SMIME Entschlüsselung funktioniert plötzlich nicht mehr


  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 45.8.0
    • Betriebssystem + Version: Windows7
    • Kontenart (POP / IMAP): POP
    • Postfachanbieter (z.B. GMX):
    • Eingesetzte Antivirensoftware:
    • Firewall (Betriebssystem-intern/Externe Software):


    Hier können Sie Ihren Text schreiben:


    Ich nutze sporadisch S/MIME für die email-Verschlüsselung. "Sporadisch" erwähne ich, weil mir das Problem jetzt erst auffällt:


    Ich kann scheinbar noch verschlüsselte Nachrichten versenden, aber verschlüsselt an mich gesendete Nachrichten nicht mehr entschlüsseln. Eine von einem Absender vor drei Wochen verschlüsselt verschickte Nachricht kann ich öffnen und problemlos lesen. Eine von demselben Absender vor drei Tagen verschlüsselt verschickte Nachricht kann nicht entschlüsselt werden. Der Fehlertext lautet: "Thunderbird kann die Nachricht nicht entschlüsseln //

    Der Absender hat diese Nachricht mit einem Ihrer digitalen Zertifikate verschlüsselt. Trotz allem konnte Thunderbird dieses Zertifikat und den zugehörigen privaten Schlüsseln nicht finden."


    Ich kann mir keinen Reim darauf machen. Den Schlüssel des Absender kann ich unter "Zertifikate" sehen (und wenn es den Schlüssel nicht gäbe, wäre ja wohl auch das Entschlüsseln der "alten" Nachricht nicht mehr möglich). An meinem Schlüssel hat sich in den letzten drei Wochen nichts geändert. Der Schlüssel läuft noch bis 2018.


    Bin für jede Hilfe dankbar!! Kann ich irgendwo etwas "verstellt" haben?

  • Hallo payton,


    ich kenne mich mit S/MIME nicht wirklich aus, da ich selber PGP / GPG nutze, denke aber die Funktionsweise ist sehr ähnlich. Kann es sein, dass der Absender einen alten (oder auch neuen) Schlüssel verwendet hat? Wenn Du alte Mails entschlüsseln kannst und neue nicht, spricht das dafür, dass es sich hierbei um einen anderen Schlüssel handelt.


    Gruß

    slengfe

    :les: Ein Blick in unser Lexikon hilft beim Erkenntnisgewinn. :thumbsup: 
    Keine Hilfe per PN. Lösungen, die veröffentlicht werden, helfen allen!


    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und Allgemeingültigkeit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 64 Bit / Thunderbird 32 Bit / Firefox 64 Bit

  • Hallo payton! (<= Ist doch schön begrüßt zu werden, oder?)


    Ich schließe mich der Meinung von slengfe an, und würde jetzt folgendermaßen vorgehen:


    1. Überprüfen, ob du unter "Ihre Zertifikate" mehrere Zertifikate zu stehen hast und natürlich auch die Herausgeberzertifikate deiner eigenen Zertifikate importiert und als vertrauenswürdig eingestellt sind. (Grundsätzlich kannst du auch mit einem bereits abgelaufenen Zertifikat alte, mit diesem Zertifikat verschlüsselte Mails, entschlüsseln. Zumindest so lange, wie dieses bei dir installiert ist. Aus diesem Grund sollten abgelaufene eigene Zertifikate auch installiert bleiben.)
      Hast du irgendwann ein neues/anderes Zertifikat importiert?
    2. Ist deinem Mailkonto unter S/MIME für Entschlüsselung und Signatur das aktuelle Zertifikat zugeordnet?
    3. Kannst du an dich selbst eine Mail verschlüsseln und diese auch wieder entschlüsseln und zu sendende Mails signieren?
    4. Wird bei der empfangenen (von dir gesendeten) Mail bei der Signaturprüfung auch das eingetragene (aktuelle) Zertifikat angezeigt?


    Wenn das alles stimmt, dann stimme mit dem Absender das zu nutzende Zertifikat ab. Sende ihm also von deinem aktuellen Zertifikat die Seriennummer und die Fingerabdrücke, damit er selbige vergleichen kann.



    Mit freundlichen Grüßen!

    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Guten Morgen Peter,


    vielen Dank für die Antwort und die strukturierten Vorschläge!


    1. Ich habe mehrere Zertifikate (schon seit Jahren). Ursprünglich hatte ich mir von CAcert ein kostenloses Zertifikat beschafft und das verlängere ich im Moment auch noch brav alle sechs Monate. Daneben habe ich ein kostenpflichtiges Zertifikat von COMODO. Mit diesem Zertifikat möchte ich auch arbeiten (und darin liegt möglicherweise das Problem).


    2. Ich bilde mir ein (!), dass dem mailkonto das korrekte Zerifikat zugeordnet ist. Zumindest wird es in den beiden Dropdown-Listen angezeigt. Aber: (siehe 3.)


    3. Wenn ich versuche, an mich selbst eine verschlüsselte email zu senden und mir dann die Sicherheitsinformationen anzeigen lasse, wird ein Ablaufdatum angezeigt, das nur zu dem zuletzt aktualisierten CAcert-Zertifikat passen kann.


    Ich gehe mittlerweile davon aus, dass ich mir das Problem mit der letzten Aktualisierung des CAcert-Zertifikats geschaffen habe, denn die Aktualisierung habe ich am 08.03.2017 vorgenommen und es kann gut sein, dass bis dahin noch "alles in Ordnung war" und danach die Probleme auftraten (ich habe es erst vor drei Tagen bemerkt).


    Die Frage ist jetzt vor allem: Warum wird mir in der mail an mich selbst ein anderes Zertifikat angezeigt, als das, das ich in den Kontoeinstellungen angegeben habe? Oder haben die beiden Sachen gar nichts miteinander zu tun?


    Nachtrag: Ich glaube ich kann jetzt bestätigen, dass eine email, die ich signiert versende (an einen externen Empfänger und per bcc an mich), mit dem korrekten (aktuellen COMODO) Zertifikat signiert wird. Aber dann ist doch merkwürdig, warum vor dem Senden beim "Sicherheitsinformationen anzeigen" bezüglich meiner email-Adresse das Ablaufdatum eines anderen Zertifikats angezeigt wird. (?)


    Vielen Dank im voraus für jede weitere Hilfe!!!

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von payton ()

  • Ich denke mal, du bist auf dem richtigen Weg.


    Kann es sein, dass du dem Mailpartner das aktuelle Zertifikat noch nicht übergeben hast? Denn wie es aussieht, hast du ja wohl mehrere (mindestens zwei) gültige Zertifikate.


    Tipp: bei den meisten Mailclients reicht es aus, dem Empfänger eine signierte Nachricht zu senden. Damit bekommt der Client des Empfängers dein (öffentliches) Zertifikat mit übersand. Wenn du dann noch in den Text reinschreibst, dass er dieses Zertifikat (mit der ID ...) verwenden und das alte (aber immer noch gültige) löschen möchte, dürfte das Problem erledigt sein.

    (Wenn das "alte" Zertifikat abgelaufen ist, hat sich das Problem eh erledigt, denn dann kann er damit nicht mehr an dich verschlüsseln.)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • So, jetzt habe ich scheinbar die Erklärung, aber das Problem lag offenbar ganz woanders:


    Ich habe in der vergangenen Woche wegen der jüngst meiner Wahrnehmung nach erheblich angestiegenen Spam-Anzahl TB darauf umgestellt, nur noch die Kopfzeilen neuer E-Mails herunterzuladen. Das führt scheinbar dazu, dass verschlüsselte E-Mails für TB so „verstümmelt“ sind, dass nicht erkannt wird, dass bisher nur ein Teil der E-Mail heruntergeladen wurde und die Option zum Herunterladen der gesamten E-Mail gar nicht erst angeboten wird.


    Nachdem ich „nur die Kopfzeilen herunterladen“ ausgeschaltet habe, kann ich jedenfalls wieder wie bisher verschlüsselte E-Mails empfangen und lesen.


    Bedeutet dies dann, dass sich S/MIME-Verschlüsselung einerseits und „nur die Kopfzeilen herunterladen“ (bei POP) ausschließen? Gibt es keine Möglichkeit, beides zu verbinden? (-A-)



    Wenn es jetzt wieder läuft, bin ich zumindest beruhigt. Noch nicht ganz zufriedenstellend ist, dass ich keine Erklärung dafür habe, warum mir bei einer E-Mail an mich selbst als Sicherheitsinformation das Ablaufdatum (m)eines Zertifikat angezeigt wird, mit dem gar nicht verschlüsselt/signiert wird. (-B-)


    Wenn noch jemand Lösungen für "A" und "B" weiss, bin ich sehr interessiert.


    Vielen Dank schon mal vorab und

    herzliche Grüße

  • Was das erste betrifft (nur die Kopfzeilen ...), da ist bekannt, dass diese Unsitte Auswirkungen auf die Mail hat. Bei manchen Providern wird eine derartige Mail überhaupt nicht mehr angezeigt, da selbige ja nicht mehr "ungelesen" ist und diese bereits als "heruntergeladen" markiert wird.


    Also, wenn du Gründe haben solltest, auf IMAP zu verzichten und immer noch das alte POP3 benutzt, dann solltest du die beiden Optionen:

    - nur die Kopfzeilen ..., und

    - heruntergeladene Mails auf dem Server belassen (Unterdrückung des gewollten DELE-Befehls)

    deaktivieren.


    Was die zweite Frage betrifft, da bin ich davon überzeugt, dass in den Einstellungen für das betreffende Konto das falsche Zertifikat eingetragen ist. => Die eingetragenen Zertifikate unter Konto > S/MIME löschen und neu auswählen. Dabei darauf achten, dass es sich um das richtige Zertifikat handelt. Das Beginn- und das Ablaufdatum sind deutlich sichtbar.

    (Es handelt sich in deinem Fall zumindest um das zweite, also um das für die Signatur verwendete Zertifikat. Prüfe oder erneuere aber beide Zertifikate!)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Das führt scheinbar dazu, dass verschlüsselte E-Mails für TB so „verstümmelt“ sind, dass nicht erkannt wird, dass bisher nur ein Teil der E-Mail heruntergeladen wurde und die Option zum Herunterladen der gesamten E-Mail gar nicht erst angeboten wird.

    Verschlüsselung und das nur teilweises Herunterladen einer verschlüsselten Mail widersprechen sich per se. Allein schon für den Hash wird die vollständige Nachricht benötigt.

    Die Kopfzeile liegt aber, wie der gesamte Envelope, natürlich unverschlüsselt vor. Diese Option allein sollte also funktionieren. Wenn das nicht der Fall ist, dann hat man beim Implementieren wohl nicht alles bedacht.

    In Zeiten von kostenlosen IMAP sollte das aber gar keine mehr Rolle spielen. Es gibt doch eigentlich keinen triftigen Grund mehr, das POP-Protokoll so zu vergewaltigen.