Alte Mails und abgelaufene S/MIME Zertifikate

  • Hi!


    Vor ein paar Jahren hatte ich für eine Weile S/MIME Zertifikate genutzt.


    Damals machte ich folgende Beobachtung aufgrund welcher ich die Nutzung vorerst einstellte:
    Das Zertifikat wurde am 1.1.2008 (als Beispiel) ausgestellt und war 1 Jahr lang, also bis 1.1.2009 gültig.
    In diesem Zeitraum wurden eltiche Mails versandt; alles verlief problemlos.
    Einer meiner Empfänger wollte dann am 10.1.2009 ältere Mails, zB Mails aus dem Dezember 2008 nochmal lesen.
    Sein Mailclient meldete dann das das zur Mail gehörende Zertifikat nicht mehr gültig sei (was auch stimmt, aber zum Zeitpunkt des Empfangs war ja alles ok); der Empfänger (kein ITler) wurde nervös und meldete sich... viele andere Empfänger taten es ihm gleich, löschten meine älteren Mails usw. usf.


    Bevor ich mich wieder an S/MIME wage die Frage:
    Wie kann man diese Problematik umgehen?


    Danke.


    Vlg


    P.S.:
    Wenn auch eigentlich irrelevant:
    Thunderbird-Version: 24.3.0
    Betriebssystem + Version: Win 7
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): Google
    S/MIME oder PGP: S/MIME

  • Hallo AnNaTF79,


    und willkommen im Forum!
    Ja, es ist völlig korrekt, dass Schlüssel in Form von Softwaretoken (.p12 oder .pfx) mit einer Gültigkeit von einem (bis max. 3) Jahren ausgestellt werden. Das hat etwas damit zu tun, weil ein Angreifer bei einem "erbeuteten" Schlüssel beliebig oft das Passwort austesten kann. Im Unterschied zu Schlüsseln auf Microprozessorchipkarten mit lediglich drei Fehlversuchen. Dort ist eine Gültigkeit von 3-5 Jahren vorgesehen.
    Aber das war ja nicht deine Frage.


    Die Gültigkeit des Zertifikates (oder besser des Schlüsselpaares) bedeutet, dass man:
    - den öffentlichen Schlüssel des Mailpartners nur bis zu seinem Ablaufdatum zum Verschlüsseln, und
    - den eigenen privaten Schlüssel nur bis zu diesem Datum zum Signieren benutzen kann.
    Danach funktionieren diese beiden Funktionen (zumindest bei einer Anwendung, welche auch regelgerecht damit umgeht und entsprechend prüft) nicht mehr.


    Das Entschlüsseln empfangener E-Mails (bzw. verschlüsselter Dokumente usw.) mit dem eigenen privaten Schlüssel ist immer ohne zeitliche Beschränkungen möglich. Bedingung ist natürlich, dass <user> seine abgelaufenen "eigenen Zertifikate" nicht löscht.


    Ich habe in meinem TB (gerade mal gezählt) insgesamt 21 abgelaufene Z. für meine diversen Mailkonten drin. Alle funktionieren zum Entschlüsseln alter Mails. Lediglich die Signatur wird als ungültig angezeigt, wenn die zur Sig. verwendeten fremden Z. abgelaufen sind.
    Gleiches trifft zu bei meinem dienstlichen Mailprogramm (LoNo) und meinen mittlerweile 11 alten Signaturkarten. Auch die ältesten funktionieren noch zum Entschlüsseln.


    Das "Problem" mit den ungültigen Signaturen kann man bei E-Mails maximal durch "Nachdenken" lösen. Vielleicht auch mit einer entsprechenden Einweisung der Mailpartner. Oder, auch sehr zu empfehlen, eine angebrachte herkömmliche Signatur mit dem Hinweis, dass die el. Sig. am ..... als ungültig erkannt wird - aber trotzdem vom Absender stammt und seinem Willen entspricht.
    Bei archivierten signierten Dokumenten ist es üblich, diese mit einem aktuellen Zertifikat "überzusignieren". Dabei wird in einem automatisierten Verfahren kurz vor Ablauf des alten Zertifikates die Gültigkeit der Dokumente geprüft und dieses wieder mit einem "frischen" Schlüssel neu signiert. Dieses Verfahren ist natürlich bei den üblichen Mailclients nicht machbar. => Wie schon gesagt, eigenes Nachdenken gefragt.


    Der Anwender der el. Signatur muss eben überlegen was besser ist: Das in der Regel "ewig" gültige Schlüsselpaar der allermeisten GnuPG-Nutzer (wo ein Angreifer mit entsprechender Rechenpower "alle Zeit" hat, dieses zu brechen), oder ein X.509-Zertifikat mit den entsprechenden Vorgaben und einer aus dem o.g. Grund resultierenden relativ kurzen Gültigkeit.


    HTH


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,


    vielen Dank für Deine Antwort; das ergibt soweit auch alles Sinn, aber das "Erziehen" von nicht ITlern ist meiner Erfahrung nach ein schwieriges Unterfangen.


    Leider ist die Alternative PGP auf ihre Art genauso unpraktikabel.
    Hier unterstützen bspw. viele Clients kein PGP/MIME so dass man auf PGP/INLINE zurückgreifen muss und somit oftmals auch auf reine Textmails...
    Empfänger stören sich zudem am von PGP generierten "Prolog" und "Epilog"... usw. usf.


    Ein Relay wie GPRelay möchte ich eigentlich auch nicht nutzen.


    Es ist irgendwo traurig dass das Signieren und Verschlüsseln von Mails weiterhin, jedenfalls dann wenn man eben auch viel mit non ITlern kommuniziert, so schwierig bleibt...

  • Guten Morgen!


    Ja, ich gebe dir Recht, es ist ein steiniger Weg, die Menschen von der Notwendigkeit des Schutzes ihrer Privatsphäre zu überzeugen. Wir haben ja alle nichts zu verbergen ... . Ich stelle mir das Geschimpfe vor, wenn jemand den Snailmail-Boten erwischt, wie er fremde Briefe öffnet und liest. Über das Mitlesen unserer Mails und sogar das Mitschauen (uns Beobachten!) von mitunter sehr intimen Video-Chats regt sich niemand auf. Sehr seltsames Verhalten!


    Ich habe mich vor gut 10 Jahren dieser Aufgabe gestellt. (Nein, nicht das Öffnen von Briefen ;-))
    Angefangen mit einem Dutzend Zertifikaten für die Familie und gute Freunde sind es mittlerweile jährlich ein paar Hundert, die ich produziere. Zusammen mit einer bebilderten Anleitung für ONU, wie sie die Schlüssel und Z. in ihren Thunderbird bekommen.


    Von der dafür geleisteten "Überzeugungsarbeit" will ich nicht schreiben. Das muss eben sein. Ein prominenter dt. Rollstuhlfahrer ("... müssen wir eben das GG ändern ...") war mal mein bester Werbeträger. Und die "Enthüllungen" des letzten Jahres haben meine Privat-CA fast ans Ende der Kapazität getrieben.
    Aber ohne sanften Druck und viiiiiel Überzeugung läuft eben immer noch nichts.


    Na dann, weiter viel Spaß!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo AnNaTF79,


    "AnNaTF79" schrieb:

    Hier unterstützen bspw. viele Clients kein PGP/MIME ...


    Ich dachte, dass selbst Outlook PGP/MIME seit einigen Jahren unterstützt und sich dieses Thema damit so gut wie erledigt hätte, kann mich aber irren. Hast Du Informationen dazu, welche Clients das immer noch nicht können?


    Gruß


    Susanne

  • Das ist eine gute Frage; meine Infos stammen nur vom Hörensagen.
    Kennt jmd eine Übersicht welche Clients mit PGP/MIME klarkommen und welche damit immer noch Probleme haben?