mit importiert.

Wenn du weitere Fragen hast ... .

MfG Peter

Hallo Jürgen

Kein Problem ... .

pfx und p12 sind beides Schlüsseldateien, beinhalten also den privaten Schlüssel und das Zertifikat.
Du solltest dabei die Version wählen, bei der auch die Herausgeberzertifikate mit in den Container gepackt werden. Also mit Zertifikatchain oder so ähnlich. (Ich kann jetzt nicht nachsehen, da auf Arbeit ... .) Ist aber ausreichend erklärt.

Und die Zertifikate importierst du als cer oder der.

PEM ist ein universelles Format, es gibt es für den privaten und den öffentlichen Schlüssel+Zertifikat. Auch das funktioniert, denn: der Inhalt ist immer der gleiche, nur eben ein anderes Format.

Wenn du Interesse hast, können wir gern gemeinsam testen. Schickst mir per PN deine Adresse, und dann kann ich mir dein Zertifikat ansehen. Ist, wie gesagt, ein Angebot! Ich bin kein Adressensammler ... .

MfG Peter

Hi Jürgen,

zuerst einmal solltest du die Schlüsseldateien als p12 oder pfx exportieren. Dann kann auch niemals passieren, dass du fälschlicherweise eine pem mit privatem Schlüssel im Glauben, dass es sich nur um ein Zertifikat handelt, an einen anderen verschickst.

Dann solltest du immer die Schlüsseldatei mit dem vollständigen Zertifikatchain (= mit den eingebundenen Herausgeberzertifikaten) exportieren. Damit werden diese automatisch mit importiert! Du musst dann nur noch das Vertrauen einstellen.
Alternative: Dem Nutzer seine eigene Schlüsseldatei und die Herausgeberzertifikate schicken. Darauf hinweisen, dass zuerst die Herausgeberzertifikate importiert und denen das Vertrauen ausgesprochen werden muss! (TB: Bearbeiten, Haken setzen). Dann erst die eigenen Schlüsseldatei importieren.

Wenn du die Sache ernsthaft betreiben willst, dann solltest du auch deine Herausgeberzertifikate und dein eigenes Userzertifikat auf deiner Webseite veröffentlichen.

MfG Peter

Na prima, wird doch

Wenn du an jemand eine verschlüsselte Mail senden willst, dann musst du natürlich von diesem auch ein Zertifikat haben.
Test: Mail schreiben, Adresse eingeben und dann auf das S/MIME-Icon klicken. Du siehst deine Einstellungen und du siehst auch, ob für den Empfänger ein Zertifikat vorhanden, also eine Verschlüsselung überhaupt möglich ist.

Es ist DEIN Konto.
Also muss dort DEIN Zertifikat stehen, mit dem du an DICH verschlüsselte Mails entschlüsseln und durch DICH verschickte Mails signieren kannst.
Da du ja wohl nur ein einziges Zertifikat unter "eigene ..." zu stehen hast, kannst du auch nur eines auswählen und zuordnen. Bei beiden Einstellungen kommt das gleiche rein.

Wichtig ist natürlich, dass die im Zertifikat stehenden Daten (der cn und die Mailadresse) mit den Kontodaten übereinstimmen. Die Signatur ist ja die Bestätigung, dass die Mail auch vom eingetragenen Absender stammt. Und zum Entschlüsseln wird auch nach einem zur Mailadresse passenden Zertifikat gesucht.

Hallo Jürgen,

klar darfst du mich weiter fragen. Aber bitte hier im Forum.
Begründung: Ich habe die kleine Hoffnung, dass es stille Mitleser gibt, die vielleicht auch drüber nachdenken, zukünftig ihre Mails (= ihre Privatsphäre!) vor den Augen allzu neugieriger Mitmenschen zu verbergen. Zumindest so lange, wie wir das in Deutschland noch dürfen.

MfG Peter

Zitat von "Peter_Lehmann"

Hallo Jürgen,

klar darfst du mich weiter fragen. Aber bitte hier im Forum.
Begründung: Ich habe die kleine Hoffnung, dass es stille Mitleser gibt, die vielleicht auch drüber nachdenken, zukünftig ihre Mails (= ihre Privatsphäre!) vor den Augen allzu neugieriger Mitmenschen zu verbergen. Zumindest so lange, wie wir das in Deutschland noch dürfen.

MfG Peter

Ja aber als stiller Mitleser wen ich sehe was das für ein Krampf ist bleibe ich doch lieber bei TB mit Enigmail und GnuPG. :zustimm:
Das ist meiner Meinung nach auch der Grund warum so wenig Leute ihre Emails verschlüsseln von den 30-40 Leuten aus meinen Adressbuch sind gerade
mal 3 dabei die ihre Emails verschlüsseln. Wen ich die anderen Frage warum sie das nicht machen kommt als erstes zu Umständlich und Kompliziert, womit sie ja
auch recht haben, oder als andere Antwort das sie keine Geheimen relevanten Sachen über Email schreiben. Sicherlich sollte man sich mit einer Thematik befassen
wen man auch gerne wissen möchte was man da eigentlich macht gebe ich dir völlig recht, aber es sollte auch für Otto Normale möglich sein seine emails zu verschlüsseln
ohne das man gleich tiefer in die Materie eintauchen muss, leider ist das bisher nicht möglich, es gab gute Ansätze wie von Ciphire Labs damals, diese sind aber auch im Sande
verlaufen.

Hallo Vic~,

schön, dass du dich "in unserer Sache" so engagierst.
Ich habe es (zumindest im privaten Umfeld) aufgegeben, Nutzer von der Notwendigkeit der Vertraulichkeit, Integrität und Authentizität ihrer Informationen zu überzeugen. Aber ich helfe gern unt tatkräftig, wenn sich jemand für dieses Thema interessiert. Und ich staune immer wieder, wie sich von Jahr zu Jahr die Zahl derer erhöht, die sich ein Zertifikat von meiner "Privat-CA" holen. Und davon sind die allerwenigsten "IT-Freaks". Ganz im Gegenteil ... .
Ich mache mir also überhaupt keine Sorgen, dass das Interesse zu gering ist. Viel mehr, dass wir eines Tages nicht mehr unsere Privatsphäre durch die Verschlüsselung unserer E-Mails zu schützen dürfen. Entsprechende Bestrebungen kommen leider immer wieder zum Vorschein.

Ach, nebenbei: Wer die hinter GnuPG steckenden Prinzipien richtig verstanden hat, der versteht auch S/MIME

MfG Peter

Zitat von "Vic~"

Ich hoffe nicht, daß Verschlüsselung eines Tages verboten wird; befürchte aber die Bevölkerung wird mehr und mehr zu Dingen wie e-post [*] etc. ... gedrängt.

Ja, was antworte ich hier ... .
Fakt ist,
- dass das Medium E-Mail bei ggw. zwischen 95 und 98% (!) Spam (je nach Quelle) in Bälde nicht mehr benutzbar sein wird.
- dass man dieses Problem mit sicher authentifizierten Nutzern, also in wirklich geschlossenen Nutzergruppen lösen kann
- dass es schon Vorteile bringen wird, wenn "Volk" mit "Behörde", "Firma" usw. sicher, integer und authentisch Nachrichten austauschen kann. Wenn es für uns billiger ist als ein Brief - warum nicht? <= Das wird das Entscheidende sein!
- dass es schon seit vielen Jahren Bestrebungen gibt, uns das Verschlüsseln unserer Nachrichten untersagen zu dürfen, oder zumindest vorher "Staat" unseren Schlüssel "in treue Hände" zu geben. Derartige Ideen hatte schon ein Innenminister Namens Ka***** geäußert. Dann hatten wir einen, den die Tatsache um den Schlaf gebracht hat, dass "Volk" seine Mails verschlüsselt und der die Nachrichten deshalb vor dem Versenden abgreifen will/muss. usw.
- dass "Staat" uns hier natürlich De-Mail als Alternative anbieten wird. Klar, einschließlich des Schlüssels ... .
- dass - " - natürlich hier auch auf die EU hofft. Denn wenn von dort ein entsprechendes Verbot kommt, können wir nicht anders ... .

Also genießen wir die Zeit bis dorthin. Und verschlüsseln wir fleißig unsere kleinen privaten "Geheimnisse". Auch wenn eigentlich überhaupt nichts "geheimes" darin steht. Allein der Gedanke, dass "Unbefugte" unsere Nachrichten nicht ohne weiteres oder zumindest nur mit enormem Aufwand, mitlesen können, macht doch schon Spaß

MfG Peter