Beiträge von klaman

Zitat von ThoBa

Zitat von klaman

Habe ich das richtig verstanden, das die DGN deinen privaten Schlüssel hat? Ist das deine Einschätzung oder definitiv Fakt?

Ja, das hast du richtig verstanden. "Free"-Zertifikate sind halt nur zum Testen

oder "Spielen". Dieses gilt nicht nur für "Free"-Zertifikate von DGN, sondern bspw.

auch für "Free"-Zertifikate von Actalis (IT) und anderen Zertifizierungsstellen. Dafür

sind diese Zertifikate aber auch kostenlos und haben einen international guten Ruf.

Möchte man von solchen Zertifikaten Abstand nehmen, so empfiehlt sich immer

GPG, denn dessen private Schlüssel bekommt niemand zu Gesicht.

[box][lline]

ACHTUNG:

Das Einlesen als auch das Verwalten von S/MIME-Zertifikaten und/oder GPG-Schlüsseln

in Thunderbird hat zur Folge, dass das private Passwort bzw. die private Passphrase

absichtlich zerstört wird!

Jede Person, welche Zugriff auf Thunderbird oder Betterbird hat, kann die privaten

Schlüssel ohne Kenntnis des Passwortes oder der Passphrase exportieren(!) und ein

neues Passwort bzw. eine neue Passphrase im Export-Dialog vergeben!

Es ist also unbedingt wichtig, dass für Thunder- als auch für Betterbird nicht nur

aus diesem Grund ein Hauptpasswort vergeben wird!

[/lline][/box]

Alles anzeigen

Habe auch gerade noch mal den Wikipedia-Artikel gelesen. Ist ja dann doch bedrückend, wenn der Anbieter den privaten Schlüssel hat. Volksverschlüsselung lässt den privaten Schlüssel (nach eigenen Angaben) immer auf dem Rechner der Nutzer, allerdings scheinen deren Stammzertifikate nicht in den Datenbanken (warum auch immer).

Da die Zertifikate 3 Jahre gelten, scheint das ja dann noch mit der beste Anbieter von kostenlosen Zertifikaten zu sein.

Zitat von frog

Hi,

Aber so richtig sinnvoll ist das ganze nicht, weil niemand standardmäßig die DGN-CA kennt, und weil das DGN meinen privaten Schlüssel hat - die haben ihn ja generiert.

cu, frog

Habe ich das richtig verstanden, das die DGN deinen privaten Schlüssel hat? Ist das deine Einschätzung oder definitiv Fakt?

Also ich habe meinen Schlüssel mit der Volksverschlüsselungssoftware (Fraunhofer Institut) erstellen lassen, wobei der Schlüssel bei mir auf dem Rechner generiert wurde und nur vom Institut beglaubigt wurde. Der private Schlüssel ist als nach wie vor auf meinem Rechner, wie es auch sein sollte. Alles andere macht den Anbieter unseriös!

Wenn niemand die DGN-CA kennt, sollte doch zumindest deren Root-Schlüssel importiert werden und das Vertrauen ausgesprochen werden können, oder verstehe ich da was falsch?

Hallo,

also bei mir klappt der Versand mit nur signiertem S/MIME auch nicht. Ich bekomme sowohl mit als auch ohne Anhang eine ungültige Signatur angezeigt ("Mailtext wurde verändert"). Verschlüssele ich zusätzlich, wird alles als gültig angezeigt.

Mit Open-PGP habe ich sowohl mit als auch ohne Anhang keine Probleme gehabt, die Signaturen wurden als gültig angezeigt. Allerdings ist immer mal wieder das "Siegel"-Symbol weg gewesen, wenn ich eine andere Mail angeklickt und danach wieder auf die PGP-Mail gegangen bin. Nach mehrmaligem Hin- und Herklicken zwischen den Mails tauchte das Icon dann wieder auf oder verschwand. einen Zusammenhang konnte ich da nicht so recht erkennen.

Gruß Klaus

Edit: Ich verwende TB 102.13.0 (64bit) auf Win 10

Hallo Miho,

mir tun sich mehrere Fragen auf zu deinem Post:

1) Hat dein Gegenüber auch wirklich deinen öffentlichen Schlüssel zum Verschlüsseln benutzt?

2) Ist nur der Anhang verschlüsselt oder die ganze Mail samt Anhang? In vielen Fällen wird beides zusammen verschlüsselt und auch wieder entschlüsselt. Falls dem so ist, könnte die Datei zusätzlich bzw. anders verschlüsselt sein.

3) Hat dein Gegenüber seine Mail signiert, bzw. konntest du die Signatur mit seinem öffentlichen Schlüssel prüfen?

Sonst würde ich nochmal das Senden wiederholen lassen. Stelle sicher das dein Partner deinen öffentlichen Schlüssel hat und auch zum verschlüsseln nutzt. Sonst bringt das alles nix. Mehr fällt mir dazu leider nicht ein. Vielleicht hilfts ja!

Gruß Klaus

Zitat von vadder

Ich halte ehrenamtlich IT-Kurse, in Teilen auch zum Thema Sicherheit für Heimanwender. Ein Punkt darin, die digitale Signatur als probates Mittel gegen Phishing. Üblicherweise zeige und empfehle ich aus guten Gründen S/MIME. Ich plane, auch PGP Signaturen zumindest vorzustellen. Dazu die Frage, kann Thunderbird mit strukturierten Schlüssel umgehen? Also Subkeys. Kann ich Offline-Schlüssel benutzen?

@vadder: Mal der Neugierde halber gefragt: Von Subkeys habe ich mal gehört, kann aber nichts damit anfangen, ebenso mit dem Begriff "strukturierte Schlüssel". Was ist das, was sollen die können wie bist du auf das Thema gestoßen? Hat man da besondere Vorteile?
Ich arbeite selber ganz normal mit den generierten Schlüsselpaaren. Damit kann ich, wie viele hier, verschlüsseln und signieren. Und zwar e-Mails wie Dateien auf dem PC. Ich denke, auch mit PGP kann man Mails von einem Partner von Spam unterscheiden, wenn der denn bei PGP mitmacht (und der Schlüssel geheim bleibt).
Auch der Begriff des Offline-Schlüssel irritiert mich etwas. Gibt es Schlüssel, die nur Offline angewendet werden können? Eigentlich doch nicht, oder fehlt mir da noch Wissen?
Würde mich über Hintergrundinfos freuen. Danke!

Geh mal auf die Seite von Volksverschlüsselung (https://volksverschluesselung.de/) vom Fraunhofer-Institut. Dort kannst du dir das entsprechende Programm herunterladen und mithilfe dessen einen Schlüssel erstellen (der private Schlüssel bleibt immer auf deinem Rechner). Zur Authentifizierung brauchst du einen elektronisch lesbaren Personalausweis (ggf. vom Amt freischalten lassen) und ein Lesegerät. Ansonsten halt eine Mailadresse, auf die du Zugriff hast.

Die Schlüssel sind drei Jahre gültig. Läuft ein Schlüssel ab, kannst du kurz vor Ablauf einen neuen Schlüssel generieren; zur Authentifizierung reicht dann der bisherige erstellte Schlüssel.

Gruß Klaus

Wenn ich die Fragestellung richtig verstanden habe (ansonsten bitte korrigieren), geht es darum, das TB erkennt, das für den Empfänger ein Schlüssel hinterlegt ist und daher automatisch verschlüsseln soll. Alternativ ohne hinterlegten Schlüssel würde TB die Mail eben automatisch unverschlüsselt senden.

Das wäre die dritte Option neben "immer verschlüsseln" und "nicht verschlüsseln".

Soweit ich weiß, war das mal über Enigmail möglich. Seit den 90er Versionen ist das aber nicht mehr drin.

Nach meiner Ansicht nach gibt es nichts zu warnen, bzw. erkennst du es nur am Symbol ob eine Signatur geprüft wurde oder eben nicht. Wenn eine Mail ohne S/MIME-Zertifikat ankommt, gibt es entweder von vorn herein keines, was man hätte anhängen können oder es wurde "nicht signieren" ausgewählt. Bei S/MIME ist aber, soweit ich weiß, das Signieren automatisch.

Hängt ein anderes als das bisher bekannte Zertifikat dran, so wird auch dieses automatisch geprüft (i.d.R. erfolgreich) und in den Zertifikatsspeicher importiert. Gründe für ein neues Zertifikat gibt´s genug, z.B. altes Zertifikat abgelaufen oder kompromittiert.

Wer von meinen Mailpartner S/MIME nutzt erkenne ich ohnehin nur an der Signatur bzw. dem unauffälligem Symbol.

Ich habe den Google-Kalender erstmal abbestellt und dann neu gemäß der Anleitung abonniert.

Danach wurden mir nur Geburtstage usw. angezeigt, aber keine Termine.

Danach habe ich auf jeden einzelnen Kalender (z.B. conatcts) rechts geklickt: contacts ausblenden. Dann rechts auf das durchgestrichene Auge klicken, um wieder einzublenden. Danach waren alle Termine sichtbar.

Vielleicht klappts bei euch ja auch?

Gruß Klaus

Zitat von jzimm

Erhalte ich eine Mail von einer beliebigen seiner Identitäten, wird diese ordnungsgemäß entschlüsselt.

Das sollte ja auch so sein, da du mit deinem privaten Schlüssel entschlüsselst. Interessant in diesem Zusammenhang wäre für mich aber, ob die Mails von def@xy.org an dich auch PGP-signiert wurden und wie weit die Signatur überprüft werden konnte, wenn tatsächlich der Schlüssel infrage gestellt wurde.

Zu deiner eigentlichen Fragestellung kann ich leider nichts beitragen, sorry!

Gruß klaman

Hallo Koeka,

mir ist aufgefallen, das du beim Eingangsserver als Benutzername "name" stehen hast, bei Ausgangsserver aber "name@icloud". Evtl. hast du bei deinen Konten bei zwei gleichen Servern den gleichen Benutzernamen eingegeben. Normalerweise kann man auf einen Server beliebig viele Mailadressen haben, diese sollten sich aber alle mit den Namen unterscheiden, so wie eben jede Mailadresse einmalig ist.

Aus meiner Sicht würde auch so die Fehlermeldung Sinn machen. Versuchs mal mit der kompletten Mailadresse als Benutzernamen in beiden Fällen.

TB 91.11.0

Windows 10 Home

POP

Mailverkehr über Eigenverwaltete Domain

Bitdefender AV

Ich habe da mal ein Problem:

Über die Seite openkeys.de hatte ich mehrere S/MIME-Zertifikate heruntergeladen. Die Gültigkeit wurde bei allen als aktuell gültig (bis 2023) angezeigt. Die Zertifikate wurden auf meinem Rechner im *.cer-Format gespeichert.

Danach bin ich mit Extras ---> Einstellungen ---> in die Zertifikatsverwaltung gegangen, um die Zertifikate unter dem Reiter "Personen" zu importieren. Über "Importieren..." konnte ich jeweils die gewünschten Zertifikate auswählen, nach drücken von "OK" waren sie aber nicht in meiner Sammlung.

Kann mir da jemand helfen, was da falsch gelaufen ist? Was kann ich machen? Könnte da ein Bug dahinterstecken?

Freue mich auf Abhilfe des Problems. Vielen Dank!

Warum auch immer, heute hat das alles ohne Beanstandung funktioniert. Ich kann also die Fehlermeldung nicht reproduzuieren. Was auch immer da passiert ist...

Der Threat ist damit erledigt. Danke

TB 91.10.0 (32bit)

Windows 10 Home Version 21H1

POP

GMX, Web.de

S/MIME und PGP

Bitdefender AV

Ich hatte gerade versucht, eine Mail mit PDF-Datei im Anhang und einer PGP-Signatur an eine externe Adresse zu senden. Leider ist dieses fehlgeschlagen. Auch das Speichern als Entwurf während des Schreibens schlug fehl. Lasse ich den Anhang weg, signiere aber, geht das Senden. Gleiches gilt, wenn ich mit Anhang aber ohne PGP-Signatur sende.

Das Spielchen habe ich mit Senden von meiner WEB-Adresse auf meiner GXM-Adresse wiederholt, sowohl mit als auch ohne Verschlüsselung. Das Ergebnis blieb gleich.

Als Verschlüsselungstechnik habe ich PGP ausgewählt. Neben PGP-Schlüsseln habe ich aber auch S/MIME-Schlüssel eingerichtet.

Kann ich irgendwie einrichten, das sowohl mit Anhang, als auch mit PGP-Signatur gesendet werden kann? Freue mich auf Feedback!

Mir fällt dazu nur folgendes ein:

1) Kannst du per Webmail auf dein Konto zugreifen? Web.de verhängt manchmal Sperren aufgrund unklarer Zugriffsversuche. Diese sind aber in der Regel auf 24 Stunden begrenzt. Beim Einloggen per Webmail wird darauf hingewiesen.

2) Wenn man auf 2-Faktor-Authentifizierung bei Web.de umgestellt hat, muss für jeden Client ein eigenes Passwort generiert werden, ansonsten kann der Client nicht aufs Konto zugreifen. Vielleicht trifft das auf dich zu? Dann in der Webmail-Ebene ein App-Passwort für TB generieren und im Programm einrichten. Dann sollte es wieder gehen.

Gruß Klaus

Hallo XEP,

in den Einstellungen kannst du doch eigentlich alles einstellen, wie du es haben willst: Signieren und eigenen Schlüssel anhängen aktivieren sollte unabhängig voneinander gehen.

Sieht nach PGP-Schlüsseln aus, die man in der Linkliste für jedes Gericht separat downloaden kann. Dann solltest du auch bei dir PGP-Verschlüsselung einrichten, entweder über TB oder Mailvelope, wenn du es nicht schon hast. Bei wem du deine Mailadresse hast, ist eigentlich zweitrangig. Sollte bei jeder Mailadresse funktionieren, zumindest mit Thunderbird.

Zum einrichten von PGP-Verschlüsselung findest du hier im Forum bzw. in den Anleitungen sicher genug Infos, ggf. zusätzlich das Thema unter "PGP-Verschlüsselung" ergoogeln.

Gruß Klaus

Ich hatte auch mal private Schlüssel von OpenKeyChain auf TB migriert. Ich meine mich zu erinnern, das man die Dateiendung von .pgp auf .asc ändern muss. Könnte aber auch die Endung .sec sein, auf die geändert werden muss. Da bin ich mir nicht 100% sicher. Einfach mal probieren. Ggf musst du beim Import dann den Zahlencode eingeben, den dir OpenKeyChain als Schlüsselpasswort gegeben hat, eingeben.

Solltest du den nicht mehr haben oder nicht aufgeschrieben haben, einfach nochmal neu exportieren.

Gruß Klaus

Wenn ich das bei Google richtig interpretiert habe, sieht es wohl so aus, als wenn ab 30.5. das bloße Anmelden mit Name und (selbstdefiniertem) Passwort nicht mehr akzeptiert wird. Stattdessen wird als Möglichkeit die Einrichtung der 2-Faktor-Authentifizierung mit dem dazugehörigem App-Passwort (für TB) angeboten, aber nicht explizit empfohlen. Voraussetzung ist die Aktivierung der Funktion "Zugriff durch unsichere Apps erlauben".

Alternativ muss eine App genutzt werden, die über eine "über Google anmelden"-Funktion verfügt, die bei Google als sicher gilt.

Bei mir zeigt TB gültig an. Habe auch schon andere Key vom gleichen Zertifizierer. Mir fällt auf, das du nicht signierst. Außerdem kannst du zwischen PGP und S/MIME als Verschlüsselungs-Technologie auswählen. Vielleicht hast du versehentlich PGP ausgewählt?

Gruß Klaus