S/MIME Zertifikatverwaltung und Cert-Server [erl.]

  • Hallo zusammen,


    ich habe soeben mein Zertifikat von der Hochschule bekommen, hab da jedoch noch einige Fragen, deren Antworten ich bisher noch nicht finden konnte.


    *Sicherheit meines Zertifikats:*
    Ich habe das ja jetzt in TB installiert und auch schon erfolgreich signierte und verschlüsselte Mails verschickt. Geht ja wirklich einfach. Jetzt frage ich mich allerdings, ob es da gar keinen Passwortschutz wie bei GnuPG gibt. Ich meine, im Grunde könnte sich doch jetzt jeder, der irgendwie Zugang zu meinem PC bekommt, meine Mails lesen und in meinem Namen welche verschicken, oder?


    *Key-Server:*
    Bei GnuPG gibt es ja sehr einfach zu nutzende Keyserver, wo man sehr schnell und leicht einen Key für den Empfänger bekommen kann. Bei den Zertifikaten hab ich sowas noch nicht gefunden. Ich hab z.B. nur das Verzeichnis von "meiner": CA https://pki.pca.dfn.de/rwth-ca/cgi-bin/pub/pki


    *Import von Zertifikaten:*
    Selbst wenn ich z.B. über die CA ein (öffentliches) Zertifikat finde, kann ich das dann nur über die Möglichkeit "Website=> Import Browser => Export => Import in TB" in TB importieren? Das erscheint mir irgendwie sehr kompliziert. Die GnuPG-Variante mit dem automatischen Import vom Key-Server find ich irgendwie besser. ;-)



    Das waren jetzt die Fragen, die aktuell bei mir aufgekommen sind. Hier lesen ja einige S/MIME-Experten mit, die mir vielleicht weiterhelfen können.


    Schönen Tag noch und schonmal Danke, dass ihr das überhaupt gelesen habt. ;-)


    Stefan


    [EDIT: Keine Ahnung, warum die Formatierung nicht angezeigt wurde]

  • Hi Stefan,


    zu deinen Fragen:


    Zitat von "Stefan_AC"

    *Sicherheit meines Zertifikats:*
    Ich habe das ja jetzt in TB installiert und auch schon erfolgreich signierte und verschlüsselte Mails verschickt. Geht ja wirklich einfach. Jetzt frage ich mich allerdings, ob es da gar keinen Passwortschutz wie bei GnuPG gibt. Ich meine, im Grunde könnte sich doch jetzt jeder, der irgendwie Zugang zu meinem PC bekommt, meine Mails lesen und in meinem Namen welche verschicken, oder?


    Für den Schutz sowohl deiner Konto-Passwörter aber auch deiner privaten Schüssel dient das Master-Passwort des im Thunderbird integrierten Software-Sicherheitsmoduls. Die entsprechenden Dateien werden mit dem Master-PW verschlüsselt.
    Das Passwort, welches du mit deinem Zertifikat (besser: Schlüsseldatei .pfx oder .p12) erhalten oder selbst vergeben hast, ist das so genannte Transport-Passwort. Es dient zum Schutz deines privaten Schlüssels, so lange selbiger noch nicht in irgend ein Sicherheitsmodul importiert wurde. Dann übernimmt dieses zusammen mit dem Master.PW den Schutz.
    Einen weiteren Schutz bietet die Benutzerverwaltung deines Betriebssystems. (Oder hacken bei dir etwa alle auf eine und dem selben Konto herum?)
    Und wenn du wirklich Sicherheit haben willst, die weit über GnuPG hinausgeht, dann musst du dir Zertifikate auf Chipkarte kaufen ... .



    Zitat von "Stefan_AC"


    *Key-Server:*
    Bei GnuPG gibt es ja sehr einfach zu nutzende Keyserver, wo man sehr schnell und leicht einen Key für den Empfänger bekommen kann. Bei den Zertifikaten hab ich sowas noch nicht gefunden. Ich hab z.B. nur das Verzeichnis von "meiner": CA https://pki.pca.dfn.de/rwth-ca/cgi-bin/pub/pki[/b]


    Mir war so, als hätte ich diese Frage erst letztens beantwortet: http://www.linuxforen.de/forum…hp?p=1747939&postcount=12


    Zitat von "Stefan_AC"


    *Import von Zertifikaten:*
    Selbst wenn ich z.B. über die CA ein (öffentliches) Zertifikat finde, kann ich das dann nur über die Möglichkeit "Website=> Import Browser => Export => Import in TB" in TB importieren? Das erscheint mir irgendwie sehr kompliziert. Die GnuPG-Variante mit dem automatischen Import vom Key-Server find ich irgendwie besser. ;-)


    GnuPG ... besser?????
    1. siehe obigen Link
    2. wozu erst in den Browser importieren? Rechtsklick >> Speichern unter ... >> Import in TB


    Zitat von "Stefan_AC"

    Hier lesen ja einige S/MIME-Experten mit, ...


    Ja?


    Zitat von "Stefan_AC"

    ... Danke, dass ihr das überhaupt gelesen habt. ;-)


    Nanana ...


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    Hi Stefan,


    Nabend Peter.


    Zitat von "Peter_Lehmann"


    Für den Schutz sowohl deiner Konto-Passwörter aber auch deiner privaten Schüssel dient das Master-Passwort des im Thunderbird integrierten Software-Sicherheitsmoduls. Die entsprechenden Dateien werden mit dem Master-PW verschlüsselt.
    Das Passwort, welches du mit deinem Zertifikat (besser: Schlüsseldatei .pfx oder .p12) erhalten oder selbst vergeben hast, ist das so genannte Transport-Passwort. Es dient zum Schutz deines privaten Schlüssels, so lange selbiger noch nicht in irgend ein Sicherheitsmodul importiert wurde. Dann übernimmt dieses zusammen mit dem Master.PW den Schutz.
    Einen weiteren Schutz bietet die Benutzerverwaltung deines Betriebssystems. (Oder hacken bei dir etwa alle auf eine und dem selben Konto herum?)


    Nein. Natürlich nicht. Ich dachte, da gibt es noch eine Passwort-Instanz, die in dem Zertifikat enthalten ist. Aber Du hast Recht. Eigentlich reicht das vorhandene.



    Zitat von "Peter_Lehmann"

    Und wenn du wirklich Sicherheit haben willst, die weit über GnuPG hinausgeht, dann musst du dir Zertifikate auf Chipkarte kaufen ... .


    Das ist im Moment wohl nicht nötig.


    Zitat von "Peter_Lehmann"


    Mir war so, als hätte ich diese Frage erst letztens beantwortet: http://www.linuxforen.de/forum…hp?p=1747939&postcount=12


    Damit ist meine Frage auch beantwortet.


    Zitat von "Peter_Lehmann"


    GnuPG ... besser?????


    OK. Ersetze GnuPG durch Enigmail.


    Zitat


    1. siehe obigen Link
    2. wozu erst in den Browser importieren? Rechtsklick >> Speichern unter ... >> Import in TB


    Ich hatte das bei dem o.g. Verzeichnis versucht. Der will das irgendwie nicht speichern. Vielleicht hab ich das auch irgendwie verrafft.


    Zitat von "Peter_Lehmann"


    Ja?


    Ja. Hab ich mal gehört. ;-)


    Vielen Dank für deine Antworten. Die (und die FAQ) haben mich in dieser Thematik in den letzten Tagen sehr viel weiter gebracht.


    Gruss aus Aachen


    Stefan