S/MIME - signierte Mails ohne Passphrase versenden?[erl.]

  • Thunderbird-Version: 24.1.0
    Betriebssystem + Version: Windows 7
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX):
    S/MIME oder PGP: PGP und S/MIME ;)


    Hallo,


    ich experimentiere gerade mit einem S/MIME-Zertifikat von StartSSL.


    Mich wundert sehr, dass ich mit S/MIME signierte Mails ohne Eingabe einer Passphrase versenden kann :cry:


    Auf Empfängerseite ist an der Signatur nichts auszusetzen.


    Hat jemand eine mögliche Erklärung dafür?


    Viele Grüße
    Dieter


    PS: Noch ein paar Details:
    E-Mailadresse A mit OpenPGP Zertifikat/Schlüssel
    E-Mailadresse B mit S/MIME Zertifikat/Schlüssel
    Signierte Mail wird von B an A gesandt (Test im gleichen Thunderbird-Client).

  • Hi,


    Zitat

    Hat jemand eine mögliche Erklärung dafür?


    Selbstverständlich ... .
    Dein privat key ist in der Datei "key3.db" und diese wird ebenfalls mit dem aus dem Masterpasswort abgeleiteten Schlüssel verschlüsselt. Zur Laufzeit des TB kann die Kryptoengine des TB also jederzeit auf die Schlüssel zugreifen.
    Bevor du danach fragst: das bei der Erstellung der Schlüsseldatei verlangte Passwort ist ein so genanntes "Transport-Passwort", welches dem Schutz der Schlüsseldatei (.p12 oder .pfx) dient. Hast du den private key in (nach Eingabe dieses PW) in die Datenbank importiert, benötigst du dieses PW nicht mehr.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    Merci - ich kann es ja bei Bedarf noch ein paar mal nachlesen ;)


    OK - das Verhalten ist bei S/MIME offensichtlich normal.


    Ich hatte es nur mit OpenPGP verglichen. Dort muss ich zum Signieren die Passphrase eingeben (zumindest für die TB-Session).


    Auch in der Firma muss ich zum Signieren meinen PKI-Schlüssel verwenden.
     
    Viele Grüße
    Dieter

  • Ich will keinen neuen Thread beginnen....


    Ist dieses dauerhafte Merken der Passphrase auch für OpenPGP, bzw. EnigMail möglich?
    (ich habe bislang keine Option gefunden).


    Viele Grüße
    Dieter