Erhalte verschlüsselte Nachricht - kann keine senden.

  • Thunderbird-Version: 31.2.0
    Betriebssystem + Version: WIN 7 Prof SP1
    Kontenart (POP / IMAP): POP3
    Postfachanbieter (z.B. GMX): Netcologne
    S/MIME oder PGP: S/MIME SSL-Client-Zertifikat StartCom Class 1 Primary Intermediate Client CA


    Hallo zusammen,


    ich erhalte eine verschlüsselte Nachricht, kann aber keine verschlüsselte Nachricht an Absender senden bzw. antworten. Ich versende grundsätzlich meine Signatur, so auch an den Absender. Hier ein Auszug des Quelltextes. Namen habe ich ersetzt durch XX etc..
    1. Ist das überhaupt eine verschlüsselte Nachricht? Mich irritiert der Eintrag X-Encrypt: 0.


    In TB wird sie normal angezeigt und ich kann sie lesen.
    2. Funktioniert eine einseitige Verschlüsselung?
    3. Besteht die Möglichkeit darauf verschlüsselt zu antworten? Gibt es eine Signatur des Absenders? Wie kann ich sie extrahieren?



    Ich habe ansonsten gute Erfahrung mit der Verschlüsselung gemacht. Sie funktioniert einwandfrei.


    Bitte um Antwort meiner drei Fragen und einen Hinweis, wie und ob ich verschlüsselt mit dem Absender e-mailen kann. Vielen Dank und Grüße aus Köln.


    edit:
    Ich habe mir mal erlaubt, deinen Text in Codetags zu setzen, wegen der besseren Lesbarkeit.
    Mod. Pe_Le

    2 Mal editiert, zuletzt von graba ()

  • Hallo Nachtigaller,


    "Nachtigaller" schrieb:

    1. Ist das überhaupt eine verschlüsselte Nachricht?


    Nein. Eine S/MIME verschlüsselte Nachricht erkennst Du im Quelltext an:


    Code
    1. Content-Type: application/pkcs7-mime; name="smime.p7m"; smime-type=enveloped-data
    2. Content-Transfer-Encoding: base64
    3. Content-Disposition: attachment; filename="smime.p7m"
    4. Content-Description: S/MIME Encrypted Message


    "Nachtigaller" schrieb:

    2. Funktioniert eine einseitige Verschlüsselung?


    Was meinst Du damit?


    "Nachtigaller" schrieb:

    3. Besteht die Möglichkeit darauf verschlüsselt zu antworten?


    Nicht, wenn Du den öffentlichen Schlüssel des Absenders nicht bereits hast. Ich sehe keine Signatur in der E-Mail. Im Quelltext erkennst Du sie an:


    Code
    1. Content-Type: multipart/signed; protocol="application/pkcs7-signature"


    Außerdem zeigt der TB mit dem Symbol eines Briefes bzw. eines Schlosses an, ob eine E-Mail signiert und/oder verschlüsselt ist.


    "Nachtigaller" schrieb:

    Ich habe ansonsten gute Erfahrung mit der Verschlüsselung gemacht. Sie funktioniert einwandfrei.


    Und dann hast Du die Symbole noch nicht entdeckt?


    Gruß


    Susanne

  • Hallo Nachtigaller,


    bei einer Nachricht, von der der Quelltext nur in Bruchstücken zitiert wird, kann man natürlich nichts verbindliches sagen. Auf jeden Fall habe ich nichts gefunden, was (sicher) auf eine Verschlüsselung hinweist. Allerdings auch keinen Klartext ... .
    Hier siehst du mal den kleinen Auszug aus dem Quelltext einer garantiert verschlüsselt und signiert übertragenen E-Mail:


    Du siehst also, dass im Quelltext eindeutige Hinweise mitgesendet werden, natürlich ohne meine Anmerkungen. Und du erkennst den p7m-Container eindeutig als rechteckigen Block von ASCII-Zeichen.
    Aber es ist gar nicht nötig, wenn du auf Ansicht >> Nachrichten-Sicherheit gehst, dann wird dir doch ganz klar angezeigt, ob die Nachricht verschlüsselt und signiert ist. Dann zeigt der TB ja auch für Verschlüsselung und Signatur einer erhaltenen E-Mail jeweils ein eigenes Icon an (oder macht das bei mir ein Add-on? k.A.)


    zu 1.)
    Wenn du eine Nachricht lesen kannst, dann ist sie entweder vom Absender mit deinem (!) öffentlichen Schlüssel verschlüsselt worden - oder überhaupt nicht. Aber, siehe oben!


    zu 2.)
    Ich vermute mal, dass du mit "einseitiger Verschlüsselung" meinst, dass jemand an einen Adressaten unverschlüsselt und nur signiert senden kann.
    Selbstverständlich geht das. Du kannst, wenn dein TB mit entsprechenden Schlüsseln (eigene) und Zertifikaten (der Mailpartner) versehen ist, jede Mail verschlüsseln (Zertifikat des Mailpartners erforderlich) und/oder signieren (eigener Schlüssel erforderlich).
    Du kannst aber nicht an jemanden verschlüsselt senden, wenn du dessen Zertifikat nicht hast.


    zu 3.)
    Du kannst, wenn du den öffentlichen Schlüssel (das Zertifikat) des Mailpartners in deinem Mailclient importiert hast, an diesen Empfänger verschlüsseln. Und nur dann!
    Was du aber unbedingt noch benötigst, ist das Herausgeberzertifikat (das TrustCenter, welches eben jenen Schlüssel signiert hat), und diesem muss auch das Vertrauen ausgesprochen sein. Das ist kein Problem, wenn es sich um einen vertrauenswürdigen Herausgeber handelt, der bereits von Mozilla in den Zertifikatsstore des Thunderbird importiert wurde. In diesem Fall wird sogar das Zertifikat des Mailpartners nach dem Lesen seiner Mail schon unter "Personen" importiert sein.
    Handelt es sich aber um einen nicht bereits im TB gelisteten Herausgeber, dann musst du dir zuerst dieses Herausgeberzertifikat besorgen, ihm das Vertrauen aussprechen und danach das Zertifikat des Mailpartners installieren.


    OK?


    MfG Peter


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    vielen Dank Susanne und Peter.


    TB zeigt mir keine Symbole bei dieser Nachricht an. Weder das Schloss noch der Briefumschlag erscheinen und unter Nachrichten-Sicherheit wird 'Nachricht wurde nicht digital unterschrieben. - ...nicht verschlüsselt.' angezeigt.


    Obwohl keine Hinweise zur Verschlüsselung vorhanden sind und auch im Quelltext keine Hinweise vorhanden sind, gehe ich davon aus, dass mein Mail-Partner mir eine mit meinem öffentlichen Schlüssel verschlüsselte Nachricht senden kann - seltsam aber erst mal O.K..


    Der Hinweis auf das Herausgeberzertifikat ist gut. Da es sich um eine Kommune handelt, bin ich mir nicht sicher, ob etwas Spezielles genutzt wird, das nicht im Zertifikatsstore enthalten ist.


    Falls im Forum darüber etwas bekannt ist, bitte ich um einen Hinweis. Ich werde versuchen, näheres zu erfahren und das Ergebnis hier einstellen.


    Danke, mfG
    Pete

  • Hallo Pete,


    Sobald ich den öffentlichen Schlüssel irgend einer Person erfolgreich in einen Mailclient importiert habe (also egal, ob dieser von einem etablierten TrustCenter herausgegeben wurde oder von einem unbekannten TC und ich dann erst mal das Herausgeberzertifikat importieren musste), kann ich an diese Person eine verschlüsselte (und mit meinem eigenen Schlüssel) signierte Mail schicken.
    Dabei spielt es überhaupt keine Rolle, ob der Empfänger nun schon seinen Mailclient zum Entschlüsseln konfiguriert hat oder nicht. Senden kann ich unter der o.g. Voraussetzung immer - schlimmstenfalls kann der Empfänger diese Mail eben nicht lesen. (Was wiederum anregt, endlich den Mailclient entsprechend zu konfigurieren.)


    Wenn jemand Verschlüsselungsdienste anbietet, dann gehört es sich so, dass man auf seiner Webseine zum einen ein paar erklärende Worte (Kurzanleitung), aber auch die öffentlichen Schlüssel der Mailpartner und vor allem auch das/die Herausgeberzertifikat/e veröffentlicht. Oder man macht es so wie ich, dass ich einzelnen Personen diese Zertifikate und eine "kleine" bebilderte Anleitung per Mail verschicke.
    Dann schickt mir der Mailpartner ebenso sein eigenes Zertifikat und, falls kein etabliertes TC beteiligt ist, auch dessen Herausgeberzertifikat.
    Und wenn dann alles (also alle Herausgeber und die Zertifikate aller Mailpartner und natürlich auch meine eigene Schlüsseldatei zum Signieren und Entschlüsseln) im TB installiert ist, können wir gesichert kommunizieren.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!