Die Anleitung auf german-privacy-fund.de sieht gut aus, hoffentlich werden viele sie in Anspruch nehmen. Ich habe mal eine Anleitung für S/MIME geschrieben, ohne Bilder, aber strikt Schritt-für-Schritt. Aber die meisten sind einfach nicht bereit, sich das bißchen Mühe zu machen. Viele verwenden ja sogar Webmail, da können sie gleich die NSA ins CC nehmen. Am ehesten konnte ich Leute zum Verschlüsseln überreden, indem ich ihnen selbst ein S/MIME-Zertifikat erstellt habe. Und zwar mit 20 Jahren Gültigkeit, denn jedes Jahr ein Zertifikat zu erneuern, das bekommt kaum jemand hin. Eine wirksame Maßnahme zur Förderung der Verschlüsselung könnte sein, wenn CAcert oder eine andere Seite kostenlose S/MIME-Zertifikate anböte, die sehr lange oder unbegrenzt gültig sind. Natürlich wäre die Sicherheit der Identifizierung viel geringer, aber das finde ich viel weniger schlimm als daß die allermeisten gar nicht verschlüsseln.
Ludwig
Beiträge von Ludwig7
-
-
Danke! Tut mir leid, daß ich so selbstgesprächig war.
* Noch nicht klar ist mir: Wenn Müller und Meier mir beide meinen Schlüssel mit ihrer Signatur schicke, wie bekomme ich eine Version des Schlüssels, welche beide Signaturen enthält?
Daß eine PGP-signierte Mail, anders als bei S/MIME, nicht den öffentlichen Schlüssel enthält, war mir ganz neu!
Die gute Idee des Web of Trust wird wohl eher wenig umgesetzt, oder? Aber man kann das ja nach Bedarf umsetzen und auch ohne Schlüsselsignaturen verschlüsseln. Das ist ein Vorteil gegenüber S/MIME, was deshalb so wenig zum Einsatz kommt, weil die Zertifikate so teuer und kurzlebig sind, bzw. die kostenlosen den Import eines Ausstellerzertifikates erfordern und trotzdem kurzlebig sind. Wie schade, daß sich keine Verschlüsselungstechnik durchgesetzt hat, die zwar in der Authentifizierung unsicherer ist, aber dafür so einfach ist, daß sie wirklich weite Verbreitung findet! Für die meisten Leute müßte Verschlüsselung noch viel einfacher sein!
Ludwig -
Thunderbird-Version: 24
Betriebssystem + Version: OpenSUSE 12.2
Kontenart (POP / IMAP): POP
Postfachanbieter (z.B. GMX): ein kleiner.
S/MIME oder PGP: Diesmal PGP.Grüezi, ich schon wieder. Beim Web of Trust und beim Signieren von Schlüsseln ist mir einiges noch nicht klar. Einige Fragen (von welchen ich einige schon beantworten konnte):
- Sind GnuPG-Schlüssel immer selbstsigniert? Wird das bei der Erzeugung automatisch gemacht?
- Ich habe irgendwo gelesen, man solle, wenn man jemandes Schlüssel signiert hat, diesen nicht selbst auf einen Schlüsselserver hochladen, sondern dem Besitzer zusenden. Ist das tatsächlich allgemein üblich? (Antwort: „Meist bevorzugt.“; Antwort: „Good etiquette.“) Warum nicht selbst hochladen?
- Es wird immer das aus Haupt- und Unterschlüsseln und Identitäten bestehende Ganze signiert, oder? Eine Antwort habe ich schon gefunden: „Wenn der Schlüssel mehrere Benutzer-IDs (bzw. E-Mail-Adressen) besitzt, kann man durch wiederholtes Angeben der jeweiligen einstelligen Nummer verschiedene IDs anwählen, die man signieren will. Tut man dies nicht, so werden nach einer Sicherheitsabfrage einfach alle IDs dieses Schlüssels signiert.“ (Ubuntu)
- Wenn ein Schlüssel signiert wird, wird er größer, oder? Ist das ein Nachteil? Kann man zu viele Signaturen an seinem Schlüssel haben? Gibt es Schlüssel mit, sagen wir mal, 100 Signaturen?
- Wenn ich einen Ebrief signiere, enthält der Empfänger meinen öffentlichen Schlüssel samt aller Signaturen, oder? Wozu gibt es dann in der Schlüsselverwaltung von Enigmail die Funktion „Öffentliche Schlüssel per Email senden“?
- Wenn Müller und Meier die gleiche Version meines Schlüssels signieren, wie erhalte ich eine Version meines Schlüssels, die beide Signaturen enthält? Oder habe ich einen Denkfehler begangen?
- Funktioniert das Web of Trust in Deutschland gut? Haben viele Leute Schlüssel, die durch starke Signaturen bestätigt sind?
Auf folgende Seiten zum „Web of Trust“ und zum Signieren von Schlüsseln bin ich gestoßen:
http://wiki.kairaven.de/open/krypto/gpg/p/gpg3
http://www.rubin.ch/pgp/weboftrust.de.html
http://www.openpgp.org/technical/whybetter.shtml (Phil Zimmermann)
http://www.heureka.clara.net/sunrise/pgpweb.htm
http://wiki.ubuntuusers.de/GnuPG/Web_of_Trust
http://www.gnupg.org/gph/en/manual.html
http://www.gnupg.org/gph/de/manual/x696.html
http://de.wikibooks.org/wiki/GnuPG:_Netz_des_Vertrauens
http://alfie.ist.org/projects/gpg-party/gpg-party.de.htmlLudwig
-
Ich hoffe, Euch stören meine Selbstgespräche nicht. Jetzt bin ich gerade durch diese Seite dazu angeregt worden, das Ablaufdatum meines Schlüssels zu löschen. Mit der Enigmail-Schlüsselverwaltung geht das nicht, nur mit „gpg --edit-key [ID]“. In der Enigmail-Schlüsselverwaltung wurde der Schlüssel danach wie gewünscht ohne Ablaufdatum angezeigt. Dann habe ich ihn wieder auf den Schlüsselserver hochgeladen und in eine Datei gesichert und zudem die Schlüsselringe ~./gnupg/secring.gpg und ~./gnupg/pubring.gpg gesichert. Auf meinem anderen Rechner werde ich dann die Schlüsselringe einsetzen müssen. Bei S/MIME ist das praktischer, da befinden sich die Schlüssel im Thunderbird-Profilordner, den ich sowieso täglich auf meinen verschiedenen Rechnern synchronisiere.
Gelernt habe ich jetzt: Widerruf und Ablaufdatum stecken im privaten Schlüssel (mithin in pubring.gpg). Beides kann man da ändern: das Ablaufdatum mit --edit-key, den Widerruf vielleicht nur durch Löschen des Schlüssels und Importieren der Datei mit dem unwiderrufenen Schlüssel.
Wenn ich irgendwo einen Fehler gemacht habe, bringt mit das bitte schonend bei. Dankend, Ludwig
Edit: Falls dir noch niemand auf einen Beitrag geantwortet hat, kannst du den vorigen ergänzen, um eine aneinandergereihte Häufung von Beiträgen des gleichen Users zu vermeiden. Mod. graba
-
Jetzt bin ich auf die Idee gekommen, meinen Schlüssel aus dem Schlüsselverzeichnis zu löschen und dann wieder aus der Datei (die ich aufgehoben hatte) zu importieren. Siehe da: Selbst nach einem Aktualisieren wird er nicht als widerrufen angezeigt. Weiß nicht, was geschehen war. Ich muß ihn wohl widerrufen und dann nicht hochgeladen haben. Oder kann man einen widerrufenen Schlüssel wiederherstellen, indem man ihn neu hochlädt?
Vorhin habe ich dann noch eine neue Epostanschrift hinzugefügt und den Schlüssel dann auf einen Schlüsselserver geladen. Dann habe ich den Schlüssel wieder in einer Datei gesichert.
Ludwig -
Thunderbird-Version: 24.0
Betriebssystem + Version: OpenSUSE 12.2
Kontenart (POP / IMAP): POP
Postfachanbieter (z.B. GMX): ein kleiner
S/MIME oder PGP: PGPSalut!
In meiner Enigmail-Schlüsselverwaltung wird mein eigener PGP-Schlüssel als „widerrufen“ gekennzeichnet. Ich kann mich aber nicht daran erinnern, daß ich ihn widerrufen hätte, und auf pgp.mit.edu im Eintrag (verbose index) steht nirgends „revoked“. Wenn ich ihn in der Schlüsselverwaltung über pgp.mit.edu aktualisiere, wird er aber weiterhin als widerrufen angezeigt. Zeigt der Verbose Index auf pgp.mit.edu nicht an, wenn ein Schlüssel widerrufen wurde? Auf welchem Schlüsselserver kann ich sehen, ob der Schlüssel widerrufen wurde?
Dankend, Ludwig -
Zitat von "Sören Hentzschel"
Du meinst das ernst? Dann steige ich an dieser Stelle aus der Diskussion darum aus. Ich bin kein Freund von Paranoia.
Daß Google Druck auf Mozilla ausgeübt hat, muß man natürlich nicht glauben, das war ja auch nur als Idee vorgestellt worden. Thunderbird zu beenden würde Webmail ja nur indirekt fördern. Die Windowsler können ja immer noch Outlook Express verwenden. Aber man kann nicht vernünftig bezweifeln, daß es groß angelegte Bespitzelung gibt, – es sei denn man bezieht sein Weltbild nur aus der Zeitung. Nur eine von vielen Informationsseiten dazu ist die von Kai Raven: http://blog.kairaven.de/ und http://hp.kairaven.de/.
-
Zitat von "Peter_Lehmann"
Und: Webmail ist das letzte, was ich freiwillig machen würde. Lieber schreibe ich in meinen letzten Lebensjahren wieder Briefe.
Wenn Du einen Verein zur Bekämpfung von Webmail gründest, trete ich bei! Sanfter gesagt: schade, daß so viele die Vorteile von einem richtigen Epostprogramm gegenüber Webmail nicht kennen. Mich würde allein schon die Verzögerung bei jedem Öffnen oder Verschieben einer Nachricht nerven. Es liegt wahrscheinlich auch an Webmail, daß ich jetzt so viele ungekonnt formatierte HTML-Ebriefe bekomme (mit winziger Schrift und viel Datenmüll) und daß so viele den ganzen Text der beantworteten Nachricht an ihren Text hinten anhängen. Von der fehlenden Signatur und Verschlüsselung ganz zu schweigen! Daniel
-
Haben Sie eine Lösung gefunden?
-
Zitat von "David.P"Alles anzeigen
Bei XCA ist mir insbesondere in den Feldern...- Signatur-Algorithmus
- Vorlage für das neue Zertifikat
- Grundbeschränkungen
- Zeitspanne
- Key Usage, Extended Key Usage
- Netscape und
- Exportformat (beim Zertifikatsexport)...noch nicht klar, welche Optionen ich jeweils wählen sollte.
Mir geht es auch so, daß ich mehr Info zu den Einstellmöglichkeiten bräuchte. Für Ausstellerzertifikate gibt die Default-Vorlage "CA" die richtigen Werte vor. NIcht vergessen, auf "Übernehmen" zu klicken! (Weiß nicht, weshalb es keine Vorlage für Epostzertifikate gibt. Als Typ muß man da m.W. "End-Instanz" angeben. Vermutlich muß man außerdem bei "Key Usage" "Digitale Unterschrift", "Key encipherment" und "Data encipherment" angeben) Erläuterungen der einzelnen "Erweiterungen" habe ich auf http://www.cryptoshop.com/de/knowledgeba…9extensions.php gefunden.
Übrigens habe ich eine Weile lang gesucht, wie man die Verwendung für das Signieren von Sperrlisten einstellen kann. Jetzt bin ich drauf gekommen, daß das "Certificate Revocation List" heißt und deshalb vermutlich bei CA-Zertifikaten die "Key Usage" "CRL sign" einzuschalten ist (vermutlich ohne Haken bei "kritisch").
Ludwig -
Danke, das ist die Lösung! Vielleicht passiert das, wenn Thunderbird mal gleichzeitig zwei verschiedene gültige Zertifikate für eine Anschrift hat. Man kann dann ja auch nicht einstellen, welches TB zum Verschlüsseln verwenden soll.
Danke auch für den Hinweis auf StartSSL. Ludwig -
Ich habe dasselbe Problem: Mein Thunderbird 3.0 findet das Zertifikat des Empfängers nicht, wenn ich einen verschlüsselten Ebrief abschicken möchte. Auch bei mir ist es ein Zertifikat von "The Usertrust" (Comodo). Ich habe den ganzen Faden gelesen, aber mir ist nicht klar geworden, wie ich jetzt das Problem lösen kann. Könnt Ihr mir das sagen? Zertifikate mit Zweitadresse habe ich weit und breit keine.
Andere berichten, daß sie mir mit meinem Comodo-Zertifikat nicht verschlüsselt schreiben können.
Ich verwende Comodo-Zertifikate, weil es die einzigen kostenlosen, die ich kenne, sind, für die der Empfänger kein Ausstellerzertifikat installieren muß. Ich weiß, wieso das weniger sicher ist, aber dafür kann ich so die Leute leichter zum Verschlüsseln bringen.
Dankend und ratlos, Ludwig
-
Zitat
Versuche mal, bei verkleinerten Fenstern die xpi-Datei aus dem Explorer in das "Add-on-Fenster" vom Thunderbird zu ziehen.
Habe es probiert, da geht es auch nicht.
Mit einem neuen, leeren Profil habe ich es auch probiert. Geht auch nicht. Ist mir ein Rätsel.
Bisher habe ich immer in der Config die Zertifikate den Adressen zugeordnet, weil eben im Feld "Identitäten konfigurieren" (Konten - Weitere Identitäten - Bearbeiten) zwar ein Reiter für PGP, aber keiner für SMIME ist. Deshalb könnte ich diese Erweiterung sehr gut brauchen. Und mich hat es schon oft geärgert, daß im Zertifikat-Manager nur bei "Zertifikate anderer Personen" die Eanschriften angezeigt werden (zumal manche Zertifikate anderer Personen woanders landen).
Daniel -
Zitat
Das kann ich erst sagen, wenn ich weiß, was du gemacht hast. Also, wie hast du versucht, das Add-on zu installieren?
Thunderbird: Extras>Add Ons> Erweiterungen > Installieren ;
dann die heruntergeladene Datei
s_mime_security_for_multiple_identities-0.3.0-tb.xpi
auswählen, > "Jetzt installieren" -
Meldung "Kein gültiges Installationspaket -207"Wenn ich TB ohne Erweiterungen starte, geht es auch nicht.
Daniel -
Danke, Peter,
bei MITDENKENDEN Leuten träte so ein Problem auch nicht auf. Dieser Fall war ein Einzelfall, der ein selbstgemachtes Zertifikat hatte, aber kein Ausstellerzertifikat dazu. Viel häufiger tritt der Fall auf, daß Leute ein eigenes oder fremdes Zertifikat nicht installieren können, weil sie nicht VORHER das Ausstellerzertifikat installiert oder ihm nicht das Vertrauen ausgesprochen haben. Deshalb ist es am einfachsten, ein kostenlose Zertifikate zu empfehlen, deren Ausgabeausstelle von Haus aus im Donnervogel enthalten ist. Bei Comodo ist das wohl der Fall. Schade das "Trustcenter Class 1" und "CAcert" nicht enthalten sind.
Daniel -
Die Installation der beiden genannten Erweiterungen,
Zeige E-Mail-Adresse für Ihre Zertifkate (https://addons.mozilla.org/de/firefox/addon/9064) und
S/MIME Sicherheit für weitere Identitäten (https://addons.mozilla.org/de/firefox/addon/88149,
scheitert, mit der Meldung
"Kein gültiges Installationspaket -207".
Was mache ich verkehrt? Ich verwende Thunderbird 2.0.0.21 unter Windows XP.
Daniel -
Peter,
wenn Du mit XCA Zertifikate für Freunde herstellst, müssen die dann ein von Dir mitgeliefertes Ausstellerzertifikat installieren?
Daniel -
Ich möchte mit einem SMIME-Zertifikat verschlüsseln, zu dem ich das Ausstellerzertifikat nicht habe. Thunderbird erlaubt mir aber nicht, es zu importieren. Gibt es eine Möglichkeit, es trotzdem zu importieren? Ich weiß, daß das unsicher ist, aber immer noch besser als der anderen Person unverschlüsselt zu schreiben. - Bei M$ Ausschau ist das übrigens möglich. (Nach meiner Erfahrung scheitert bei vielen das Verschlüsseln am Nichtvorhandensein des Ausstellerzertifikates.)
Ludwig