Beiträge von PGP-Thunder

Hallo,
Problem ist gelöst.
Habe die vorgeschlagenen ADD-ONns installiert und probehalber für alle in dem dafür vorgesehenen Adressfeld "sign" eingetragen.
Der 1. Test mit 25 Teilnehmern ging wieder daneben. Mit 12 Teilnehmern hat es dann funktioniert, aber nicht, weil es so wenige waren.
Die Anzahl ist nämlich völlig belanglos, wie ich bei der Suche nach dem Limit feststellen konnte.
Man muss Thunderbird einfach genug Zeit geben bei allen Adressaten den Zertifikatsvermerk zu setzen.
Man kann unten ganz rechts am Erscheinen eines Briefumschlags mit Siegel erkennen, dass er fertig ist.
25 Adressaten schafft er bei mir in 4 Minuten und 42 Sekunden. Er braucht also ganz schön lange.
Klickt man vorher auf "Senden" erhält offensichtlich niemand eine Signatur.

Ich vermute mal, dass man auch ohne die beiden ADD-ONs, also Signierung durch Anklicken des S/MIME-Reiters, Thunderbird die nötige Zeit geben muss, den Vermerk bei jeder Adresse zu setzen.
Getestet habe ich das jetzt nicht mehr.
Ich könnte mir vorstellen, dass fürs Verschlüsseln noch mehr Geduld nötig ist. Testen kann ich das nicht, da niemand meiner email-Partner einen öffentlichen SMIME-Schlüssel besitzt.

Fazit: Thunderbird signiert auch Massenmails. Man muss ihm nur genügend Zeit geben bevor man sendet.

Vielen Dank für Eure Hilfe und vielleicht habt ihr diesmal sogar von mir ein bisschen profitiert. So soll es sein.
PGP-Thunder

Hallo Peter,
o.k. war wohl etwas ungenau ausgedrückt.
Die emails wurden zugestellt, aber ohne Signatur.
Bei einer email mit 3 Adressaten (meine 3 email-Adressen bei verschiedenen Providern) hat jede empfangene email einen Hinweis auf ein Zertifikat.
Kann es sein, dass 20 Empfänger einer mail nicht gleichzeitig eine Zertifikatsinfo erhalten können? Kann ich kaum glauben.

Gruß,
PGP-Thunder

Hallo,
S/MIME-Signierung hat im Test wunderbar funktioniert, auch die Verschlüsselung.
Signierte mails an meine 3 email-Adressen bei verschiedenen Providern zeigen ebenfalls die Signatur.
Habe jetzt aber mehrmals versucht eine Massenmail (ca. 20 Adressen) signiert zu versenden. Hat nie geklappt.
Es kommen auch keinerlei Hinweise. Habe es mit und ohne "Blindcopies" versucht, habe mich mehrmals vergewissert, dass das Häkchen sitzt - umsonst.
Kannitverstan.

Gruß,
PGP-Thunder

Hallo SusiTux,
danke für Deine Bereitschaft, aber ich habe inzwischen einen Sparringspartner gefunden, mit dem ich bereits erfolgreich wechselseitig signierte und verschlüsselte emails ausgetauscht habe.

So hat dann doch alles noch ein gutes Ende gefunden.

Mit freundlichen Grüßen
PGP-Thunder

Hallo hilfreiches Forum,
kaum macht man's richtig, schon funktioniert's.
Habe mir selbst eine signierte und eine verschlüsselte email geschickt - jedesmal erfolgreich.
Leider fehlt mir adele (macht nur PGP) zum Testen.
Wäre prima, wenn mir jemand eine SMIME-signierte mail schickte. Ihm/ihr versuche ich dann eine mit SMIME verschlüsselte Antwort zu schicken, die ich zur Kontrolle gern unverschlüsselt zurückhätte.

Ein paar Anmerkungen hätte ich noch:
Bei der Übernahme des Zertifikats aus dem GUI hatte ich vorher in der NoScript-Bedienoberfläche Scripte ausnahmsweise generell erlaubt. Leider schloss das aus unerfindlichen Gründen XSS nicht mit ein (hätte separat zugelassen werden müssen). Dass Scripte erlaubt sein müssen, hatte ich im wiki gelesen. In den Hilfe-Unterlagen von S-TRUST steht davon nichts.
Habe dann NoSCRIPT komplett deaktiviert, um keine weiteren Überraschungen zu erleben und dadurch leider meine komplette Whitelist eingebüßt.

Mein eigenes Zertifikat konnte im Zertifikate-Manager endlich verifiziert werden; bei allen Ausstellerzertifikaten erschien aber beim Import die Meldung: "Dieses Zertifikat konnte nicht verifiziert werden und wird nicht importiert. Der Aussteller ist möglicherweise unbekannt oder ihm wird nicht vertraut, das Zertifikat könnte abgelaufen oder widerrufen worden sein, oder es wurde möglicherweise nicht akzeptiert".
Habe mich nicht ins Bockshorn jagen lassen und 2mal pro Zertifikat auf "OK" gedrückt und es dann doch installiert bekommen. Wie soll man das verstehen?
Vermutlich fehlt das passende Wurzel-Zertifikat von VeriSign. Auf deren website habe ich allerdings keine Möglichkeit gefunden, ein passendes Zertifikat zu übernehmen.
Bei mindestens einem der S-Trust-Zertifikate stimmte der auf der website angegebene fingerprint nicht mit dem fingerprint im Zertifikat überein.
Vertrauen bildet das eher nicht. Sei's drum.
Der Funktionsfähigkeit meines Zertifikats tat es keinen Abbruch.

Ich bedanke mich für die Geduld mit mir.
MfG PGP-Thunder

Guten Tag,
in der Hoffnung weiterzukommen, habe ich den Hilfe-Service (nur per email möglich) von S-Trust befragt.
Antwort: "Bei Firefox werden leider nicht alle Zwischenzertifikate bei der Abholung des Zertifikates mit importiert". Ich möge die Dateien der Zertifizierungsstellen über einen angegebenen Downloadpfad herunterladen und im Zertifikate-Manager unter "Zertifizierungsstellen" importieren. Dann wäre die Meldung ("Zertifikat... nicht verifizierbar") behoben und das Zertifikat im Speicher sichtbar.
Unter der Überschrift "Certmgr habe ich auf der "C" den Download gefunden und mir die Dateien, die dort im Ordner "Zertifikate" lagen, angesehen.
Der Versuch diese einzelnen Zertifikatsdateien in einen eigenen Ordner zu kopieren gelang allerdings nicht. Ich kann zwar eine Datei markieren und den Befehl "Kopieren" anklicken, im Zielordner dann aber nicht "Einfügen" (die Option gibt es gar nicht).
Eine andere Option ist "Öffnen" und in der geöffneten Datei dann den button "Zertifikat installieren" und "Zertifikatsspeicher automatisch auswählen" (auf dem Zertifikatstyp basierend). Kommt die Meldung: "Importvorgang erfolgreich". Zu sehen ist im Firefox Zertifikatemanager allerdings nichts. Wahrscheinlich wird ganz woanders hin exportiert (Microsoft Management Console).
Habe dann die übergeordnete Datei ("TRUSTC1CASMAIL_V3 ...p7b) in meinen eigenen Ordner (SMIME) kopiert. Erfolgreich. Die einzelnen Zertifikate stehen da aber nicht drunter, es wird nach Anklicken auf den Unterordner "Zertifikate" unter der Downloaddatei im Laufwerk "C" verwiesen.
Wenn ich dann im Zertifikate-Manager von Firefox unter "Zertifizierungsstellen" auf "Importieren" klicken" und eine Datei auswählen will, findert er die einzelnen Dateien nicht, weder unter "C" noch die einzelnen Dateien unter dem kopierten TRUSTC1... Jetzt verstehe ich gar nichts mehr.

Was mache ich falsch? Vielleicht geht es etwas konkreter als der Hinweis, ich würde mir nur selbst im Wege stehen.

Habe jetzt schon viele Stunden damit zugebracht. Das Maß ist bald voll und ich verzichte ganz darauf. Ob ich den Zertifikatskauf stornieren kann, weiß ich allerdings noch nicht. Schlimmstenfalls muss ich die Kosten eben als Lehrgeld für das unangemessene Wildern in den Regionen von Profis und Nerds abschreiben (Wenn es dem Esel zu wohl ist ...).

MfG PGP-Thunder

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
* Thunderbird-Version: 31.3
* Betriebssystem + Version: WIN 7/64
* Kontenart (POP / IMAP): IMAP
* Postfachanbieter (z.B. GMX): Posteo.de
* S/MIME oder PGP: S/MIME

Hallo,
hatte das Gefühl, das in Fortführung des threads "Signierung mail mit PGP bzw. S/MIME" angesprochene Installationsproblem des S/MIME-Zertifikats verdiene einen eigenen thread.

Edit: Hier der Link zu dem o. g. Thread: Signierung mail mit PGP bzw. S/MIME.  S-Mod. graba

Bei mir ist Javascript als häufiges Einfallstor für Schadsoftware generell verboten und wird nur fallweise zugelassen, u.a. für diese website.
Ich nutze das ADD-ON NoScript.
Im wiki "Mailverschlüsselung_mit_S/MIME" steht, dass für die Übernahme eines Zertifikats in den browser Javascript zugelassen sein muss. Habe es also vor der Übernahme generell zugelassen, also nicht nur für eine spezielle website.
In NOScript gibt es ein Kontrollkästchen für XSS. Dort blieb das Häkchen allerdings drin.
Bei der Übernahme des Zertifikats aus dem webmailer (posteo.de) poppte dann die Nachricht hoch, dass ein Zugriff über XSS verhindert wurde.
Wenn ich mir mein Zertifikat im Firefox ansehe, erscheint die Meldung "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist".
Mit meinem bescheidenen Wissen hatte ich messerscharf geschlossen, diese ominöse Verfizierung wäre im Wege des XSS erfolgt, wenn sie nicht unterdrückt worden wäre. Kann natürlich Blödsinn sein.

Witzigerweise erscheint dieselbe Mitteilung bezüglich Verifizierung, wenn ich mir das Aussteller-Zerifikat im Firefox ansehe. Das verstehe ich überhaupt nicht. Wie sieht das bei Euch aus (Zertifikat von Deutscher Sparkassenverlag)?

Habe versucht, das Vertrauen auszusprechen und "Bearbeiten" angeklickt. Das Häkchen für email sitzt aber bereits, für anderes gilt das Zertifikat ja nicht.

Angeblich erzeugt das Kryptomodul von Firefox das Schlüsselpaar. Davon habe ich bis jetzt nichts mitgekriegt. Kann ich das überprüfen?

Gegen die Installation von S/MIME war die Aktivierung von Enigmail im Thunderbird ein Kinderspiel - im Forum klang es aber eher andersherum. Naja, vielleicht wird's ja noch was.

Ich bin übrigens immer noch auf der Ebene Firefox und nicht etwa im Thunderbird. Das kommt erst, wenn ich die Installation im Firefox kapiert habe.

Fragen über Fragen, aber das Forum ist ja geduldig.
Gruß, PGP-Thunder

Hallo und schönes neues Jahr!
Als absoluter Neuling in diesem Forum und in diesem Thema sauge ich alles auf, was meiner Ahnungslosigkeit abhilft und wenn mein ursprünglicher thread mal "gekapert" wird, tut mir das nicht weh.

Habe nun also ein email-Zertifikat beim Sparkassenverlag (S-Trust) für rund 35 EURO (2 Jahre) gekauft, für viel Geld also, aber mir ist es nicht egal, wer es ausstellt.
Warum sollte ein Unternehmen so etwas kostenlos abgeben? Macht mich gleich misstrauisch. Die Geiz-ist-geil-Mentalität, wie sie insbesondere im Netz waltet, ist mir zuwider.
Für Qualität und Sicherheit bin ich bereit zu zahlen, und zwar mit Euro und nicht mit meinen Daten.
Natürlich gibt es auch viel Altruismus im Netz, z.B. Wikipedia, und das ist gut so. Die kriegen auch jedes Jahr eine Spende von mir.

Bin nun unsicher bei der Installation des Zertifikats.
Mein browser (Firefox) hat bei der Übernahme des Zertifikats verhindert, dass cross site scripting zum Zuge kommt (ist bei mir so eingestellt). Das Zertifikat ist allerdings trotzdem da, habe es auch gesichert und dabei ein Backup-Passwort vergeben.
Wenn ich mir es im Zertifikate-Manager ansehe, kommt der Warnhinweis: "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist".
Unter dem Reiter "Zertifizierungsstelle" ist der Sparkassenverlag aber aufgeführt und der button "importieren" hervorgehoben. War mir aber unsicher, ob ich etwas importieren soll, was schon da ist.
Kann es sein, dass dieses Verifizieren über cross site scripting passiert wäre und nun nicht ist. Kann ich das nachholen?

Danke für Eure Hilfe
PGP-Thunder

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
* Thunderbird-Version: 31.3
* Betriebssystem + Version: WIN 7 64
* Kontenart (POP / IMAP): IMAP
* Postfachanbieter (z.B. GMX): Posteo.de
* S/MIME oder PGP: PGP

Hallo hilfreiches Forum,
habe nun also erfolgreich Enigmail aktiviert und mit adele getestet.
Der Empfänger/die Empfängerin einer signierten mail kann die Signatur aber nur mit meinem öffentlichen Schlüssel prüfen. In 99,9 % aller Fälle nutzt das nichts, da er/sie kein PGP hat. Oder könnte der angehängte öffentliche Schlüssel direkt (also ohne ihn zu importieren) zum Entschlüsseln der Signatur benutzt werden?
Würde gerne allen Adressaten versichern, dass ich es selbst bin, der ihnen da schreibt. (Bei gmail wurde 2mal mein Konto gehackt und dann unter meinem Namen emails mit Virus versandt! U. a. bin ich deshalb von gmail weg zu posteo gegangen.)

Kann es sein, dass beim Einsatz von S/MIME die Identität automatisch in Klarschrift angezeigt wird, da ein Zertifikat vorliegt?
Wenn dem so ist, steige ich doch noch auf S/MIME um oder installiere es zusätzlich.

Wenn ich die Informationen zu S/MIME im Netz richtig verstanden habe, wird mit der Signierung immer auch mein öffentlicher Schlüssel mitgeliefert und muss (oder kann) nicht zusätzlich an die mail gehangen werden.
Bei PGP scheint dem nicht so zu sein, man muss also beides machen (?).

Entschuldigt meine vielleicht dämlichen Fragen, aber nur wenn ich alle Implikationen zur Verschlüsselung voll kapiert habe, kann ich es meinem Freundeskreis erklären und vermitteln, dass es einfach sei und so wenigstens Einige verführen, es mir nachzutun.
Ich bin da der Einäugige unter den Blinden.
Also vielen Dank schon mal.

Zu 1)
Das Argument von Peter_Lehmann,Die Verknüpfung verschiedener Identitäten nicht offenzulegen, hat mich überzeugt. Werde also für jede Adresse ein eigenes Schlüsselpaar erzeugen.

Zu 2)
Schlüssellänge ist 4096 was auch immer, wenn ich die Überschrift <Stärke> in den Schlüsseleigenschaften richtig interpretiere. Wie zu sehen, habe ich das noch nicht kapiert. Wer entblödet mich?
Die öffentlichen Schlüssel werden durch die Signierungen also immer länger? Wieso müssen die ein Teil des zu importierenden Schlüssels sein?
Der mir von adele zugesandte Schlüssel war über 1300 Zeilen lang! Wollte ihn mit Cut-and-paste übernehmen - der cut ist aber immer gescheitert. Habe ihn mir schließlich über den Schlüsselserver importiert, was reibungslos geklappt hat, ebenso wie der 1. Test einer verschlüsselten mail an adele. War schon ein bisschen stolz.

A propos Schlüsselserver: Habe nicht vor meinen public key zu veröffentlichen. Werde ihn nur an mails anhängen. Habe das ungute Gefühl mit einer Veröffentlichung nur einen Selbstbedienungsladen für die Spammer dieser Welt zu beliefern. Begründet?

Zu 3)
Danke SusiTux fürs Kompliment.

Mit einem Dateianhang <Mein öffentlicher Schlüssel> mit den asc.Daten drin konnte Adele nichts anfangen. Die andere Methode über die Verfassen-Seite und Enigmail hatte natürlich funktioniert.
Habe mir den Anhang bei einer gmail-Adresse mal angesehen. Damit kann niemand auf Anhieb was anfangen, wenn die Datei 0x5FA...asc heißt. Ich würde eher nicht auf sowas klicken.
Bei gmail kam aber ein Dateianhang mit dem selbst vergebenen Namen <Mein öffentlicher Schlüssel> genau so an und enthielt die entsprechenden Daten.
Bei dem mail-Provider ok.de hat das jedoch nicht funktioniert. Gezeigt wurde ein Diskettensymbol mit 3 Fragezeichen drin und den kryptischen asc-Daten drunter. Da würde ich ganz bestimmt nicht draufklicken.
Kann das daran liegen, dass ok.de keine Verschlüsselung unterstützt? Oder können die einfach mit asc-Dateien nichts anfangen?

Sehr wahrscheinlich werden alle meine Bemühungen mails verschlüsselt auszutauschen vergeblich sein, weil niemand bereit sein wird, mitzumachen. ("Mir zu aufwändig und zu umständlich" - "Habe nichts zu verbergen" etc.)
Dieselben Leute würden mir sicher die Freundschaft aufkündigen, wenn mir einfiele, bei Ihnen einfach deren Briefe zu öffnen und zu lesen mit dem Hinweis, dass sie ja nichts zu verbergen hätten.
Die meisten sind zudem schon froh, wenn sie ihre Werbeschleuder-webmails unfallfrei bedienen können.

Vielen Dank für Eure Hilfestellungen!
Gruß von PGP-Thunder

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
* Thunderbird-Version: 31.3.0
* Betriebssystem + Version: WINDOWS 7
* Kontenart (POP / IMAP): IMAP
* Postfachanbieter (z.B. GMX): Posteo
* S/MIME oder PGP: PGP

Guten Tag,
dies ist mein 1. post in diesem Forum.
Ich bin PC-Laie, 67 Jahre alt und wage mich trotzdem an das Thema Verschlüsselung.
Dafür bin ich dem Tutorial "Emails verschlüsseln in 30 Minuten" gefolgt.
Ich teste mit mails an adele wie im Gpg4win-Kompendium beschrieben.

1.Problem
Habe meinen öffentlichen Schlüssel als Text in einer mail über Thunderbird an adele geschickt. Der öffentliche Schlüssel wurde erkannt, allerdings mit der Bemerkung, dass er einer anderen Adresse zugeordnet sei als die, von der ich die mail geschickt habe.
Diese andere Adresse ist eine Alias-Adresse (Identität), die im Zertifikat aber vermerkt ist. Adele meint, das könne zu Konfusion beim Mail-Empfänger führen.
Ich hoffe, ich muss nicht für jede Identität ein eigenes Schlüsselpaar erzeugen.

2.Problem
Der mir zugesandte öffentliche Schlüssel von Adele ist viel, sehr viel länger als meiner. Hat das was zu bedeuten?

3. Problem
Wenn ich meinen öffentlichen Schlüssel als Dateianhang an adele schicke (also nicht als Text in der mail selbst), wird er nicht erkannt. Adele antwortet: "Ihre E-mail enthält keinen Schlüssel ..."
Habe probehalber denselben Anhang an eine andere email-Adresse von mir bei einem anderen Provider geschickt. Die Datei kommt an.
Mache es genauso wie im Kompendium unter 8.1. beschrieben.

Bin ratlos und hoffe auf Eure Hilfe,
PGP-Thunder