TC Personal ID

  • Thunderbird-Version: TB 3.1
    Betriebssystem + Version: XP SP3
    Kontenart (POP / IMAP): POP & IMAP
    Postfachanbieter (z.B. GMX): Gmail
    SMIME oder PGP: SMIME & PGP


    Problembeschreibung:


    Hi Forum,


    nachdem ich einige Zeit mit einem selbst erstellten Root-Zertifikat ausgekommen bin, benötigt ein Mailpartner von mir nun doch ein Root-Zertifikat von einer anerkannten Zertifizierungsstelle.


    Da fällt der Blick natürlich gleich mal auf die "TC Personal ID" vom Symantec Trustcenter.


    Hierzu hätte ich zunächst noch folgende Fragen:


    • Reicht die "TC Personal ID" voraussichtlich aus, wenn man ausschließlich S/MIME verschlüsselte E-Mails austauschen will?



    • Bezüglich der Laufzeit: meldet sich das Trustcenter dann von sich aus und bietet einem eine anstehende Verlängerung einer ggf. in Kürze ablaufenden TC Personal ID an, oder muss man sich da selber drum kümmern?



    • Und wenn die TC Personal ID verlängert wurde, muss man das Root-Zertifikat dann seinen ganzen Mailpartnern erneut zusenden -- oder wie findet der Upgrade in diesem Fall statt?


    Vielen Dank schonmal für alle Hinweise bzw. Erfahrungswerte,


    Grüße David.P

  • Hallo David.P,





    Zitat von "David.P"

    nachdem ich einige Zeit mit einem selbst erstellten Root-Zertifikat ausgekommen bin, benötigt ein Mailpartner von mir nun doch ein Root-Zertifikat von einer anerkannten Zertifizierungsstelle.


    Zum Verständnis: Das Root- (dt. "Wurzel-") Zertifikat ist das Zertifikat, also der öffentliche Schlüssel und ein wenig "Drumherum", des jeweiligen Trustcenters. Mit diesem Zertifikat kann dein Mailclient prüfen, ob das Personenzertifikat des Mailpartners wirklich von diesem TrustCenter herausgegeben (signiert) wurde.
    Diese Root- oder Herausgeberzertifikate bietet jedes TrustCenter auf seiner Homepage an.


    Was du haben willst, ist also ein Personen- oder Nutzerzertifikat.


    Zitat

    Da fällt der Blick natürlich gleich mal auf die "TC Personal ID" vom Symantec Trustcenter.


    Ja, das ist eine der Möglichkeiten.


    zu 1.)
    Selbstverständlich reicht ein derartiges Kostnix-Zertifikat für die verschlüsselte E-Mailkommunikation aus.
    Nur, was die Identität des Mailpartners betrifft, da bietet dieses Kostnix-Zertifikat keinerlei Sicherheit! Es erfolgt ja keinerlei Identifizierung der Person bei der Antragstellung. Jedermann kann sich mit einer funktionierenden Dummieadresse so ein Zertifikat holen. Also:
    - Vertraulichkeit: gewährleistet
    - Schutz der Nachricht vor Veränderung: gewährleistet, wenn die Partner auf anderem Weg den Fingerprint austauschen
    - Authentizität der Mailpartner: nur gegeben, wenn sich diese mal "gesehen" haben.


    Und genau das ist der große Unterschied zu einem kostenpflichtigen (!) Zertifikat eines anerkannten TrustCenters. Hier kannst du dich verlassen, dass der Mailpartner "echt" ist. Vermutlich will dein Mailpartner so etwas sehen!


    zu 2.)
    Du bekommst von den Hamburger Kollegen rechtzeitig eine Mail an die im Zertifikat stehende Adresse.
    Dann musst du ganz normal neu beantragen. Je nach "Gutmütigkeit" des Ausstellers ist auch ein einmaliges Übersignieren des bisherigen öffentlichen Schlüssels ("Verlängerung") möglich.


    zu 3.)
    Bei einem "vernünftigen" Mailclient reicht es aus, wenn sich die Mailpartner gegenseitig eine signierte Mail schicken. Dabei werden die Zertifikate importiert. Auch kann jedermann das Zertifikat bei einem seriösen TC von deren Verzeichnisdienst laden.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter und vielen Dank für Deine ausführliche Antwort,


    zu 1.)
    "Kostnix-Zertifikat" trifft es doch nicht ganz, denn die "TC Personal ID" kostet ja durchaus ein bisschen Geld -- oder hab ich da was verwechselt?


    Bezüglich der Anwendung ist es so, dass ich lediglich verschlüsselte Mails mit Leuten austauschen will, mit denen ich seit Jahren zusammenarbeite. Einzig der Punkt "Vertraulichkeit" (bei der Mailübertragung) ist erforderlich, alles andere wird (derzeit) nicht benötigt


    zu 2.)
    o.k., dann muss normalerweise wohl also jeweils ein neues Zertifikat als "Verlängerung" beantragt werden.


    zu 3.)
    Auf der Gegenseite steht ein Unternehmensnetzwerk mit zentralem Kryptographieserver. Dann müsste ich mein verlängertes bzw. neues Zertifikat wahrscheinlich jeweils an den für die Verschlüsselung zuständigen IT-Mitarbeiter schicken.


    Somit werde ich wahrscheinlich jetzt mal so eine "Personal ID" beim Trustcenter beantragen.


    Nochmals Danke,


    Grüße David.P

  • Also jetzt habe ich mir mal eine TC Personal ID ausstellen lassen. Das Zertifikat wurde in den Firefox-Browser installiert, dann von dort als *.p12-Datei exportiert. Diese Datei habe ich wiederum in den Thunderbird importiert.


    Was muss ich nun noch tun, damit mein Mailpartner verschlüsselte Mails mit mir austauschen kann? Die *.p12-Datei kann ich doch nicht einfach so versenden, da diese ja auch meinen privaten Schlüssel enthält, und zudem natürlich mit Passwort gesichert ist. Ich vermute daher, ich muss zuerst eine *.cer-Datei aus der *.p12-Datei exportieren, in welcher dann mein öffentlicher Schlüssel enthalten ist -- nur wie geht das?


    Und warum erscheint mein schönes neues Zertifikat in XCA nun mit lauter roten Warnschildern als nicht vertrauenswürdig?




    Grüße David.P

  • Ich würde mich freuen, wenn sich jemand die obigen Screenshots aus meinem Zertifikat einmal anschauen könnte und mir mitteilen könnte, ob mit diesem Zertifikat voraussichtlich alles in Ordnung ist.


    Was müsste ich jetzt tun, damit mein Mailpartner die von mir verschlüsselten E-Mails lesen kann -- sprich was muss ich dem Mailpartner vorab zusenden?


    Vielen Dank schon vorab für Informationen,


    Grüße David.P