Digitale Signatur - Import von Fremdrechner u. Einbindung TB

  • Thunderbird-Version: 11.0.1
    Betriebssystem + Version: Win7 (64-Bit)
    Kontenart (POP / IMAP): IMAP / POP
    Postfachanbieter (z.B. GMX): Strato
    SMIME oder PGP: bisher nicht


    Moin Forum!


    Ich habe eine Frage zum Import von Signaturzertifikaten u. deren Einbindung in TB. Falls das Thema schon behandelt wurde (ich hab's nicht gefunden). bitte "umtackern"


    Zur Frage: Ich verfüge über eine Karte zur Digitalen Signatur von der "die Sparkasse" (S-Trust). Diese Karte nutze ich zur Signatur diverser Dinge im Betriebsablauf in Verbindung mit einem entsprechenden Kartenleser, der LOKAL an einem Arbeitsplatzrechner installiert ist.


    Ich würde nun gerne das auf der Karte hinterlegte Zertifikat mit TB nutzen, das auf einem ANDEREN Arbeitsplatz installiert ist. Kann man das Personenzertifikat von der Karte extrahieren und kopieren / verschieben?


    Die einzige Variante, die ich bisher gefunden habe, ist der Export einer *.cert-Datei. TB möchte aber für die Signatur eine PKCS12-Datei (*.p12 oder *,pfx)


    Grüße
    Holgi

  • allo Holgi,


    schön, dass du dir um den Schutz deiner Privatsphäre Gedanken machst ... .
    Es gibt einen grundsätzlichen Unterschied zwischen einer für die elektronische Signatur zugelassenen Mikroprozessorchipkarte und einem so genannten Softwaretoken (.pfx- oder .p12-Datei).


    Ich kenne jetzt die von den Kollegen von S-Trust produzierten Karten (bzw. die von dir genutzte Variante) nicht. Aber normalerweise ist es so, dass die auf derartigen Karten gespeicherten privaten Schlüssel - im Gegensatz zum Zertifikat, also dem öffentlichen Schlüssel und weiteren Daten, NICHTvon der Karte gelesen werden können. Das geht so weit, dass sämtliche mit dem privaten Schlüssel zu verschlüsselnden Daten (ja, du hast Recht, dass kann nur der Hashwert für die Signatur sein) bzw. die zu entschlüsselnden Daten vom Programm zur Karte geschickt werden, dort im karteneigenen kryptologischen Coprozessor ver- bzw. entschlüsselt werden und wieder von der Karte zum PC geschickt.
    => auf derartigen Karten verlässt der private Schlüssel nie die Karte und ist somit auch nicht zu extrahieren.
    In Verbindung mit der automatischen Sperrung der Karte nach in der Regel 3 Falscheingaben der 6-8stelligen PIN ist das o.g. der große Vorteil einer derartigen Karte.


    Trotzdem kannst du grundsätzlich deine Signaturkarte zur Signatur von Mails und zum Entschlüsseln von an dich gesendeten und mit deinem öffentlichen Schlüssel verschlüsselten Mails verwenden. Auch im Thunderbird ... .


    Da du den privaten Schlüssel nicht extrahieren und wieder importieren kannst, musst du also die Karte mit dem TB bekannt machen.
    Du musst also zuerst das der Karte "beiliegende" Programm installieren. Dieses Programm besteht in der Regel aus mindestens zwei Komponenten: dem eigentlichen Treiber für den Kartenleser und einem so genannten "Cryptografic
    Service Provider" (CSP). Und auf genau diesen kommt es an.


    In extras > Einstellungen > erweitert > Kryptografie-Module musst du jetzt ein neues Modul laden.
    Soweit ganz einfach - nur, du musst jetzt eben dieses Modul finden!
    In der Regel ist das irgend eine DLL aus dem Programmverzeichnis deines "Sparkassenprogrammes", das, was ich oben als CSP erwähnt habe. Einfach austesten ... . Oder einfach mal eine Anfrage an S-Trust stellen.


    Wenn du das gepackt hast, dann kannst du den Inhalt deiner Karte (selbstversändlich nur den öffentlichen Teil, und nicht deinen privaten Schlüssel) sehen und verwenden.
    Dass du dafür an diesem PC einen Kartenleser benötigst, in dem deine Karte stecken muss, erwähne ich nur am Rande ... .


    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!