Signatur mit Zeitstempel

  • Hallo


    wir haben vor einiger Zeit mit S/MIME im Firmenumfeld angefangen und sind dabei auf das Problem gestoßen, daß
    korrekt signierte Mails nach Ablauf des verwendeten Zertifikates beim Empfänger als "ungültigt signiert" angezeigt werden. Da wir natürlich unserer Anwender darauf trimmen auf solche Dinge zu achten, die Signatur aber eigentlich gültig ist bzw. zumindest war, ist es schon sehr unschön.
    Die Lösung wären wohl Zeitstempel wie sie z.B. beim Code-Signing oder Qualifizierten Signaturen Anwendung finden (RFC 3161) womit sich die "Gültigkeit" zum Zeitpunkt des Signierens ermitteln läßt. Allerdings habe ich keinerlei Hinweise auf Zeitstempel im Zusammenhang mit S/MIME gefunden :-(
    Ich nehme an das TB also nicht in der Lage ist Zeitstempel auszuwerten, aber weiß jemand Bescheid ob es mit S/MIME überhaupt möglich wäre ohne Verwirrung zu stiften.


    Besten Dank für Hinweise


    Andreas

  • Hallo Andreas,


    und willkommen im Forum!
    Die Feststellung, dass eine el. Signatur nach Ablauf der Gültigkeit des zur Signatur verwendeten Zertifikates als ungültig erkannt wird, ist völlig korrekt. Das wird sich auch nicht vermeiden lassen, zumindest kann man durch Ausnutzung der max. zulässigen Gültigkeitsdauer (Zertifikate auf Chipkarte: max. 3 Jahre) den Zeitraum etwas strecken.


    Bei der Langzeitarchivierung elektronischer Dokumente ist es deswegen erforderlich, diese Dokumente regelmäßig "überzusignieren". Das entfällt natürlich bei Mails, die bereits beim Empfänger vorliegen.


    Der Zeitstempel ist etwas anderes.
    Zum einen stammt der Z. aus der "qualifizierten Signatur". Der Aufwand ist auch entsprechend hoch (Bsp.: Meinberg Zeitserver, Funkuhr und GPS-Uhr ... .) Es werden auch keine Mails auf diese Art markiert, sondern ausschließlich Dokumente. Der Zeitstempel bestätigt, dass dieses Dokument zu genau diesem Zeitpunkt so ausgesehen hat. Allerdings - wenn das verwendete Zertifikat ungültig geworden ist, wird die Signatur wieder als ungültig angezeigt.


    All das ist overkill bei E-Mail. Lt. SigG kommt es ja nicht nur darauf an, dass ein Dokument sachgerecht signiert wird und dass dazu eine "Sichere Signaturerstellungseinheit" (= Chipkarte) verwendet wurde, sondern die gleichen Anforderungen werden auch an die Signaturprüfung gestellt! Nun zeig mir mal, wer einen Mailclient hat, der nach SigG bestätigt wurde. Es soll angeblich ein PlugIn für Ausgugg geben - aber du als Absender weißt das nie. (Ich habe dieses PlugIn auch noch nie gesehen.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo & Danke für die Antwort


    meine Idee war ein Verfahren wie es bei Code-Signing angewendet wird. Wir signieren z.B. Java Applets mit einem gekauften Zertifikat/Key und versehen die Applets zusätzlich mit einem Zeitstempel welcher von diversen CAs per Internet bezogen werden kann siehe z.B. http://mindprod.com/jgloss/timestamp.html. Damit wird auch nach Ablauf des Zertifikates die Code-Signatur als "gültig zum Zeitpunkt der Erstellung" erkannt, da ansonsten die Software nach Ablauf des Zertifikates nicht merh verwendbar wäre. Dies gilt zumindest solange bis die root-CA des Zeitstempels abgelaufen ist also i.d.R deutlich länger. Das System der Zeitstempel ist meiner Meinung nach auch unabhängig von dem deutschen Monstrum QS. Es wäre jedenfalls sehr hilfreich die üblichen Mail Anwender die wir mühsam darauf trimmen Warnmeldungen zu beachten nicht noch mehr zu verwirren.
    Die Frage bleibt allerdings ob in den S/MIME RFCs Platz für Zeitstempel ist.


    Gruß


    Andreas

  • Nochmal zur Erklärung: Es geht nicht um die "qualifizierte elektronische Signatur" nach dt. Recht sondern lediglich um das Einbringen eines signierten Zeitstempels welcher z.B. auch recht einfach per HTTP von einer CA Stelle mit Zeitstempel Server bezogen werden kann. Damit könnte das Problem entschärft werden das die Anwender mit wechselndem Status Ihrer Mails konfrontiert werden. Wir sind z.B. dabei unsere Anwender darauf zu trimmen jegliche Fehlermeldung die mit Signatur/Verschlüsselung zu tun hat an den Support zu melden und das schlimmste was dabei vorkommen kann ist das wir als Hilfestellung "macht nichts, bitte Meldung ignorieren" anbieten müssen :-(

  • Ja, mir ist schon klar, was ihr machen wollt.
    Aber ich kenne kein einziges Mailprogramm, welches dieses beherrscht. Müsste mir jetzt auch erst den RFC ansehen, aber ich kann mich nicht erinnern, dort mal was von Zeitstempel gelesen zu haben.
    Andererseits - ich habe mir gerade mal euer Firmenprofil angesehen - ihr hättet die Fachleute, um ein entsprechendes Add-on zu schreiben ;-)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo


    Danke für die Lorbeeren ;-)


    Tatsächlich hat unser Problem zwei Seiten:
    - Das Einbringen des Zeitstempel: Da wir auf dem Mailgateway signieren (ja nahezu alle Mails :-) und die verwendete Software in Java geschrieben ist, wäre dieses Problem lösbar. Ein Fragezeichen steht wie gesagt bei der sauberen S/MIME Integration, wobei ein Entwickler sich bereits mit "machbar" gemeldet hat, da S/MIME ja ebenfalls auf x509 basiert.
    - Das Überprüfen im Mailclient: Hier kommt z.B. TB ins Spiel, wobei die Überprüfung deutlich einfacher sein sollte als das einbringen, da ja im Prinzip nur folgendes notwendig wäre
    1.) check ob Timestamp CA vertraut bzw. gültig
    2.) check ob Signatur Zertifikat zum Zeitpunkt "Timestamp" gültig war


    Desweiteren wäre es auch interessant zu wissen wie andere KMU mit diesem Problem umgehen oder ob es eher auf der Liste "Warum wir kein S/MIME verwenden" steht...


    Gruß


    Andreas

  • Hallo Andreas,


    sorry, dass ich diesen ur-alten Foren-Beitrag nun nochmal ausgrabe.


    Aber ich habe mich gerade genau dasselbe gefragt wie du:
    Auch ich kenne das Verfahren vom Code-Signing, bei welchem die signierte Datei durch den Zeitstempel selbstverständlich über die Gültigkeitsdauer des Zertifikates hinaus weiterhin gültig bleibt. Mir ist es ein Rätsel, weswegen das bei S/MIME nicht genauso vorgesehen wurde (kann ja nicht so aufwendig sein einen Zeitstempel mit zu signieren).


    Hast du dafür eine Lösung gefunden oder gibt es hier evtl. inzwischen einen entsprechenden Standard, der das Problem löst?


    Beste Grüße
    (auch) Andreas ;-)

  • Hallo,


    nein, leider hat sich nichts in dieser Richtung getan. Es ist immer noch kein Mailclient in Sicht der auch Zeitstempel auswerten könnte und deshalb auch keine Software die sowas in S/MIME integriert. Es bleibt also weiterhin nichts anderes übrig als dem eh schon verständnislos blickenden Endnutzer zu erklären warum die ach so sichere S/MIME e-Mail nach einiger Zeit auf einmal mit einer kreischenden Warnung markiert wird und normale e-Mails nicht :-(
    Eine RFC die sowas regeln würde hab ich ebenfalls noch nicht gesehen.


    Sorry


    Andreas