Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)

[pepi]

Die Verschlüsselung von S/MIME Schlüsseln Zertifikaten und GnuPG Verschlüsselung ist technisch ähnlich gelöst. Bei GnuPG gibt es die Möglichkeit Schlüssel mit bis zu 4096 Bit Länge zu verwenden, bei S/MIME ist momentan bei 2048 Bit Schlüssellänge Schluß. Technisch gelten beide Varianten momentan als sicher.

S/MIME hat den großen Vorteil, daß auf aktuellen Betriebssystemen nichts nachinstalliert werden muß. Vor allem empfängerseitig ist das praktisch, da dort einfach Signiert (emailadresse bzw. Name) im Mailprogramm aufscheint und nicht zwei seltsame Attachments wie bei GnuPG. Die Stammzertifikate von kommerziellen Zertifikatsanbietern wie Thawte, Verisign, etc. sind auf quasi allen Systemen vorinstalliert. Somit wird der Empfänger nicht mit "Kann Zertifikat Blah nicht überprüfen" Dialogen verschreckt. Im Geschäftsverkehr ein großer Vorteil.

GnuPG hat den Vorteil, daß es optional längere Schlüssellängen anbietet die, mathematisch betrachtet, sicherer sind. In Wirklichkeit hängt alles am Passphrase zum privaten Schlüssel. Außerdem kann man GnuPG für mehr Sachen verwenden als dies üblicherweise bei S/MIME Schlüsseln der Fall ist. Wer jedoch auf diese Sachen verzichten kann oder diese schlichtweg nicht braucht ist wohl mit S/MIME besser dran.
Gruß Pepi

 

[da_jones]

Aha, hab ich wieder was gelernt. Wenn ich kurz nachfragen darf: Wofür kann man den GnuPG noch verwenden, außer zum Mail-Verschlüsseln?

 

[nggalai]

Aha, hab ich wieder was gelernt. Wenn ich kurz nachfragen darf: Wofür kann man den GnuPG noch verwenden, außer zum Mail-Verschlüsseln?

Mit der Kommandozeile oder mit dem GPGFileTool z. B. zum signieren oder verschlüsseln von Dateien. Einfach mit Deinem eigenen GnuPG-Schlüssel.

Cheers,
-Sascha

 

[da_jones]

Danke für die Auskunft!

 

[bluejay]

… Am liebsten wäre mir trotzdem, wenn ich verschlüsselte/signierte Mails am iPhone mit dem nativen Mailclient erstellen/lesen könnte. (Auch wenn dazu mein Private Key natürlich am Gerät drauf sein muß.)
Gruß Pepi

Muß das Thema nochmal aufgreifen. Mittlerweilen gibt es ja das iPhone-Konfigurationsprogramm in dem man in den Konfigurationsprofilen auch eine Verwaltungsfunktion für Zertifikate findet. Leider weiß ich nicht wie und ob das mit E-Mail-Zertifikaten (S/MIME - Thawte, TC, Verisign, u.ä.) funktioniert. Hat hier jemand diesbezüglich schon Erfahrungen gesammelt?

 

[pepi]

Mit diesen Zertifikaten kannst Du, so wie ich das verstanden habe, nur VPN bzw. SSL Zertifikate verteilen. Für S/MIME wären zusätzlich ja noch entsprechende Keys notwendig! Das klappt also bisweilen leider noch nicht. Ich hoffe, daß ein kommendes Update hier endlich Abhilfe schafft.
Gruß Pepi

 

[bluejay]

Mit diesen Zertifikaten kannst Du, so wie ich das verstanden habe, nur VPN bzw. SSL Zertifikate verteilen. Für S/MIME wären zusätzlich ja noch entsprechende Keys notwendig! Das klappt also bisweilen leider noch nicht.

Ja, sieht so aus. Ich habe die Zertifikate mal auf das iPhone geladen, geht übrigens ganz einfach per E-Mail (aber nicht verschlüsselt!!! ). E-Mails bleiben aber auch weiterhin nicht lesbar.

Ich hoffe, daß ein kommendes Update hier endlich Abhilfe schafft.
Gruß Pepi

Das hoffe ich auch. Ich bekomme mittlerweilen mehr verschlüsselte/signierte E-Post als unverschlüsselte/unsignierte - von Spam mal abgesehen . Da ist auf Dauer die iPhone Mail App eigentlich unbrauchbar.

 

[pepi]

Zertifikate enthalten ja keinerlei Geheimnisse, diese Volltext zu verschlüsseln wäre also wenig notwendig. Abgesehen davon darf man davon ausgehen, daß die Mails in so einem Fall am eigenen Mailserver verbleiben und diesen verwendet man ohnehin nur per SSL, somit sollte das wenig Problem darstellen.

Ich wäre fürs erste schonmal glücklich wenn man signierte Mails als solche gekennzeichnet bekäme und die Signatur überprüft würde. Das wäre schonmal ein Anfang. Wenn Apple aber wirklich so auf "Enterprise" pocht wie die PR Abteilung einen glauben machen möchte, dann sollten sie das mit S/MIME allerdings eher vorgestern implementiert haben.

Wäre mal interessant wie man an die Keychains vom iPhone drankommt. Wenn das vom Framework her wirklich alles da ist, könnte man die Keys vielleicht manuell dort ablegen in der Hoffnung, daß es einfach funktioniert. Ich wünsche mir allerdings, daß ich schon noch ein Passwort eingeben muß um auf diese Keys zugreifen zu können. Sowohl beim Versenden als auch beim Empfangen/Entschlüsseln.

Signierter Spam ist mir auch noch nicht untergekommen (von DKIM enableten Servern mal abgesehen).
Gruß Pepi

 

[bluejay]

… Wenn Apple aber wirklich so auf "Enterprise" pocht wie die PR Abteilung einen glauben machen möchte, dann sollten sie das mit S/MIME allerdings eher vorgestern implementiert haben. …

Ja, sehe ich auch so.

… Wenn das vom Framework her wirklich alles da ist, könnte man die Keys vielleicht manuell dort ablegen in der Hoffnung, daß es einfach funktioniert. …

Ich habe es mal probiert. Mit den Keys ist es genauso wie mit den Zertifikaten: Key/Zertifikat aus dem (Rechner-)Schlüsselbund exportieren, per E-Mail an das iPhone senden und dort den entsprechenden Anhang öffnen. Damit wird der/das Key/Zertifikat als Profil auf dem iPhone installiert. Wobei da grundsätzlich alles unter der Bezeichnung „Identitätszertifikat“ abgelegt wird.
Das Problem, scheint mir, ist, daß iPhone-Mail beim Öffnen einer Mail da gar nicht hinschaut.
Was ich in dem Zusammenhang nicht ganz verstehe ist diese Passage aus dem Handbuch „Einsatz in Unternehmen“:

Zertifikate und Identitäten
iPhone und iPod touch unterstützen X.509-Zertifikate mit RSA-Schlüsseln. Dabei wer-
den die Dateierweiterungen .cer, .crt und .der erkannt. Die Verifzierung von Zertifikats-
ketten erfolgt durch Safari, Mail, VPN und andere Programme.
iPhone und iPod touch unterstützen P12-Dateien (PKCS-Standard #12), die genau eine
Identität enthalten. Dabei werden die Dateierweiterungen .p12 und .pfx erkannt. Wenn
eine Identität installiert ist, wird der Benutzer zur Eingabe des Kennworts aufgefordert,
das als Schutz der Identität dient.
Die für den Aufbau der Zertifikatskette zu einem vertrauenswürdigen Root-Zertifikat
(Stammzertifikat) erforderlichen Zertifikate können manuell oder mithilfe von Konfi-
gurationsprofilen installiert werden. Sie müssen keine Root-Zertifikate hinzufügen,
da diese von Apple auf dem Gerät installiert wurden. Eine Liste der bereits installierten
Root-Zertifikate des Systems finden Sie im folgenden Apple Support-Artikel:
http://support.apple.com/kb/HT2185.

Eine Liste bereits auf dem iPhone installierter Root-Zertifikate findet man übrigens hier.

 

[pepi]

Ich fürchte, daß das nur für SSL Verschlüsselung gilt, aber leider für S/MIME nicht zur Anwendung kommt. Ich habe leider auch noch keinen Weg gefunden das zum Laufen zu bringen, bin aber auch nicht sicher ob das überhaupt gehen kann. Sobald es offiziell funktioniert werde ich das natürlich sofort implementieren, ich kann es kaum erwarten.
Gruß Pepi

 

[da_jones]

Ist nicht bald Zeit für die 2009er Umfrage? Nachdem pepi so fleißig aufklärt, muss sich doch etwas tun. Bei mir war er erfolgreich.
(Im übrigen vielen Dank dafür!)

 

[bluejay]

Habe es jetzt nochmal mit dem Konfigurationsprogramm probiert, geht prima. Einfach alle Zertifikate in ein Profil packen, per Mail auf's iPhone und dann installieren.
Funktioniert allerdings nicht mit Mail / S/MIME, wie schon erwartet. iP-Mail müßte sich ja dann auch nach den öffentlichen Schlüsseln der Zusender umsehen und die auf dem iP ablegen.
Da hat der Obsthändler im sonnigen Kalifornien aber noch ein ganzes Stück Arbeit vor sich. Hoffentlich bekommen die das baldigst in den Griff.

 

[pepi]

da_jones,
im Februar ist es dann wieder soweit. Natürlich werde ich auch heuer wieder eine Umfrage dazu machen und bin schon auf das Ergebnis gespannt.
Gruß Pepi

 

[bluejay]

Soooo, neuer Tag, neue Frage :
Wenn ich E-Mail-Zertifikate unterschiedlicher Anbieter besitze (S/MIME), nach welchen Kriterien wählt Mail.app dann aus, welches zur Verschlüsselung/Signatur einer E-Mail verwendet wird?

 

[nggalai]

Soooo, neuer Tag, neue Frage :
Wenn ich E-Mail-Zertifikate unterschiedlicher Anbieter besitze (S/MIME), nach welchen Kriterien wählt Mail.app dann aus, welches zur Verschlüsselung/Signatur einer E-Mail verwendet wird?

Das war mir auch immer ein Rätsel, aber ich glaube: Er nimmt das älteste noch gültige Zertifikat. So sah’s zumindest unter Tiger bei meinen Experimenten aus.

Bei Thunderbird kann man’s zum Glück auswählen.

Cheers,
-Sascha

 

[pepi]

Unter Leopard nimmt er das erste gefundene gültige Zertifikat. Ich habe bisher leider keinen Weg gefunden dies irgendwie zu beeinflussen oder eine explizite Auswahl treffen zu können. Mein Bug diesbezüglich ist seit 10.5 offen. Ich hoffe auf Snow Leopard…
Gruß Pepi

 

[bluejay]

… Ich hoffe auf Snow Leopard…
Gruß Pepi

Aha, danke.
Und ich hoffe seit 10.5.0, daß mein Adressbuch nicht bei jedem öffnen 3 Pixel kleiner wird - vergeblich. Auch ein Apple bekannter Bug seit Leopard.

 

[Zeisel]

Ich fürchte, daß das nur für SSL Verschlüsselung gilt, aber leider für S/MIME nicht zur Anwendung kommt. Ich habe leider auch noch keinen Weg gefunden das zum Laufen zu bringen, bin aber auch nicht sicher ob das überhaupt gehen kann. Sobald es offiziell funktioniert werde ich das natürlich sofort implementieren, ich kann es kaum erwarten.
Gruß Pepi

Es ist ja leider so, dass die Firmen (>> iPhone als Business-Handy <<) zwar die Synchronisation mit Outlook ganz toll finden, aber niemand E-Mail-Signierung oder gar Verschlüsselung für wichtig hält.

In meiner Firma hält man dies auch für vollkommen unnötig, bei dem Thema wird man angelächelt und für ein wenig paranoid oder nerd gehalten. Jede Firma sollte ihre E-Mails standardmäßig signieren und ihre öffentlichen Schlüssel auf ihren Web-Seiten zum Download anbieten und so ihren Kunden die Möglichkeit geben, auch verschlüsselt zu kommunizieren und, sofern man eine signierte E-Mail sendet, ihre Antwort standardmäßig verschlüsseln. Die Postbank macht das im übrigen so.

Ich würde die Unterstützung von S/MIME auf dem iPhone sehr begrüßen, mache mir da aber wenig Hoffnung.

Ist nicht bald Zeit für die 2009er Umfrage? Nachdem pepi so fleißig aufklärt, muss sich doch etwas tun. Bei mir war er erfolgreich.
(Im übrigen vielen Dank dafür!)

Dito - dem kann ich mich nur anschließen. Ohne Pepis Hilfe hätte ich das mit dem Zertifikat von Thawte nicht hin bekommen. Und ohne die Umfrage hätte ich mich mit dem Thema nie so intensiv auseinandergesetzt. Bis schon mal gespannt auf die neue Umfrage im Februar und die sich daran anschließende Diskussion

 

[bluejay]

Es ist ja leider so, dass die Firmen (>> iPhone als Business-Handy <<) zwar die Synchronisation mit Outlook ganz toll finden, aber niemand E-Mail-Signierung oder gar Verschlüsselung für wichtig hält.

In meiner Firma hält man dies auch für vollkommen unnötig, bei dem Thema wird man angelächelt und für ein wenig paranoid oder nerd gehalten. Jede Firma sollte ihre E-Mails standardmäßig signieren und ihre öffentlichen Schlüssel auf ihren Web-Seiten zum Download anbieten und so ihren Kunden die Möglichkeit geben, auch verschlüsselt zu kommunizieren und, sofern man eine signierte E-Mail sendet, ihre Antwort standardmäßig verschlüsseln. …

Kann ich Dir nur beipflichten. Das ist ein ganz, ganz, ganz trauriges Kapitel. Naja, Hauptsache jeder unterschreibt 2x im Jahr die Datenschutzbelehrung, schön auf ganz viel Papier, das dann möglichst noch zigmal kopiert wird. Gaaaaanz wichtig. Aber ansonsten sieht's ganz mau aus.

 

[pepi]

Aha, danke.
Und ich hoffe seit 10.5.0, daß mein Adressbuch nicht bei jedem öffnen 3 Pixel kleiner wird - vergeblich. Auch ein Apple bekannter Bug seit Leopard.

Hast Du zufällig eine BugID für mich. Ich muß gestehen, daß mir der Bug noch nicht begegnet ist.

Es ist ja leider so, dass die Firmen (>> iPhone als Business-Handy <<) zwar die Synchronisation mit Outlook ganz toll finden, aber niemand E-Mail-Signierung oder gar Verschlüsselung für wichtig hält.

In meiner Firma hält man dies auch für vollkommen unnötig, bei dem Thema wird man angelächelt und für ein wenig paranoid oder nerd gehalten. Jede Firma sollte ihre E-Mails standardmäßig signieren und ihre öffentlichen Schlüssel auf ihren Web-Seiten zum Download anbieten und so ihren Kunden die Möglichkeit geben, auch verschlüsselt zu kommunizieren und, sofern man eine signierte E-Mail sendet, ihre Antwort standardmäßig verschlüsseln. Die Postbank macht das im übrigen so.

Ich würde die Unterstützung von S/MIME auf dem iPhone sehr begrüßen, mache mir da aber wenig Hoffnung.[…]

Dann bin ich sozusagen eine Vorzeigefirma. Ich signiere nämlich alles was rausgeht. Habe meinen S/MIME Public Key auf meiner Webseite zum Download und auch meine GnuPG Keys sind brav auf den Keyservern verteilt. Verschlüsselung setze ich ein wo ich nur kann.

Ja, auch mich hält man für paranoid, aber nur ich weiß, daß es so ist.

Synchronisation mit Outlook ist mir ein Gräuel, IMAP Synchronisation ist viel schicker!

Ich werde wie schon angedroht im Feber wieder eine entsprechende Umfrage starten und hoffe jetzt schon auf die Tatkräftige Unterstützung durch einen Mod, da man das ja nicht mehr alleine machen darf. Wird wohl kein Problem darstellen behaupte ich mal. Wars auch letztes Jahr nicht. Dann kann man hoffentlich auch schon ein wenig einen Trend ablesen… Bitte verteilt vorab schon die Kunde, daß es diese Umfrage geben wird, da ich auf eine etwas regere Beteiligung hoffe als letztes Jahr!

Danke
Gruß Pepi