S/MIME - Export des öffentlichen Schlüssels

  • * Thunderbird-Version: 38.1.0
    * Betriebssystem + Version: Win7
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): diverse
    * S/MIME oder PGP: S/MIME
    * Eingesetzte Antivirensoftware: Avast
    * Firewall (Betriebssystem-intern/Externe Software): Comodo


    Hallo Leute,


    ich habe S/MIME-Zertifikate für meine E-Mail-Adressen, funktioniert auch alles tadellos. Allerdings möchte ich gern die öffentlichen Schlüssel der Zertifikate auf meiner Webseite zum Download anbieten. Ich weiß, dass jemand, dem ich eine signierte E-Mail schicke, automatisch meinen öffentlichen Schlüssel importiert hat, darum geht es nicht.


    Im Zertifikat-Manager habe ich ja die Möglichkeit, meine Zertifikate zu sichern - das ist der vollständige Export mit Passwort, öffentlichem und privatem Schlüssel als .p12-Datei. Wenn ich dagegen auf "Ansehen" klicke, habe ich unter "Details" noch einen "Exportieren"-Button, wo ich das Zertifikat in verschiedenen Formaten speichern kann. Meine Frage ist nun: Wie kann ich sicher sein, nicht auch versehentlich den privaten Schlüssel mit zu exportieren? Im Internet habe ich keine definitive, verständliche Aussage dazu gefunden.


    Es liegt durchaus nahe, dass bei "Sichern" das komplette Zertifikat gespeichert wird, und bei "Ansehen"->"Export" nur der öffentliche Schlüssel, aber ich möchte eben ganz sicher sein, bevor ich Zertifikatsdateien ins Internet stelle.


    Daher meine Frage an die Experten hier: Enthalten all die Dateien unter "Ansehen"->"Export" wirklich nur den öffentlichen Schlüssel? Also:

    • X.509-Zertifikat (PEM) (*.crt;*.pem)
    • X.509-Zertifikat inklusive Ausstellern (PEM) (*.crt;*.pem)
    • X.509-Zertifikat (DER) (*.der)
    • X.509-Zertifikat (PKCS#7) (*.p7c)
    • X.509-Zertifikat inklusive Ausstellern (PKCS#7) (*.p7c)

    Danke.

  • Hallo Grimmwicht,
    und willkommen im Forum!


    Also ich betrachte das sofortige externe Speichern sowohl des privaten als auch des öffentlichen Schlüssels und das sichere Verwahren der gespeicheren Dateien als das Allererste, was du nach dem Erhalt deines Schlüsselpaares tun solltest. Aber das war ja nicht deine Frage ... .


    Du hast das völlig richtig erkannt, dass bei der Sicherung aus "Ihre Zertifikate" (1.) das komplette Schlüsselpaar und bei Ansehen > Export (2.) (sowohl bei den eigenenZ., als auch bei denen der anderen Personen) lediglich der öffentliche Schlüssel exportiert werden.


    zu 1.:
    Es wird als Exportformat gleich .p12 vorgeschlagen => .p12 ist IMMER der Container für ein komplettes Schlüsselpaar. Also dieses ist sofort daran zu erkennen.
    Weiterhin wird dein (in den Passwort-Manager importierter) privater Schlüssel ja immer durch das Master-Passwort geschützt. Dieses musst du also eingeben => wieder ein Indiz ..., und
    du wirst aufgefordert ein Transport-Passwort für den zu exportierenden privaten Schlüssel einzugeben, was du auch tunlichst machen solltest!


    zu 2.:
    Es werden verschiedene Formate für den gleichen öffentlichen Schlüssel vorgeschlagen. In allen ist der gleiche Inhalt, aber eben in unterschiedlichem Format. Alle Formate, in denen du exportieren kannst, kann auch der Thunderbird wieder importieren. Aber es gibt keine Garantie, dass jedes Mailprogramm auch alle Formate importieren kann => du kannst ja auch mehrere Formate auf deiner Webseite veröffentlichen.
    Wenn du .pem auswählst, kannst du diese Datei mit jedem Texteditor öffnen (= ASCII-Format) und dir wird auch angezeigt, dass es sich nur um den öffentlichen Schlüssel handelt. Speicherst du ein Schlüsselpaar im PEM-Format siehst du beide Bestandteile oder nur den private key, je nachdem, was exportiert wurde:

    Und du wirst auch weder nach dem Master-Passwort noch nach dem zu vergebenden Transport-Passwort gefragt.




    HTH!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter_Lehmann,


    herzlichen Dank für deine Antwort. Und da sie von einem Sicherheitsexperten wie dir kam, bin ich völlig beruhigt. :)


    Es könnte einfach viel deutlicher bezeichnet werden im Thunderbird, dann gäbe es keine Irritationen.


    Danke,
    Grimmwicht.