Zertifikat-Manager (eigenartiges Verhalten)

Hi huby1691,

und willkommen im Forum!

Zitat von "huby1691"

Habe ich etwas falsch gemacht oder nicht verstanden ....

Ja!
Vor allem, wenn ich das da lese:

Zitat von "huby1691"

... mich mal wieder mit dem unangenehmen Thema Computer-Sicherheit zu beschäftigen.

Wenn du mit dieser Einstellung an dieses Thema herangehst, dann solltest du einfach darauf verzichten.

Aber damit hast du mich wieder etwas besänftigt:

Zitat von "huby1691"

... und dank der guten Wiki-Beiträge und einiger Foren-Threads ...

Dein Problem ist, und das sagt mir die erste Fehlermeldung, dass du entweder nicht das zutreffende Herausgeberzertifikat heruntergeladen und installiert hat, oder das du diesem noch nicht das Vertrauen ausgesprochen hast. Gerade beim TC Hamburg ist es nicht ganz einfach, das richtige Herausgeberzertifikat für die Kostnix-Zertifikate zu finden. Entweder du lädst und importierst einfach alle dort angebotenen Herausgeberzertifikate (das schadet nicht!) oder nur das eine richtige. Und da musst du eben genau hinsehen. Vertrauen nicht vergessen!

Erst jetzt importierst du das Userzertifikat des Mailpartners. Und zwar unter "... anderer Personen". Diesem Zertifikat brauchst du kein Vertrauen einstellen. Wenn du dem Herausgeber vertraust, vertraust du automatisch auch allen Zertifikaten dieses Herausgebers.
Und jetzt kommt der Bug (!) ins Spiel, auf den ich in meiner Anleitung auch hingewiesen habe. Wenn du einem Userzertifikat mit Bearbeiten das Vertrauen einstellst, dann rutscht dieses Zertifikat in der Anzeige (!) nach "Serverzertifikate". Es funktioniert aber trotzdem.

Jetzt müsstest du bei der Anzeige einer signierten Mail die korrekte Signatur angezeigt bekommen.

Zitat von "huby1691"

Beim Öffnen signierter Mails werden die Zertifikate automatisch importiert.

Jedes intelligente Mailprogramm ist in der Lage, im Rahmen der Signaturprüfung das Herausgeber- und das Userzertifikat automatisch zu importieren. Einmal je eine signierte Mail hin- und her geschickt - und schon habe beide Partner ihre (öffentlichen) Zertifikate ausgetauscht.
Einfacher geht es nicht!
Zumindest funktioniert das ab den so genannten Zertifikaten für "fortgeschrittenen Signaturen", wo die Herausgeberzertifikate bereits in den Programmen vorinstalliert mitgeliefert werden.
Die von dir verwendeten "Kostnix-Zertifikate" sind per se nämlich überhaupt nicht vertrauenswürdig. Deshalb musst du bewusst das Vertrauen einstellen. (All das habe ich in mehreren Beiträgen ausführlich behandelt, auch was hier der Begriff des "Vertrauens" bedeutet, deshalb heute nicht ... .)

Zitat von "huby1691"

Da Outlook-Express eine sehr übersichtliche Zertifikatverwaltung hat, ...

1. Ausgugg-Schnell besitzt überhaupt keine eigene Zertifikatsverwaltung, Ebensowennig wie Ausgugg-Maximus oder der IE.
2. Es wird der zentrale Zertifikats- und Schlüsselspeicher des Betriebssystems verwendet.
3. Ich weiß nicht, was an diesem übersichtlicher sein soll, als an dem Zertifikatsmanager des TB oder des FF. Vielleicht anders beschriftet.
4. Es gibt gute Gründe, warum Mozilla einen eigenen Zertifikatsspeicher und überhaupt eine eigene Kryptoengine verwendet. Zum einen funktionieren TB und FF nicht nur auf der WinDOSe, sondern auch unter Linux, dem Mac und weiteren, zumeist unixoiden Betriebssystemen. Diese haben keinen Microsoftschen Zertifikatsspeicher. Zum anderen ist mir eine "Kryptologie", welche weil Opensource und durch jeden der sich damit auskennt nachvollziehbar zu untersuchen, viel lieber als die nicht untersuchbare Funktion von Microsoft. Hier muss ich dem Hersteller des Betriebssystems glauben. Und "Glauben" ist eine Sache, die in der Kryptologie nicht gilt. (Ich erinnere an den "NSA-Key", welcher irgendwann einmal aufgefallen ist ... .)

Zitat von "huby1691"

Meiner Ansicht nach ist ein vernünftiges Arbeiten mit Zertifikaten so nicht möglich. So kann ich niemanden überzeugen, Zertifikate zu verwenden.

Dazu habe ich oben schon was geschrieben ... .
Wenn du von einem Trustcenter ein "ordentliches" Zertifikat kaufst (!), dann hast du das Problem mit dem Einstellen des Vertrauens nicht. Zwei signierte Mails - und fertig.
Und es gibt auch noch die Möglichkeit, beim Export eines Schlüssels die Herausgeberzertifikate mit in den pfx- oder p12-Container zu packen, Dann muss der Benutzer auch nicht suchen, weil diese dann mit automatisch importiert werden. Aber warum sollte ein Trustcenter sich diese Mühe bei den Kostnix-Zertifikaten machen?

Zitat von "huby1691"

Einen sehr wichtigen Punkt habe ich noch gar nicht verstanden: In TB werden verschlüsselte Mails auch verschlüsselt abgelegt. Was passiert nach Ende der Gültigkeitsdauer des Zertifikats, kann man dann die Mail nicht mehr lesen?

Hier kann ich dich beruhigen. Du kannst ein Zertifikat (= öffentlicher Schlüssel) nach dem Ablaufdatum selbstverständlich nicht mehr zum Verschlüsseln verwenden. Dafür gibt es gute kryptologische Gründe (fortschreitende Entwicklung Hard- und Softwaremäßig, welcher mit immer längeren Schlüsseln und neueren Verfahren aber auch dem erzwungenem Schlüsselwechsel entgegengewirkt werden muss.)
Aber dein eigener Schlüssel funktioniert zum Entschlüsseln alter Mails "ewig".

Zitat von "huby1691"

Ich hoffe, der Beitrag ist nicht zu lang geworden.

Meine Beiträge sind länger

MfG Peter

Hallo,

Auch wenn ich mit Herrn Benke nicht kommunizieren will, wollte ich es doch wissen ... .
Herausgeberzertifikat heruntergeladen und installiert => ok.
Mir die Mailadresse des Herrn B. "ausgedacht", erster Versuch hat geklappt, Zertifikat als .cer heruntergeladen.
Import nach Thunderbird => Fehlanzeige (wie bei dir).
Erst als ich mir das Zertifikat im ascii-Format (pem) habe anzeigen lassen und per Zwischenablage in eine .pem kopiert habe, konnte ich es importieren.

Du hast also alles völlig richtig gemacht!
Warum der Import der .cer nicht funktioniert hat, weiß ich nicht.
Ich habe in meinem Zertifikat-Manager insgesamt 281 Userzertifikate importiert. Von dem Trustcenter in dem ich arbeite, von meiner eigenen "Privat-CA", von meinen Hamburger Kollegen und von einer Vielzahl weiterer CA rund um die Welt. Und jeder (!) Import hat so funktioniert, wie ich es beschrieben habe - und wie du es gemacht hast. Egal, ob das Format der, cer oder pem war.

Ich könnte jetzt weiter suchen. Deswegen extra eine WinDOSe starten usw. Aber jetzt ist Wochenende ... .
Der "Trick" mit dem pem-Format müsste auch unter Windows funktionieren.

NB:

Zitat

Sich mit Computer-Sicherheit zu beschäftigen, finde ich unerläßlich, allerdings unangenehm, da unproduktiv.

Stimmt grundsätzlich.
Aber frage mal die Manager der Firmen, denen durch Industriespionage große Aufträge durch die Lappen gegangen sind. Darüber "spricht man natürlich nicht", aber einige besonders grobe Fälle sind schon ans Tageslicht (in die Presse) gelangt. Es gibt sogar Statistiken darüber, was unserer Wirtschaft auf diese Weise so flöten geht. Und mit "Spionage" meine ich nicht nur bewusstest, aktives Handeln "interessierter Kräfte", sondern auch all das, was durch Dummheit einiger User völlig freiwillig mit unverschlüsselten Mails usw. preisgegeben wird und nur noch "abgeerntet" werden muss.
Und spätestens an diesem Punkt wird IT-Sicherheit wieder produktiv ... .

MfG Peter

Zitat von "huby1691"

da bin ich ja froh, dass ich nicht zu blöd zum Lesen bin. ...
... ich hatte allerdings die Datei ohne "-----BEGIN CERTIFICATE-----" und "-----END CERTIFICATE-----" erstellt, und das funktionierte dann natürlich nicht.

Zitat von "huby1691"

xca habe ich inzwischen auch installiert, da kam beim Versuch eine Vattenfall *.cer Datei zu importieren, eine Fehlermeldung.

Mir ist allerdings hier nicht ganz klar, was du damit vor hast. Wieso willst du in eine eigene CA ein fremdes Zertifikat importieren? Welchen Sinn soll das haben?

Zitat von "huby1691"

Das heißt aber auch, dass ich nach 5 Jahren 5 geheime Schlüssel habe, wenn ich ältere Mails noch lesen will?

Das ist völlig korrekt.
Klar kannst du dir (wenn du selbst CA spielen willst) einen eigenen Schlüssel mit 5 oder 10 Jahren Gültigkeit herstellen. Die Freunde von der GnuPG-Fraktion lassen ihre Schlüssel ja meistens auch ohne Zeitbegrenzung laufen. Empfehlenswert ist das aber nicht.
Ich lasse bei mir immer "nur" die Schlüssel der letzten 5 Jahre drin. (5 Konten+Aliasse = 15 Schlüssel). Und sollte ich wirklich mal eine uralte Mail aufmachen wollen, dann importiere ich das alte Teil eben wieder. Das Fenster hat einen Scrollbalken
Auf Arbeit habe ich mittlerweile 4 Chipkarten ... . Aber auch davon habe ich 3 schon lange nicht mehr aus dem Tresor genommen.

MfG Peter