Trustcenter Zertifikat funktioniert nicht zum signieren[erl]

  • Hallo zusammen,


    Also, dass ist mein erster Beitrag hier, darum erst einmal ein Hallöchen :)


    Ich bin schon seit einigen Tagen dabei zu versuchen, meine EMails zu signieren und komme einfach nicht zu Rande.
    Ich habe mir ein kostenloses Zertifikat von Trustcenter.de erstellen lassen und habe dies mit Chrome (unter Linux Chromium) installiert und dann exportiert. nun habe ich drei Dateien:
    - eine cer
    - eine p12
    - eine pfx


    Die pfx habe ich dann unter den Einstellungen des Kontos/S/MIME Sicherheit und dann "Zertifikate verwalten" bei der Registerkarte "Ihre Zertifikate" importiert. Das hat auch ohne Probleme funktioniert.
    Im Anschluss habe ich dieses Zertifikat bei "Digitale Unterschrift" und "Verschlüsselung" eingetragen/ausgewählt. Auch ohne Probleme.


    Allerdings erhalte ich eine Fehlermeldung sobald ich eine "unterschriebene" EMail versenden will:

    Zitat

    Senden der Nachricht fehlgeschlagen.
    Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten- Einstellungen angegeben sind, für E-Mails gültig und vertrauenswürdig sind


    Das Zertifikat läuft erst nächstes Jahr im Oktober ab, was habe ich also falsch gemacht?


    Übrigens, die Entschlüsselung funktioniert mit diesem Zertifikat.


    Das selbe Problem habe ich übrigens mit KMail auch, ich dachte mir, ich versuche es einfach mal mit Thunderbird aber...
    Und unter Windows 7 ebenfalls das gleiche Spiel.


    Ich hoffe Ihr könnt mir helfen - vielen Dank schon einmal.


    Gruß
    strgalt



    Thunderbird-Version: 24.0
    Betriebssystem + Version: Kubuntu 13.04
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): Strato
    S/MIME oder PGP: S/MIME

  • Ich habe mir gerade das Zertifikat angesehen. Bei "Zertifikat-Ansicht" steht ganz oben:
    "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist"


    Scheint, als hätte mein Problem damit etwas zu tun?


    Gruß
    strgalt

  • Hallo strgalt,


    ja, du hast das völlig richtig erkannt. Du musst immer gewährleisten, dass der so genannte "Sicherheitsanker" gesetzt ist. Und da diese Kostnix-Zertifikate (weil ohne Personenidentifizierung!) was die Zuordnung zu einer bestimmten Person betrifft, nicht sicher sind, musst du das root-Zertifikat des Herausgebers und alle weiteren untergeordneten Zertifikate bis zu dem, welches diese Nutzerzertifikate signiert, manuell importieren und ihnen bewusst das Vertrauen aussprechen. Du musst also den kompletten Vertrauensbaum abbilden.
    Bei den Herausgeberzertifikaten, die in etwa dem dt. Signaturgesetz entsprechen, übernimmt das der Herausgeber der Zertifikate nutzenden Browser, Mailclients bzw. Betriebssysteme.


    Du musst also exakt die richtigen Zertifikate installieren, was du mit Hilfe der Bezeichnung oder besser noch der Fingerprints kontrollieren kannst. Es ist aber auch möglich, einfach sämtliche Herausgeberzertifikate zu installieren. Ein Sicherheitsrisiko (wenn du also auch die Herausgeberzertifikate höherwertigerer Zertifikate installierst) besteht nicht.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • HAllo Peter,


    ich danke dir für deine Antwort.


    Man muss sich aber schon fragen, was da für ein Aufwand betrieben werden muss - wo doch alle Welt nach Sicherheit schreit. Die Beschreibungen und Anleitung sind nicht verständlich und das ein Zertifikat des Ausstellers installiert werden muss taucht gar nirgends auf - ich meine jetzt keinen EMail- Client speziell, sondern viel mehr die Zertifikatsaussteller.


    Warum stellt die Bundesrepublik eigentlich keine Zertifikate aus? Die Preise der Personalausweise sollten das doch hergeben. Stattdessen müßte ich 15 / Jahr zahlen, wollte ich ein sicheres Zertifikat.
    Da ist es doch kein Wunder, dass niemand, oder fast niemand, sich damit befassen oder gar anwenden will. Denn PGP ist auch nicht wirklich handlich und vor allem bei Ämtern und Firmen nicht eingesetzt.


    Bin echt angepullert, dass ich mich damit wirklich tagelang beschäftigen musste. Und du bist der einzige, der sich die Mühe gemacht hat, mir zu antworten. Ich hatte ja schon einige Anfragen in anderen Foren - es kennt sich einfach kein Mensch damit aus.


    Also vielen Dank dir :) !


    Gruß
    strgalt

  • Hallo strgalt!


    "strgalt" schrieb:

    ich danke dir für deine Antwort.


    Gern geschehen. Ich versuche jeden zu unterstützen, der sich Gedanken über seine Privatsphäre und vor allem dem Schutz selbiger macht.


    Zitat

    Man muss sich aber schon fragen, was da für ein Aufwand betrieben werden muss - wo doch alle Welt nach Sicherheit schreit. Die Beschreibungen und Anleitung sind nicht verständlich und das ein Zertifikat des Ausstellers installiert werden muss taucht gar nirgends auf - ich meine jetzt keinen EMail- Client speziell, sondern viel mehr die Zertifikatsaussteller.


    Ich wüsste nicht, wie man das viel einfacher machen sollte. Bestimmte Arbeitsschritte müssen eben durchlaufen werden, zumindest wenn man eine sichere Form der Verschlüsselung haben will. Ich halte nichts von Verschlüsselungsverfahren, bei denen es nur noch um Transparenz und Nutzerfreundlichkeit geht oder bei denen gar (siehe Skype und Dropbox) der Provider die Schlüssel vorgibt.
    Ich sehe hier aber in erster Hinsicht das Fehlen klarer für ONU verständlicher Anleitungen.
    Ich betreibe selbst für "Familie und Freunde" ein kleines "Trustcenter". Mittlerweile stelle ich jedes Jahr mehrere Hundert Zertifikate und Schlüssel her. Und ich stelle für meine Nutzer eine entsprechende bebilderte Anleitung bereit. Fast alle packen es damit.
    Wer mein ggw. bester Werbeträger ist, brauche ich ja nicht zu sagen. Das dürfte klar sein. Vor ein paar Jahren war dies mal ein prominenter Rollstuhlfahrer, der mit seinen Bemerkungen dafür gesorgt hat, dass die Menschen anfingen, über ihre Privatsphäre nachzudenken. Jetzt hat ein Whistleblower die Beweise geliefert.



    Zitat

    Warum stellt die Bundesrepublik eigentlich keine Zertifikate aus?


    Macht sie doch.
    Bei "D-Trust" (einem Bestandteil der Bundesdruckerei) kann jeder Zertifikate bestellen (kaufen!). Richtige, ordentliche für die "Qualifizierte elektronische Signatur" (QES). Auf Chipkarte und nach höchsten Sicherheitsstandards hergestellt. Ich habe mir selbst im Rahmen meiner beruflichen Tätigkeit dieses Trustcenter ansehen dürfen und war/bin von dieser Infrastruktur begeistert. Und ich weiß auch, wieviel Personal für die Produktion derartiger Zertifikate benötigt wird. In einem Trustcenter darf nur jeder seine genau definierten Arbeitsschritte durchführen. Überall müssen mindestens zwei Personen arbeiten (4-Augenprinzip). Aber der größte Aufwand wird (in einem seriösen, nach dem SigG arbeitenden Trustcenter) bei der sicheren Identifizierung der antragstellenden Personen (Wortlaut nach §5 SigG) betrieben. Ein TC muss sicherstellen, dass es niemals einer dritten Person gelingt, Zertifikate für eine andere Person zu beantragen und zu erhalten. Das kann nur mit "Manpower", also Identitätsprüfung mit Ausweis und 4-Augenprinzip sichergestellt werden. Und das ist eben teuer.
    Deshalb verlangen die in Deutschland tätigen Trustcenter zwischen 250 und 300€ für die Karte (Gültigkeit 3 Jahre). Das ist für mich ein dem Aufwand angemessener - aber für massenhafte private Anwendung viel zu hoher Preis.


    Und an dieser Stelle haben wir das bekannte Problem:
    Karte zu teuer => keiner kauft sich eine => weil sich "keiner" eine kauft, ist sie wegen gleichbleibenden Kosten für Personal und Infrastruktur so teuer => und wieder von vorne ... .
    Dazu kommt, dass es ggw. kaum sinnvolle und vor allem dem Bürger Vorteile bringende Anwendungen gibt. Hat ja auch kaum jemand eine Signaturkarte => siehe oben.
    Und Vorteile kommen für den Bürger nur zu Stande, wenn er zum Beispiel bei Behördengängen Geld spart. Also für die Ummeldung eines Fahrzeuges, für die Beantragung eines Ausweises, eines Passes usw. nur noch die Hälfte zahlen muss, usw. Erst wenn der Bürger trotz Kauf der Zertifikate einen finanziellen Vorteil spürt, wird er da mitspielen.


    Auf dem nPA ist ja ein Zertifikat aufgebracht. Aber dieses ist so kastriert, dass es nur zur Authentisierung (gegenüber Behörden und Shops usw.) verwendbar ist. Sicherlich hätte man ohne nennenswerte zusätzliche Kosten gleich noch zwei Zertifikate für Verschlüsselung und el. Signatur aufbringen können. Würde bei der Beschlüsselung der Karten nur wenige Sekunden dauern. Aber das ist nicht gewollt!
    1.) Würde dann in Deutschland niemand mehr ganz normale Chipkarten mit Zertifikaten kaufen. Sie kommen ja mit dem PA "gratis". Es würde den Tod aller in Deutschland tätigen (öffentlichen) Trustcenter bedeuten.
    2.) Ist es nicht gewollt, dass der dt. Michel seine Privatsphäre vor dem Staat durch Verschlüsselung schützt. Schon Herr K. als ehemaliger Innenminister wollte die private Verschlüsselung verbieten (wie es in Frankreich war). Alle seine Nachfolger wollten das auch, nur haben sie es wohl aus wahltaktischen Gründen nicht so deutlich gesagt. Und dass der ggw. Innenminister seine entsprechenden Empfehlungen zur Anwendung der Verschlüsselung ehrlich meint, wage ich sehr zu bezweifeln. In meinen Augen ist das eher eine taktische Reaktion auf gewisse Enthüllungen, die ja nach seinen eigenen Worten nicht auf Realität beruhen.


    Ich könnte mir andererseits sogar vorstellen, wenn der nPA erst Ende 2013 "raus gekommen" wäre, dass er nach den Enthüllungen von Snowden und den Bemerkungen des Innenministers sogar gleich mit den beiden fehlenden Schlüseln versehen worden wäre. Ich könnte mir sogar vorstellen, dass "Staat" kostenlos ein bequem zu nutzendes Tool für die private Verschlüsselung unters Volk gebracht hätte. Und ich befürchte sogar, dass es so kommen wird! Und ich befürchte, dass wir zwar weiterhin verschlüsseln dürfen, aber nur mit den vom Staat bereitgestellten Mitteln!
    Nur welches Vertrauen sollte ich einem vom Staat bereitgestellten Schlüssel und Verschlüsselungstools entgegenbringen? Noch dazu, wo es seit Juli ein Gesetz gibt, welches dem Staat ohne nennenswerte juristische Hürden ermöglicht, von den Providern unsere Passwörter und Schlüssel (!) abzuverlangen und diese sie den Behörden auf dem Silbertablett liefern müssen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!