Zertifikat-Manager (eigenartiges Verhalten)

  • Hallo zusammen,


    habe vorgestern eine signierte Mail erhalten und es zum Anlass genommen, mich mal wieder mit dem unangenehmen Thema Computer-Sicherheit zu beschäftigen.


    Habe mir bei TC TrustCenter ein Class 1 Zertifikat besorgt und dank der guten Wiki-Beiträge und einiger Foren-Threads auch installieren können.
    Leider habe ich große Schwierigkeiten, Zertifikate anderer Personen zu importieren. Beim Versuch *.cer bzw. *.der Dateien zu importieren passiert nichts!
    Beim Öffnen signierter Mails werden die Zertifikate automatisch importiert.


    Da Outlook-Express eine sehr übersichtliche Zertifikatverwaltung hat, habe ich etwas damit experimentiert und Zertifikate anderer Personen unter Einbeziehung des Zertifizierungspfades exportiert (*.p7b). Diese habe ich dann erfolgreich im TB Zertifikat-Manager importiert.


    [IMG:http://img534.imageshack.us/img534/1553/tbzertifikatimport.png]


    Dazu musste allerdings 3x abgebildete Fehlermeldung weggeklickt werden.


    [IMG:http://img14.imageshack.us/img14/4573/tbzertifikatwebsites.png]


    So sieht dann das Ergebnis aus, nachdem ich die Vertrauenseinstellung bearbeitet habe. (Personen erscheinen unter Websites.)
    Meiner Ansicht nach ist ein vernünftiges Arbeiten mit Zertifikaten so nicht möglich. So kann ich niemanden überzeugen, Zertifikate zu verwenden.
    Die Screenshots entstammen der TB Version 2.0.0.23 (20090812) auf WinXP Pro, die einzige Veränderung bei 3.0.3: in der ersten Zeile wird der Herausgeber der Zertifikate angezeigt (völlig unabhängig auf einem anderen XP Rechner installiert, auch unter Ubuntu 9.04 arbeitet TB nicht anders).


    Habe ich etwas falsch gemacht oder nicht verstanden oder ist TB in diesem Punkt noch nicht so ganz ausgereift?


    Einen sehr wichtigen Punkt habe ich noch gar nicht verstanden: In TB werden verschlüsselte Mails auch verschlüsselt abgelegt. Was passiert nach Ende der Gültigkeitsdauer des Zertifikats, kann man dann die Mail nicht mehr lesen?


    Ich hoffe, der Beitrag ist nicht zu lang geworden. Ich freue mich auf Kommentare.


    Viele Grüße
    huby1691

  • Hi huby1691,


    und willkommen im Forum!


    "huby1691" schrieb:

    Habe ich etwas falsch gemacht oder nicht verstanden ....


    Ja!
    Vor allem, wenn ich das da lese:

    "huby1691" schrieb:

    ... mich mal wieder mit dem unangenehmen Thema Computer-Sicherheit zu beschäftigen.


    Wenn du mit dieser Einstellung an dieses Thema herangehst, dann solltest du einfach darauf verzichten.



    Aber damit hast du mich wieder etwas besänftigt:

    "huby1691" schrieb:

    ... und dank der guten Wiki-Beiträge und einiger Foren-Threads ...


    Dein Problem ist, und das sagt mir die erste Fehlermeldung, dass du entweder nicht das zutreffende Herausgeberzertifikat heruntergeladen und installiert hat, oder das du diesem noch nicht das Vertrauen ausgesprochen hast. Gerade beim TC Hamburg ist es nicht ganz einfach, das richtige Herausgeberzertifikat für die Kostnix-Zertifikate zu finden. Entweder du lädst und importierst einfach alle dort angebotenen Herausgeberzertifikate (das schadet nicht!) oder nur das eine richtige. Und da musst du eben genau hinsehen. Vertrauen nicht vergessen!


    Erst jetzt importierst du das Userzertifikat des Mailpartners. Und zwar unter "... anderer Personen". Diesem Zertifikat brauchst du kein Vertrauen einstellen. Wenn du dem Herausgeber vertraust, vertraust du automatisch auch allen Zertifikaten dieses Herausgebers.
    Und jetzt kommt der Bug (!) ins Spiel, auf den ich in meiner Anleitung auch hingewiesen habe. Wenn du einem Userzertifikat mit Bearbeiten das Vertrauen einstellst, dann rutscht dieses Zertifikat in der Anzeige (!) nach "Serverzertifikate". Es funktioniert aber trotzdem.


    Jetzt müsstest du bei der Anzeige einer signierten Mail die korrekte Signatur angezeigt bekommen.



    "huby1691" schrieb:

    Beim Öffnen signierter Mails werden die Zertifikate automatisch importiert.


    Jedes intelligente Mailprogramm ist in der Lage, im Rahmen der Signaturprüfung das Herausgeber- und das Userzertifikat automatisch zu importieren. Einmal je eine signierte Mail hin- und her geschickt - und schon habe beide Partner ihre (öffentlichen) Zertifikate ausgetauscht.
    Einfacher geht es nicht!
    Zumindest funktioniert das ab den so genannten Zertifikaten für "fortgeschrittenen Signaturen", wo die Herausgeberzertifikate bereits in den Programmen vorinstalliert mitgeliefert werden.
    Die von dir verwendeten "Kostnix-Zertifikate" sind per se nämlich überhaupt nicht vertrauenswürdig. Deshalb musst du bewusst das Vertrauen einstellen. (All das habe ich in mehreren Beiträgen ausführlich behandelt, auch was hier der Begriff des "Vertrauens" bedeutet, deshalb heute nicht ... .)


    "huby1691" schrieb:

    Da Outlook-Express eine sehr übersichtliche Zertifikatverwaltung hat, ...


    1. Ausgugg-Schnell besitzt überhaupt keine eigene Zertifikatsverwaltung, Ebensowennig wie Ausgugg-Maximus oder der IE.
    2. Es wird der zentrale Zertifikats- und Schlüsselspeicher des Betriebssystems verwendet.
    3. Ich weiß nicht, was an diesem übersichtlicher sein soll, als an dem Zertifikatsmanager des TB oder des FF. Vielleicht anders beschriftet.
    4. Es gibt gute Gründe, warum Mozilla einen eigenen Zertifikatsspeicher und überhaupt eine eigene Kryptoengine verwendet. Zum einen funktionieren TB und FF nicht nur auf der WinDOSe, sondern auch unter Linux, dem Mac und weiteren, zumeist unixoiden Betriebssystemen. Diese haben keinen Microsoftschen Zertifikatsspeicher. Zum anderen ist mir eine "Kryptologie", welche weil Opensource und durch jeden der sich damit auskennt nachvollziehbar zu untersuchen, viel lieber als die nicht untersuchbare Funktion von Microsoft. Hier muss ich dem Hersteller des Betriebssystems glauben. Und "Glauben" ist eine Sache, die in der Kryptologie nicht gilt. (Ich erinnere an den "NSA-Key", welcher irgendwann einmal aufgefallen ist ... .)


    "huby1691" schrieb:

    Meiner Ansicht nach ist ein vernünftiges Arbeiten mit Zertifikaten so nicht möglich. So kann ich niemanden überzeugen, Zertifikate zu verwenden.


    Dazu habe ich oben schon was geschrieben ... .
    Wenn du von einem Trustcenter ein "ordentliches" Zertifikat kaufst (!), dann hast du das Problem mit dem Einstellen des Vertrauens nicht. Zwei signierte Mails - und fertig.
    Und es gibt auch noch die Möglichkeit, beim Export eines Schlüssels die Herausgeberzertifikate mit in den pfx- oder p12-Container zu packen, Dann muss der Benutzer auch nicht suchen, weil diese dann mit automatisch importiert werden. Aber warum sollte ein Trustcenter sich diese Mühe bei den Kostnix-Zertifikaten machen?


    "huby1691" schrieb:

    Einen sehr wichtigen Punkt habe ich noch gar nicht verstanden: In TB werden verschlüsselte Mails auch verschlüsselt abgelegt. Was passiert nach Ende der Gültigkeitsdauer des Zertifikats, kann man dann die Mail nicht mehr lesen?


    Hier kann ich dich beruhigen. Du kannst ein Zertifikat (= öffentlicher Schlüssel) nach dem Ablaufdatum selbstverständlich nicht mehr zum Verschlüsseln verwenden. Dafür gibt es gute kryptologische Gründe (fortschreitende Entwicklung Hard- und Softwaremäßig, welcher mit immer längeren Schlüsseln und neueren Verfahren aber auch dem erzwungenem Schlüsselwechsel entgegengewirkt werden muss.)
    Aber dein eigener Schlüssel funktioniert zum Entschlüsseln alter Mails "ewig".


    "huby1691" schrieb:

    Ich hoffe, der Beitrag ist nicht zu lang geworden.


    Meine Beiträge sind länger :-)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für deine schnelle und ausführliche Antwort.


    "Peter_Lehmann" schrieb:

    huby1691 hat geschrieben:... mich mal wieder mit dem unangenehmen Thema Computer-Sicherheit zu beschäftigen.


    Wenn du mit dieser Einstellung an dieses Thema herangehst, dann solltest du einfach darauf verzichten.


    Das kann doch wohl nicht ganz dein Ernst sein! Wenn ich die Benutzung eines Sicherheitsgurts unangenehm finde, verzichte ich doch auch nicht darauf.
    Sich mit Computer-Sicherheit zu beschäftigen, finde ich unerläßlich, allerdings unangenehm, da unproduktiv. (Ich verdiene mein Geld nicht in diesem Bereich.)


    Nun noch einmal zu meinem Problem:

    "huby1691" schrieb:

    Leider habe ich große Schwierigkeiten, Zertifikate anderer Personen zu importieren. Beim Versuch *.cer bzw. *.der Dateien zu importieren passiert nichts


    Ich möchte einer bei Vattenfall angestellten Person eine verschlüsselte Mail schicken. Von dieser Person kenne ich die Email-Adresse.
    Auf der Webseite http://www.vattenfall.de/pki/ kann ich mir 2 Zertifikate der Vattenfall-Zertifizierungsinstanzen herunterladen.
    Diese importiere ich im TB Zertifikatsmanager unter Zertifizierungsstellen und bearbeite die Vertrauenseinstellungen (3 mal ankreuzen).
    Dann gebe ich auf der Vattenfall-Seite im Suchfeld die Email-Adresse des Mitarbeiters ein und erhalte eine *.cer Datei.
    Die *.cer Datei "importiere" ich nach TB unter Zertifikate anderer Personen.
    Es passiert nichts (kein Eintrag des Zertifikats, keine Fehlermeldung).


    Wie importiere ich die verschähte *.cer Datei trotzdem:
    Ich importiere die Zertifikate der Vattenfall-Zertifizierungsinstanzen sowie die *.cer Personendatei in Outlook-Express.
    Ich exportiere das Personenzertifikat unter Einbeziehung der Zertifizierungsinstanzen (*.p7b Datei).
    Diese *.p7b Datei importiere ich in TB. Dann erscheint die im vorhergehenden Beitrag abgebildete Warnung.
    Dreimal auf OK geklickt (sind ja auch 3 Zertifikate) und im Gegensatz zum Meldungstext ist das Personenzertifikat importiert und kann verwendet werden.


    "Peter_Lehmann" schrieb:

    Jedes intelligente Mailprogramm ist in der Lage, im Rahmen der Signaturprüfung das Herausgeber- und das Userzertifikat automatisch zu importieren. Einmal je eine signierte Mail hin- und her geschickt - und schon habe beide Partner ihre (öffentlichen) Zertifikate ausgetauscht.
    Einfacher geht es nicht!


    Klar ist das die einfachste Möglichkeit, aber es sollte doch auch funktionieren, wie ich es oben beschrieben habe.


    "Peter_Lehmann" schrieb:

    Deshalb musst du bewusst das Vertrauen einstellen. (All das habe ich in mehreren Beiträgen ausführlich behandelt, auch was hier der Begriff des "Vertrauens" bedeutet, deshalb heute nicht ... .)


    Habe ich gelesen, verstanden und finde es genau richtig.


    "Peter_Lehmann" schrieb:

    Es gibt gute Gründe, warum Mozilla einen eigenen Zertifikatsspeicher und überhaupt eine eigene Kryptoengine verwendet.


    Das sehe ich auch so und deshalb beschäftige ich mich auch mit TB. Es ist wichtig, das es konkurrenzfähige Produkte zum Mainstream gibt. Es macht nur keinen guten Eindruck, wenn ein Programm nicht wie erwartet funktioniert. Leider bin ich nicht so ein IT-Crack, dass ich mir jetzt den Quelltext vornehmen kann und die Ursachen untersuchen.


    "Peter_Lehmann" schrieb:

    Aber dein eigener Schlüssel funktioniert zum Entschlüsseln alter Mails "ewig".


    Das heißt aber auch, dass ich nach 5 Jahren 5 geheime Schlüssel habe, wenn ich ältere Mails noch lesen will? (bei einjähriger Gültigkeitsdauer von Kost-nix-Zertifikaten)


    Herzliche Grüße
    huby 1691

  • Hallo,


    Auch wenn ich mit Herrn Benke nicht kommunizieren will, wollte ich es doch wissen ... .
    Herausgeberzertifikat heruntergeladen und installiert => ok.
    Mir die Mailadresse des Herrn B. "ausgedacht", erster Versuch hat geklappt, Zertifikat als .cer heruntergeladen.
    Import nach Thunderbird => Fehlanzeige (wie bei dir).
    Erst als ich mir das Zertifikat im ascii-Format (pem) habe anzeigen lassen und per Zwischenablage in eine .pem kopiert habe, konnte ich es importieren.


    Du hast also alles völlig richtig gemacht!
    Warum der Import der .cer nicht funktioniert hat, weiß ich nicht.
    Ich habe in meinem Zertifikat-Manager insgesamt 281 Userzertifikate importiert. Von dem Trustcenter in dem ich arbeite, von meiner eigenen "Privat-CA", von meinen Hamburger Kollegen und von einer Vielzahl weiterer CA rund um die Welt. Und jeder (!) Import hat so funktioniert, wie ich es beschrieben habe - und wie du es gemacht hast. Egal, ob das Format der, cer oder pem war.


    Ich könnte jetzt weiter suchen. Deswegen extra eine WinDOSe starten usw. Aber jetzt ist Wochenende ... .
    Der "Trick" mit dem pem-Format müsste auch unter Windows funktionieren.


    NB:

    Zitat

    Sich mit Computer-Sicherheit zu beschäftigen, finde ich unerläßlich, allerdings unangenehm, da unproduktiv.


    Stimmt grundsätzlich.
    Aber frage mal die Manager der Firmen, denen durch Industriespionage große Aufträge durch die Lappen gegangen sind. Darüber "spricht man natürlich nicht", aber einige besonders grobe Fälle sind schon ans Tageslicht (in die Presse) gelangt. Es gibt sogar Statistiken darüber, was unserer Wirtschaft auf diese Weise so flöten geht. Und mit "Spionage" meine ich nicht nur bewusstest, aktives Handeln "interessierter Kräfte", sondern auch all das, was durch Dummheit einiger User völlig freiwillig mit unverschlüsselten Mails usw. preisgegeben wird und nur noch "abgeerntet" werden muss.
    Und spätestens an diesem Punkt wird IT-Sicherheit wieder produktiv ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    da bin ich ja froh, dass ich nicht zu blöd zum Lesen bin.
    Mit der *.pem Datei hatte ich es auch schon versucht, ich hatte allerdings die Datei ohne "-----BEGIN CERTIFICATE-----" und "-----END CERTIFICATE-----" erstellt, und das funktionierte dann natürlich nicht. Nun geht´s auch auf der WinDOSe.


    xca habe ich inzwischen auch installiert, da kam beim Versuch eine Vattenfall *.cer Datei zu importieren, eine Fehlermeldung. Als ich jetzt davon einen Screenshot machen wollte, klappte es so. Allerdings sitze ich schon zu lange vor dem Computer und bin mir nicht mehr so ganz sicher, ob ich alles genauso gemacht habe.


    Wie sieht es mit diesem Punkt aus, hast du dazu eine Idee?

    "Peter_Lehmann" schrieb:

    Aber dein eigener Schlüssel funktioniert zum Entschlüsseln alter Mails "ewig".


    Das heißt aber auch, dass ich nach 5 Jahren 5 geheime Schlüssel habe, wenn ich ältere Mails noch lesen will? (bei einjähriger Gültigkeitsdauer von Kost-nix-Zertifikaten)


    So, nun reichts für heute, Kiste ausschalten und noch etwas lesen.


    Viele Grüße
    huby1691

  • "huby1691" schrieb:

    da bin ich ja froh, dass ich nicht zu blöd zum Lesen bin. ...
    ... ich hatte allerdings die Datei ohne "-----BEGIN CERTIFICATE-----" und "-----END CERTIFICATE-----" erstellt, und das funktionierte dann natürlich nicht.


    :-)


    "huby1691" schrieb:

    xca habe ich inzwischen auch installiert, da kam beim Versuch eine Vattenfall *.cer Datei zu importieren, eine Fehlermeldung.


    Mir ist allerdings hier nicht ganz klar, was du damit vor hast. Wieso willst du in eine eigene CA ein fremdes Zertifikat importieren? Welchen Sinn soll das haben?



    "huby1691" schrieb:

    Das heißt aber auch, dass ich nach 5 Jahren 5 geheime Schlüssel habe, wenn ich ältere Mails noch lesen will?


    Das ist völlig korrekt.
    Klar kannst du dir (wenn du selbst CA spielen willst) einen eigenen Schlüssel mit 5 oder 10 Jahren Gültigkeit herstellen. Die Freunde von der GnuPG-Fraktion lassen ihre Schlüssel ja meistens auch ohne Zeitbegrenzung laufen. Empfehlenswert ist das aber nicht.
    Ich lasse bei mir immer "nur" die Schlüssel der letzten 5 Jahre drin. (5 Konten+Aliasse = 15 Schlüssel). Und sollte ich wirklich mal eine uralte Mail aufmachen wollen, dann importiere ich das alte Teil eben wieder. Das Fenster hat einen Scrollbalken :-)
    Auf Arbeit habe ich mittlerweile 4 Chipkarten ... . Aber auch davon habe ich 3 schon lange nicht mehr aus dem Tresor genommen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    "Peter_Lehmann" schrieb:


    huby1691 hat geschrieben: xca habe ich inzwischen auch installiert


    Mir ist allerdings hier nicht ganz klar, was du damit vor hast.


    xca scheint mir ein ganz vernünftiges Tool zur Schlüsselverwaltung unabhängig von TB zu sein. Ich will kein fremdes Zertifikat in eine eigene CA importieren, es soll nur in die Datenbank von xca. Unabhängig davon möchte ich auch eigene Zertifikate erstellen, aber das Projekt kann noch etwas warten.


    Einen schönen Sonntag


    huby1691

  • Edit: Ich habe nicht sinnvolles Vollzitat gekürzt. Mod. graba

    "huby1691" schrieb:


    xca scheint mir ein ganz vernünftiges Tool zur Schlüsselverwaltung unabhängig von TB zu sein. Ich will kein fremdes Zertifikat in eine eigene CA importieren, es soll nur in die Datenbank von xca. Unabhängig davon möchte ich auch eigene Zertifikate erstellen, aber das Projekt kann noch etwas warten.



    Stimmt, xca löst das beinahe perfekt.


    Beste Grüße,
    Faik