Beiträge von anti-neutrino

ok, ich habs fast gefressen. Häng nur noch bei einer Sache
Ich möchte jmd. eine Mail senden. Der Empfänger hat sich das CA-Zertifikat (z.B. von meiner Homepage) installiert und das Vertrauen ausgesprochen.
Jetzt erhält er eine unterschriebene Mail von mir. Damit legt sich mein User-Zertifikat automatisch in seine Zertifikate unter "Personen" ab. Diesem Zertifikat muss nicht extra das Vertrauen ausgesprochen werden, da wir das ja schon beim CA-Zertifikat gemacht haben. Somit hat er ja jetzt meinen öffentlichen Schlüssel ("Zuschließ-Schlüssel") und sollte mir verschlüsselte Mails senden können. Versucht er das aber jetzt, erhält er eine Fehlermeldung, da er kein Zertifikat zur Verschlüsselung ausgewählt hat. Also braucht er ein eigenes S/MIME-Zertifikat (entweder das aus meiner Nutzergruppe oder er hat ein eigenes), dieses muss auch in den Kontoeinstellung ausgewählt sein und dann klappt es erst?

Im Endeffekt braucht es dann 3 Zertifikate bis es mit dem verschlüsseln klappt?
- Das CA-Zertifikat meiner Nutzergruppe + aktiviertes Vertrauen
- Mein Zertifikat (=öffentlicher Schlüssel) (bekommt er z.B. durch eine signierte Mail oder er lädt es ebenfalls runter etc.)
- Ein eigenes S/MIME-Zertifikat, um überhaupt verschlüsseln zu können? (bekommt er von mir oder er hat schon eins.)

Ich kann mittlerweile unterschriebene Mails senden. Beim Empfänger ist meine Unterschrift aber natürlich noch nicht vertrauenswürdig, da der ja auch zusätzlich mein Root-Zertifikat ("Hauptzertifikat") braucht. Ich bin mir allerdings nicht sicher wie ich das in XCA exportiere, denn ich möchte ja auf keinen Fall meinen privaten Schlüssel o.ä. versehentlich mitsenden. Dieses Zertifikat kann ich ja theoretisch ganz offen verteilen (Homepage online stellen, an Mail anhängen etc.)?

Es geht also eigentlich nur noch um den richtigen Export des Root-Zertifikats...

Zitat

Schlüsseldatei = Zertifikat + privater Schlüssel., Format .pfx oder .p12
Dort einstellen "mit CertificateChain", dann ist das Wurzelzertifikat mit drin.
Die reinen Zertifikate (also ohne privaten Schlüssel), exportiert im cer oder der-Format benötigst du, um sie deinen Mailpartnern zur Verfügung zu stellen. Also sowohl dein eigenes, als auch das Wurzelzertifikat.

Daher habe ich aus Testzwecken das Root-Zertifikat mal als der-Format exportiert und beim Mailpartner installiert. Siehe da: die unterschriebene Mail wird als korrekt angezeigt und mein Zertifikat unter "Personen" hinzugefügt. Dort stelle ich das Vertrauen nicht ein, da es ansonsten unter Server verschoben wird.
Möchte ich jetzt allerdings eine verschlüsselte Mail an mich senden, will Thunderbird ein persönliches Zertifikat angegeben wissen! Braucht mein Mailpartner also auch ein eigenes Zertifkat, um mir verschlüsselte Mails zu senden??? Ich dachte mein Root-Zertifikat + mein durch die unterschriebene Mail mitgesandtes Zertifikat genügen?

Dann möchte ich mal kurz einen Zwischenbericht vorlegen:
- Erstellung des Hauptzertifikats hat gut geklappt (Empfehlung: Template "Programme/XCA/CA")
- Ein Userzertifikat konnte ich erstellen, wobei ich mir bei ein paar Einstellungen nicht 1000% sicher war (vielleicht könnte ich dafür ein Mustertemplate haben - falls es sowas auch gibt? :top: )
- Export in PKCS # 12 with Certifikate chain war kein Problem. Der Import in Thunderbird ebenfalls nicht.

Dann gings aber los:
> Muss ich dem Zertifikat noch das Vertrauen aussprechen? Finde den in den FAQ angegebenen Menüpunkt "bearbeiten" nicht.
> Dann habe ich bei erstellen einer Mail den Fehler bekommen: "Sie müssen ein oder mehrere persönliche Zertifikate einrichten, bevor Sie diese Sicherheitsfunktion verwenden können. Wollen Sie dies jetzt machen?" das lag wahrscheinlich daran, dass ich mehrere Mailaccounts in TB eingerichtet habe (siehe https://www.thunderbird-mail.de/forum/viewtopic.php?f=31&t=34596). Nachdem ich bei allen das gleiche Zertifikat eingetragen habe, scheint es zu gehen. Kann ich mit dem Zertifikat dann alle eMail-Accounts verschlüsseln, auch wenn nur eine eMail im Zertifikat angegeben ist?
> Jetzt möchte ich natürlich die erste verschlüsselte Mail erhalten. [Der Versand geht ja erst wenn ein Mailpartner ebenfalls ein Zertifikat hat]. Dazu braucht mein Mailpartner ja meinen öffentlichen Schlüssel. Wie übermittle ich ihm den jetzt am Besten? Schicke ich ihm einfach eine Mail, die "unterschrieben" ist? Damit hat er dann den Schlüssel. Muss er den installieren oder geht das automatisch? Muss er dann noch das Vertrauen aussprechen? :gruebel:
Ich kann mich nur nochmals für die geduldigen und freundlichen Antworten bedanken! SUPER :top:

**update: hab jetzt rausbekommen, dass ich unter "Extras" - "Einstellungen" - "Erweitert" - "Zertifikate" - "Zertifikate" - "Zertifizierungsstellen" mein CA-Zertifikat finde und das Vertrauen aussprechen kann. Will ich jetzt aber eine unterschriebene eMail senden, erhalte ich den Fehler "Senden der Nachricht fehlgeschlagen.
Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, gültig und vertrauenswürdig sind."
**update II: nochmal ein wenig gebastelt und den Fehler gefunden: falsche Exportdatei in XCA erstellt, jetzt klappts!

Da ich ja gern als Trustcenter fungieren würde, ist das mit dem Vertrauen auch in Ordnung

ich hätt jetzt allerdings doch noch ein paar konkrete Fragen bezüglich der XCA-Nutzung :gruebel: :

- Als erstes erstelle ich mir eine neue Datenbank in XCA. (Passwortgesichert und möglichst auf geschützten USB-Stick)
- Dann brauche ich ein Herausgeberzertifikat? [unter "Zertifikate" - "Neues Zertifikat"? oder doch unter "Zertifikatsanträge"?] Auf längere Zeit anlegen und das ist bereits signiert. Das dann noch unter "Key usage" auf "Certificate sign" stellen?

- Dann erstelle ich die Userzertifikate. Diese kann ich dann mit dem Herausgeberzertifikat signieren. Eigentlich gleiches Vorgehen wie beim Herausgeberzertifikat ("Zertifikate" - "Neues Zertifikat") nur bei "Unterschreiben" - "Verwende dieses Zertifikat zum unterschreiben..." auswählen? Als Key usage dann "Digital Signature" wählen?

Bei beiden Zertifikaten wäre SHA1 eine sinnvolle Auswahl? Unter Netscape noch eine Anmerkung in der Form "XCA generatet Certificate. Nur für private Anwendungen und einfache Signaturen" einfügen.

Ansonsten ist öfter von Templates die Rede, gibt es da vielleicht "Mustertemplates" für das übliche Procedere?
Brauche ich den Menüpunkt "Private Schlüssel" überhaupt? Kann ich ganz auf Passwörter für die Zertifikate verzichten, wenn alle Zertifikate persönlich ausgetauscht werden?
Mein Mailpartner erhält ja nur meinen öffentlichen Schlüssel, kann damit die Mail verschlüsseln und ich kann die Mail dann mittels des privaten Schlüssels wieder öffnen. Dafür reicht aber ein Zertifikat, oder? Mein Mailpartner erhält mittels meiner Signatur meinen öffentlichen Schlüssel und das wars?

Grundlage waren die Threads: https://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=43242 und https://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=46077 und natürlich die FAQ. Hilfreich ist vielleicht auch noch: http://wiki.openvpn.eu/index.php/Schl…waltung_mit_XCA

Vielleicht kann ich ja zu einer Art "XCA FAQ" mit beitragen, wenn ichs endlich ganz kapiert habe? An dieser Stelle auch herzlichen Dank an Peter_Lehmann ohne den ich wohl nie so weit in die Materie eingestiegen wäre! :top:

Variante 2 klingt echt super! Heißt: ich erstelle für alle Mitglieder des Nutzerkreises einen privaten und öffentlichen Schlüssel und den privaten Schlüssel verteile ich dann sicher? Sprich am besten persönlich bei jedem vor Ort mit einem USB-Stick im Mailprogramm installieren (ist kein Problem, kann realisiert werden)?
Dann werd ich mich mal über XCA einlesen - vielleicht muss ich dann nochmal nachfragen ...
Auf alle Fälle vielen herzlichen Dank! Jetzt wurde alles schon ein wenig klarer!

Hallo,
ich würde gerne für einen engen Nutzerkreis eine eMail-Verschlüsselung realisieren. Wichtig wäre eine sehr kompatible Möglichkeit zu allen eMail-Programmen (Thunderbird, Outlook, etc) und Betriebssystemen. Privat hatte ich GnuPG und enigmail im Einsatz, bin davon aber (dummerweise) wieder weggekommen, da es doch nicht ganz unaufwendig war. Ich denke eine S/MIME-Verschlüsselung wäre in der Handhabung einfacher, da es in den Mailprogrammen gut eingearbeitet ist. Zudem wären so z.Zt. auch Mobilgeräten einbindbar (Android etc).
Da es sich um eine geschlossene Nutzergruppe handelt, wäre ein persönlicher Keyausstausch auch möglich. Daher dachte ich auch schon an eine symmetrische Verschlüsselung, allerdings habe ich dazu nur wenig Informationen gefunden. Wie würde denn so eine Verschlüsselung (z.B. mit AES) aussehen? Muss man dann jede eMail händisch "dekodieren"?
Was habt ihr für Erfahrungen gemacht? Was könnt ihr mir empfehlen?
Danke!

Als Unterordner im IMAP hätt ich ihn dann natürlich nicht mit dem Server synchronisiert! Soweit hab ichs dann doch noch kapiert
Wobei ich nicht weiß, ob das überhaupt geht.

Also folgender Plan:
Lokale Ordner:

• Archiv
• Konto 1
  Posteingang
  Gesendet
• Konto 2
  Posteingang
  Gesendet
• Konto 3
  Posteingang
  Gesendet

Und Posteingang/Gesendet wird dann wieder aufgeteilt in unterschiedliche Jahre. Das POP-Konto würd ich dann wegen der Übersicht gerne rausnehmen.
Gebackupt wird das ganze dann sowieso bei meiner regelmäßigen Sicherung des ganzen PCs auf eine externe Platte.

Spricht irgendwas gegen dieses Vorgehen? Findet ihr noch Fehler oder irgendwas was ihr anders machen würdet? :gruebel:

Vielen Dank schonmal für die schnellen und ausführlichen Antworten! :top:

Wie wäre denn folgende Strategie:
- 2 neue Ordner in Thunderbird erstellen. Dort kommen dann alle empfangenen und gesendeten Mails vom POP-Konto rein. Diese Ordner werden dann auch die Archivordner vom neuen IMAP-Konto. POP kommt dann völlig weg.
Wo soll ich denn diese Ordner dann am besten erstellen? Als Unterordner des IMAP-Kontos oder unter "Lokale Ordner"?

Hallo,
ich hab mir jetzt ein Netbook zugelegt und das war daher der Grund für mich auf IMAP umzusteigen. Da ich einen eigenen Mail-Server habe ist das auch kein Problem.

Nur stellt sich mir jetzt die Frage nach der richtigen Archivierung:
Ich besitze derzeit noch zwei Posteingänge auf meinem Hauptrechner:
- Einmal den alten mit dem POP-Abruf. In diesem Posteingang befinden sich ca. 3000 Mails.
- Einen neuen, relativ jungfräulichen IMAP-Posteingang.
Jetzt weiß ich nicht, ob es Sinn macht mit dem Netbook auf IMAP zu arbeiten und wenn es zuviel Speicherplatz wird einfach mit dem Hauptrechner über POP alle Mails abzurufen. Oder aber mit einem Archivordner auf dem IMAP-Eingang zu arbeiten.
Vielleicht sollte ich die Mails auch komplett exportieren, dann findet die Suchfunktion von Thunderbird sie aber natürlich auch nicht mehr...
Was ist da sinnvoll? Wie macht ihr das?

Daneben nutze ich noch 2 weitere, separate POP-Konten (gmx...).
System: Win7, TB 3.0.5 mit zahlreichen AddOns

Konnte das Symbol über "Anpassen" einfügen.

Die Verschlüsselung funktioniert nun auch, habe den öffentlichen und den privaten Schlüssel per USB-Stick übertragen!

Danke! :top:

ich hab jetzt die sache nochmal genau durchgesehen. Die ID unter "Schlüsseleigenschaften" stimmt DOCH überein! Sorry! DIe "Schlüssel-ID", die zuerst angezeigt wird ist allerdings eine andere.

ich weiß leider nicht, wie ich eine einzelne Datei verschlüssle.

wg. den logos: z.B. befindet sich doch normal beim Verfassen zwischen dem Anhang-Logo und S/MIME-Logo ein Symbol von Enigmail. Bei mir nicht...

update:
- wenn ich die Mails an mich selbst sende kann ich sie öffnen.
- Wenn ich bei der erhaltenen, verschlüsselten Mail auf "Schlüssel des Absenders" --> "Schlüssel importieren" klicke erhalte ich folgende Meldung:
Fehler - Der erste OpenPGP-Block ist kein öffentlicher Schlüssel-Block

- hab den Schlüssel mit gmx verschickt. kann er mir viell. einen falschen zeilenumbruch einbauen? oder was weiß ich?
- neuinstallation von GnuPG und Enigmail haben nicht geholfen.
- wenn ich den Schlüssel des Absenders exportiere und mit dem original vergleiche sehen die letzten Zeilen anders aus. Ist das normal?

habs gerade überprüft und die ID ist wirklich eine andere :eek: woran kann das liegen? hab den schlüssel normal richtig eingefügt.
und ja, das problem tritt bei beiden rechnern auf und XP zeigt keine logos

tb 2.0.0.12
win XP und Vista
neueste enigmail und GnuPG-Versionen

ich habe ein ähnliches problem: das verschlüsseln und versenden der mails funktioniert, nur beim entschlüsseln erhalte ich stets die fehlermeldung:

OpenPGP-Sicherheitsinfo:
Fehler - geheimer Schlüssel wird zur Entschlüsselung benötigt
gpg Kommandozeile und Ausgabe:
C:\\Programme\\GNU\\GnuPG\\gpg.exe --charset utf8 --batch --no-tty --status-fd 2 -d --passphrase-fd 0 --no-use-agent
gpg: verschlüsselt mit 2048-Bit ELG-E Schlüssel, ID xxxxxxxx, erzeugt 2008-04-16
"...."
gpg: Entschlüsselung fehlgeschlagen: Geheimer Schlüssel ist nicht vorhanden

was auch sehr seltsam ist: am XP rechner habe ich keine Symbole des Add-Ons. Beim Visa-Rechner schon :gruebel:
habe bereits alle anderen add-ons deinstalliert.
hat jemand eine idee?

p.s. auf beiden rechner läuft gimp! ist das wichtig wg. gtk?