Beiträge von huby1691

Hallo Peter,

Zitat von "Peter_Lehmann"

huby1691 hat geschrieben: xca habe ich inzwischen auch installiert

Mir ist allerdings hier nicht ganz klar, was du damit vor hast.

xca scheint mir ein ganz vernünftiges Tool zur Schlüsselverwaltung unabhängig von TB zu sein. Ich will kein fremdes Zertifikat in eine eigene CA importieren, es soll nur in die Datenbank von xca. Unabhängig davon möchte ich auch eigene Zertifikate erstellen, aber das Projekt kann noch etwas warten.

Einen schönen Sonntag

huby1691

Hallo Peter,

da bin ich ja froh, dass ich nicht zu blöd zum Lesen bin.
Mit der *.pem Datei hatte ich es auch schon versucht, ich hatte allerdings die Datei ohne "-----BEGIN CERTIFICATE-----" und "-----END CERTIFICATE-----" erstellt, und das funktionierte dann natürlich nicht. Nun geht´s auch auf der WinDOSe.

xca habe ich inzwischen auch installiert, da kam beim Versuch eine Vattenfall *.cer Datei zu importieren, eine Fehlermeldung. Als ich jetzt davon einen Screenshot machen wollte, klappte es so. Allerdings sitze ich schon zu lange vor dem Computer und bin mir nicht mehr so ganz sicher, ob ich alles genauso gemacht habe.

Wie sieht es mit diesem Punkt aus, hast du dazu eine Idee?

Zitat von "Peter_Lehmann"

Aber dein eigener Schlüssel funktioniert zum Entschlüsseln alter Mails "ewig".

Das heißt aber auch, dass ich nach 5 Jahren 5 geheime Schlüssel habe, wenn ich ältere Mails noch lesen will? (bei einjähriger Gültigkeitsdauer von Kost-nix-Zertifikaten)

So, nun reichts für heute, Kiste ausschalten und noch etwas lesen.

Viele Grüße
huby1691

Hallo Peter,

vielen Dank für deine schnelle und ausführliche Antwort.

Zitat von "Peter_Lehmann"

huby1691 hat geschrieben:... mich mal wieder mit dem unangenehmen Thema Computer-Sicherheit zu beschäftigen.

Wenn du mit dieser Einstellung an dieses Thema herangehst, dann solltest du einfach darauf verzichten.

Das kann doch wohl nicht ganz dein Ernst sein! Wenn ich die Benutzung eines Sicherheitsgurts unangenehm finde, verzichte ich doch auch nicht darauf.
Sich mit Computer-Sicherheit zu beschäftigen, finde ich unerläßlich, allerdings unangenehm, da unproduktiv. (Ich verdiene mein Geld nicht in diesem Bereich.)

Nun noch einmal zu meinem Problem:

Zitat von "huby1691"

Leider habe ich große Schwierigkeiten, Zertifikate anderer Personen zu importieren. Beim Versuch *.cer bzw. *.der Dateien zu importieren passiert nichts

Ich möchte einer bei Vattenfall angestellten Person eine verschlüsselte Mail schicken. Von dieser Person kenne ich die Email-Adresse.
Auf der Webseite http://www.vattenfall.de/pki/ kann ich mir 2 Zertifikate der Vattenfall-Zertifizierungsinstanzen herunterladen.
Diese importiere ich im TB Zertifikatsmanager unter Zertifizierungsstellen und bearbeite die Vertrauenseinstellungen (3 mal ankreuzen).
Dann gebe ich auf der Vattenfall-Seite im Suchfeld die Email-Adresse des Mitarbeiters ein und erhalte eine *.cer Datei.
Die *.cer Datei "importiere" ich nach TB unter Zertifikate anderer Personen.
Es passiert nichts (kein Eintrag des Zertifikats, keine Fehlermeldung).

Wie importiere ich die verschähte *.cer Datei trotzdem:
Ich importiere die Zertifikate der Vattenfall-Zertifizierungsinstanzen sowie die *.cer Personendatei in Outlook-Express.
Ich exportiere das Personenzertifikat unter Einbeziehung der Zertifizierungsinstanzen (*.p7b Datei).
Diese *.p7b Datei importiere ich in TB. Dann erscheint die im vorhergehenden Beitrag abgebildete Warnung.
Dreimal auf OK geklickt (sind ja auch 3 Zertifikate) und im Gegensatz zum Meldungstext ist das Personenzertifikat importiert und kann verwendet werden.

Zitat von "Peter_Lehmann"

Jedes intelligente Mailprogramm ist in der Lage, im Rahmen der Signaturprüfung das Herausgeber- und das Userzertifikat automatisch zu importieren. Einmal je eine signierte Mail hin- und her geschickt - und schon habe beide Partner ihre (öffentlichen) Zertifikate ausgetauscht.
Einfacher geht es nicht!

Klar ist das die einfachste Möglichkeit, aber es sollte doch auch funktionieren, wie ich es oben beschrieben habe.

Zitat von "Peter_Lehmann"

Deshalb musst du bewusst das Vertrauen einstellen. (All das habe ich in mehreren Beiträgen ausführlich behandelt, auch was hier der Begriff des "Vertrauens" bedeutet, deshalb heute nicht ... .)

Habe ich gelesen, verstanden und finde es genau richtig.

Zitat von "Peter_Lehmann"

Es gibt gute Gründe, warum Mozilla einen eigenen Zertifikatsspeicher und überhaupt eine eigene Kryptoengine verwendet.

Das sehe ich auch so und deshalb beschäftige ich mich auch mit TB. Es ist wichtig, das es konkurrenzfähige Produkte zum Mainstream gibt. Es macht nur keinen guten Eindruck, wenn ein Programm nicht wie erwartet funktioniert. Leider bin ich nicht so ein IT-Crack, dass ich mir jetzt den Quelltext vornehmen kann und die Ursachen untersuchen.

Zitat von "Peter_Lehmann"

Aber dein eigener Schlüssel funktioniert zum Entschlüsseln alter Mails "ewig".

Das heißt aber auch, dass ich nach 5 Jahren 5 geheime Schlüssel habe, wenn ich ältere Mails noch lesen will? (bei einjähriger Gültigkeitsdauer von Kost-nix-Zertifikaten)

Herzliche Grüße
huby 1691

Hallo zusammen,

habe vorgestern eine signierte Mail erhalten und es zum Anlass genommen, mich mal wieder mit dem unangenehmen Thema Computer-Sicherheit zu beschäftigen.

Habe mir bei TC TrustCenter ein Class 1 Zertifikat besorgt und dank der guten Wiki-Beiträge und einiger Foren-Threads auch installieren können.
Leider habe ich große Schwierigkeiten, Zertifikate anderer Personen zu importieren. Beim Versuch *.cer bzw. *.der Dateien zu importieren passiert nichts!
Beim Öffnen signierter Mails werden die Zertifikate automatisch importiert.

Da Outlook-Express eine sehr übersichtliche Zertifikatverwaltung hat, habe ich etwas damit experimentiert und Zertifikate anderer Personen unter Einbeziehung des Zertifizierungspfades exportiert (*.p7b). Diese habe ich dann erfolgreich im TB Zertifikat-Manager importiert.

Dazu musste allerdings 3x abgebildete Fehlermeldung weggeklickt werden.

So sieht dann das Ergebnis aus, nachdem ich die Vertrauenseinstellung bearbeitet habe. (Personen erscheinen unter Websites.)
Meiner Ansicht nach ist ein vernünftiges Arbeiten mit Zertifikaten so nicht möglich. So kann ich niemanden überzeugen, Zertifikate zu verwenden.
Die Screenshots entstammen der TB Version 2.0.0.23 (20090812) auf WinXP Pro, die einzige Veränderung bei 3.0.3: in der ersten Zeile wird der Herausgeber der Zertifikate angezeigt (völlig unabhängig auf einem anderen XP Rechner installiert, auch unter Ubuntu 9.04 arbeitet TB nicht anders).

Habe ich etwas falsch gemacht oder nicht verstanden oder ist TB in diesem Punkt noch nicht so ganz ausgereift?

Einen sehr wichtigen Punkt habe ich noch gar nicht verstanden: In TB werden verschlüsselte Mails auch verschlüsselt abgelegt. Was passiert nach Ende der Gültigkeitsdauer des Zertifikats, kann man dann die Mail nicht mehr lesen?

Ich hoffe, der Beitrag ist nicht zu lang geworden. Ich freue mich auf Kommentare.

Viele Grüße
huby1691