Verständnisfrage zu S/MIME [erl.]

Hallo Volker,

und willkommen im Forum!
Es handelt sich sowohl bei PGP/GnuPG und auch bei S/MIME um das gleiche Prinzip der asymmetrischen Kryptologie.

• Zum Verschlüsseln an den Mailpartner benutzt du seinen öffentlichen Schlüssel, hier "Zertifikat" genannt.
• Zum Entschlüsseln einer an dich gerichteten (und mit Hilfe deines Zertifikats verschlüsselten) Mail, nimmst du deinen eigenen privaten Schlüssel, meist in Form einer "Schlüsseldatei" (.p12 oder .pfx) installiert oder auf einer Mikroprozessor-Chipkarte gespeichert
• Zum Signieren einer Mail nimmst du ebenfalls deinen privaten Schlüssel.
• Und zum Prüfen deiner Signatur nimmt der Empfänger der signierten Mail das Zertifikat des Absenders.

Bei beiden Verfahren ist es möglich, aber keinesfalls Pflicht(!), den öffentlichen Schlüssel auf einem Keyserver speichern zu lassen. Bei PGP/GnuPG gibt es öffentliche Keyserver wo jeder seinen pubKey hochschieben kann. Und du kannst dir nicht nur den PubKey deines Mailpartners herunterladen, sondern diese Server sind auch oftmals eine Quelle zum Ernten von Mailadressen für die Spammer. Bei X.509-Zertifikaten hat sich der LDAP-Server etabliert. Fast alle kommerziellen TrustCenter bieten einen derartigen Verzeichnisdienst an, und (große) Firmen und Behörden ebenfalls.
Wenn ich beruflich eine verschlüsselte E-Mail an eine mir bislang unbekannte Person verschicke, dann muss ich mich nicht um dessen Zertifikat kümmern. Mein Notesclient holt sich dieses automatisch vom Zentralen Verzeichnisdienst (ZVD), einem großen LDAP-Server.

Bei privater Nutzung dürfte es wohl in der Masse der (leider viel zu wenigen) Fälle so sein, dass sich die Partner gegenseitig eine signierte Mail schicken, und ein intelligenter Client speichert sich das Zertifikat ab und kann es dann zum Verschlüsseln nutzen.
Der große Unterschied zu PGP/GnuPG ist, dass bei S/MIME der Nutzer dem Herausgeberzertifikat des ausstellenden TrustCenters sein Vertrauen aussprechen muss bzw. dieses vom Hersteller des Clients oder des Betriwbssystems schon getan wurde. Vertrauen bedeutet hier nichts anderes, als dass er darauf vertraut, dass der Besitzer des Zertifikats sich beim TrustCenter mit seinem Ausweis ausgewiesen hat und damit die Identität der Person bestätigt ist. Dies ist allerdings nur der Fall, wenn es sich zumindest um Zertifikate für die fortgeschrittene oder die qualifizierte Signatur handelt. Bei den beliebten Kostnix-Zertifikaten ist das nicht der Fall! Hier wird nur die E-Mailadresse verifiziert.
Bei beiden Verfahren ist es sehr zu empfehlen, dass sich beide Parter den Fingerprint austauschen. Da es sich hierbei um "offene" Daten handelt, kann dies problemlos per Telefon erfolgen.

HTH!

MfG Peter

Hallo Volker,

Beide Partner müssen jeweils:
- das Herausgeberzertifikat des TrustCenters (bei unterschiedlichen dann auch beide) installiert haben.
- denen das Vertrauen ausgesprochen haben (zumindest für E-Mail, wenn keine anderen Zwecke)
- unter Personen das/die Zertifikat/e des/der Mailpartner,
- bei denen aber NICHT das Vertrauen bearbeiten, dieses wird vom Herausgeber "vererbt".
- die eigene Schlüsseldatei (Softtoken) mit dem eigenen privaten Schlüssel importiert haben, und
- in den Konteneinstellungen unter S/MIME dem Konto das eigene Zertifikat zuordnen.

Dann klappts auch ... .
Wenn es trotzdem nicht klappt, dann war es vlt. nicht das richtige Herausgeberzertifikat (abgelaufen oder nicht das, welches das jeweilige Userzertifikat signiert hat). Ein seriöses TC benutzt für jede Wertigkeit (von Kostnix bis QES) ein anderes Herausgeberzertifikat. Du musst die Zertifikate anschauen und genau darauf achten, ob die Fingerprints stimmen. Der so genannte "Vertrauensanker" muss also gesetzt sein. Das musst du allerdings nur machen, wenn der TB die Signatur der Zertifikate nicht erfolgreich prüfen kann. Das ist dann die Fehlersuche.
Beliebt ist auch der Fehler einer nicht korrekt laufenden Uhr ... .

MfG Peter

Ausgugg-fett nutzt den Zertifikatsspeicher des Betriebssystems und nicht wie der TB seinen eigenen. Ansonsten ist das Verfahren des Imports der Zertifikate und Schlüssel identisch.
Auch beim Ausgugg musst du das eigene Zertifikat dem jeweiligen Mailkonto zum Entschlüsseln und Signieren zuordnen.

Nur die zum Verschlüsseln zu nutzenden Zertifikate der Mailpartner findet Ausgugg nicht wie der TB selbst, sondern diese musst du im Adressbusch den Empfängern bewusst zuordnen.
(Zumindest war das vor vielen Jahren noch so, wo ich noch "auf Windows" war.)

MfG Peter

Hallo,

Zitat

Ich habe unter Absender A, das Zertifikat installiert und schickte eine E-Mail mit Signatur an Empfänger B. Nun möchte ich mit meiner Empfängeradresse B, A nun Verschlüsselt antworten da der Client doch aus der signierten E-Mail den öffentlichen Key von A auslesen müsste. Wenn ich die Verschlüsselung in Thunderbird aktiviere und auf senden drücke kommt die Meldung, ich müsste bei Absender B erst ein Zertifikat installieren, wobei ich doch unter B keins habe. Er soll doch nur meine E-Mail mit dem öffentlichen Schlüssel durch die signierte E-Mail von A verschlüsseln.

Soweit ich weiß (man möge mich bitte korrigieren, wenn etwas falsch ist) ist das Problem folgendes:
theoretisch hat Person B mit der signierten E-Mail den öffentlichen Schlüssel von Person A erhalten und ist damit theoretisch in der Lage, eine verschlüsselte E-Mail an A zu senden.

Das Problem bei der Sache ist aber folgendes: Eine Kopie der verschlüsselten E-mail (von B nach A) soll im Ordner "Gesendet" auf dem Rechner von Person B abgelegt werden. Es macht allerdings keinen Sinn, diese Kopie so zu verschlüsseln, wie sie versendet wurde => es kann ja ausschließlich Person A diese wieder entschlüsseln. Also könnte Person B die E-Mail in ihrem "Gesendet"-Ordner nie wieder lesen.
Ebenfalls macht es keinen Sinn, die E-Mail unverschlüsselt im "Gesendet"-Ordner abzulegen, denn dann ist der Inhalt ja unverschlüsselt vorhanden!
Daher wird - soweit ich weiß - die E-Mail im "Gesendet"-Ordner mit dem Schlüssel von Person B verschlüsselt. Somit ist ausschließlich Person B in der Lage, diese E-Mail zu entschlüsseln => genau das was man will.
Jedoch benötigt Person B dazu auch einen eigenen Schlüssel/Zertifikat.
So entsteht die Fehlermeldung: es ist zwar der öffentliche Schlüssel von Person A im Client von Person B hinterlegt, Person B hat aber noch kein eigenes Zertifikat.

Das meine ich vor einigen Jahren gelesen zu haben. Falls ich da was falsch in Erinnerung habe, bitte korrigiert mich.

Grüße, Ulrich

Hallo losgehts,

es ist immer so, dass eine gesendete E-Mail sowohl mit dem Zertifikat (public key) des Empfängers, als auch mit dem des Absenders verschlüsselt wird. Genau, damit dieser die von ihm gesendete Mail auch jederzeit noch lesen kann. Das Programm weist nicht extra darauf hin (du musst das also nicht extra einstellen), weil dies eine Selbstverständlichkeit ist.

Mir ist noch kein Nutzer begegnet, welcher, weil er den public Key eines Empfängers erhalten hat, eine Mail an ihn verschlüsseln will, selbst aber gar kein Schlüsselpaar besitzt. Theoretisch könnte dieser ja verschlüsseln, aber nicht für sich selbst und auch nicht signieren. Praktisch weist der Thunderbird diesen Versuch mit der Meldung "Sie müssen ein oder mehrere persönliche Zertifikate einrichten, bevor Sie diese Sicherheitsfunktion verwenden können. Wollen Sie dies jetzt machen?" zurück.

MfG Peter

Hallo Peter,

vielen Danke für die Bestätigung und die Ergänzung!

Dann war meine Vermutung ja ganz richtig, dass Volker genau das Problem hatte.

Viele Grüße,
Ulrich