S/MIME Empfänger Zertifikat wird nicht gefunden

    • Thunderbird-Version: 68.5.0 (64-Bit)
    • Betriebssystem + Version: Linux Debian Buster (64-Bit) aktuell
    • Kontenart (POP / IMAP): IMAP


    Hi,


    S/MIME Zertifikate von meinem Empfänger werden nicht gefunden. Sein Zertifikat ist jedoch gültig und verfügbar. Er kann mir verschlüsselt schreiben und ich kann diese Mails auch problemlos öffnen.

    Ich selbst kann die Mails signieren. Somit wird mein Zertifikat auch zugeordnet.


    Soweit mir bekannt ist, kann man da auch nichts versehentlich deaktivieren, daher bin ich etwas ratlos.


    Hat hierfür jemand eine Idee?

  • Go to Best Answer
    • Thunderbird-Version: 91.2.1 (64-Bit)
    • Betriebssystem + Version: Linux Debian Bullseye (64-Bit) aktuell
    • Kontenart (POP / IMAP): IMAP


    Hallo,


    ich muss leider nochmals um Hilfe bitten.


    Das Problem besteht bei mir immer noch.

    Bei einer Windows Testinstalliation auf einer VM tritt das selbe Phänomen auf.


    Ich selbst habe ein gültiges S/MIME und kann verschlüsselte Nachrichten öffnen.

    Jedoch an die selbe Mailadresse bei dem ein gültiges Zertifikat vorliegt wird keins von Thunderbird gefunden und somit kann ich die Mail nicht verschlüsselt abschicken.


    Hat jemand eine Ansatzpunkt wie ich das Problem lösen kann?


    Beziehungsweise, wo finde ich eine Übersicht der Kryptographie-Module welche nötig sind?


    Ich wäre über jede Info dankbar, da ich mir dieses Verhalten nicht erklären kann.

  • Da bisher keiner geantwortet hat. Ich werde aus deiner Beschreibung nicht schlau. Wer ist Absender und wer Empfänger? Sind das beides Konten von dir?


    Ich kann nur etwas Allgemeines beisteuern.

    Ich selbst habe ein gültiges S/MIME und kann verschlüsselte Nachrichten öffnen.

    Zum Öffnen verschlüsselter Nachrichten wird der öffentliche Schlüssel des Absenders benötigt. Mit deinem eigenen Zertifikat, aslo dem des Empfängers, hat das nichts zu tun.

    Ich selbst kann die Mails signieren. Somit wird mein Zertifikat auch zugeordnet.

    Dafür wiederum wird dein privater Schlüssel, der des Absenders, benötigt, also dein Zertifikat.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Hi Susi to visit,


    sorry ich weiß.


    Ich wusste nicht so recht wie ich es erklären soll. Daher war das etwas verwirrend.

    Ich konnte es jedoch jetzt näher einkreisen. Thunderbird findet von allein Zertifikate der Empfänger nicht.


    Das heißt, wenn ich einem Empfänger zum ersten mal schreiben möchte wird kein Zertifikat gefunden. Um das ganze zu um gehen habe ich mir eine verschlüsselte und unterschriebene Nachricht senden lassen. Nach dem ich mir die Signatur angesehen habe, wird das Zertifikat dem Empfänger zugeordnet und ich kann ganz normal verschlüsselt senden.


    Wie bekomme ich es hin, dass die Zertifikate gleich von allein gefunden werden?

    • Best Answer

    So richtig schlau werde ich aus dem Geschriebenen immer noch nicht. Ich vermute aber, du bist einem Irrtum aufgesessen.

    Wie bekomme ich es hin, dass die Zertifikate gleich von allein gefunden werden?

    Bei S/MIME gibt es keine öffentlichen Schlüsselserver, auf denen jedermann seinen öffentlichen Schlüssel hinterlegen kann. Thunderbird kann die Schlüssel daher nicht von allein kennen oder suchen. Die Benutzer müssen sie zunächst einmalig austauschen. Ein Weg dazu ist genau der, sich gegenseitig eine signierte E-Mail mitsamt des öffentlichen Schlüssels zu senden. Ferner muss man den Zertifikaten dann noch das Vertrauen aussprechen.


    Zum Verständnis die Funktionsweise in Kurzform:


    Verschlüsseln: Person A sendet eine verschlüsselte E-Mail an Person B. A verschlüsselt dazu mit dem öffentlichen Schlüssel von B. B kann die E-Mail mit seinem eigenen privaten Schlüssel entschlüsseln.

    Das bedeutet, nur dann, wenn A den öffentlichen Schlüssel von B hat, kann er verschlüsselt an B senden. Sonst geht es nicht.

    B benötigt dazu keinen öffentlichen Schlüssel von A. Den bräuchte er erst dann, wenn er selbst verschlüsselt antworten möchte.


    Signieren: Person A sendet eine signierte E-Mail an Person B. Hier ist es jetzt umgekehrt. A benutzt seinen eigenen privaten Schlüssel für die Signatur. A kann deshalb immer signieren, selbst dann, wenn er keinen Schlüssel von B hat.
    Hat B den öffentlichen Schlüssel von A, dann kann er damit die Echtheit bestätigen. Hat B diesen öffentlichen Schlüssel nicht, wird eine ungültige Signatur angezeigt.


    Damit sowohl die Verschlüsselung wie auch das Signieren in beide Richtungen klappen, benötigen A und B jeweils ihr eigenes Schlüsselpaar und zusätzlich auch den öffentlichen Schlüssel des jeweils anderen.


    Ergänzend ein (geklautes) bildliches Beispiel. Das hatte ich vor ein paar Jahren schon einmal geschrieben, finde es aber nicht mehr, weil ich den Account gelöscht hatte.


    Stell die vor, du möchtest mit jemandem Dokumente auf ganz alte Art und Weise vertraulich austauschen. Dazu habt ihr euch folgendes Verfahren überlegt.

    Ihr legt das Dokument in ein mit einem Vorhängeschloss verschließbares Kästchen. Dein Partner hat dir dazu sein geöffnetes Schloss zukommen lassen. Im modernen Kontext wäre das sein öffentlicher Schlüssel.

    Nun legst du das Dokument in das Kästchen, legst auch dein eigenes Schloss geöffnet dazu und verschließt das Kästchen mit dem Schloss des anderen.

    Nur der Empfänger kann dann das Kästchen öffnen. Dazu braucht er seinen eigenen, privaten Schlüssel. Will er dir antworten, verfährt er genauso, wie du zuvor. Nur, dass er zum Verschließen halt dein Schloss verwendet.


    Wie stellt er aber nun fest, ob das Dokument wirklich von dir ist? Du könntest es vorher unterschreiben oder mit deinem Siegel versehen. Ihr könnte euch auch darauf einigen, dass du ihm stets dasselbe, einmalige Vorhängeschloss mitschickst. Um die Echtheit bestätigen zu können, muss der Empfänger dieses einmalige Schloss (deinen öffentlichen Schlüssel) kennen und erkennen können.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Edited once, last by Susi to visit ().

  • spun

    Selected a post as the best answer.