Digitale Unterschrift ist nicht gültig

  • Hallo an Alle!


    Ich hoffe, ich bin hier richtig. Mein Problem ist, dass meine unterschriebenen Mails mit einem Kreuz im roten Kreis ankommen. Klickt man den an, kommt folgende Meldung:
    Digitale Unterschrift ist nicht gültig.
    Diese Nachricht enthält eine digitale Unterschrift, aber die Unterschrift ist ungültig. Die Unterschrift stimmt nicht korrekt mit dem Nachrichteninhalt überein. Die Nachricht scheint verändert worden zu sein, nachdem der Absender sie unterschrieben hat. Sie sollten der Gültigkeit dieser Nachricht nicht vertrauen, bevor Sie ihre Inhalte mit dem Absender überprüft haben.
    Unterschrieben von: mein Name
    E-Mail-Adresse: meine Mail-Adresse
    Zertifikat herausgegeben von: a-sign-Token-03


    Ich verwende Thunderbird 3.1.1. unter Windows 7 (Kontoart POP)


    Zur Vorgeschichte: Ich habe meine e-Card (G3) als Bürgerkarte freigeschaltet und kann die entsprechenden Anwendungen (Finanz-Online, Bankgeschäfte, Abfragen bei der PVA, etc.) problemlos nutzen. Nur das e-mal-Signieren klappt nicht. Nach Anfrage bei A-Trust bekam ich folgende Antwort: Unsere Zertifikate sind im Internetexplorer ab WinXP SP2 integriert. Da allerdings Firefox nicht auf das selbe Kryptographie Modul zugreift wie IE, ist es nicht möglich diesen Status zu ermitteln. Wir empfehlen daher die Verwendung des Internetexplorers für die digitale Signatur. Nach meinem nochmaligem Hinweis, dass ich mit Thunderbird arbeite, kam die Antwort: Eventuell können ihnen die a.trust Tools die möglicherweise fehlenden Stammzertifikat in den „Mozilla Zertifikats Store“ hinzufügen. http://www.a-trust.at/xpi/atrusttools/info.asp?lang=GE&ch=1 Wenn ich nun versuche, diesem Rat zu folgen, bekomme ich folgende Meldung: a.trust Certificate Manager 1.4 konnte nicht installiert werden, da es nicht kompatibel mit Firefox 3.6.8 ist. Und im Firefox habe ich ja bereits die Erweiterung a.trust Certificate Manager 1.7 installiert!!!???


    Ich bin total ratlos, noch dazu, da ich ja bereits früher, als die Zertifikate noch auf der Bankomatkarte aufgespielt waren, problemlos signieren konnte.


    Ich hoffe sehr, dass hier jemand Rat weiss und danke schon im Voraus!

  • Hallo crissy,


    gehe in den Zertifikatsspeicher des Internet-Ex und dort nach "vertrauenswürdige Herausgeber" (oder so ähnlich - ich habe keinen I-Ex ...)
    Dort suche die Herausgeberzertifikate von "a-sign-Token-03" oder meinetwegen alle dieser Firma und exportiere diese als extern gespeicherte Datei (.cer, .der, .pem oder was eben möglich ist, meinetwegen auch in allen möglichen Formaten).
    Dann schaue auch noch unter "Zwischenzwertifikate" oder an weiteren Stellen nach.


    NB: Eine jede vertrauenswürdige Zertifizierungsstelle bietet ihre Herausgeberzertifikate auch auf ihrer Webseite zum Download an, und auf allen mir bekannten Signaturkarten sind diese Zertifikate auch gespeichert ... .


    Jetzt öffnest du den Zertifikatsmanager des Thunderbird >> Zertifizierungsstelle und importierst dort die vorher exportierten oder heruntergeladenen Zertifikate. Danach durch "Bearbeiten" das Vertrauen aussprechen. Das wars.



    Damit müssten auf deinem Thunderbird deine signierten Mails korrekt angezeigt werden. Aber noch lange nicht bei Mailpartnern, denen du eine signierte Mail schickst. Denn, wenn du das Herausgeberzertifikat von a-sign-Token erst manuell importieren musst, dann müssen sie es auch, zumindest wenn sie den TB nutzen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vorerst danke für Deine Antwort. Leider hat sie mir nicht weitergeholfen. Ich hatte schon vor meinem Hilferuf ans Forum sämtliche Zertfikate (Stamm + Zwischen) importiert und denen auch das Vertrauen ausgesprochen. Habe trotzdem Deinen Rat befolgt und aus dem IE exportiert und in Thunderbird importiert. Dabei kam jeweils die Meldung: Dieses Zertifikat ist bereits als Zertifizierungsstelle installiert
    Dann habe ich mir noch interessehalber in Outlook ein Mailkonto eingerichtet und von dort eine unterschriebene mail an mich gesandt. Total problemloses Handling im Outlook (ohne Importvorgänge oder Ähnliches). Im "Gesendet"-Ordner gültige Signatur sichtbar. In Thunderbird im "Eingang" wieder die ungültige Signatur. Ich verstehe es nicht !!!
    Ich habe ja leider überhaupt keine Ahnung, was die Einträge bedeuten, aber könnte es eventuell mit den Kryptographie-Modulen zu tun haben? Da steht bei mir folgendes:
    NSS Internal PKCS#11 Module
    Allgemeine Krypto-Dienste
    Software-Sicherheitsmodul
    A-Trust a-sign PKCS#11
    PC/SC
    cyberJack PinPad
    A-Trust Root Store
    Eingebaute Wurzelmodule
    Builtin Object Token


    Vielleicht hat noch jemand eine Idee?

  • Hi,


    Das mit den verschiedenen externen Kryptomodulen
    A-Trust a-sign PKCS#11
    PC/SC
    cyberJack PinPad
    A-Trust Root Store


    wäre auch mein nächster Vorschlag gewesen. Aber auch die sind bei dir schon drin.



    Kannst du denn (zumindest an dich selbst) verschlüsselt senden?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich habe noch nie verschlüsselt gesendet - es jetzt aber einmal ausprobiert. Ich würde sagen, das klappt. Ich weiss nicht, ob es das so normal ist: ich muss mehrmals meinen 4-stelligen PIN eingeben, aber dann ist die mail offen und lesbar.

  • Sehr gut.
    Die PIN schützt den auf der Karte sicher verwahrten privaten Schlüssel. Bei jedem Zugriff auf diesen Schlüssel musst du deine PIN eingeben.


    Beim Signieren verschlüsselst du mit diesem Schlüssel den Hashwert deiner Mail ==> PIN benötigt.
    Beim reinen Verschlüsseln verschlüsselst du die Nachricht mit dem öffentlichen Schlüssel deines Mailpartners und deinem eigenen öffentlichen Schlüssel ==> keine PIN.
    Beim Entschlüsseln benötigst du wieder deinen privaten Schlüssel ==> PIN.
    Und die Signaturprüfung erfolgt wieder mit dem öffentlichen Schlüssel des Absenders ==> also wieder keine PIN erforderlich.


    Was sagt die Signaturprüfung einer durch dich selbst verschlüsselten und signierten Mail (durch TB versandt)?

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • EMW


    ==> Ende meiner Weisheit :-(


    [Jetzt ist der Moment erreicht, wo ich die ganze Nacht am Rechner sitzen würde, bis ich die Lösung gefunden habe ... .]


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Kann ich gut nachvollziehen!


    Vielen Dank für die Mühe!


    Ich schaue mich jetzt einmal bei Mail-Client-Alternativen um.


    Nochmals DANKE und liebe Grüße!

  • Hallo an Alle, speziell an Peter


    jetzt muss ich mich noch einmal melden. Habe inzwischen mehrere Clients ausprobiert und folgendes festgestellt: bei Outlook und Foxmail konnte ich sofort (ohne vorherige Importvorgänge) Mails signieren und die Unterschrift wurde (im jeweiligen Client, aber nicht in Thunderbird) als gültig ausgewiesen. Bei TheBat bekomme ich (nachdem ich wieder alle Stamm- und Zwischenzertifikate installiert habe) beim Versuch eine Mail zu signieren folgende Meldung: You have an S/MIME certificate for "meine Mail-Adresse" but it does not contain a private key required to sign the message Und auch Opera meldet beim Versuch, mein Zertifikat zu importieren: Es ist kein privater Schlüssel zu diesem persönlichen Zertifikat in der Datenbank vorhanden


    Obwohl ich keine Ahnung habe, was ein persönlicher Schlüssel ist, wozu er dient und wie man an einen solchen kommt, vermute ich jetzt einfach einmal, dass auch Thunderbird wegen des Fehlens dieses Schlüssels meckert. Vielleicht wird er ja nur zum Signieren, aber nicht zum Verschlüsseln benötigt. Das würde erklären, warum das Verschlüsseln funktioniert.


    Gibt es dazu möglicherweise Ideen oder Erfahrungen?


    Würde mich über Feedback freuen!

  • Zitat von "crissy"

    Gibt es dazu möglicherweise Ideen oder Erfahrungen?


    Letztere kann ich nicht verleugnen :-)
    An dieser Stelle empfehle ich dir, dich mal mit meinem Beitrag über Mailverschlüsselung und elektronische Signatur in unseren FAQ zu befassen. Das erleichtert eine anschließende Diskussion ungemein, denn solche Bemerkungen, wie

    Zitat von "crissy"

    Obwohl ich keine Ahnung habe, was ein persönlicher Schlüssel ist, wozu er dient und wie man an einen solchen kommt ...


    sagen mir, dass da "gewisse Grundlagen fehlen".


    NEIN, der Thunderbird "hat" deinen persönlichen/privaten/geheimen Schlüssel - oder zumindest den Zugriff darauf.
    JA, da so ziemlich alle Hersteller von kryptologischen Anwendungen "an guter Zusammenarbeit mit M$-Produkten interessiert sind", ist es in Ausgugg & Co kein Problem ... ,
    NEIN, The Bat! und Opera haben (ohne weitere Klimmzüge) keinen Zugriff auf den Key.


    Aber trotzdem weiß ich noch nicht, warum die Signatur mit Thunderbird als falsch eingestuft wird. Ich glaube auch nicht, dass ich das aus der Entfernung hin bekomme, denn da fehlen mir "gewissen Grundlagen".


    Damit meine ich aber keinesfalls "Ideen und Erfahrungen" :-), sondern ein Exemplar eurer Signaturkarte, und was sonst noch dazu gehört. Und bei kryptologischen Anwendungen herrscht eine gewisse "Pingeligkeit" => und das ist auch gut so!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "crissy"

    Obwohl ich keine Ahnung habe, was ein persönlicher Schlüssel ist, wozu er dient und wie man an einen solchen kommt, vermute ich jetzt einfach einmal, dass auch Thunderbird wegen des Fehlens dieses Schlüssels meckert. Vielleicht wird er ja nur zum Signieren, aber nicht zum Verschlüsseln benötigt. Das würde erklären, warum das Verschlüsseln funktioniert.
    Würde mich über Feedback freuen!


    Hallo crissy,


    nicht böse sein - das Feedback heißt: *belesen* :les:


    Nicht um Dich zu ärgern, sondern um Dir Ärger und Zeitverlust zu ersparen! ;)


    MfG ... Vic