Beiträge von Markusm12

Hallo,

ich suche nach Anbietern von S/MIME X.509 Zertifikaten für Privatanwender und wollte nach euren Empfehlungen und Erfahrungen fragen, da viele Anleitungen, HowTo's, und Tipps mittlerweile veraltet sind.

Leider gibt es momentan kaum noch Anbieter für kostenlose Klasse 1 Zertifikate.

Vielfach auch nur mit erheblichen Einschränkungen: geringe Laufzeit (secorio) , das Zertifikat wird auf Herstellerserver generiert (WISeID), oder der Anbieter ist mit seinen Root Zertifikaten kaum verbreitet (CACert/DGNcert).

Gibt es aus eurer Sicht Empfehlungen für kostenlose Zertifikate?

Wenn ich für ein Klasse 1 Zertifikat bezahle, welche Anbieter nimmt man hier am besten, oder worauf sollte man achten?

MfG Markus

Zitat von mrb

Das kann dann 2-3 Mal geschehen, damit kann ich leben.

Hallo, danke für die Rückmeldung.

Ja, man kann damit schon Leben. Aber dass der Fehler über Jahre nicht behoben werden kann, finde ich schon sehr ärgerlich. Ich kann mich vorstellen, dass das auf viele Neunutzer so abschreckend wirkt, dass man auf eine weitere Nutzung von TB verzichtet.

Nachtrag: Ich hab leider etwas spät diesen Beitrag im Forum gefunden: Masterpasswort wird mehrfach abgefragt beim Start Aber auch hier keine wesentlich andere Erkenntnis.

Unterm Strich: Wer das Problem hat, wird es wohl leider auch auf absehbare Zeit nicht los.

EDIT: Typo

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

• Thunderbird-Version: 68.6
• Betriebssystem + Version: Win 10 Pro 32bit

Hallo,

ich nehme Bezug auf diesen alten Thread: Masterpasswort mehrfach eingeben und möchte meine dortige Frage hier neu stellen.

Das Problem der zigfachen Eingabe des Masterpassworts beim Start habe ich ebenfalls. Ein drei Jahre altes Addon zu installieren, das meine Passwörter verwaltet, möchte ich vermeiden.

Kennt ihr inzwischen ein Fix oder ähnliches? Über google habe ich nichts neues gefunden, nur festgestellt, dass der Fehler wohl seid 10 Jahren existiert

MfG Markus

Hallo,

(das Thema ist alt, das Problem besteht aber unverändert - ich hoffe es ist daher ok, wenn mich hier einklinke.)

Ich habe Win10 Pro und TB 68.6.0 (32-Bit)

Das Problem der zigfachen Eingabe des Masterpassworts beim Start habe ich ebenfalls. Ein drei Jahre altes Addon zu installieren, das meine Passwörter verwaltet, möchte ich vermeiden.

Kennt ihr inzwischen ein Fix oder ähnliches? Über google habe ich nichts neues gefunden, nur festgestellt, dass der Fehler wohl seid 10 Jahren existiert

MfG Markus

EDIT: Typo

• Thunderbird-Version: 52.8
• Betriebssystem + Version: Win10
• PGP-Software / PGP-Version: Enigmail 2.07, gpg 2.28

Hallo,

ich habe bemerkt, dass TB meine (eigene) Signatur nicht mehr als 'vertraut' kennzeichnet.

Die Mail wird entschlüsselt und die Korrektheit der Signatur bestätigt, allerdings nicht als bekannt/ vertraut markiert.

Kann das mit dem geänderten Umgang mit den Modification Detection Codes (MDC) zusammen hängen?

Im Enigmail Forum habe ich einen Beitrag entdeckt, der (vielleicht) das gleiche meint Hier

Screenshots der Anzeige:

Sicherheitsinfo zum Schlüssel:

Eigenschaften / Vertrauen des Schlüssels:

Bug, Einstellungsfehler oder Verständnisproblem ?

Markus

Hallo,

anbei noch eine Handwerkliche Rückmeldung von mir.

Ich hatte zunächst einen Schlüssel mit dem ECC Algorithmus erstellt. Sogar mit dieser Anleitung https://blog.cscholz.io/pgp-subkey-usage/ mit extra Unterschlüssel (eigentlich sehr empfehlenswert).

Leider hat Posteo (angeboten wird eine Eingangsverschlüsselung aller mails mit dem eigenen Schlüssel, sowie einer eigenen Schlüsselverwaltung öffentlicher keys) keinen ECC Schlüssel akzeptiert. Mir persönlich war dies jedoch wichtig.

Letztlich bin ich doch wieder bei RSA gelandet.

Nach reichlich Lektüre ist mein Fazit:

• RSA ist immer noch Standard und bleibt es wohl noch einige Jahre.
• 4096bit ist die meist empfohlene Größe, mehr bringt vmtl kein wirkliches Plus an Sicherheit.
• Bei ECC fehlt noch ein etablierter Standard Algorithmus, den dann auch alle Plattformen akzeptieren. Leider wohl ein sehr langsamer Prozess.
• Wie lange RSA noch sicher ist, darüber gibt es breit gefächerte Meinungen, die von wenigen Jahren bis 40 Jahren reichen.

Markus

Zitat von generalsync

(aber so schwer ist das CLI auch wieder nicht: gpg --full-gen-key, dann Enter)

Also gpg 2.1 bei Win und Ubuntu machen bei mir die gleiche Aussage, dass bei 4096 Schluss ist.

Zitat von Drehmoment

Zu OpenKeyChain habe ich gelesen, dass die damit erstellten Schlüssel automatisch eine Länge von 3k haben.

Ja, in den Standardeinstellungen sind RSA 3072 voreingestellt. Neben 4096 bit werden auch ECC P256, 521 und EdDSA angeboten

In der Summe gibt es also keine "einfache" Option größere Schlüssel zu erzeugen.

(oder ich habe Eure Aussagen falsch verstanden)

Kann man darauf Ableiten, dass die Entwickler hierfür gar keine Notwendigkeit sehen bzw. für die Zukunft stark Richtung ECC tendieren?

Ich habe nichts dagegen, wenn das Thema etwas verbreitert wird.

Eine konkrete Frage an Euch noch:

Wie sieht der Ablauf zum Erstellen von 8k RSA Schlüsseln aus? Kann ich das nur im Terminal oder gibt es eine Win/Linux GUI, die das unterstützt?

Markus

Hallo,

ich hätte gar nicht erwartet, bei dem Thema auf soviel Resonanz zu stoßen.

Die Frage des Bedrohungsszenario ist sicherlich gerechtfertigt, als normaler Privatanwender ist man vmtl nicht durch gezieltes Ausforschen betroffen. Andererseits entwickelt sich auch die Möglichkeiten zum Entschlüsseln stetig weiter, sodass es (mittelfristig ?!?) durchaus als möglich erscheint, verschlüsselte Daten massentauglich zu entschlüsseln.

Ich möchte den Schlüssel auch für mein posteo Konto nutzen, da es Eingangsverschlüsselung, Schlüsselaustausch und autocrypt ermöglicht. Leider ersehe ich nicht, ob der Schlüssel dazu einem bestimmten Typ entsprechen muss.

Grundsätzlich denke ich auch, dass man einem etablierten Code mehr Vertrauen schenken sollte als einen völlig neuen System (ok, neu ist hier relativ). Die Frage ist hier vermutlich, ab welchen Zeitpunkt man ECC gleiche Zuverlässigkeit/ Vertrauen bescheinigt, mit der man aktuell RSA begegnet.

Bliebe zu hoffen, dass die Etablierung von ECC schneller geschieht, als die potentielle "Knackbarkeit" von RSA voranschreitet.

Ich kann mit Kleopatra bzw Thunderbird als GUI "nur" maximal 4096 bit RSA Schlüssel erzeugen. Macht mehr keinen zusätzlichen Gewinn oder wird es zu unpraktikabel?

Markus

• Betriebssystem + Version: Linux / Win

• PGP-Software / PGP-Version: 2.1

Hallo,

ich möchte mir einen neuen gpg Schlüssel erstellen und diesen neben TB auf Win/ Ubuntu auch unter K9+Openkeychain nutzen.

In den letzten Jahren gab es einige Fortschritte mit neuem Algorithmen, insbe. die Verwendung elliptische Kurven.

Hat jemand von Euch Erfahrungen mit dem produktiven Einsatz vom ECDSA Algorithmus? Ich bin mir unsicher, ob der (vermeintliche) Gewinn an Sicherheit damit erkauft wird, dass die neuen Schlüssel ggf noch Kinderkrankheiten/unentdeckte Schwachstellen bzw. mangelnde Kompatibilität aufweisen.

Markus

Hallo Peter und danke für die ausführliche Erklärung,

in der wagen Hoffnung, noch etwas Klarheit für mich zu erreichen, ein paar Entgegnungen (im positivem Sinne ) zu deinem Post:
Ich habe das Zertifikat mal exportiert und an gehangen , Bilder zum Aussteller/Inhaber sind beigefügt. Als Algorithmus wird sha1 angegeben, System-Uhrzeit (Lokalzeit) stimmt.
Heute konnte ich TB einige male ohne entsprechende Fehlermeldung starten und alles lief einwandfrei. Nach einem Neustart von TB nur Sekunden später wieder eine Meldung über falsche Zertifikate.
Sofern der Internet-Provider eine Rolle spielt: Ich bin derzeit im Ausland und nutze einen lokalen UMTS Provider.

Am Rande gesprochen:
Einzelne Sachen wickle ich mit Gnupg ab, aber aufgrund dessen winzigen Teilnehmerkreises längst nicht alles. Ich empfinde daher die Verschlüsselung zwischen Empfänger und Server schon als kleinen Baustein der E-mail Absicherung (offen gesprochen fällt mir auch keine weiterer mehr ein). Dass ein kostenloser Anbieter per se schlechter ist, sehe ich aber nicht so - allein schon, weil ich zu hause nie Probleme mit den web.de Zertifikaten hatte.
Aus deinem Post deute ich aber, dass du einen anderen Weg gehst. Wie sicherst du denn deinen mail-Verkehr ab?

Gruß Markus

Thunderbird-Version: 17.0.2
Betriebssystem + Version: Linux - Ubuntu 12.04
Kontenart (POP / IMAP): IMAP
Postfachanbieter (z.B. GMX): web.de

Hallo,

ich habe seit einigen Tagen ein Problem beim Abrufen sowie Senden von mails und hoffe auf ein paar Ideen oder Tipps, um eine Lösung zu finden.

Beim Anmelden am web.de Server spuckt TB einen Zertifikat-Fehler aus und möchte, dass ich eine Ausnahmeregelung treffe. Ohne dies zu tun, verbindet sich TB nicht mit dem Server von web.de. Die web-Oberfläche von web.de funktioniert einwandfrei. Der Fehler kommt seit 4 Tagen nahezu immer beim Starten von TB.

Ein mail Abruf ohne eine Bestätigung der Ausnahmeregel ist in den allermeisten Fällen (aber nicht immer) nicht möglich. Das Problem besteht auch beim abgesicherten Starten von TB ohne Addons. Änderungen in der Konfiguration von TB habe ich seit Bestehen des Problems nicht durchgeführt.
Das Ganze sieht dann wie hier zusehen aus.

Danke für Eure Hilfe und Ideen. Markus

Zitat von "FUX"

Jetzt könnt ihr euch verbinden.

Heureka,

Vielen Dank!

Der "Trick" liegt darin, als Benutzernamen xxx@yyy.de einzutragen, den Eintrag "Server" aber LEER zu lassen.

EDIT:
#23
Zwei Dumme, ein Gedanke

Aber wer kommt schon auf sowas - FUX außen vor

Zitat von "Archaeopteryx"

Den Kommentaren in Bug 786684 zu Folge muss beim Hostnamen "username@jabber.ccc.de" angegeben werden.

Hallo und Danke,

ich habe jetzt als Benutzername den vollen Jabber- Namen eingesetzt, als Name@jabber.ccc.de

jetzt wird angezeigt
"Verbindung wird aufgebaut..."
danach
"Verschlüsselung wird aufgebaut.."
dann aber
"Fehler: Nicht autorisiert (Wurde ein falsches Passwort eingegeben?)"
Das Passwort ist definitiv richtig.

Könnte an den Zertifikaten liegen, aber ich habe eigentlich alle eingebunden:
bei Server:
jabber.ccc.de
cacert.org
und bei Zertifizierungsstellen:
CaCert Class 3 Root
CA Cert siging authority

Wenn ich Benutzername und Server mit Name@jabber.ccc.de angebe erhalte ich
"Fehler: Server hat die Verbindung getrennt
Wiederverbinden in XXX Sekunden"

Ich werd ehrlich nicht schlau draus.
Die Fehlerkonsole spuckt gar nichts aus.

Scheinbar scheint die Jabber Anbindung noch reichlich buggy zu sein.

Markus

Hallo, ich habe für meinen Jabber Account (jabber.ccc.de, Port 5222) das gleiche Problem.
Thunderbird kann keine Verbindung herstellen. Die nötigen Zertifikate habe ich mir zusammengesucht, Server und Port stimmen.

Die Fehlerkonsole spuckt folgendes aus:

Zeitstempel: 03.09.2012 20:47:51
Fehler: NS_ERROR_XPC_JS_THREW_JS_OBJECT: 'TypeError: match[1] is undefined' when calling method: [prplIAccount::connect]
Quelldatei: resource:///components/imAccounts.js
Zeile: 620

sowie

Zeitstempel: 03.09.2012 20:47:52
Warnung: XUL-Box für _moz_generated_content_before-Element enthält ein Inline-#text-Kind-Element, was alle Nachkommen zwingt, von einem Block umgeben zu werden.
Quelldatei: chrome://messenger/content/messenger.xul
Zeile: 0

kann das jemand nachvollziehen oder einen Tip geben?

Gruß Markus

@ Karla

Danke für die Info. Damit hat sich das Meiste geklärt.
Die Möglichkeit, die Ungültigkeit des Schlüssels bereits auf dem Server zu erkennen, hab ich aber leider noch nicht finden können, das werde ich mir bei Zeiten nochmal anschauen.

Trotzdem noch mal danke für die Tipps !!!

Gruß Markus

Hallo und erstmal danke,

ich habe die von dir beschriebene Anleitung gefunden, leider kann ich daraus nur wenig entnehmen.

Jedoch habe ich mein Problem teilweise selbst eingrenzen können, und vielleicht können andere auch davon profitieren:

Mit Hilfe des Widerrufzertifikat, welches man bei der Schlüsselverwaltung von Enigmail erstellen kann, kann man einen Schlüssel für ungültig erklären. Diesen ungültigen privat/öffentlichen Schlüssel muss nun erneut auf den Server geladen werden. Wenn der nun ungültige Schlüssel von einem Dritten vom Schlüsselserver runtergeladen wird, erhält er die Anzeige auf seiner Schlüsselverwaltung, dass der Schlüssel widerrufen wurde.
Hier kann man dazu nachlesen: http://hp.kairaven.de/pgp/gpg/index.html , http://hp.kairaven.de/pgp/gpg/gpg8.html

So weit, so gut.
Leider weiß ich immer noch nicht, ob man einen Schlüssel vom Server komplett entfernen kann, und wie man bereits auf dem Schlüsselserver erkennen kann, dass ein Schlüssel ungültig ist.

Vielleicht kennt hier jemand eine Lösung.

Gruß Markus

Hallo,
bin neu hier im Forum und möchte mich kurz vorstellen:
Ich heiße Markus, komme aus München und nutze Thunderbird seit ca 2 Jahren. thunderbird-mail nutze ich als Mitleser ebenso lange.

Heute habe ich hier einige interessante Beiträge über Mail - Verschlüsselung gelesen und habe daraufhin selbst etwas experimentiert.

Dazu habe ich eine Frage und hoffe, ich bin hier mit meinem Anliegen richtig.

Zur Verschlüsselung nutze ich Gnu PT ( GPG + WinPT) sowie Enigmail.
Ich habe versucht, mich mit dem Programmen ein bisschen zurecht zu finden. Dabei habe ich versehentlich zwei Schlüssel erstellt und die öffentlichen Versionen auf einen Schlüsselserver geladen. Nun stehen unter meiner Adresse zwei Einträge auf dem Server. Um dies rückgängig zu machen, habe ich unter Enigmail einen Schlüssel widerrufen, so dass jetzt Win PT bei diesem Key nun unter Gültigkeit "Widerrufen" steht (unter Enigmail ebenfalls unter Schlüsselverwaltung "widerrufen)
Trotzdem kann ich unter Enigmail immer noch beide Schlüssel bei der Suche auf einem Schlüsselserver entdecken.

Leider habe ich noch keine Anleitung zum Widerrufen von Schlüssel über WinPT bzw Enigmail gefunden, auch weiß ich nicht, wie ich mit Widerrufzertifikaten arbeiten kann.
Könnt ihr mir sagen ob und wie ich meinen zusätzlichen Key von einem Schlüsselserver entfernen kann ?

Vielen Dank

Gruß Markus

Vista SP2
Win PT 1.4.1
Thunderbird 2.0.0.22
Enigmail 0.95.7
GPG 1.4.9