Das habe ich befürchtet.
Ja, ich habe TB (24.0.6).
Dann nehm ich nächstes Mal glaube ich lieber gleich die 4-Jahres-Karte 
Gruß
Azrael42
Beiträge von Azrael42
-
-
Hallo zusammen,
hier nochmal eine leicht-OT-Frage: Wie ist es denn um die Sicherheit des privaten Schlüssels bestellt, wenn ich mir eine QES auf den neuen Personalausweis schreiben lasse gegenüber der klassischen Chipkarte? Der nPA hat ja keinen Prozessor oder? Dann müsste der PK ja extern erzeugt werden -> Risiko.
Dann also lieber nochmal Chipkarte wenn meine jetzige ausgelaufen ist. Richtig?
Danke schon mal
Azrael42 -
Hallo zusammen,
was passiert eigentlich, wenn meine Signatur (Chipkarte) die zwei Jahre gültig ist abläuft? Ich kann ja dann beim Trustcenter eine Folgekarte bestellen. Wenn ich jetzt an alte verschlüsselte Mails ran will, muss ich dafür die alte Karte aufheben oder kann ich die mit der neuen Karte auch entschlüsseln (so wie ich Peter verstanden habe dürfte das nicht gehen, da die neue Karte einen neuen PK hat, da man ihn ja nicht auslesen, also auch nicht kopieren kann).
Irgendwann stapeln sich dann die alten Karten und die werden ja auch technisch nur eine begrenzte Lebensdauer haben...Und wenn das so ist: Kann man gespeicherte Mails irgendwie "umschlüsseln"?
Danke schon mal
Azrael -
Hallo Peter,
vielen Dank für Deine ausführliche Beschreibung, jetzt ist mir einiges klar.
Ich dachte vorher, es wird im Prinzip wie z.B. mit openssl auf einem normalen Rechner ein Schlüsselpaar erzeugt und das dann auf die Karte kopiert.
So wie ich das verstanden habe, kennt das TC selbst die PKs also streng genommen nicht. Wobei man der Zertifizierung halt auch trauen muss, nicht dass die noch andere "Funktionen" voraussetzt, aber jetzt wirds richtig paranoid
Wegen des Softwarezertifikats der Uni muss ich mal schauen wie die das gemacht haben...
Danke nochmal & viele Grüße
Azrael42EDIT: Im Endeffekt läufts also darauf hinaus ob ich eher dem Pseudogenerator des PC oder dem Rauscher des Chipkartenproduzenten vertraue, richtig?
-
Zitat
Was mich wundert, ist dass ich immer zwei PINs eingeben muss (Signature PIN und Card PIN). Das erscheint mir ja einigermaßen logisch aufgrund der Benennung, nur bei Outlook wars eben nur eine (die Card PIN glaub ich)
Das kann ich nicht nachvollziehen.
Ich habe bei allen meinen Karten nur je eine einzige PIN (änderbar) und die PUK (falls ich meine PIN mehrfach falsch eingeben sollte). Mit der PIN wird der private key gesichert, und ich muss diese je 1x zum Entschlüsseln und 1x zum Signieren eingeben.
Was sagt denn dazu die Anleitung? Kannst du mir evtl. ein paar Screenshots machen und per PN zusenden?ZitatWas mir noch auffällt: Wenn ich vom Uni-Account eine verschlüsselte Mail an meinen GMX-Account schicke muss ich im GMX-Eingang keine PIN zum Entschlüsseln eingeben, die ist schon entschlüsselt.
Liegt das evtl daran, dass die Mail zusätzlich mit dem Uni-Zertifikat verschlüsselt wird was noch im Cache ist?
Womit (mit welchen Clients) sendest und womit empfängst du?
Beides Thunderbird?
Sind beides Softtoken oder ist da bei einem die Karte im Spiel?
Der Thunderbird entsperrt mit der Eingabe des Master-PW den Zertifikatsstore und kann dann ohne weiteres PW auf die dort gespeicherten Schlüssel zugreifen. Bei der Karte musst du jedes mal die PIN eingeben. -
Hallo zusammen,
beim Stöbern bin ich auf einen interessanten Punkt gestoßen an den ich noch gar nicht gedacht hatte: Wenn ein Trustcenter meinen privaten Schlüssel hat, ist die Sache ja nicht mehr wirklich sicher (gegen NSA & Co).
Bei reinen Software-Zertifikaten ist es ja offenbar so, dass der private Schlüssel beim Erstellen den eigenen Rechner nie verlässt.
Wenn ich aber ein qualifiziertes Zertifikat (Klasse 3) auf Chipkarte habe, ist der PK ja auch mit drauf, sprich das ausgebende Trustcenter muss meinen PK haben. Wie ist das zu interpretieren?Viele Grüße
Azrael42 -
Wie es in der Anleitung stand. So 100%ig kapier ich das sowieso nicht, weil ich immer mehrere PINs eingeben muss (bei Outlook wars nur eine).
Wenn ich mich richtig erinnere bin ich so vorgegangen:
1. Als Krypto-Modul Nexus Personal ausgewählt
2. die Root-Zertifikate von der Karte als vertrauenswürdige Zertifizierungsstelle eingerichtet
3. die Zertifikate von der Karte installiert (von der Karte mit dem Assistenten von D-Trust runtergeladen).Muss man hier etwas Bestimmtes beachten?
Was mir noch nicht ganz klar ist: Komme ich eigentlich nach Ablauf der D-Trust-Signatur noch an meine verschlüsselten Mails ran?
Danke & Gruß
Azrael42 -
Hallo Peter,
OK, danke für die Info, dann weiß ich Bescheid. Dann wars also richtig, dass das einzige Mal wo ich das Passwort für den PK eingeben musste beim Importieren war.
Mich wunderts halt, dass es keine Einstellung dafür gibt; das Cachen ist mir einfach irgendwie suspekt wenn z.B. Trojaner den RAM auslesen...Viele Grüße
Azarel42 -
Hallo zusammen,
nachdem ich von Outlook (das 2013er ist eine Katastrophe...) auf TB umgestigen bin habe ich festgestellt, dass ich, wenn ich von meinem Uni-Account mit S/MIME-Zertifikat eine Mail schicke, nicht nach einem Passwort für den privaten Schlüssel gefragt werde. Das kommt mir dann doch etwas suspekt vor, so kann ja jeder der an meinem Rechner sitzt in meinem Namen Mails signieren.
Warum ist das so und wie kann ich das Verhalten abstellen? In Outlook musste ich immer das Passwort eingeben wenn ich signieren wollte.Danke schon mal
Thunderbird-Version: 24.6.0
Betriebssystem + Version: Win7 64bit
Kontenart (POP / IMAP): IMAP
Postfachanbieter (z.B. GMX): GMX
S/MIME oder PGP: S/MIME -
Hallo zusammen,
hat sich erledigt, war PEBKAC
Ich hatte die falsche Zertifizierungsstelle als vertrauenswürdig markiert.Viele Grüße
Azrael -
Hallo,
nein, die Zertifikate sind von unterschiedlichen TCs (Karte von D-Trust, das andere von der Uni).
Wenn ich jetzt vom Uni-Account schicken will und ich die Karte nicht drin habe, kommt folgende Fehlermeldung:
"Senden der Nachricht fehlgeschlagen. Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konto in den Konten-Einstellungen angegeben sind, für E-Mail gültig und vertrauenswürdig sind." -
Hallo zusammen,
vielleicht kann mir jemand bei folgendem Problem helfen:
Ich habe zwei Mail-Konten. Für eines (Standard-Konto) verwende ich ein S/MIME-Zertifikat per Chipkarte, für das andere ein normales Zertifikat.
Wenn ich jetzt vom zweiten Konto eine Mail verschicke, wird bei der Verschlüsselung immer das Zertifikat des Standardkontos verwendet, das des zweiten wird gar nicht zur Auswahl angeboten.
Wie kriege ich das hin?Danke schon mal & viele Grüße
Azrael42Thunderbird-Version: 24.6.0, EnigMail 1.6
Betriebssystem + Version: Win7 x64
Kontenart (POP / IMAP): IMAP
Postfachanbieter (z.B. GMX): GMX
S/MIME oder PGP: S/MIME
