Alte Mails und abgelaufene S/MIME Zertifikate

Hallo AnNaTF79,

und willkommen im Forum!
Ja, es ist völlig korrekt, dass Schlüssel in Form von Softwaretoken (.p12 oder .pfx) mit einer Gültigkeit von einem (bis max. 3) Jahren ausgestellt werden. Das hat etwas damit zu tun, weil ein Angreifer bei einem "erbeuteten" Schlüssel beliebig oft das Passwort austesten kann. Im Unterschied zu Schlüsseln auf Microprozessorchipkarten mit lediglich drei Fehlversuchen. Dort ist eine Gültigkeit von 3-5 Jahren vorgesehen.
Aber das war ja nicht deine Frage.

Die Gültigkeit des Zertifikates (oder besser des Schlüsselpaares) bedeutet, dass man:
- den öffentlichen Schlüssel des Mailpartners nur bis zu seinem Ablaufdatum zum Verschlüsseln, und
- den eigenen privaten Schlüssel nur bis zu diesem Datum zum Signieren benutzen kann.
Danach funktionieren diese beiden Funktionen (zumindest bei einer Anwendung, welche auch regelgerecht damit umgeht und entsprechend prüft) nicht mehr.

Das Entschlüsseln empfangener E-Mails (bzw. verschlüsselter Dokumente usw.) mit dem eigenen privaten Schlüssel ist immer ohne zeitliche Beschränkungen möglich. Bedingung ist natürlich, dass <user> seine abgelaufenen "eigenen Zertifikate" nicht löscht.

Ich habe in meinem TB (gerade mal gezählt) insgesamt 21 abgelaufene Z. für meine diversen Mailkonten drin. Alle funktionieren zum Entschlüsseln alter Mails. Lediglich die Signatur wird als ungültig angezeigt, wenn die zur Sig. verwendeten fremden Z. abgelaufen sind.
Gleiches trifft zu bei meinem dienstlichen Mailprogramm (LoNo) und meinen mittlerweile 11 alten Signaturkarten. Auch die ältesten funktionieren noch zum Entschlüsseln.

Das "Problem" mit den ungültigen Signaturen kann man bei E-Mails maximal durch "Nachdenken" lösen. Vielleicht auch mit einer entsprechenden Einweisung der Mailpartner. Oder, auch sehr zu empfehlen, eine angebrachte herkömmliche Signatur mit dem Hinweis, dass die el. Sig. am ..... als ungültig erkannt wird - aber trotzdem vom Absender stammt und seinem Willen entspricht.
Bei archivierten signierten Dokumenten ist es üblich, diese mit einem aktuellen Zertifikat "überzusignieren". Dabei wird in einem automatisierten Verfahren kurz vor Ablauf des alten Zertifikates die Gültigkeit der Dokumente geprüft und dieses wieder mit einem "frischen" Schlüssel neu signiert. Dieses Verfahren ist natürlich bei den üblichen Mailclients nicht machbar. => Wie schon gesagt, eigenes Nachdenken gefragt.

Der Anwender der el. Signatur muss eben überlegen was besser ist: Das in der Regel "ewig" gültige Schlüsselpaar der allermeisten GnuPG-Nutzer (wo ein Angreifer mit entsprechender Rechenpower "alle Zeit" hat, dieses zu brechen), oder ein X.509-Zertifikat mit den entsprechenden Vorgaben und einer aus dem o.g. Grund resultierenden relativ kurzen Gültigkeit.

HTH

MfG Peter

Guten Morgen!

Ja, ich gebe dir Recht, es ist ein steiniger Weg, die Menschen von der Notwendigkeit des Schutzes ihrer Privatsphäre zu überzeugen. Wir haben ja alle nichts zu verbergen ... . Ich stelle mir das Geschimpfe vor, wenn jemand den Snailmail-Boten erwischt, wie er fremde Briefe öffnet und liest. Über das Mitlesen unserer Mails und sogar das Mitschauen (uns Beobachten!) von mitunter sehr intimen Video-Chats regt sich niemand auf. Sehr seltsames Verhalten!

Ich habe mich vor gut 10 Jahren dieser Aufgabe gestellt. (Nein, nicht das Öffnen von Briefen ;-))
Angefangen mit einem Dutzend Zertifikaten für die Familie und gute Freunde sind es mittlerweile jährlich ein paar Hundert, die ich produziere. Zusammen mit einer bebilderten Anleitung für ONU, wie sie die Schlüssel und Z. in ihren Thunderbird bekommen.

Von der dafür geleisteten "Überzeugungsarbeit" will ich nicht schreiben. Das muss eben sein. Ein prominenter dt. Rollstuhlfahrer ("... müssen wir eben das GG ändern ...") war mal mein bester Werbeträger. Und die "Enthüllungen" des letzten Jahres haben meine Privat-CA fast ans Ende der Kapazität getrieben.
Aber ohne sanften Druck und viiiiiel Überzeugung läuft eben immer noch nichts.

Na dann, weiter viel Spaß!

MfG Peter