Mails standardmäßig an SMIME Empfänger verschlüsseln

  • Thunderbird-Version: 17.0 (Portable)
    Betriebssystem + Version: Windows XP
    Kontenart (POP / IMAP): Egal
    Postfachanbieter (z.B. GMX): Egal
    SMIME oder PGP: SMIME


    Hallo,


    ich habe eben mit XCA herum experimentiert und mir eine experimentelle Schlüssel-Struktur gemacht: Eine CA und einige SMIME Zertifikate.
    Die Verschlüsselung darüber funktioniert soweit. Nun würde ich gern mit einigen Freunden und Bekannten diese Verschlüsselung für unseren künftigen Mailverkehr verwenden.
    Ich kann im Thunderbird bei den Kontoeinstellungen für die SMIME Verschlüsselung nur zwischen den Zwei Optionen wählen:

    • Nie (keine Verschlüsselung verwenden)
    • Notwendig (Senden nur möglich, wenn alle Empfänger ein Zertifikat besitzen)


    Beides trifft es nicht so ganz; Bei GPG bzw. Enigmail gibt's die Option: Verschlüsseln, wenn Möglich (also wenn ein öffentlicher Schlüssel für alle Empfänger vorhanden ist, dann verschlüsseln und sonst nicht). Richtig toll wäre es sogar, wenn ich die Möglichkeit hätte zu sagen: Verschlüssel an die Leute und die Empfänger, von denen ich keinen öffentlichen Schlüssel habe, bekommen die Mail (nach Bestätigungsmeldung) umverschlüsselt.


    Die Empfänger könnten sich ja auch dem gleichen Server befinden (Verschlüsselung nicht unbedingt erforderlich)


    Hintergrund:
    Bisher hatten wir PGP für die Mailverschlüsselung verwendet, aber da zu viele der Beteiligten z.B. mit dem iPhone, Outlook oder jetzt Mac OS X Mountain Lions Mailprogramm Probleme mit PGP haben, wollen wir auf SMIME umsatteln. Das ganze ist für den Hausgebrauch und benötigt keine spezielle Vertrauensstellung, da wir uns die Zertifikate auf mehr oder weniger sicherem Weg und Zuruf installieren. Schön ist es natürlich, wenn das jeweilige Mailprogramm die Zertifikate aus diesem Trust als vertrauenswürdig (oder mindestens vertrauenswürdiger als außerhalb dieses Trusts bzw. der bereits bekannten CA-Struckturen) erkennt und zeigt. Es wäre schade, wenn das Mailprogramm unsere Zertifikate in einen Topf mit unbekannten/unvertrauten Zertifikaten schmeißt...


    Kann mir jemand sagen, wie ich Thunderbird dazu bewegen kann, die Standard Verschlüsselungs Optionen dahingehend zu verändern?
    Ansonsten bin ich auch gern für Tips dankbar.

  • Hallo wiseguy!


    ich freue mich, dass du zur Wahrung deiner/euerer Privatsphäre S/MIME einsetzen willst.
    Das "Problem" mit dem automatischen Verschlüsseln ist ganz einfach zu lösen (und funktioniert auch damit wirklich perfekt!):
    Es gibt zwei Ad-ons, welche das regeln:

    • "Encrypt if possible"
      Wie der Name schon sagt, wenn du für die eingetragene Empfängeradresse ein Zertifikat vorzuliegen hast, wird automatisch verschlüsselt. Du kannst dich auch fragen lassen, ob wirklich verschlüsselt werden soll, aber das habe ich gleich deaktiviert. Bei mir wird verschlüsselt. BASTA.
    • "Security Settungs from Adress book"
      Hier kannst du im Adressbuch > Sonstige > benutzerdefiniertes Feld 1 mit den Schlüsselwörtern "sign" und/oder "crypt" eintragen, für welche Adresse signiert und/oder verschlüsselt werden soll. Auch dieses Add-on macht seine Sache sehr zuverlässig.


    Ich mache das bei mir so, dass ich mit dem ersten Add-on sicher stelle, dass immer verschlüsselt wird. Muss mich also nicht mehr darum kümmern. Und mit dem zweiten Add-on lege ich die Adressen fest, bei denen ich el. signiere. Denn das mache ich zwar bei mehr Adressaten, als ich Nutzerzertifikate vorzuliegen habe - aber ich kann damit einige wenige Ausnahmen machen, bei denen ich die Empfänger nur verwirren würde. Wer nix damit anfangen kann, wird damit auch nicht "belästigt".


    Wichtig ist, dass du in den Konten-Einstellungen zwar deine eigenen Schlüssel auswählst, aber natürlich dort keine Aktionen planst. Das machen die beiden Add-ons.


    Zitat

    Richtig toll wäre es sogar, wenn ich die Möglichkeit hätte zu sagen: Verschlüssel an die Leute und die Empfänger, von denen ich keinen öffentlichen Schlüssel habe, bekommen die Mail (nach Bestätigungsmeldung) umverschlüsselt.


    Ich gehe mal davon aus, dass "umverschlüsselt" = "unverschlüsselt" heißen sollte. (Den ersten Begriff gibt es auch!)
    Das, was du da vor hast, nennt man den größtmöglichen Kryptoverstoß! Also das Schlimmste, was man bei der Anwendung kryptografischer Verfahren machen kann. Tu es bitte nicht! Ansonsten kannst du dir die ganze "Mühe" mit der Verschlüsselung sparen.
    Wenn du es schon nicht schaffst, allen beteiligten Nutzern ein Schlüsselpaar zukommen zu lassen, dann musst du schon die Nachricht - aber bitte mit einer Überschrift, die keinerlei Rückschlüsse auf die verschlüsselte Mail zulässt, und auch angemessen zeitversetzt! - diesen Teilnehmern "offen" zukommen lassen.


    Zitat

    Die Empfänger könnten sich ja auch dem gleichen Server befinden (Verschlüsselung nicht unbedingt erforderlich)


    Na ja, sehe ich eben etwas anders.


    Zitat

    Schön ist es natürlich, wenn das jeweilige Mailprogramm die Zertifikate aus diesem Trust als vertrauenswürdig (oder mindestens vertrauenswürdiger als außerhalb dieses Trusts bzw. der bereits bekannten CA-Struckturen) erkennt und zeigt. Es wäre schade, wenn das Mailprogramm unsere Zertifikate in einen Topf mit unbekannten/unvertrauten Zertifikaten schmeißt...


    Zu diesem Thema sollten wir uns noch einmal gesondert unterhalten. Denke mal, da gibt es noch Verständnisprobleme ;-)


    Zitat

    Kann mir jemand sagen, wie ich Thunderbird dazu bewegen kann, die Standard Verschlüsselungs Optionen dahingehend zu verändern?
    Ansonsten bin ich auch gern für Tips dankbar.


    HTH



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • TB-Version: 17.05
    Betriebssystem: Windows 7
    Kontenart: POP
    Verschlüsselung: SMIME (derzeit in Vorbereitung)


    Hallo Zusammen,


    ich bin neu im Forum und weiß nicht so richtig, wie ich meine Frage als neuen Artikel posten kann. Da ich beruflich eingespannt bin, fehlt mir auch ein wenig die Zeit, alles zu durchforsten. Habt Nachsicht mit mir.


    Auf den hiesigen Artikel kam ich, weil ich gestern genau nach diesem Problem gesucht habe. Ich habe "Encrypt if possible" und "Security Settungs from Adress book" als AddOn gespeichert und wollte die gestern Abend einspielen. Da kam gestern die Meldung: Mit TB-Version nicht kompatibel. Habe es soeben noch mal versucht, da wurde es angenommen. Merkwürdig.


    Ich muss geschäftlich an einige Empfänger verschlüsseln, an andere nicht. Und da ist es mir ein großes Anliegen, dass dies automatisiert eingerichtet werden kann. Ich werde es versuchen, ob das mit den Einrichtungen der AddOns klappt.


    Jetzt aber meine eigentliche Frage:


    Ich habe unter TB zwei Mailkonten eingerichtet. Die Adressen lauten "xy@tomhil.net" und "ab@tomhil.net". Für beide Adressen habe ich - unterschiedliche Zertifikate von TC TrustCenter, die unter meinen persönlichen Zertifikatien in TB auch gespeichert sind. Wenn ich aber in den SMIME-Einstellungen entsprechend der Vorgabe aus dem Forum (siehe nachstehend)


    Installation des eigenen Zertifikates im Zertifikat-Manager


    Dazu ist hier die aus dem Browser exportierte .pfx- oder .p12-Datei mit dem geheimen Schlüssel auszuwählen: Extras > Einstellungen... > Erweitert > Zertifikate > Zertifikate... > Ihre Zertifikate > Importieren Hierbei werden Sie zuerst nach dem Masterpasswort des "Software-Sicherheitsmoduls" und danach nach dem "Transportpasswort" der .pfx- bzw. .p12-Datei gefragt. Voraussetzung für einen erfolgreichen Import ist das Vorhandensein der Herausgeberzertifikate (unter "Zertifizierungsstellen") sowie das ausgesprochene Vertrauen in diese Zertifikate (=> "Bearbeiten").


    Nach dem erfolgreichen Import des eigenen Zertifikates übernimmt das Software-Sicherheitsmodul des Thunderbird durch die Verschlüsselung mit dem Masterpasswort den Schutz des eigenen privaten Schlüssels.
    Einstellen der S/MIME-Sicherheit des Mailkontos


    Jetzt ist die Verknüpfung des Zertifikates mit dem Mailkonto herzustellen. Dazu ist hier das richtige Zertifikat auszuwählen: Extras > Konten... > %Kontenname% > S/MIME-Sicherheit > Digitale Unterschrift


    Das Zertifikat ist sowohl für die digitale Unterschrift (Signatur) als auch für die Verschlüsselung auszuwählen. Die standardmäßige Anwendung der digitalen Unterschrift bei allen Nachrichten ist empfohlen, die standardmäßige Anwendung der Verschlüsselung nur dann, wenn von allen Adressaten ein Zertifikat vorhanden ist.


    die entsprechenden Zertifikate auswählen und speichern möchte, wird immer nur das EINE der beiden Zertifikate angeboten. Was mache ich falsch?


    Ein ziemlicher ratloser Unser :( .


    Herzlichen Dank für einen Tipp.


    Beste Grüße
    Thomas

  • Hallo,


    das Thema hat sich ja eh bald erledigt.
    Das TC Hamburg befindet sich nach eigenen Angaben (nachdem es im Juni 2010 an Symantec verkauft wurde) seit 31. Oktober 2012 im Status „End of Sale“. Noch etwas Support für die Kunden, die für ihr Produkt bezalt haben - und nach dem Auslaufen dieser Zertifikate wird wohl das Licht aus- und ein weiterer dt. Pionier den Bach runter gehen.
    Eigentlich schade.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    ich würde gerne noch einmal den Wunsch nach einer Option unterstützen, bei der man auch "wenn möglich" verschlüsseln kann.


    Ich denke das größte Problem bei der Verbreitung von Verschlüsselung ist die mangelnde Benutzerfreundlichkeit. Und ich finde es untragbar, bei jedem Verfassen von Nachrichten entweder erst die Verschlüsselung einschalten zu müssen, oder jedesmal zu bestätigen, dass die Mail auch tatsächlich nicht verschlüsselt werden soll (wie bei mindestens 90% der Mails).


    Auch eine Lösung über Addons gefällt mir nicht. Diese Option ist nicht so speziell und umfangreich, dass man dies privaten Entwicklern überlassen muss. Im Gegenteil möchte ich bei sicherheitsrelevanten Funktionen nicht unbedingt Drittentwicklern vertrauen müssen.


    Ich habe leider keinen Bereich zu Anregungen gefunden und hoffe, dass mein Post hier an der richtigen Stelle steht. Auf jeden Fall hoffe ich, dass solch eine Option in Zukunft den Weg in die Einstellungen finden wird.


    Vielen Dank und viele Grüße

  • Hallo,
    willkommen im Thunderbird-Forum!

    "the_dude" schrieb:


    Ich habe leider keinen Bereich zu Anregungen gefunden und hoffe, dass mein Post hier an der richtigen Stelle steht. Auf jeden Fall hoffe ich, dass solch eine Option in Zukunft den Weg in die Einstellungen finden wird.

    Da hier keine Entwickler mitlesen, ist folgender Weg einzuschlagen: Fehlerberichte und Wünsche

  • Hi,


    das Gewünschte machen zwei Add-ons wirklich perfekt und sehr komfortabel :
    (Add-on-Namen aus dem Kopf, da per Handy zugange.)
    - security settings... Addressbook.
    - encrypt if?


    Beim ersten kannst du im Adressbuch Einen Vermerk (sign und oder encr) anbringen, welcher dann ausgewertet wird und beim zweiten wird dann immer verschlüsselt, wenn ein Zertifikat für den Empfänger vorhanden ist.



    Mfg Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!