Verständnisfrage zu S/MIME [erl.]

  • Thunderbird-Version: 24.6.0
    Betriebssystem + Version: Windows 7 x64
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): web.de
    S/MIME oder PGP: S/MIME


    Hallo,
    ich habe mich die Tage ein wenig mit S/MIME in Thunderbird beschäftigt und bin mit S/MIME noch relativ unvertraut. Jedoch bin ich hoffentlich nur über ein Vertändnissproblem gestolpert und mehr nicht, worauf ich jedoch gerne eine Antwort hätte.


    Folgendes Szenario.
    Absender A (a@domain.de) sendet an Empfänger B (b@domain.de) eine E-Mail. Absender A hat ein S/MIME Zertifikat installiert und signiert diese. Der E-Mail Client des Empfängers B verifiziert die Signatur als gültig. Kann Empfänger B dem Absender A eine E-Mail verschlüsselt schicken, obwohl Empfänger B kein Zertifikat installiert hat? Liegen die öffentlichen Schlüssel bei S/MIME irgendwie wie bei PGP auf einem Server oder muss der Absender B beim verschlüsseln erst von Empfänger A den öffentlichen Schlüssel manuell einspielen wie bei PGP?


    Denn ich wundere mich, das selbst wenn der Empfänger A ein Zertifikat besitzt, der Absender B nicht die Möglichkeit besitzt mit dem Empfänger A eine Verschlüsselte E-Mail zu schicken.


    Gruß
    Volker

  • Hallo Volker,


    und willkommen im Forum!
    Es handelt sich sowohl bei PGP/GnuPG und auch bei S/MIME um das gleiche Prinzip der asymmetrischen Kryptologie.

    • Zum Verschlüsseln an den Mailpartner benutzt du seinen öffentlichen Schlüssel, hier "Zertifikat" genannt.
    • Zum Entschlüsseln einer an dich gerichteten (und mit Hilfe deines Zertifikats verschlüsselten) Mail, nimmst du deinen eigenen privaten Schlüssel, meist in Form einer "Schlüsseldatei" (.p12 oder .pfx) installiert oder auf einer Mikroprozessor-Chipkarte gespeichert
    • Zum Signieren einer Mail nimmst du ebenfalls deinen privaten Schlüssel.
    • Und zum Prüfen deiner Signatur nimmt der Empfänger der signierten Mail das Zertifikat des Absenders.


    Bei beiden Verfahren ist es möglich, aber keinesfalls Pflicht(!), den öffentlichen Schlüssel auf einem Keyserver speichern zu lassen. Bei PGP/GnuPG gibt es öffentliche Keyserver wo jeder seinen pubKey hochschieben kann. Und du kannst dir nicht nur den PubKey deines Mailpartners herunterladen, sondern diese Server sind auch oftmals eine Quelle zum Ernten von Mailadressen für die Spammer. Bei X.509-Zertifikaten hat sich der LDAP-Server etabliert. Fast alle kommerziellen TrustCenter bieten einen derartigen Verzeichnisdienst an, und (große) Firmen und Behörden ebenfalls.
    Wenn ich beruflich eine verschlüsselte E-Mail an eine mir bislang unbekannte Person verschicke, dann muss ich mich nicht um dessen Zertifikat kümmern. Mein Notesclient holt sich dieses automatisch vom Zentralen Verzeichnisdienst (ZVD), einem großen LDAP-Server.


    Bei privater Nutzung dürfte es wohl in der Masse der (leider viel zu wenigen) Fälle so sein, dass sich die Partner gegenseitig eine signierte Mail schicken, und ein intelligenter Client speichert sich das Zertifikat ab und kann es dann zum Verschlüsseln nutzen.
    Der große Unterschied zu PGP/GnuPG ist, dass bei S/MIME der Nutzer dem Herausgeberzertifikat des ausstellenden TrustCenters sein Vertrauen aussprechen muss bzw. dieses vom Hersteller des Clients oder des Betriwbssystems schon getan wurde. Vertrauen bedeutet hier nichts anderes, als dass er darauf vertraut, dass der Besitzer des Zertifikats sich beim TrustCenter mit seinem Ausweis ausgewiesen hat und damit die Identität der Person bestätigt ist. Dies ist allerdings nur der Fall, wenn es sich zumindest um Zertifikate für die fortgeschrittene oder die qualifizierte Signatur handelt. Bei den beliebten Kostnix-Zertifikaten ist das nicht der Fall! Hier wird nur die E-Mailadresse verifiziert.
    Bei beiden Verfahren ist es sehr zu empfehlen, dass sich beide Parter den Fingerprint austauschen. Da es sich hierbei um "offene" Daten handelt, kann dies problemlos per Telefon erfolgen.


    HTH!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    danke für die bisherige Antwort. Ich bin ein gutes Stück weiter gekommen dank deiner Hilfe zur Erklärung mit dem LDAP Server etc.


    Allerdings habe ich jetzt eher ein teschniches Problem. Ich habe mir ein Zertifikate zum Testen bei so einem "Kostnix" Dienst bereitstellen lassen und bin langsam am verzeifeln warum das mit der Verschlüsselung einfach nicht will.


    Ich habe unter Absender A, das Zertifikat installiert und schickte eine E-Mail mit Signatur an Empfänger B. Nun möchte ich mit meiner Empfängeradresse B, A nun Verschlüsselt antworten da der Client doch aus der signierten E-Mail den öffentlichen Key von A auslesen müsste. Wenn ich die Verschlüsselung in Thunderbird aktiviere und auf senden drücke kommt die Meldung, ich müsste bei Absender B erst ein Zertifikat installieren, wobei ich doch unter B keins habe. Er soll doch nur meine E-Mail mit dem öffentlichen Schlüssel durch die signierte E-Mail von A verschlüsseln.


    Wenn ich unter Einstellungen->Erweitert->Zertifikate->Zertifikate->Personen gehe, ist dort auch das Zertifikat von A hinterlegt. Ich weiß einfach nicht warum er mich immer nach einem Zertifikat von B fragt und nicht einfach die E-Mail mit dem vorhandenen öffentlichen Schlüssel von A verschlüsselt und sendet.


    Ich hoffe ich stehe nur auf dem Schlauch und jemand kann mir schnell bei meinem Problem helfen.


    Gruß
    Volker.

  • Hallo Volker,


    Beide Partner müssen jeweils:
    - das Herausgeberzertifikat des TrustCenters (bei unterschiedlichen dann auch beide) installiert haben.
    - denen das Vertrauen ausgesprochen haben (zumindest für E-Mail, wenn keine anderen Zwecke)
    - unter Personen das/die Zertifikat/e des/der Mailpartner,
    - bei denen aber NICHT das Vertrauen bearbeiten, dieses wird vom Herausgeber "vererbt".
    - die eigene Schlüsseldatei (Softtoken) mit dem eigenen privaten Schlüssel importiert haben, und
    - in den Konteneinstellungen unter S/MIME dem Konto das eigene Zertifikat zuordnen.


    Dann klappts auch ... .
    Wenn es trotzdem nicht klappt, dann war es vlt. nicht das richtige Herausgeberzertifikat (abgelaufen oder nicht das, welches das jeweilige Userzertifikat signiert hat). Ein seriöses TC benutzt für jede Wertigkeit (von Kostnix bis QES) ein anderes Herausgeberzertifikat. Du musst die Zertifikate anschauen und genau darauf achten, ob die Fingerprints stimmen. Der so genannte "Vertrauensanker" muss also gesetzt sein. Das musst du allerdings nur machen, wenn der TB die Signatur der Zertifikate nicht erfolgreich prüfen kann. Das ist dann die Fehlersuche.
    Beliebt ist auch der Fehler einer nicht korrekt laufenden Uhr ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    ich danke dir für deine Bemühungen. Das mit den S/MIME Zertifikaten funktioniert wunderbar. Woran es genau lag, dass ich am Anfang nicht direkt verschlüsseln konnte weiß ich nicht genau. Ich hab als zweiten E-Mail Client, sprich b@domain.de Outlook genutzt. Ich denke das es da irgendwo gehackt hat.


    Gruß
    Volker

  • Ausgugg-fett nutzt den Zertifikatsspeicher des Betriebssystems und nicht wie der TB seinen eigenen. Ansonsten ist das Verfahren des Imports der Zertifikate und Schlüssel identisch.
    Auch beim Ausgugg musst du das eigene Zertifikat dem jeweiligen Mailkonto zum Entschlüsseln und Signieren zuordnen.


    Nur die zum Verschlüsseln zu nutzenden Zertifikate der Mailpartner findet Ausgugg nicht wie der TB selbst, sondern diese musst du im Adressbusch den Empfängern bewusst zuordnen.
    (Zumindest war das vor vielen Jahren noch so, wo ich noch "auf Windows" war.)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Zitat


    Ich habe unter Absender A, das Zertifikat installiert und schickte eine E-Mail mit Signatur an Empfänger B. Nun möchte ich mit meiner Empfängeradresse B, A nun Verschlüsselt antworten da der Client doch aus der signierten E-Mail den öffentlichen Key von A auslesen müsste. Wenn ich die Verschlüsselung in Thunderbird aktiviere und auf senden drücke kommt die Meldung, ich müsste bei Absender B erst ein Zertifikat installieren, wobei ich doch unter B keins habe. Er soll doch nur meine E-Mail mit dem öffentlichen Schlüssel durch die signierte E-Mail von A verschlüsseln.


    Soweit ich weiß (man möge mich bitte korrigieren, wenn etwas falsch ist) ist das Problem folgendes:
    theoretisch hat Person B mit der signierten E-Mail den öffentlichen Schlüssel von Person A erhalten und ist damit theoretisch in der Lage, eine verschlüsselte E-Mail an A zu senden.


    Das Problem bei der Sache ist aber folgendes: Eine Kopie der verschlüsselten E-mail (von B nach A) soll im Ordner "Gesendet" auf dem Rechner von Person B abgelegt werden. Es macht allerdings keinen Sinn, diese Kopie so zu verschlüsseln, wie sie versendet wurde => es kann ja ausschließlich Person A diese wieder entschlüsseln. Also könnte Person B die E-Mail in ihrem "Gesendet"-Ordner nie wieder lesen.
    Ebenfalls macht es keinen Sinn, die E-Mail unverschlüsselt im "Gesendet"-Ordner abzulegen, denn dann ist der Inhalt ja unverschlüsselt vorhanden!
    Daher wird - soweit ich weiß - die E-Mail im "Gesendet"-Ordner mit dem Schlüssel von Person B verschlüsselt. Somit ist ausschließlich Person B in der Lage, diese E-Mail zu entschlüsseln => genau das was man will.
    Jedoch benötigt Person B dazu auch einen eigenen Schlüssel/Zertifikat.
    So entsteht die Fehlermeldung: es ist zwar der öffentliche Schlüssel von Person A im Client von Person B hinterlegt, Person B hat aber noch kein eigenes Zertifikat.


    Das meine ich vor einigen Jahren gelesen zu haben. Falls ich da was falsch in Erinnerung habe, bitte korrigiert mich.


    Grüße, Ulrich

  • Hallo losgehts,


    es ist immer so, dass eine gesendete E-Mail sowohl mit dem Zertifikat (public key) des Empfängers, als auch mit dem des Absenders verschlüsselt wird. Genau, damit dieser die von ihm gesendete Mail auch jederzeit noch lesen kann. Das Programm weist nicht extra darauf hin (du musst das also nicht extra einstellen), weil dies eine Selbstverständlichkeit ist.


    Mir ist noch kein Nutzer begegnet, welcher, weil er den public Key eines Empfängers erhalten hat, eine Mail an ihn verschlüsseln will, selbst aber gar kein Schlüsselpaar besitzt. Theoretisch könnte dieser ja verschlüsseln, aber nicht für sich selbst und auch nicht signieren. Praktisch weist der Thunderbird diesen Versuch mit der Meldung "Sie müssen ein oder mehrere persönliche Zertifikate einrichten, bevor Sie diese Sicherheitsfunktion verwenden können. Wollen Sie dies jetzt machen?" zurück.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Danke für die Bestätigung und die Ergänzung!


    Dann war meine Vermutung ja ganz richtig, dass Volker genau das Problem hatte.


    Viele Grüße,
    Ulrich

  • Hallo,


    als Ergänzung für gpg-Nutzer, die hier mitlesen ...


    Zitat von "Peter_Lehmann"

    Das Programm weist nicht extra darauf hin (du musst das also nicht extra einstellen), weil dies eine Selbstverständlichkeit ist.


    In Enigmail ist es nicht ganz so selbstverständlich. Dort gibt es die Option "zusätzlich mit eigenem Schlüssel verschlüsseln". Die ist standardmäßig aktiviert, sodass man eigentlich auch nichts einstellen muss, aber es soll ja schon vorgekommen sein, dass dies aus Versehen verstellt wurde.


    Gruß


    Susanne