Funktioniert das DGN-SMIME-Zertifikat ?

Zitat von oswaldpu

hat jemand von Euch erfolgreich das SMIME-Zertifikat des Deutschen Gesundheitsnetzes im Einsatz?

Hallo Wolf und willkommen im Forum

ja, hier.

Zitat von oswaldpu

Wäre schön zu wissen, ob das DGN-Dings bei jemandem funktioniert.

Ich muss allerdings gestehen, dass das für mich reine Neugier war/ist. Ich signiere grundsätzlich alle ausgehenden Mails. Verschlüsselung habe ich mangels Bedarf und Partner noch nicht versucht. Wenn Du magst, können wir das gerne mal ausprobieren. Melde Dich dazu per Konversation.

Gruß Ingo

Zitat von oswaldpu

Dann sitzt das Problem also wieder mal vor der Tastatur.

Hallo

nicht unbedingt. Ganz problemlos funktioniert es hier nämlich auch nicht. Ich bin auch alles andere als ein Experte auf diesem Gebiet.

Zitat von oswaldpu

Dazu fehlen mir wohl die Rechte.

Ok, offenbar brauchst Du dazu eine gewisse Anzahl an Beiträgen. Ich habe aber Deine Nachricht per Threema erhalten und auch bereits geantwortet.

Gruß Ingo

Hi,

da (sicher nicht nur) mich das Thema auch interessiert: falls es wichtige (hoffentlich positive) Erkenntnisse gibt, gebt das bitte bekannt.

cu, frog

Zitat von frog

da (sicher nicht nur) mich das Thema auch interessiert: falls es wichtige (hoffentlich positive) Erkenntnisse gibt, gebt das bitte bekannt.

Grundsätzlich kenne ich keine S/MIME-Zertifikate, welche nicht funktionieren.

Ist ein Zertifikat einmal installiert und gültig, so ist eine Signierung immer möglich,

da der Empfänger deinen öffentlichen Schlüssel mit der Mail erhält. Er kann deine

Signatur also prüfen.

Ist dir der öffentliche Schlüssel deines Mail-Partners nicht bekannt, so kannst du

ihm auch keine verschlüsselte Mail schicken, was dann zu der Meldung "kein

passendes Zertifikat gefunden" führt.

Wie lautet jetzt eigentlich deine konkrete Frage?

Zitat von frog

falls es wichtige (hoffentlich positive) Erkenntnisse gibt, gebt das bitte bekannt

Hallo

oswaldpu (sowie noch ein anderer User) und ich haben das erfolgreich getestet. Es gab zwar den einen oder anderen Stolperstein, der aber auf PEBKAC zurückzuführen war und letztendlich gelöst werden konnte. Falls Bedarf und Bereitschaft besteht, besteht mein Angebot oben gerne auch für Dich.

Gruß Ingo

Hi,

Zitat von ThoBa

Wie lautet jetzt eigentlich deine konkrete Frage?

Ursprünglich nur, ob der in Beitrag #8 von schlingo erwähnte Test erfolgreich war (offenbar ja), und vielleicht, welche Stolpersteine es gab.

Wie das ganze funktionieren sollte, ist mir schon klar, mir geht es um die Praxis.

Zitat von ThoBa

Grundsätzlich kenne ich keine S/MIME-Zertifikate, welche nicht funktionieren.

Soweit die Theorie.

Ich habe mir ein Zertifikat geholt, mal schauen, wie es weitergeht.

Bei Bedarf komme ich auf dich zu, schlingo, danke für das Angebot.

Nachtrag: funktioniert soweit, kann mir selbst signierte und verschlüsselte Mails senden, nachdem ich die zwei, drei Stolperstellen überwunden hatte.

Aber so richtig sinnvoll ist das ganze nicht, weil niemand standardmäßig die DGN-CA kennt, und weil das DGN meinen privaten Schlüssel hat - die haben ihn ja generiert.

cu, frog

Zitat von frog

Nachtrag: funktioniert soweit, kann mir selbst signierte und verschlüsselte Mails senden, nachdem ich die zwei, drei Stolperstellen überwunden hatte.

Aber so richtig sinnvoll ist das ganze nicht, weil niemand standardmäßig die DGN-CA kennt, und weil das DGN meinen privaten Schlüssel hat - die haben ihn ja generiert.

Nun, Zertifikate der Klassen 3 und 4 sind durchaus sinnvoll, da sie die Identität

des Senders garantieren. Zudem ist es egal, wo die Zertifikate ausgestellt werden.

Zertifikate der Klasse 1 (oft free und das Schlüsselpaar wird "vor Ort" erstellt)

sind eher mehr zum "Spielen" gedacht.

Lies zu den Problemen mit S/MIME (und GPG) bitte auch den folgenden Beitrag:

Beitrag

RE: Details zu Zertifikat

[…]

Dieses Thema ist sehr komplex. Leider wurde der letzte Thread zu diesem

Thema schon geschlossen bzw. als "erledigt" gekennzeichnet.

Zunächst muss folgende Situation klar sein:

Provider wie bspw. GMX oder WEB.DE zerstören nachweislich seit Jahren Mails,

welche bei ihnen mit einer Content-Transfer-Encoding (Übertragungskodierung)

CTE=8bit eingeliefert werden!

Diese Mails werden während der Übertragung in CTE=quoted-printable

konvertiert! Es sei denn, dass der Inhalt nur aus 7bit-Zeichen (us-ascii)…

ThoBa

27. Juli 2023 um 17:20

Zitat von ThoBa

Lies zu den Problemen mit S/MIME (und GPG) bittchte auch den folgenden Beitrag:(...)

Das ist nun wieder ein ganz anderes Thema. Provider, die sich nicht an Standards halten und Mails kaputtmachen. Ich kannte das bisher nur bei us-amerikanischen Anbietern (yahoo IIrc), wo die die Sonderzeichen/Umlaute nicht korrekt ankamen.

Bei mir hat es wie gesagt bei mail.de mit dem DGN-Zertifikat funktioniert

Aber das Resümee bleibt, das DGN-Zertifikat ist ein nicht vertrauenswürdiges Spiel-Zertifikat.

Für "ernsthafte" Zwecke muß man wohl Geld in die Hand nehmen.

cu, frog

Zitat von frog

Hi,

Aber so richtig sinnvoll ist das ganze nicht, weil niemand standardmäßig die DGN-CA kennt, und weil das DGN meinen privaten Schlüssel hat - die haben ihn ja generiert.

cu, frog

Habe ich das richtig verstanden, das die DGN deinen privaten Schlüssel hat? Ist das deine Einschätzung oder definitiv Fakt?

Also ich habe meinen Schlüssel mit der Volksverschlüsselungssoftware (Fraunhofer Institut) erstellen lassen, wobei der Schlüssel bei mir auf dem Rechner generiert wurde und nur vom Institut beglaubigt wurde. Der private Schlüssel ist als nach wie vor auf meinem Rechner, wie es auch sein sollte. Alles andere macht den Anbieter unseriös!

Wenn niemand die DGN-CA kennt, sollte doch zumindest deren Root-Schlüssel importiert werden und das Vertrauen ausgesprochen werden können, oder verstehe ich da was falsch?

Zitat von klaman

Alles andere macht den Anbieter unseriös!

Hallo

ich spendiere den Konjunktiv: würde das DGN unseriös machen.

Zitat von klaman

Wenn niemand die DGN-CA kennt, sollte doch zumindest deren Root-Schlüssel importiert werden und das Vertrauen ausgesprochen werden können, oder verstehe ich da was falsch?

Nein, tust Du nicht. Ich kenne das DGN zwar auch nur aus dem Internet, halte es persönlich aber, genau wie die Volksverschlüsselung, sehr wohl für seriös. Das muss aber natürlich jeder für sich selbst entscheiden. Niemand ist gezwungen, das zu nutzen. Ich habe damit kein Problem. Und ja, selbstverständlich muss der Root-Schlüssel importiert und ihm das Vertrauen ausgesprochen werden.

Zitat von frog

Für "ernsthafte" Zwecke muß man wohl Geld in die Hand nehmen.

Das ist allerdings richtig. Ich nutze das Zertifikat ja privat und eigentlich eher zum Spielen. Für geschäftliche Zwecke würde ich das definitiv nicht tun, sondern ein kostenpflichtiges Zertifikat verwenden.

Gruß Ingo

Hi,

Wikipedia zum Thema S/MIME:

"Deutsches Gesundheitsnetz (DGN)^[5] (1 Jahr gültig, Klasse 1^[6] – Achtung: „private-key“ wird vom Server generiert und ist damit dem Anbieter bekannt)"

cu, frog

Zitat von klaman

Habe ich das richtig verstanden, das die DGN deinen privaten Schlüssel hat? Ist das deine Einschätzung oder definitiv Fakt?

Ja, das hast du richtig verstanden. "Free"-Zertifikate sind halt nur zum Testen

oder "Spielen". Dieses gilt nicht nur für "Free"-Zertifikate von DGN, sondern bspw.

auch für "Free"-Zertifikate von Actalis (IT) und anderen Zertifizierungsstellen. Dafür

sind diese Zertifikate aber auch kostenlos und haben einen international guten Ruf.

Möchte man von solchen Zertifikaten Abstand nehmen, so empfiehlt sich immer

GPG, denn dessen private Schlüssel bekommt niemand zu Gesicht.

[box][lline]

ACHTUNG:

Das Einlesen als auch das Verwalten von S/MIME-Zertifikaten und/oder GPG-Schlüsseln

in Thunderbird hat zur Folge, dass das private Passwort bzw. die private Passphrase

absichtlich zerstört wird!

Jede Person, welche Zugriff auf Thunderbird oder Betterbird hat, kann die privaten

Schlüssel ohne Kenntnis des Passwortes oder der Passphrase exportieren(!) und ein

neues Passwort bzw. eine neue Passphrase im Export-Dialog vergeben!

Es ist also unbedingt wichtig, dass für Thunder- als auch für Betterbird nicht nur

aus diesem Grund ein Hauptpasswort vergeben wird![/lline][/box]

Zitat von ThoBa

Zitat von klaman

Habe ich das richtig verstanden, das die DGN deinen privaten Schlüssel hat? Ist das deine Einschätzung oder definitiv Fakt?

Ja, das hast du richtig verstanden. "Free"-Zertifikate sind halt nur zum Testen

oder "Spielen". Dieses gilt nicht nur für "Free"-Zertifikate von DGN, sondern bspw.

auch für "Free"-Zertifikate von Actalis (IT) und anderen Zertifizierungsstellen. Dafür

sind diese Zertifikate aber auch kostenlos und haben einen international guten Ruf.

Möchte man von solchen Zertifikaten Abstand nehmen, so empfiehlt sich immer

GPG, denn dessen private Schlüssel bekommt niemand zu Gesicht.

[box][lline]

ACHTUNG:

Das Einlesen als auch das Verwalten von S/MIME-Zertifikaten und/oder GPG-Schlüsseln

in Thunderbird hat zur Folge, dass das private Passwort bzw. die private Passphrase

absichtlich zerstört wird!

Jede Person, welche Zugriff auf Thunderbird oder Betterbird hat, kann die privaten

Schlüssel ohne Kenntnis des Passwortes oder der Passphrase exportieren(!) und ein

neues Passwort bzw. eine neue Passphrase im Export-Dialog vergeben!

Es ist also unbedingt wichtig, dass für Thunder- als auch für Betterbird nicht nur

aus diesem Grund ein Hauptpasswort vergeben wird!

[/lline][/box]

Alles anzeigen

Habe auch gerade noch mal den Wikipedia-Artikel gelesen. Ist ja dann doch bedrückend, wenn der Anbieter den privaten Schlüssel hat. Volksverschlüsselung lässt den privaten Schlüssel (nach eigenen Angaben) immer auf dem Rechner der Nutzer, allerdings scheinen deren Stammzertifikate nicht in den Datenbanken (warum auch immer).

Da die Zertifikate 3 Jahre gelten, scheint das ja dann noch mit der beste Anbieter von kostenlosen Zertifikaten zu sein.