Beiträge von David.P

Hallo Peter und vielen Dank nochmal für die zwischenzeitlichen Hilfestellungen

Wir sind ja jetzt so weit gekommen, dass ich nun eine ordnungsgemäße erstellte *.cer-Datei für das Wurzelzertifikat und eine *.cer-Datei für das Nutzerzertifikat habe. Diese ließen sich auch soweit probehalber in den Thunderbird importieren (wobei dem Wurzelzertifikat das Vertrauen manuell ausgesprochen werden muss).

Nun ist mir aber immer noch nicht klar, wie Du den schon ein paarmal zitierten Satz gemeint hast:

Zitat von "Peter_Lehmann"

Ich exportiere meine [Schlüssel und] Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

Ich habe im Hinblick darauf gerade mal versucht, das Wurzelzertifikat und auch das Nutzerzertifikat als "PEM with Certificate Chain" zu exportieren. Wenn ich dies im Thunderbird importiere, dann habe ich jedoch stets nur entweder das Wurzelzertifikat oder das Nutzerzertifikat importiert -- nicht jedoch beide Zertifikate auf einen Rutsch, wie in Deinem Zitat oben impliziert.

Für mich besteht daher immer noch die Frage, wie ich nun mein Zertifikat für meinen Mailpartner so exportiere, dass sich auch gleich das Herausgeberzertifikat darin befindet?

Vielen Dank nochmals für einen abschließenden Tipp diesbezüglich

Viele Grüße David

Hallo Peter,

O.k. danke! Allerdings kann ich das von mir probeweise erzeugte Zertifikat gar nicht in den Thunderbird importieren, bzw. lediglich als eigenes Zertifikat unter "Ihre Zertifikate" -- dem ich dann wiederum kein Vertrauen aussprechen kann. Als "Zertifikat anderer Personen" lässt sich das von mir erzeugte Zertifikat (im Format ".p12 mit CertificateChain") im Thunderbird gar nicht importieren, so dass ich auch auf diese Weise kein Vertrauen (probehalber) aussprechen kann.

So sieht meine erzeugte Schlüsseldatei aus:

Zitat von "Peter_Lehmann"

Schlüsseldatei = Zertifikat + privater Schlüssel., Format .pfx oder .p12
Dort einstellen "mit CertificateChain", dann ist das Wurzelzertifikat mit drin.

Die reinen Zertifikate (also ohne privaten Schlüssel), exportiert im cer oder der-Format benötigst du, um sie deinen Mailpartnern zur Verfügung zu stellen. Also sowohl dein eigenes, als auch das Wurzelzertifikat.

Ein intelligentes Mailprogramm importiert beim Empfang einer signierten Mail diese Zertifikate automatisch. Trotzdem muss der Nutzer das Vertrauen in das Wurzelzertifikat immer bewusst einstellen, so lange es keines der etablierten Trustcenter ist. Erst nach dem Einstellen des Vertrauens funktionieren die Zertifikate, bzw. werden sie als vertrauenswürdig anerkannt. Trotzdem schadet es keinesfalls, wenn du dem Mailpartner auch die o.g. Zertifikate per Mail mitschickst. Nicht alle Mailclients sind intelligend genug. Hier muss der Empfänger eben die Zertifikate manuell installieren.

Uaahhh ich sterbe........

Eigentlich hielt mich bisher nur der folgende Satz von Dir noch am Leben:

Zitat von "Peter_Lehmann"

Ich exportiere meine Schlüssel und Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

Darunter verstand ich in meiner möglicherweise grenzenlosen Naivität, dass bei der ganzen Sache schlussendlich eine einzige wie auch immer geartete Datei hinten rauskommt, die ich meinem Mailpartner zusende und fertig.

Nun schreibst Du aber wieder von Schlüsseldateien und zusätzlich von Zertifikaten, die ich alle dem Mailpartner zusenden muss, und die bei diesem womöglich wieder extra Aufwand mit dem Vertrauen aussprechen verursachen (da nicht vom Trustcenter herausgegeben) oder zu sonstigen Schwierigkeiten führen.

GEHT DAS DENN am Ende gar nicht wie gedacht, also nur eine einzige Datei (obige "Schlüsseldatei mit CertificateChain" -- oder welche Datei ist gemeint) zu erzeugen und diese dem Mailpartner zuzusenden?

Bittebittebitte.... :pale: Ich will einfach nur die einfachste, simpelste, primitivste Methode für ganz große Dummies, damit ich mit meinem Mailpartner per S/MIME kommunizieren kann. Mehr will ich doch gar nicht.................................

Geht das etwa doch nicht (ohne extra Promotion mit MBA, Auslandsaufenthalt und Postdoc?) :flehan: :flehan: :flehan:

Viele Grüße David.P

Hallo Peter,

Zitat von "Peter_Lehmann"

Das Vertrauen in dieses Wurzelzertifikat muss der Nutzer bewusst einstellen! => Bearbeiten, Haken setzen

:nixweiss: :nixweiss: :flehan: :flehan: :flehan:

Finde nirgends "Bearbeiten" :nixweiss: :nixweiss: :nixweiss:

Ist das im XCA, in Windows, im Thunderbird, kann das nur dem Mailpartner machen, oder worauf beziehst Du Dich? :flehan:

Hallo Peter und danke für die Infos.

Ich bin allerdings zu blöd. Trotz inzwischen "gefühlt wochenlanger" Beschäftigung mit dem Thema schaffe ich es nicht, mir diesen "All in One-Schlüssel" zu erstellen, den ich dann an meinen Mailpartner geben kann und fertig.

Du kannst Dir diese Probleme wahrscheinlich gar nicht vorstellen, da Du soviel ich weiß beruflich täglich mit diesen Dingen zu tun hast. Für einen einfachen User wie mich ist das Ganze aber nach wie vor ein nahezu undurchdringbares Rätsel.

Es fängt schon damit an, dass mir die Begriffe nicht klar sind.
(Fettdruck unten nur der besseren Übersicht halber)

Was bedeutet zum Beispiel CA -- ist das eine Abkürzung für "Certificate" oder für "Certificate Authority"?

Falls es Letzteres ist, was ist in diesem Fall die von Dir genannte "Root-CA"? Ich hätte eigentlich gedacht, das ist ein "Wurzelzertifikat", in diesem Fall wäre es aber eine "Wurzel-Zertifikatsbehörde", und was würde das dann bedeuten...?

Wie stelle ich also "ein Root-Zertifikat für eine CA" her. Ich habe es mit der Vorlage "[default] CA" versucht, die ganzen persönlichen Daten eingetragen, ansonsten nichts verändert und das Zertifikat als *.crt exportiert. Schau ich mir dieses an, dann steht dort schon wieder "Unterzeichner unbekannt, nicht vertrauenswürdig". Dasselbe in einem Nutzerzertifikat, welches mit diesem von mir erstellten Root-Zertifikat unterschrieben ist: "Unterzeichner unbekannt, nicht vertrauenswürdig". Habe ich hier wieder was falsch gemacht, oder ist das normal, weil niemand den Zertifikaten Vertrauen ausgesprochen hat....?

Weiter im Text schreibst Du "Diese Root-CA zertifiziert entweder gleich die Nutzerzertifikate [...]. Hier fehlt es bei mir schon wieder an den Grundlagen (Du greifst Dir wahrscheinlich an den Kopf): was heißt "zertifiziert", für mich bei der Erstellung des Nutzerzertifikats?

Bedeutet das, dass ich bei der Zertifikatserstellung mit XCA, im Tab "Herkunft" im Feld "Verwende dieses Zertifikat zum Unterschreiben" dann mein vorher erstelltes Root-Zertifikat auswähle -- oder meinst Du mit "Diese Root-CA zertifiziert" etwas ganz anderes?

Schließlich, der Export der Schlüsseldatei. Wenn ich im Tab "private Schlüssel" auf "Export" gehe, dann wird mir der Export als .pfd oder .p12 gar nicht angeboten, nur "PEM" oder "DER". Nur im Tab "Zertifikate" kann ich überhaupt den Export als .pfd oder .p12 auswählen. Aber dann wird ja nicht gemäß Deiner Anleitung die Schlüsseldatei, sondern das ganze Zertifikat exportiert. Wie exportiere ich also ordnungsgemäß die Schlüsseldatei?

Und wie gelange ich an mein eigentliches Ziel, die Umsetzung dieses Teils Deiner Anleitung: "Die Schlüsseldatei kannst du so exportieren, dass die beiden Herausgeberzertifikate gleich mit in den Container übernommen werden. Das bedeutet, dass nach Import der pfx-Datei gleich die Herausgeberzertifikate mit importiert werden."

Hier verstehe ich zunächst nicht, warum ich eine "Schlüsseldatei" exportiere (also offenbar nicht ein "Zertifikat"), um diese dem Mailpartner zuzusenden. Unabhängig davon ist mir aber auch nicht klar, wie ich diese Schlüsseldatei einschließlich der Zertifikatskette exportiere?(...also in welchem Tab von XCA, und mit welchem der gelisteten Exportformate).

Bitte entschuldige nochmals die vielen dummen Fragen. Für Dich sind das vermutlich alltägliche Kleinigkeiten -- für mich immer noch unüberwindliche Hindernisse.........

Viele Grüße David.P

PS: Die Daten von Ben-Utzer und seiner Firma in den Screenshots sind natürlich fiktiv

Aalso ich bin's wieder. Ich will jetzt mal Butter bei die Fische machen und mir ein richtig schönes Zertifikat erstellen.

Die Anforderung ist wie gesagt ausschließlich Mailverschlüsselung (wobei der Mailpartner auf seiner Seite das serverbasierte System "Julia Mail Office" verwendet, falls dies von Bedeutung ist).

Dabei soll das Zertifikat vor allem auch die praktische Eigenschaft aufweisen, die Peter wie folgt beschrieben hat:

Zitat von "Peter_Lehmann"

Ich exportiere meine Schlüssel und Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

Darunter stelle ich mir vor, dass ich dem Mailpartner also lediglich eine einzige Datei in Form eines solchen Zertifikats mit integrierter Zertifikatskette (oder wie das heißt) schicke, die dieser in sein System importieren kann, und anschließend kann gleich verschlüsselt gemailt werden, bis die Drähte glühen...

Unten also mal illustriert, was ich bisher gemacht habe.

Zunächst die Details des Zertifikats:

(Status)

(Besitzer)

(Aussteller)

(Erweiterungen)

Dann habe ich das Zertifikat als "PKCS #12 with Certificate chain" exportiert:

(Export)

Daraufhin werde ich nach einem Passwort gefragt, dessen Bedeutung mir noch nicht klar ist:

Passwortabfrage

Wie kommt es, dass ausgerechnet das Format "PKCS #12" hier ein Passwort benötigt, während beim Export in anderen Formaten kein Passwort abgefragt wird?

Wenn ich mir dann das fertig exportierte Zertifikat anschaue, bekomme ich hier ein "Nicht vertrauenswürdig" angezeigt:

(Details des exportierten PKCS #12-Zertifikats)

Woran liegt das, bzw. kann ich irgendwie beheben, dass hier die Unterschrift als nicht vertrauenswürdig und der Unterzeichner als unbekannt angezeigt wird? Oder macht das der Empfänger, indem er meinem Zertifikat das Vertrauen ausspricht? Oder habe ich selber die Zertifikatskette vergessen (falls ja, wie erzeuge ich diese und bringe sie in dem Zertifikat unter?)

Zusammenfassend hätte ich also momentan die folgenden Fragen:

• Habe ich beim Erstellen des Zertifikats alles richtig gemacht und nichts vergessen?
• Warum wird beim PKCS #12-Export das Passwort abgefragt?
• Wie kriege ich die Probleme mit der mangelnden Vertrauenswürdigkeit weg?

RIESEN Dank schonmal für alle Tipps in dieser Hinsicht,

Grüße David.P

Hallo Peter und ganz vielen Dank für die extrem ausführlichen und hilfreichen Antworten!

Vielen Dank insbesondere für den Hinweis auf XCA!

Zitat

Und: Ich exportiere meine Schlüssel und Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

Das ist allerdings unglaublich praktisch! Damit grenzt die Einfachkeit der Verwendung von S/MIME zur Mailverschlüsselung ja schon an diejenige von PGP?

Mit XCA habe ich mir gerade auf Anhieb ein erstes Zertifikat erzeugt. Nur weiß ich nicht genau, ob ich die zahlreichen Einstellungen alle richtig gemacht habe.

Gibt es hierzu vielleicht irgendwo eine ausführliche Anleitung, abgesehen von dem etwas knappen Hilfetext?

Die Eigenschaften meines zu erstellenden Zertifikats sollten möglichst die folgenden sein:

• Es sollte eine möglichst längere Gültigkeit als nur ein Jahr haben, um meinen Mailpartnern möglichst wenig Aufwand zu machen
• Es sollte die Herausgeberzertifikate enthalten, wie von Dir oben geschrieben
• Es sollte möglichst wenig unnötige Informationen und Funktionen enthalten (wird lediglich zum Verschlüsseln von Mails verwendet, ggf. auch zum Unterschreiben von Mails -- falls das überhaupt geht)
• Es sollte das optimale Format bzw. die richtigen Eigenschaften haben, um vom Mailpartner problemlos importiert und verwendet werden zu können (in meinem Fall ist die Gegenseite ein serverbasiertes Verschlüsselungssystem, nämlich J.U.L.I.A von der Firma I.C.C Solutions)

Was müsste ich wohl für Einstellungen wählen, um für diese Verwendung ein optimales Zertifikat zu erzeugen?

Bei XCA ist mir insbesondere in den Feldern...

- Signatur-Algorithmus
- Vorlage für das neue Zertifikat
- Grundbeschränkungen
- Zeitspanne
- Key Usage, Extended Key Usage
- Netscape und
- Exportformat (beim Zertifikatsexport)

...noch nicht klar, welche Optionen ich jeweils wählen sollte.

Grüße David.P

So also ein paar Fragen kann ich inzwischen selber schon beantworten

ad A)

Anscheinend gehöre ich zu den ungefähr exakt drei Leuten weltweit, die in Thunderbird Konten mit mehreren Identitäten haben, und gleichzeitig S/MIME - Verschlüsselung verwenden wollen (denn es gibt lediglich zwei Google-Treffer zu meiner obigen Thunderbird-Fehlermeldung, einschließlich auf Englisch) :redface:

Wie auch immer, in diesem Fall muss man nämlich die Thunderbird-Erweiterung "S/MIME Sicherheit für weitere Identitäten" verwenden, und das gewünschte Zertifikat nicht dem Mailkonto, sondern direkt der entsprechenden Mailidentität zuweisen -- dann klappt's auch mit der Verschlüsselung.

ad D)

Dementsprechend konnte ich mir gerade nun selber testweise eine S/MIME-verschlüsselte Nachricht zusenden, einschließlich HTML-Formatierungen, Inline-Bildern und Dateianhängen. Und was soll ich sagen: die angekommene und entschlüsselte Mail wird mit allem drum und dran einwandfrei dargestellt

ad B) & C)

Bleiben für mich derzeit somit noch die obigen Fragen B und C offen.

Zur Frage C) gleich noch eine kleine Ergänzung C'): Ich hatte mir gerade auch schon ein selbstsigniertes Zertifikat ausgestellt (mit der Firefox-Erweiterung "Key Manager"). Mit diesem Zertifikat kann ich offenbar auch problemlos ausgehende Mails verschlüsseln (Unterschreiben geht damit allerdings nicht).

C')
Spricht nun irgendwas dagegen, dass ich meinen Mailpartnern das selbstsignierte Zertifikat zusende und einfach dieses für die verschlüsselte Mailkommunikation verwende?

Sorry für den vielen Text,
nochmals vielen Dank vorab für alle Tipps,

Grüße David.P

Liebe Leute,

also ich hab mir jetzt mal ein kostenloses S/MIME-Zertifikat beim Trustcenter beschafft und m.E. auch erfolgreich in den Thunderbird importiert:

Ebenso habe ich das Stammzertifikat von der Trustcenter GmbH im Thunderbird installiert.

A) Nun scheitere ich allerdings schon daran, dass ich jedes Mal, wenn ich beim Verfassen einer Nachricht unter S/MIME-Sicherheit "Nachricht verschlüsseln" anwähle, folgende Meldung von Thunderbird bekomme:

Ich habe das Zertifikat aber doch bereits eingerichtet (und es eignet sich auch zur Verschlüsselung), wie man an dieser Anzeige von Thunderbird sieht:

Was könnte ich denn nun noch tun, damit ich im Thunderbird mal eine Nachricht mit S/MIME verschlüsseln kann, ohne stattdessen obige Fehlermeldung zu bekommen?

Außerdem hätte ich noch ein paar grundsätzliche Fragen zum Einsatz von S/MIME-Verschlüsselung....

B) Ich habe mein Zertifikat mit Firefox erzeugt, und konnte damit die folgenden Formate für mein Zertifikat abspeichern:

*.p7c
*.der
*.crt

Die bisher erhaltenen Zertifikate meiner Mailpartner haben jedoch keine dieser Endungen, sondern lauten grundsätzlich auf

*.cer

Spielt das eine Rolle? -- insbesondere, weil ich selber nun kein Zertifikat mit derselben Dateiendung besitze, sondern nur die drei oben angegebenen? Oder kann ich vielleicht einfach das *.crt in ein *.cer umbenennen, und das dann meinen Mailpartnern schicken?

C) Und wenn ich schlussendlich mein Zertifikat an meine Mailpartner versende, können die dieses dann problemlos importieren und zur Verschlüsselung verwenden? Spricht, ist das Stammzertifikat von der Trustcenter GmbH (das ja zusätzlich benötigt wird, um mein Zertifikat verwenden zu können) entsprechend weitverbreitet bzw. leicht zugänglich? Ich habe zum Beispiel kürzlich mit meinem Trustcenter-Zertifikat eine digital signierte PDF-Datei erzeugt. Beim Öffnen dieser Datei erscheinen jedoch unerfreuliche Meldungen, offenbar weil Adobe Acrobat dem Stammzertifikat von Trustcenter GmbH nicht traut:

Ist das grundsätzlich normal, oder liegt das an dem kostenlosen Zertifikat, was nicht so recht taugt? Denn mit solchen Meldungen bezüglich "unbekannter Gültigkeit" und "nicht vertrauenswürdigem Aussteller" will ich Korrespondenzpartner (z.B. Rechnungsempfänger) ja nicht gerne irritieren.

D) Und, erstmal letzte Frage: Kann ich mit S/MIME dann problemlos alle Arten von E-Mails ver- und entschlüsseln (Text, HTML, Mixed, Inline, mit Anhang usw.) -- ist das ganze also nicht so furchtbar problematisch wie bei PGP und den ganzen Inkompatibilitäten zwischen den verschiedenen Mailclients?

Fragen über Fragen,
und vielen Dank schonmal für alle Tipps,

Grüße David.P

.... hab das jetzt mal im Enigmail Forum gepostet.

Grüße David.P

Hi Thunder und danke für die Antwort,

ursprünglich war nämlich das Problem bei meiner Installation von Enigmail gar nicht vorhanden.
Ich erinnere mich, dass ich vor sicher schon ein, zwei Jahren mal irgendwelche Probleme mit der Verschlüsselung hatte, bzw. es bestand der Verdacht, dass mein GPG und/oder Enigmail nicht mehr aktuell war. Ich weiß nur noch, dass ich dann entweder von GPG oder Enigmail (wahrscheinlich eher von Enigmail) die aktuellste *englische* Version von der Homepage runtergeladen und installiert habe, wohingegen ich vorher die offizielle deutsche Version installiert gehabt hatte.

Seit dieser Zeit besteht das Problem mit der fehlerhaften Anzeige der Umlaute -- obwohl die Fehlermeldungen nach wie vor auf Deutsch angezeigt werden.

Ich hab natürlich schon ein paarmal alle Beteiligten deinstalliert und wieder neu installiert.

Grüße David.P

mann mann Peter,

Was für ein Beitrag...

Um das alles, was in Deinem Beitrag drinsteckt, aufzunehmen und zu verdauen bzw. umzusetzen werde ich noch einige Zeit brauchen. Daher nur an dieser Stelle erstmal Dank und großen Respekt.

Besonders happy bin ich über die Übereinstimmung, die sich in Deinem Satz ausdrückt: "Den Durchbruch können wir nur durch kryptografische Anwendungen erreichen, welche fast unbemerkt vom Nutzer arbeiten" -- und sich damit in wohltuender Weise von anderweitig vertretenen Meinungen unterscheidet, die jedem, der nicht versteht, wie Verschlüsselung unter der Haube funktioniert, das Recht zu deren Einsatz absprechen wollen.

Und den mit der "ehemaligen Verlobten" muss ich mir auch merken

Ich werde mich dann an die Arbeit machen (ich meine natürlich bezüglich des Einlesens in S/MIME:)

-- in diesem Sinne bis demnächst

Grüße David.P

Also vielen Dank erstmal für die Antworten, insbesondere natürlich an Peter :flehan:

Zunächst mal vorneweg, eigentlich halte ich (und meine Umwelt) mich für einen extremen Power User bezüglich PC und digitale Kommunikation... Seit vielen Jahren sind für mich Sachen wie papierloses Büro, Spracherkennung, Multitouch-Input, virtuelle Teams und Web-Kooperation usw. tägliche Selbstverständlichkeiten.

Zudem verwende ich bereits seit Jahren mit bestimmten Kommunikationspartnern E-Mail-Verschlüsselung (GPG). Trotzdem muss ich sagen, dass ich nach wie vor geschätzte ca. 80 % der Anleitungen bezüglich Mailverschlüsselung nicht verstehe. Bezüglich des Themas S/MIME und Zertifikate liegt der Prozentsatz wahrscheinlich eher bei 95 %.

Bei 99 % der arbeitenden bzw. PC-benutzenden Bevölkerung in- und außerhalb von Firmen dürften die Kenntnisse über Mailverschlüsselung dabei wahrscheinlich noch um einige Größenordnungen geringer sein :gruebel:

Sorry, all diesen Sermon nur vorneweg, um einmal für die alten Verschlüsselungs-Hasen aus Nutzersicht zum Ausdruck zu bringen, dass das Thema "Mailverschlüsselung" für fast jeden PC-Nutzer ein derzeit nahezu unüberwindliches Hindernis darstellt. Ganz zu schweigen vom problemlosen täglichen Einsatz von Mailverschlüsselung, von der wir nach wie vor noch Lichtjahre entfernt sind. Dass manche "Kenner" dazu möglicherweise geneigt sind zu sagen "...und das ist auch gut so" (anderweitig in Foren so erfahren) ist allerdings eine Haltung, der ich nicht zustimmen möchte.

Wie gesagt, dies natürlich an dieser Stelle nicht als Kritik, sondern nur als kleine Impression darüber, wie es zum Thema Verschlüsselung "dort draußen" in weiten Teilen tatsächlich aussieht :eek:

Nach alledem aber zurück zum Thema des Threads...

Ich verstehe nun, dass die besagte Firma offensichtlich S/MIME verwendet, und dass es sich bei den mir zugesandten *.asc-Dateien offenbar um X.509-Zertifikate handelt. Nach wie vor ist mir aber gänzlich unklar, ob und wie ich diese erhaltene Zertifikate nun einsetzen kann.

Mache ich einen Doppelklick auf eine solche *.asc-Datei, dann öffnet sich das Zertifikat mit einem Button "Zertifikat installieren". Drücke ich da drauf, dann öffnet sich (in Windows XP) ein Zertifikats-Import-Assistent, der nach mehrmaligen Drücken von "Weiter" die eigentlich erfreuliche Meldung abgibt "Der Importvorgang war erfolgreich". :top:

Was ich mit dem nun angeblich "erfolgreich importierten" Zertifikat (wohin auch immer dieses importiert wurde) anfangen kann, ist mir aber nach wie vor ein völliges Rätsel. :nixweiss:

Ich vermute allerdings sehr stark, dass dieses "erfolgreich importierte" Zertifikat mir für die Mailverschlüsselung in Thunderbird soweit noch gar nichts nützt. Will ich mit diesem Hintergrund das Zertifikat mit dem Zertifikat-Manager nun aber in Thunderbird importieren, dann werden diverse Passwörter abgefragt, die ich natürlich nicht habe, und weshalb der Import in Thunderbird dementsprechend fehlschlägt.

Schaue ich jetzt in die zugegebenermaßen äußerst ausführliche FAQ "Mailverschlüsselung mit S/MIME" (vermutlich aus Peters Feder), dann erkenne ich dort, dass anscheinend folgende Voraussetzungen für den Einsatz von S/MIME erfüllt sein müssen.

Zitat

Folgende Voraussetzungen müssen erfüllt sein:

• Der Absender muss im Besitz eines gültigen X.509-Zertifikates sein und dieses auch in Thunderbird installiert haben.
• Für die Empfänger müssen ebenfalls gültige Zertifikate installiert sein.
• Es müssen die Zertifikate der herausgebenden Zertifizierungsstellen installiert sein.
• Den Zertifikaten der Empfänger und der Herausgeber ist das Vertrauen ausgesprochen.

Hier zeigt sich nun wieder, wie unermesslich weit der Wissensunterschied z.B. zwischen dem Verfasser der FAQ und mir als Möchtegern-Anwender ist.

ad 1) Zunächst mal verstehe ich nicht, warum der Absender sein Zertifikat "in Thunderbird" installiert haben muss. In meinem Fall verwendet der Absender irgendeinen firmeninternes Mailsystem, keinesfalls jedoch Thunderbird. Insofern ist dieser Teil von Voraussetzung Nr. 1 wahrscheinlich hinfällig?

ad 2) "Für die Empfänger müssen gültige Zertifikate installiert sein"
Hier ist mir folgendes unklar:
a) Wer sind "die Empfänger", bin das ich in diesem Fall?
b) wo müssen die Zertifikate für die Empfänger installiert sein, beim Absender oder beim Empfänger, also bei mir -- oder bei beiden?

ad 3) dito:
a) Wo müssen die Zertifikate der Zertifizierungsstellen installiert sein, beim Absender, beim Empfänger oder bei beiden?
b) Und warum sind "die Zertifizierungsstellen" hier im Plural -- weil auch "die Empfänger" im Plural ist, oder weil Absender und Empfänger unterschiedliche Zertifizierungsstellen verwenden könnten?

ad 4)
a) wer spricht den Zertifikaten von Empfänger und Herausgeber das Vertrauen aus, der Absender, oder ich als Empfänger, oder beide, oder noch wer anders und
b) wie geht das?

Bitte all dies wie gesagt nicht als Kritik verstehen, sondern nur als Ausdruck der für mich nach wie vor riesigen Hürden auf dem Weg zum täglichen Einsatz von Mailverschlüsselung... :nixweiss:

Langer Rede kurzer Sinn, was müsste ich tun, damit ich dieses *.asc-Zertifikat meines Mailpartners im Thunderbird verwenden und diesem verschlüsselte Mails schicken kann?

Thanks vielmals schonmal vorab :flehan:
David.P

Hi Forum,

ich hatte mir vor längerem einen öffentlichen Schlüssel für eine erste Mail-Adresse erstellt und mit diesem erfolgreich gearbeitet.

Dann hatte ich diesem öffentlichen Schlüssel in der Schlüsselverwaltung unter "Benutzer-ID's verwalten" eine zweite, alternative Mail-Adresse von mir hinzugefügt.

Hierzu hätte ich drei Fragen:

• Muss ich nun allen Mailpartnern diesen öffentlichen Schlüssel erneut zusenden, oder können die Mailpartner, denen mein ursprünglicher öffentlicher Schlüssel bereits vorlag, diesen ursprünglichen Schlüssel weiterhin verwenden?
  

  
  

• Können mit meinem neuen öffentlichen Schlüssel, der nun zwei verschiedene Benutzer-ID's (also zwei verschiedene E-Mail-Adressen von mir) enthält, tatsächlich an beide enthaltenen Mailadressen verschlüsselte Mails geschickt werden, so dass ich diese mit meinem geheimen Schlüssel entschlüsseln kann?
  

  
  

• Oder sollte ich mir besser für jede meiner E-Mail-Adressen ein eigenes Schlüsselpaar erzeugen?

Grüße David.P

Hi Forum,

seit längerer Zeit zeigt mir Enigmail in Thunderbird die Dialoge mit einem falschen oder defekten Zeichensatz -- die Umlaute werden dabei nicht richtig angezeigt, siehe Screenshot:

Ich habe sowohl Enigmail als auch GPG schon mehrfach aktualisiert bzw. neu installiert. Weiß jemand, woran das Problem liegen könnte?

Vielen Dank schonmal und Grüße David.P

Hi Forum,

jedes Mal wenn ich Mitarbeiter aus einer bestimmten Firma um ihren öffentlichen Schlüssel bitte, dann übersenden mir diese ein Zertifikat mit dem Namensmuster

Zitat

public_key_vorname.nachname@firma.com.cer

siehe Screenshot:

Leider habe ich keine Ahnung, ob dieses Zertifikat nun

• den öffentlichen Schlüssel des betreffenden Mitarbeiters enthält, und falls ja,
• was ich mit dem Zertifikat anfange, insbesondere wie ich es in Enigmail importiere, so dass ich dem betreffenden Mitarbeiter eine verschlüsselte Mail schicken kann.

Riesen Dank schonmal für alle Tipps, ob und wie ich solche Zertifikate in Thunderbird/Enigmail verwenden kann.

Grüße David.P

Hi Forum,

habe hier im Thunderbird v2 mit Enigmail das Problem, dass manche empfangenen, verschlüsselten HTML-Mails zwar entschlüsselt werden, anschließend wird aber der HTML-Quelltext im Thunderbird dargestellt.

Unverschlüsselte HTML-Mails werden vollkommen korrekt angezeigt, ebenso wie meine eigenen verschlüsselten HTML-Mails.

Die eingangs erwähnten, entschlüsselten HTML-Problemmails fangen im Thunderbird dann immer so an:

Zitat

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>Nachricht</TITLE>
<META http-equiv=Content-Type content="text/html;
charset=iso-8859-1">
<META content="MSHTML 6.00.6000.21045" name=GENERATOR></HEAD>
<BODY text=#000000 bgColor=#ffffff>

usw.

Wenn ich dieselbe E-Mail jedoch beispielsweise mit FireGPG im Firefox in Google Mail anzeige, dann wird sie vollkommen korrekt entschlüsselt und als formatierte HTML-E-Mail angezeigt.

Nun habe ich schon festgestellt, dass dies bei Mails von bestimmten Absendern auftritt, bei denen nämlich die PGP-Verschlüsselung der einzelnen Mailbestandteile ("NextParts") separat erfolgt. Sprich, die problematischen Mails haben verschlüsselt ungefähr die folgende Struktur:

Zitat

[Header]

Content-Type: multipart/mixed;
boundary="----_=_NextPart_001_01C9F493.5C2C5AA9"
X-Brightmail-Tracker: AAAAAQPmCRA=

------_=_NextPart_001_01C9F493.5C2C5AA9
Content-Type: multipart/related;
boundary="----_=_NextPart_002_01C9F493.5C2C5AA9";
type="multipart/alternative"

------_=_NextPart_002_01C9F493.5C2C5AA9
Content-Type: multipart/alternative;
boundary="----_=_NextPart_003_01C9F493.5C2C5AA9"

------_=_NextPart_003_01C9F493.5C2C5AA9
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.2.4 (GNU/Linux)
[Verschlüsselte Reintext-Version der Mail]
-----END PGP MESSAGE-----

------_=_NextPart_003_01C9F493.5C2C5AA9
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.2.4 (GNU/Linux)
[Verschlüsselte HTML-Version der Mail]
-----END PGP MESSAGE-----

------_=_NextPart_001_01C9F493.5C2C5AA9
Content-Disposition: attachment; filename="asdf"
Content-Type: application/octet-stream; name="asdf"
Content-Transfer-Encoding: 7bit

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.2.4 (GNU/Linux)
[Verschlüsseltes Attachment "asdf"]
-----END PGP MESSAGE-----

------_=_NextPart_001_01C9F493.5C2C5AA9--

Alles anzeigen

Man sieht, dass jeder "NextPart" der Mail separat als PGP-Block verschlüsselt wird. Offenbar hat Thunderbird (oder Enigmail) damit Probleme.

Wenn ich selber hingegen eine HTML-Mail PGP-verschlüssle, dann wird der gesamte Body der E-Mail als ein einziger PGP-Block verschlüsselt. Das sieht dann ungefähr so aus:

Zitat

[Header]

Content-Type: multipart/encrypted;
protocol="application/pgp-encrypted";
boundary="------------enig8B63DF4E8CA39CE4A6FDCFC8"

This is an OpenPGP/MIME encrypted message (RFC 2440 and 3156)
--------------enig8B63DF4E8CA39CE4A6FDCFC8
Content-Type: application/pgp-encrypted
Content-Description: PGP/MIME version identification

Version: 1

--------------enig8B63DF4E8CA39CE4A6FDCFC8
Content-Type: application/octet-stream; name="encrypted.asc"
Content-Description: OpenPGP encrypted message
Content-Disposition: inline; filename="encrypted.asc"

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla
[Gesamter Body der Mail am Stück verschlüsselt]
-----END PGP MESSAGE-----

--------------enig8B63DF4E8CA39CE4A6FDCFC8--

Alles anzeigen

Derartige E-Mails werden von Thunderbird mit Enigmail auch wieder problemlos entschlüsselt und als formatierte HTML-E-Mails angezeigt.

Gibt es nun irgend einen Trick oder eine Einstellung in Thunderbird bzw. Enigmail, um dieses Problem zu umgehen und auch die blockweise verschlüsselten Mails (nach dem ersten obigen Beispiel) wieder korrekt (und nicht als HTML-Quelltext) anzuzeigen?

Danke schonmal für alle Tipps,

Grüße David.P

Hi Forum,

in meinen aus Outlook Express importierten Nachrichten werden häufig als Attachment beigefügte Bilder nicht in der Mailvorschau angezeigt.

Die Bilder erscheinen lediglich als entsprechendes Icon mit Dateiname unterhalb des Mailtexts in der Mailvorschau. Beim Doppelklick auf das Icon werden die Bilder ordnungsgemäß im zugeordneten Standardprogramm geöffnet.

Das Problem tritt bei einer Vielzahl von Mails auf, egal ob HTML oder Nur-Text; hauptsächlich allerdings bei Mails, die ich mit Outlook Express v.6 selber verschickt habe.

Woran könnte das liegen?

Danke schonmal für Tipps,
David.P