Hallo,
das siehst du dort:
Extras >> Konten-Einstellungen >> (Konto markieren und evtl. aufklappten) >> Servereinstellungen >> Server = ?????
HTH
MfG Peter
Beiträge von Peter_Lehmann
-
-
OK, Günter, dann ruhe dich mal aus. Ich bin morgen wieder den ganzen Tag online und kann dir gern weiter helfen.
MfG Peter
-
Zumal das ja alles (zumindest auf dem Papier) sauber geregelt ist.
Ich befasse mich ja schon ein kleines Weilchen damit und wenn ich so bedenke, welche extrem hohen Sicherheitsanforderungen das dt. SigG an die (deutschen) "Zertifikats-Dienste-Anbieter" so stellt, dann darf so was eigentlich gar nicht passieren. Aber leider gilt das Sprichwort "Geiz ist geil" ... . -
Zitat von "dimi11"
wo liegt das Problem bei POP3 Konten?
Ich habe von Leuten gelesen, deren mbox-Dateien mehrere GB groß sind ... .ZitatMit Linux und Windows benutze ich das gleiche Profil lokal auf meiner Daten Partition ohne Probleme.
Alter Hut. Mache ich seit Thunderbird 1.? so. (Jetzt allerdings nicht mehr, da "Fensterfreie Zone".ZitatUnd bezüglich der Bandbreite, wenn man den Zeitstempel bei Truecrypt ausschaltet, werden nur die veränderten Bits abgeglichen und nicht der ganze Container.
Du wolltest von deinen Erfahrungen berichten ... .ZitatKommt mit TB also garnicht in Konflikt.
Schaun wir mal.ZitatWas wäre denn interessant um ein Sniffer mitlaufen zu lassen?
Weil ich dabei Sicherheitsprobleme vermute. Aber schau selber.ZitatWenn ich mehr Zeit zum ausprobieren habe werde ich berichten!
Danke!MfG Peter
-
Sehr übel ... .
MfG Peter
-
Hi Dimi,
und berichte bitte über deine Erfahrungen mit diesem Konstrukt. Ich bin da nämlich sehr skeptisch ... .
Ich hoffe mal, du verwaltest deine Mails nicht per POP3. Und du nutzt VDSL oder schneller mit einer "höheren zweistelligen Bandbreite". Und ich gehe auch mal davon aus, dass du wenigstens einmal beim Mounten deines TC-Containers zur Kontrolle einen Sniffer mitlaufen lässt.MfG Peter
-
Hallo Günter,
"komprimieren" im Zusammenhang mit Datenbanken und mbox-Dateien hat absolut nichts mit ZIP und Co. zu tun! Damit ist hier gemeint, dass die lediglich als gelöscht markierten Mails (bzw. Datensätze bei Datenbanken) endgültig aus dem Datenbestand gelöscht werden. Daraus resultieren auch die großen Unterschiede in den Dateigrößen bei sonst gleichem Mailinhalt. Die "gelöschten" Mails werden bis zum Komprimieren immer mitgeschleppt.
==> Komprimieren ist eine wichtige "Hygienemaßnahme" bei den mbox-Dateien!Unterschiedliche "Mailordner" sind in Wirklichkeit völlig eigenständige mbox-Dateien. Auch wenn es in der Ansicht Unterordner zum Bsp. vom Posteingang sind, sind es eigene Dateien. Du kannst (im Rahmen des "vernünftigen") beliebig viele Unterordner anlegen. Eine jede dieser mbox-Dateien sollte eine bestimmte Größe nicht überschreiten, einige Hundert MB sind problemlos, ab 4 GB ist endgültig Schluss und es kann zum Datenverlust kommen.
Profilmanager:
Wenn du wirklich mit mehreren Profilen arbeiten willst, kannst du in den Desktopicons genau die dir bekannten Befehle eintragen. Also einschließlich des jeweils zu verwendenden Profils. Damit hast du dann zum Bsp. zwei Icons, eines für dein Standardprofil und eines für ein Testprofil. Nach oben gibt es keine Grenzen, wenn es denn unbedingt sein muss.Ich würde aber empfehlen, mit dem Wirrwar der verschiedenen Profile Schluss zu machen. Versuche, die Inhalte aller Profile in ein einziges Profil zu bekommen, welches du dann von allen Systemen aus benutzt. Falls einige wenige Mails irgendwo fehlen, kannst du diese auch einzeln exportieren und im "Gesamtprofil" wieder importieren. Dann maximal noch ein Testprofil dazu und Schluss ist. Sonst siehst du irgendwann nicht mehr durch ... .
MfG Peter
-
Zitat von "schos"
Beim OSX Server Betriebssystem (aktuell in Version 10.6.7 Snow Leopard) handelt es sich im Kern um ein Unix System, ...
So viel wusste ich von OS X auch.
Die Frage ist und bleibt, welchen Mailserver ihr vorher hattet und jetzt nutzen wollt. Ein einfaches Rüberkopieren der Dateien funktioniert eben nur bei einem identischen Server. Oder aber, ihr konfiguriert den neuen Server so, dass er per IMAP die Mails vom alten Server holt und bei sich lokal speichert. Hier reicht POP3 nicht aus, da dieses Protokoll nur die INBOX abfragen kann.
Ja, mehr kann ich auch nicht dazu sagen.
MfG Peter
-
In diesen Headereinträgen
CodeContent-Type: application/pkcs7-mime; name="smime.p7m" Content-Disposition: attachment; filename="smime.p7m" Content-Description: S/MIME Encrypted Message
wird übermittelt, dass es sich um eine S/MIME-verschlüsselte Mail handelt.Der eigentliche Mailinhalt, den du ja nicht herunterladen lässt, sieht dann so aus:
CodeMIAGCSqGSIb3DQEHA6CAMIACAQAxggLPMIICywIBADCBsjCBpDELMAkGA1UEBhMCREUxDDAK BgNVBAgTA05SVzEaMBgGA1UEBxMRQmFkIE11ZW5zdGVyZWlmZWwxFzAVBgNVBAoMDkpvSG9f UHJpdmF0LUNBMQswCQYDVQQLEwJDQTEcMBoGA1UEAwwTSm9Ib19Qcml2YXQtQ0EuMjAxMTEn ... hHA44Hghu12IW7iNeOerEz78lki/Lq8FP9DHOvfasJcECIn1eMsp1lahAAAAAAAAAAAAAA==Und Thunderbird zeigt diesen Inhalt eben nicht als Dateianhang, sondern im Plaintext an. Da du ihm aber keine Möglichkeit gibst etwas anzuzeigen, siehst du auch nichts.
-
Hallo Schos,
und willkommen im Forum!
(Und Danke für das Lob an unser Forum
)Ich befürchte, mit den von dir gemachten Angaben wird dir niemand helfen können. Wir kennen zwar jetzt deine Betriebssysteme, aber nicht die Programmnamen der beiden Server. Unter Linux (cyrus?, dovecot?) könnte ich dir dann vielleicht helfen, aber auf dem Mac ... ?
Das Problem wird wohl sein, dass du bei verschiedenen Servern nicht einfach so die Speicherdateien für die Mails auf den anderen Server kopieren kannst. Es ist ja nicht wie bei allen TB-Versionen für die gängigen Betriebssysteme, wo das dann immer das bekannte mbox-Format ist.
Also wenn ich diese Aufgabe hätte, dann hätte ich auf dem neuen Server ebenfalls ein Linux und als Mailserver den gleichen installiert. Der kann dann mit großer Wahrscheinlichkeit problemlos die alten Daten lesen. (Aber manche müssen eben das Geld für den Mac ausgeben ... .)
Krückenlösung, falls die Systeme wirklich nich zusammenpassen: (und je nach der Anzahl der Clients!):
Die Mails lokal auf den Clients speichern und dann von dort aus wieder auf den neuen Server kopieren. Das funktioniert immer.MfG Peter
-
Ja dann lädst du eben neben den Kopfzeilen auch den eigentlichen Content, die von mir bereits erwähnte verschlüsselte Datei "smine.p7m" herunter und der TB entschlüsselt sie und zeigt den Inhalt an.
Habe ich doch in meiner ersten Antwort geschrieben.MfG Peter
-
Zitat von "Peter_Lehmann"
Vergleiche in der Datei "profiles.ini" den Pfad und den Dateinamen zum Profil. Mit Hilfe dieser datei findet der TB sein Profil. Wenn der Pfad nicht stimmt .... . Auch hier kannst du den Profilmanager zum Reparieren einsetzen. -
Hallo Natz,
zuerst einmal vielen dank für deinen ausführlichen Bericht. Damit kann man schon mal was anfangen.
[NB:
1.) meine Haare sind schon weiß - aber nicht wegen des TB, und
2.) ich schreibe auch immer "Romane" ]Ursachen für das von dir beschriebene Problem kann es viele geben. Ich persönlich bin immer in solchen Fällen ein Freund radikaler Lösungen. Ich weiß natürlich, dass man ein TB-Userprofil von einer Version zur nächsten mitschleppen kann und dass das fast immer auch funktioniert, mache das aber selbst nicht gern. Ich fange wirklich bei jedem Versionssprung (von 1.x nach 2.x bis jetzt 3.x) mit einem neuen Profil an. Vielleicht ist das sie Ursache, dass ich noch nie Probleme mit einem TB-Userprofil hatte?
Ich würde an deiner Stelle also so vorgehen (ich nenne auch am Schluss noch eine andere Variante):
1.) Den TB neu installieren und die Konten sauber neu einrichten. Sicherlich hast du eine kleine Textdatei (oder einen Zettel), wo in einer Übersicht die Kontenbezeichnung, die Server, die Benutzernamen und Passwörter sowie eventuelle Besonderheiten wie Ports usw. aufgelistet sind. Mit dieser Hilfe dauert die Einrichtung der Konten doch nur ein paar Minuten.
2.) Als nächstes installierst du dir das Add-on "Import Export Tools". Damit kannst du Mails von anderen mbox-Dateien (aus deinem alten Profil) importieren.
3.) Jetzt stellst du das alte Profil wieder her. Dazu benennst du die Endung der Backupdatei in .zip um. (Sie ist in Wirklichkeit nichts anderes als eine ZIP-Datei.) Nun kannst du den Inhalt an einem beliebigen Ort entpacken. Wenn du dir das Ergebnis anschaust und mit unserer Anleitung vergleichst, kannst du einschätzen ob es vollständig ist.
4.) Jetzt startest du den TB und importierst du mit dem Add-on aus den vorhandenen mbox-Dateien des alten Profiles die dort gespeicherten Mails. Nimm dir dort jede mbox-Datei einzel vor und sortiere sie im jeweiligen Zielordner ein. Du wirst das Prinzip recht schnell durchschaut haben. Nach einer Weile hast du dann alle Mails im neuen Profil.
5.) Jetzt kannst du noch deine Adressbücher, Verteiler usw. einfach in das neue Profil kopieren. Dann noch die gewünschten Add-ons installieren und du bist fertig.Ergebnis: ein frisches und sauberes Profil mit den bisherigen Funktionen.
Du kannst natürlich auch den TB mit dem Profilmanager starten und mit dessen Hilfe auf den Speicherort des entpackten alten Profils verweisen (über "neues Profil"). Das geht natürlich schneller, aber du nutzt damit weiterhin ein altes Profil mit allen den dort garantiert "eingebetteten" kleinen oder großen Problemen.
Durchdenke die Sache mal und melde dich wieder, wenn du noch Fragen hast.
Ganz zum Schluss noch zwei Hinweise:
Lösche mal bei beendetem TB im Profil die Datei "parent.lock". Das ist die Sperrdatei, welche einen Mehrfachzugriff auf das Profil verhindert.
Vergleiche in der Datei "profiles.ini" den Pfad und den Dateinamen zum Profil. Mit Hilfe dieser datei findet der TB sein Profil. Wenn der Pfad nicht stimmt .... . Auch hier kannst du den Profilmanager zum Reparieren einsetzen.Aber die saubere Lösung habe ich oben beschrieben.
MfG Peter
-
Hallo highvoltage,
die Namen der Profilordner werden beim ersten Start des Programms nach dem Zufallsprinzip erzeugt. Wenn du also zwei historisch gewachsene Profile hast, dann haben sie trotz eventuell gleichem Inhalt zwei unterschiedliche Namen.
Du kannst:
- in den von mir beispielhaft genannten Ordner "D:\TB-Profil\" beide Profilordner reinkopieren und mit dem Profilmanager beim Betrieb auswählen
- oder du entscheidest dich für eines der beiden (das "bessere") Profile
- oder du importierst die Inhalte des einen Profils in das andere und löschst das erste.
- oder du sprichst insgesamt nur ein gemeinsames Profil an.Du kannst auch (so mache ich es) dem Profil einen aussagekräftigen Namen geben. Also: aus "ytavbysv.default" machst du beispielsweise "7_32.default". Musst natürlich die gleiche Änderung in der jeweiligen profiles.ini ebenfalls durchführen. Auf diese Art und Weise kannst du dann leicht auseinanderhaltbare Profile wie "Arbeit", "Privat" und natürlich auch "Test" betreiben.
Wichtig ist, dass du vor allen Manipulationen immer eine Sicherheitskopie machst. Dann kann gar nichts passieren.
MfG Peter
-
Hallo gabe,
und willkommen im Forum!
Bei einer S/MIME-verschlüsselten Mail befindet sich der gesamte Inhalt (also alles unterhalb der Betreffzeile, einschließlich sämtlicher Anhänge) in einer einzigen Datei mit Namen "smime.p7m"
Wenn du nur den Header herunterladen lässt (warum auch immer ...), dann ist nichts da, was der Thunderbird darstellen kann.Oder geht es darum, dass ein zweiter Versuch, und dann mit dem kompletten Herunterladen nicht mehr funktioniert?
Das kann ich mangels POP3-Konto leider nicht testen.MfG Peter
-
Hallo Zwiebelchen,
da ich diesen Provider auch nicht kannte, habe ich mich mal dort umgesehen.
Fünf Sachen fielen mir bei dem Kostnixaccount auf (es gibt aber auch gegen Löhnung "richtige" Mailaccounts!):1.) POP3-Zugang (Zeitabstand zwischen zwei Logins 15 min) => prophylaktisch hier gepostet, bevor die Fragen kommen ...
2.) "Stolze" 500 MB Speicherplatz für Mails
3.) nur POP3
4.) Mindestabstand beim Emailversand 60 Sek. !!!!
5.) zumindest ohne vorherige Anmeldung keinerlei Konfigurationsdaten zu finden. => Zwiebelchen, du müsstest sie aber finden, oder?MfG Peter
-
Zitat von "Nils"
Wenn ich nun dieses Zertifikat.p12 wieder in den Browser importiere erscheint folgende Meldung :
"Ihre Sicherheitszertifikate und privaten Schlüssel wurden erfolgreich wiederhergestellt."
Diese oder eine ähnliche Meldung besagt, dass du in deinem Browser, Mailclient oder sonstigem Zertifikate nutzenden Programm (openVPN usw.) deinen eigenen privaten, öffentlichen und den öffentlichen Schlüssel des ausstellenden TrustCenters importiert hast.ZitatWie gesagt wenn ich das Zertifikat bzw. die p12 Datei auf einem Fremden Rechner importiere klappt es auch.
Ich denke das ist somit der Beweis das auch der private Schlüssel entweder in der p12 Datei enthalten ist, zusammen mit dem Zertifikat, oder irgendwie anders mit dem Zertifikat verbunden.
Wie ich wohl schon mehrfach geschrieben habe, ist in einer Schlüsseldatei immer der private Schlüssel enthalten.ZitatWoran ich mich störe ist, das ich erwarten würde das ich Zugang zu 3 Dateien habe.
1. privaten Schlüssel
2. öffentlichen Schlüssel
3. Zertifikat
Auch diese Frage habe ich schon beantwortet, also was der Inhalt des "Zertifikates" ist, und was dieses von der "Schlüsseldatei" unterscheidet. Selbstverständlich kannst du jederzeit auch aus einer Schlüsseldatei den öffentlichen, den privaten Schlüssel und die reinen Zertifikatsdaten "herausexportieren". Du kannst alle Schlüssel und das Zertifikat in verschiedenen Formaten (binär oder als ASKII-Datei, .pem) darstellen. Der Inhalt und die Funktion bleiben immer gleich. Für ein openVPN werden in der Regel die beiden Schlüssel im .pem-Format verwendet.ZitatEs geht auch mit 2 Dateien
1. privaten Schlüssel
2. Zertifikat mit öffentlichen Schlüssel zertifiziert und somit kann daraus der öffentliche Schlüssel heraus gelesen werden.
genauZitatAls ich das Zertifikat heruntergeladen habe hat es sich in meinem Browser eingenistet, ohne das ich reproduzieren konnte ob es wirklich meinen privaten Schlüssel in irgendeiner Weise nutzt.
Auch das gern noch ein letztes mal:
Der Browser erzeugt deinen privaten Schlüssel, errechnet per RSA deinen öffentlichen, schickt diesen zum Server ...
Und irgendwo muss dieser private Schlüssel ja gespeichert werden, bis dein Browser aus diesem und dem Zertifikat dann die Schlüsseldatei zusammenstellen kann.
Dazu hat ein jeder (nennenswerte) Browser seinen CSP (Cryptografic Service Provider). Ob der nun Zertifikatsmanager, Zertifikatsstore, Passwortmanager oder wie auch immer genannt wird. Auf der WinDOSE siehst du diesen über den Internet-Ex und alle Kryptografie nutzende Programme greifen auf diesen zu, und Mozilla bringt für seine Produkte einen eigenen mit. Ob das was damit zu tun hat, dass OpenSource im Quelltext vorliegt und sich jeder (der dazu in der Lage ist) von der korrekten Funktion überzeugen kann - im Gegenteil zu ClosedSource?ZitatWenn ich dieses Zertifikat exportiere wird, wie oben beschrieben ersichtlich anhand der Meldung, der private Schlüssel mit in diese p12 Datei geschoben.
genau.ZitatEs fehlt die Transparenz.
OK, und deswegen breche in an dieser Stelle ab.
Ich habe nämlich nicht den Beruf eines Missionars ergriffen. Die können so was.
Ich kann nur so viel sagen, dass ich aus langjähriger Tätigkeit in einem TrustCenter weiß, wie die Abläufe sind. Und ich kenne auch die enormen Aufwände, die unternommen werden um einen extrem hohen Sicherheitsstandard zu gewährleisten. Und ich kann für das, was wir produzieren die Hand ins Feuer legen.Aber manchmal ist es besser den Kopf einzuziehen und mit Frau und Hund spazieren zu gehen, als gegen Wände aus Unverständnis zu rennen ... .
Das, was ich beschrieben habe, ist im Übrigen nur die primitivste Art der Erzeugung von Zertifikaten. Sie wird in der Regel nur für die genannten "Kostnix-Zertifikate" genutzt. Richtig interessant (und sicher!) wird es erst, wenn Schlüssel direkt auf evaluierten Chipkarten generiert und gespeichert werden ... .
MfG Peter
-
Hallo,
freut mich, dass ich dir helfen konnte.
Ja, wenn du exakt das gleiche TB-Userprofil verwendest, ist alles wieder vorhanden. Im "Profil" werden gespeichert:
- sämtliche Konteneinstellungen
- sämtliche lokal gespeicherten Mails
- alle lokal gespeicherten Adressbücher (ich betone das so, weil ich meine AB anders speichere.)
- sämtliche Add-ons
- die Trainingsdatei für das Junkfilter
- usw. eben wirklich alles.ZitatBleibt der Speicherort der lokalen Ordner erhalten?
Ich betone nochmals: Das unverbastelte (!!!) TB-Userprofil. Wenn du dort vorher herumgebastelt hast, solltest du das schnellstens reparieren. Sonst trifft das u.U. nicht zu, was ich oben geschrieben habe. Du solltest also genau die interne Profilstruktur haben, wie sie in unserer Anleitung steht und das Profil keinesfalls auseinanderreißen!MfG Peter
-
Hallo Nils,
zwei Vorbemerkungen:
1.) Mein Einkommen hängt nicht davon ab, ob du deine Mails per S/MIME oder mit GnuPG verschlüsselt. Ich will also niemanden missionieren.
2.) Wie Vic~ schon sagte: "Ich habe mir die verlinkte Seite von Dir mal angeschaut und finde sie nicht sehr seriös." Ich setze noch einen drauf: bereits der erste Satz ist absoluter Schwachsinn!Ich bleibe ausnahmesweise bei diesem Beitrag:
Was danach kommt (Bundestag und DE-Mail) stimmt leider. Es zeigt wie realitätsfern dort gearbeitet und gedacht wird. An Stelle den Leuten dort mit Hilfe von Schulung nahezu bringen, wie eine Mail sicher zu verschlüsseln und vor allem zu signieren ist, lässt man das einen Server machen. Ich gehe weiter zu Gesetzen wie dem, welches "Zenurursula" sinnfrei losgetreten hat, über einigen anderen bis hin zur DE-Mail. Ich werde zu DE-Mail in der jetzt im Gesetz festgelegten Form nie Vertrauen haben! Ein einziges Bundesland (*) hat eine end-to-end-Verschlüsselung gefordert. Dieser Antrag wurde abgeschmettert!
Oder denkt man dort vielleicht gar nicht mal so realitätsfern?
Wurde "Zensurursula" nur vorgeschickt, um dem Wahlvolk nahezubringen, dass von Steuermitteln eine Sperr-Infrastruktur aufzubauen ist? Eine, die selbstverständlich nicht nur gegen KiPos in Stellung gebracht werden kann? Was man einmal hat, wird auch angewandt ... .
Und haben nicht Innenminister reihenweise versucht, dem dt. Michel die private Verschlüsselung zu verbieten? Schon Herr Kanther hatte solche Ideen. Jetzt kann man sagen, ihr könnt doch zum Schutz eurer Privatsphäre (und natürlich gegen Löhnung ...) DE-Mail nutzen.Ich bleibe bei diesem Beitrag. Konkret beim ersten Satz.
Warum wohl wird weltweit von Behörden und Regierungen sowie von weltweit agierenden großen Firmen fast ausschließlich S/MIME mit sachgerecht produzierten (!!!) X.509-Zertifikaten benutzt? Weil es unsicherer ist? Wohl kaum!
Weil es nämlich im Gegensatz zum Bundestag üblich ist, eine saubere end-to-end-Verschlüsselung mit Hilfe von Schlüsseln auf Chipkarte anzuwenden. Und du solltest das auch nicht mit den zu Werbezwecken verschenkten Kostnix-Zertifikaten vergleichen! Aber dazu später.Als erstes solltest du dich noch einmal an Hand seriöser Quellen über die Funktionsweise der asymmetrischen Kryptologie informieren. Da scheinen bei dir wirklich noch große Lücken zu bestehen. Hier gibt es übrigens noch keine Unterschiede zwischen S/MIME und GnuPG!
Vor allem die Punkte 1-4 meines ersten Beitrages noch einmal lesen!Welchen Sinn sollte es machen, mit einem öffentlichen Schlüssel zu signieren? Was willst du mit einer el. Signatur erreichen, und kann das mit einem öffentlichen Schlüssel realisiert werden?
Wenn du also wirklich schon signieren kannst, dann muss sich dein privater Schlüssel schon auf deinem Rechner befinden!Wenn du bei einem seriösen (!) Trustcenter ein Zertifikat kaufst (!), dann bietet dieses Trustcenter auf seiner Webseite eine so genannte Policy an, in welcher nachzulesen ist, wie die Schlüssel generiert werden. Und wenn man, so wie ich, auch amerikanische Regelwerke kennt, dann weiß man, dass es da "gewisse Unterschiede" zu deutschen Recht gibt. Im Prinzip wurde das auch schon erwähnt.
Und dann musst du auch noch genau unterscheiden, ob es sich um das beliebte "Kostnix-Zertifikat", welches in erster Linie Werbezwecken oder dem Heranführen an die Mailverschlüsselung dient, oder um eine zu Recht teuere Chipkarte handelt. Dazwischen liegen Welten! Speziell bei der Herstellung der Schlüssel!
Fangen wir mit dem Kostnix-Zertifikat und auch bei einem in Deutschland befindlichen TrustCenter an.
1.) Es erfolgt keinerlei Identitätsfeststellung des Antragstellers (=> das ist die Sache, die richtig teuer ist!)
2.) Der Antragsteller übergibt in dem Webformular seine Zertifikatsdaten. In der Regel sind das der Name des Inhabers (CN), und zumindest die Mailadresse. Weitere Angaben wie Wohnort, Bundesland usw. sind optional. Das Land (DE) wird automatisch eingetragen.
3.) Jetzt wird der Browser des Antragstellers aufgefordert ein kleines PlugIn herunterzuladen und auszuführen. Entweder JS oder ActivX. Dieses bewirkt, dass die Kryptoengine des eigenen Browsers einen privaten Schlüssel erzeugt und diesen im Zertifikatsstore speichert. Dann wird per RSA-Verfahren daraus der öffentliche Schlüssel berechnet und dieser ergänzend zu den Zertifikatsdaten an das TrustCenter gesendet. Kurze Zeit später bekommst du eine Mail, wo du aufgefordert wirst mit exakt dem gleichen Browser auf einen zugeschickten Link zu gehen, und dir das Zertifikat abzuholen (Download). In deinem Browser wird der dort gespeicherte private Schlüssel mit dem Zertifikat verbunden.
4.) Jetzt kannst du zwei Dateien aus dem Zertifikatsstore deines Browsers exportieren:
- das auf deinen Namen ausgestellte X.509-Zertifikat. Es enthält nur deinen öffentlichen Schlüssel, deine Zertifikatsdaten (s. oben), die Gültigkeit, Hashwert und einige weitere öffentliche Angaben wie das ausstellende TrustCenter, und es wurde mit dem geheimen Schlüssel des TrustCenters signiert. Dieses Zertifikat ist identisch mit dem, was jeder vom TrustCenter herunterladen kann und welches jeder signierter Mail beigefügt wird.
- und deine so genannte Schlüsseldatei. Diese Datei enthält auch zusätzlich zum Zertifikat deinen privaten Schlüssel. Du erkennst das auch daran, dass beim Export immer ein Passwort einzugeben ist. Dateiendung: .pfx oder .p12, auch .pem möglich aber unüblich. (Und diese Datei ist erkannbar größer als das reine Zertifikat.)Diese Art der Zertifikats- und Schlüsselerzeugung hat zwei Nachteile:
1.) Keinerlei Identifizierung des Antragstellers (also auf Niveau GnuPG ...) => damit keine Beweiskraft bei der Signatur.
2.) der private Schlüssel wird durch den primitiven Pseudozufallsgenerator auf dem Rechner des Antragsstellers erzeugt (auch wie bei GnuPG).Da, wie wir alle wissen, es bei sachgerechter Implementierung der heute üblichen Kryptoalgorithmen kaum noch möglich ist, außer natürlich mit extrem langwierigen und deshalb entsprechend teueren brutalen Angriffen => Austesten aller Schlüssel, an ein fremdes Geheimnis zu kommen, ist gerade die Art und Weise der Produktion der privaten Schlüssel und auch deren Lagerort ein sehr wichtiges Kriterium bei der Einschätzung der kryptologischen Sicherheit. Und ein durch einen normalen PC generierter und auch dort gelagerter Pseudozufallsschlüssel steht nun mal am untersten Ende der Skala. Kein Rechner ist in der Lage, echte Zufallszahlen zu erzeugen. Trotz Salt und einer großen Prise Entrophie ... .
Jetzt habe ich eigentlich alles wiederholt, was ich in meinem FAQ-Beitrag geschrieben habe.
Ich bin gern bereit - sachliches Interesse vorausgesetzt - auch noch etwas zu professionelleren Methoden zu schreiben.ZitatDas Zertifikat wurde bei Comodo erstellt und liegt denen somit vor. Wenn der private wie auch öffentliche Schlüssel im Zertifikat enthalten ist, hätte Comodo die Möglichkeit meine E-Mails zu entschlüsseln.
Wenn du von denen direkt die Schlüsseldatei bekommen hast - ja.
Wenn du das nach dem von mir beschriebenen Request-Verfahren gemacht hast - nein???
??? => ich kenne die US-Amerikanischen Kryptoregularien ... . (Amerikanische Gesetze kann jeder nachlesen.)ZitatSo wie ich es gelesen habe, ist die genau das Prinzip bei DE Mail das den Strafverfolgungsbehörden die Möglichkeit bietet verschlüsselte E-Mails zu lesen.
Das hast du gesagt ... . "Wolfgang" lässt grüßen!ZitatFragen über Fragen
Nun, zumindest ist es gut, dass du dich damit befasst ... .Nachtrag:
(*) Es war Brandenburg. Ich glaube, die Menschen aus meiner alten Heimat wissen genau, warum sie diesen Antrag eingebracht haben!MfG Peter
-
Hallo Nils,
und willkommen im Forum!
Bevor ich dir jetzt alles erkläre, zuerst eine Frage: Hast du meinen Beitrag zu diesem Thema in unseren FAQ schon gelesen? Eigentlich werden dort deine Fragen alle beantwortet.Nur so viel:
1.) Du hast deinen privaten Schlüssel schon importiert - sonst könntest du nicht signieren.
2.) Das TrustCenter hat deinen privaten Schlüssel nicht.
3.) Zum Verschlüsseln benötigst du den öffentlichen Schlüssel deines Mailpartners.
4.) Deinen privaten Schlüssel benötigst du zum Entschlüsseln und zum Signieren.MfG Peter