Beiträge von SSL-Mailer

Hallo Pipilotta,

vielleicht hilft es, unter Digitale Unterschrift mal das Feld zu leeren, das Einstellungsfenster mit OK zu schließen, vielleicht sogar Tb. neu zu starten und dann nochmal das Zertifikat explizit auszuwählen.

Gruß

SSL-Mailer

Die Lösung findet sich hier: DATEV-Smartcard unter Thunderbird nutzen

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

• Thunderbird-Version:
• Betriebssystem + Version: Windows
• Kontenart (POP / IMAP):
• Postfachanbieter (z.B. GMX):
• Eingesetzte Antivirensoftware:
• Firewall (Betriebssystem-intern/Externe Software):

Hallo!

Das Problem, die Schlüsselpaare einer DATEV-Smartcard (z. B. Smartcard classic) nicht nur unter Windows-Programmen, sondern auch zum Signieren und Verschlüsseln von Mails in Thunderbird einzusetzen, wurde hier: Thunderbird mit DATEV-SmartCard / nPA

schon mal angesprochen.

Da das aber lange her ist, habe ich es neu gemacht.

Kurz und bündig: es geht.

Um die DATEV-Smartcard unter Thunderbird nutzen zu können, muß ein DATEV-Sicherheitspaket installiert sein. Dann kann das passende PKCS#11-Modul in Thunderbird als Kryptografie-Modul eingebunden werden. Die dazu nötige Datei ist die C:/Windows/System32/dvccsap11003.dll, die vom Sicherheitspaket installiert wurde.

Danach werden bei eingesteckter Smartcard unter "Ihre Zertifikate" drei eigene Zertifikate in Thunderbird angezeigt, zwei Verschlüsselungszertifikate ("Empfängerzertifikate", eines mit SHA-512 und eines mit SHA-256, wohl für Kompatibilität mit alter Software) und ein Signaturzertifikat ("Unterzeichner-Zertifikat", SHA-512).

Alle drei Schlüsselpaare sind jeweils nur für einen Zweck (Verschlüsselung oder Signatur) einsetzbar. Thunderbird schlägt in den Konteneinstellungen die passenden Zertifikate zur Auswahl vor. Hintergrund für die Trennung der Zwecke ist wohl ein Sicherheitsgedanke.

Die Trennung bedeutet, ein Empfänger, der eine signierte Mail erhält, kann dadurch noch nicht seine Antwort verschlüsseln, da er nur den öffentlichen Teil des Signaturpaares erhält. Soll er seine Antwort auch an den Absender verschlüsseln können, muß er eines der Verschlüsselungs-Schlüsselpaare vorher kennen oder erhalten, z. B. aus dem DATEV-Verzeichnisdienst.

Ob Thunderbird den öffentlichen Teil des Verschlüsselungszertifikats bei bloßer Signatur sozusagen als Service mitsendet, wenn man in den Kontoeinstellungen ein Verschlüsselungszertifikat ausgewählt hat, weiß ich noch nicht.

Viele Grüße

SSL-Mailer

Es fragt sich nur: wann? Der Projektstart war erst für "Sommer" angekündigt, dann für "Herbst". Auf der Webseite tut sich gar nichts...

Hallo Peter_Lehmann,

vielen Dank für die freundliche Begrüßung und deine ausführliche Antwort.

Natürlich ist das nicht auf meinem Mist gewachsen. Ich hatte darüber gelesen, daß es sicherer ist, Verschlüsselung und Signatur mit getrennten Schlüsseln zu machen und dann in TB diese Unterscheidung gesehen.

Ist diese Möglichkeit in TB nicht genau für solche Zwecke gedacht?

Warum gerade die Signatur durch ein StartSSL- oder Comodo-Zertifikat? Weil jemand "neues", der mein Stammzertifikat nicht installiert hat, eine Mail bekommt mit einer Unterschrift, und diese nicht gleich als "nicht vertrauenswürdig" oder so angezeigt werden soll.

Und eben: "vom Staat nicht unbedingt gewollt"
Deswegen hätte ich den Schlüssel, mit dem verschlüsselt wird, gerne selber gemacht...

Viele Grüße
SSL-Mailer

PS: Funktionieren tut es übrigens schon. Die Zertifikate haben nicht einmal den gleichen CN, das kostenlose hat die Mailadresse und im selbstgemachten habe ich den Namen drin mit dem Zusatz "Verschlüsselung". Wenn der Empfänger und "Antworter" mein Stammzertifikat als vertrauenswürdig betrachtet, geht es reibungslos.

Hallo,

eigentlich dachte ich, ich hätte eine gute Idee: In Thunderbird die Möglichkeit nutzen, getrennte Schlüssel für Signatur und Verschlüsselung einzustellen bei einem Mailkonto.

Der Gedanke war, zum Signieren ein - kostenloses - Zertifikat von einem der großen Anbieter zu nehmen, das jeder Browser akzeptiert, und als Verschlüsselungszertifikat ein per OpenSSL selbsthergestelltes Zert. zu nehmen.

Das geht auch, Thunderbird hält beide Schlüssel auseinander, die Unterschrift wird bei einem uneingeweihten Empfänger angezeigt, und er kann auch, wenn er selbst ein Zertifikat hat, an mich verschlüsseln.

Problem jetzt leider: Thunderbird weigert sich, diese Antwortmail zu signieren mit dem Argument, das Zertifikat des Rückempfängers sei nicht bekannt oder nicht vertrauenswürdig. Damit kann nur das selbstgebaute Verschlüsselungszertifikat gemeint sein. Der Antwortende müsste also vorher mein Stammzertifikat als vertrauenswürdig einstellen, was er im Normalfall nicht getan hat (oder auch gar nicht weiß, was er tun soll).

Gibt es irgendeine Lösung, diese Idee doch noch umzusetzen?

Danke und Grüße
SSL-Mailer