Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[stk]

Super!

Safari sagt:

Safari kann die Seite nicht öffnen.
Safari kann die Seite „https://tverify.cacert.org/“ nicht öffnen, da Safari keine sichere Verbindung zum Server „tverify.cacert.org“ aufbauen kann.

Firefox meint:

Fehler: Gesicherte Verbindung fehlgeschlagen
Ein Fehler ist während einer Verbindung mit tverify.cacert.org aufgetreten.
Die SSL-Gegenstelle konnte keinen akzeptablen Satz an Sicherheitsparametern aushandeln.
(Fehlercode: ssl_error_handshake_failure_alert)
* Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
* Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren. Alternativ können Sie auch die Funktion im Hilfe-Menü verwenden, um diese Website als fehlerhaft zu melden.

Sehr vertrauensbildend …

 

[da_jones]

Des Rätsels Lösung ist (im Nachhinein) recht simpel: Zur Identifikation für die Punktevergabe brauchst du beim Ansurfen der Seite dein thawte-Zertifikat. Da bei dir bereits die Fehlermeldung auftaucht, machst du folgendes:

1. Schlüsselbundverwaltung öffnen
2. Dort im Schlüsselbund "Anmeldung" einen Eintrag raussuchen, der "tverify.cacert.org" o.s.ä. heißt (das Icon sieht aus wie eine Visitenkarte in iCal).
3. Das Teil löschen.
4. Die Seite in Safari nochmal ansurfen.
5. Jetzt das noch gültige thawte-Zertifikat auswählen.
6. Der Rest ist selbsterklärend und dauert nicht mal eine Minute.

Gruß, jones

 

[stk]

hmm, irgendwie scheint mir da mein StartSSL Zertifikat im Weg zu stehen

 

[Zeisel]

Schade, habe leider auch keinen Erfolg damit. C’est la vie... so bekommen wir E-Mail-Verschlüsselung nicht populär.

 

[Zeisel]

Thawte schreibt in seiner heutigen E-Mail:
"Your Thawte Personal E-Mail Certificate(s) will be revoked and will no longer be able to sign emails."

Doch wie kann ich jetzt ein anderes Zertifikat, z.B. meines von CAcert, zum signieren verwenden? Mail verwendet das von Thawte und ich kann das zu verwendende Zertifikat nirgends auswählen. Bis zum 07. Oktober 2010 warten ist ja keine Lösung... oder kann ich das Zertifikat einfach löschen, ohne dass es sich auf die Schlüssel und die zu entschlüsselnden E-Mails auswirkt?

Letzteres habe ich jetzt eifach mal probiert (vorher natürlich eine Kopie des entsprechenden Schlüsselbundes gemacht), und siehe da: Es funktioniert, die alten verschlüsselten E-Mails bleiben lesbar! Schade nur, dass im Zertifikat von CAcert statt meines Namens vorerst nur ein farbloses "CAcert WoT User" steht. So beschränkt sich die Verwendung zunächst mal auf private Korrespondenz.

Jetzt heißt es also erneut Notare aufsuchen zwecks Identitätsprüfung. Bleiben als Wermutstropfen die standardmäßig fehlenden Root-Zertifikate von CAcert in den gängigen Programmen.

 

[bluejay]

… Doch wie kann ich jetzt ein anderes Zertifikat, … zum signieren verwenden? Mail verwendet das von Thawte und ich kann das zu verwendende Zertifikat nirgends auswählen. … oder kann ich das Zertifikat einfach löschen, ohne dass es sich auf die Schlüssel und die zu entschlüsselnden E-Mails auswirkt?

Letzteres habe ich jetzt eifach mal probiert (vorher natürlich eine Kopie des entsprechenden Schlüsselbundes gemacht), und siehe da: Es funktioniert, die alten verschlüsselten E-Mails bleiben lesbar! …

Niemals, niemals ein Zertifikat oder gar einen Schlüssel löschen! Sonst bringst Du die mit diesem Schlüssel verschlüsselten Mails nie wieder auf! Nein, auch nicht die Zertifikate löschen!

Und für den Fall, daß es jemand noch nicht gesehen hat:
Niemals Schlüssel oder ein eigenes Zertifikat vom Schlüsselbund löschen!

Ich wollts nur nochmal erwähnt haben.
Gruß Pepi

Ja, wass'n nu, Mädels?

 

[Zeisel]

An die Worte von pepi musste ich gestern auch denken - danke, dass Du sie noch einmal hervorgeholt hast.

Was soll man / ich machen - ein zurückgezogenes Zertifikat weiterverwenden, weil Mail / OS X / die Schlüsselbundverwaltung mir keine Möglichkeit gibt, ein anderes auszuwählen?

Über eine bessere / elegantere / korrekte Lösung wäre ich sehr viel glücklicher!!!

 

[bluejay]

Was ich ganz und gar nicht verstehe: Wie kann eine verschlüsselte Mail noch entschlüsselt werden, wenn das entsprechende Zertifikat gelöscht ist. Ist darin nicht der Private Schlüssel mit enthalten? Sieht zumindest bei mir so aus:

Übrigens funktionieren meine Thawte Zertifikate immer noch. Komisch.

 

[Der_Apfel]

Was soll man / ich machen - ein zurückgezogenes Zertifikat weiterverwenden, weil Mail / OS X / die Schlüsselbundverwaltung mir keine Möglichkeit gibt, ein anderes auszuwählen?

Über eine bessere / elegantere / korrekte Lösung wäre ich sehr viel glücklicher!!!

Du könntest dir einen neuen Schlüsselbund anlegen und die zurückgezogenen Zertifikate dorthin verschieben. Wenn du eine Mail öffnest, die für diesen Schlüssel verschlüsselt wurde, wird automatisch versucht, den Schlüsselbund zu öffnen. Standardmäßig wird aber dann der Schlüssel im Anmeldung-Schlüsselbund benutzt.

 

[bluejay]

Du könntest dir einen neuen Schlüsselbund anlegen und die zurückgezogenen Zertifikate dorthin verschieben. Wenn du eine Mail öffnest, die für diesen Schlüssel verschlüsselt wurde, wird automatisch versucht, den Schlüsselbund zu öffnen. Standardmäßig wird aber dann der Schlüssel im Anmeldung-Schlüsselbund benutzt.

Genau so habe ich es jetzt gemacht. Und es funktioniert. Habe einen neuen Schlüsselbund (revokedcert) angelegt, da kommen jetzt alle abgelaufenen und zurückgezogenen Zertifikate rein. Das schafft auch gleich noch eine gewisse Übersichtlichkeit im Schlüsselbund Anmeldung. Man muß dann allerdings beim Aufrufen von alten Mails das Paßwort für den Schlüsselbund eingeben. Das kriege ich aber gerade noch auf die Reihe.

 

[pepi]

An die Worte von pepi musste ich gestern auch denken - danke, dass Du sie noch einmal hervorgeholt hast.

Was soll man / ich machen - ein zurückgezogenes Zertifikat weiterverwenden, weil Mail / OS X / die Schlüsselbundverwaltung mir keine Möglichkeit gibt, ein anderes auszuwählen?

Über eine bessere / elegantere / korrekte Lösung wäre ich sehr viel glücklicher!!!

Was ich ganz und gar nicht verstehe: Wie kann eine verschlüsselte Mail noch entschlüsselt werden, wenn das entsprechende Zertifikat gelöscht ist. Ist darin nicht der Private Schlüssel mit enthalten? Sieht zumindest bei mir so aus:

Übrigens funktionieren meine Thawte Zertifikate immer noch. Komisch.

Nein, in einem Zertifikat ist niemals ein privater Schlüssel drinnen. Ist ja logisch, erstens wird das Zertifikat beim signieren mitgeschickt, und zweitens hast Du das Zertifikat bei der CA runtergeladen. Da kann kein privater Schlüssel drinnen sein, sonst wäre die einzige hohe Maxime der asymmetrischen Kryptografie gebrochen bevor Du Dein Zertifikat hast.

Diese lautet: Gib' Deinen privaten Schlüssel niemals aus der Hand. Niemals! (!!!elf!einhunderteinundzwanzig!neverever)


Mac OS X nimmt zum signieren eines eMails die Keys die zum ersten gefundenen Zertifikat welches auf die Mailadresse paßt gehören. Dabei geht es (oh Jubel) alphabetisch vor. Immerhin ist das schreckliche Verhalten so konsistent, nachvollziehbar und beeinflussbar.

Aus dem Weg räumt man es, wie bereits erfolgreich beschrieben, indem man sich einen zweiten Schlüsselbund anlegt und das ganze dort reintut. (Am besten die Keys gleich dazu, und alles hübsch beschriften und kommentieren, damit man später auch noch weis was zusammengehört und was nicht.)

Die Möglichkeit aus mehreren Zertifikaten für eine Mailadresse zu wählen habe ich bereits mit 10.4 an Apple als Feature Request am Radar gemeldet. Bis heute keine Reaktionen… Ich werde das wohl gleich nochmal für 10.6 wiederholen, 10.5 hab' ichs ja auch gemacht. Wer macht mit?
Gruß Pepi

 

[bluejay]

Nein, in einem Zertifikat ist niemals ein privater Schlüssel drinnen.…

Aber im Schlüsselbund ist es doch so abgelegt (s. Bild). Verstehe ich auch nicht. Die privaten und öffentlichen Schlüssel liegen dann auch nochmal extra im Schlüsselbund unter „Schlüssel“.

 

[pepi]

Nein, das sind drei Einträge. Man kann sich lediglich zu einem Zertifikat den privaten Schlüssel anzeigen lassen, bzw. umgekehrt. Das ist eine Gruppierung durch die Applikation, mehr nicht.

In einem Zertifikat ist niemals ein privater Schlüssel enthalten.
Gruß Pepi

 

[bluejay]

Nein, das sind drei Einträge. Man kann sich lediglich zu einem Zertifikat den privaten Schlüssel anzeigen lassen, bzw. umgekehrt. Das ist eine Gruppierung durch die Applikation, mehr nicht.

In einem Zertifikat ist niemals ein privater Schlüssel enthalten.
Gruß Pepi

Aha, hat mich auch gewundert. Wieder was dazugelernt.

 

[da_jones]

Die Möglichkeit aus mehreren Zertifikaten für eine Mailadresse zu wählen habe ich bereits mit 10.4 an Apple als Feature Request am Radar gemeldet. Bis heute keine Reaktionen… Ich werde das wohl gleich nochmal für 10.6 wiederholen, 10.5 hab' ichs ja auch gemacht. Wer macht mit?
Gruß Pepi

Hier! *Hand-in-die-Luft* Ebenso fordere ich auch mind. einmal pro Monat die Implementierung von S/MIME ins iPhone OS. Wie gut, dass ich die Feature-Request-Seite zu meinen Lesezeichen hinzugefügt habe.

BTW: Eine Reaktion von Apple hatte ich auch noch nie. Damit rechne ich aber auch nicht – sie schreiben's ja auch so unter das Formular.

 

[pepi]

[…]BTW: Eine Reaktion von Apple hatte ich auch noch nie. Damit rechne ich aber auch nicht – sie schreiben's ja auch so unter das Formular.

Das ist der Unterschied zwischen Apple Feedback und Apple Bugreporter.
Gruß Pepi

 

[da_jones]

Eine Frage an alle GnuPG-Nutzer: Wie importiere ich einen öffentlichen Schlüssel in den GPG Schlüsselbund, der mir nur in Textform vorliegt, wie z.B. hier?

Und die fast gleiche Frage andersrum: Wie exportiere ich meinen eigenen Public Key in dieser Textform? (Ich möchte den bei CAcert signieren lassen. Die haben dafür ein Online-Formular, das diese Form voraussetzt.)

Eingerichtet habe ich gerade alles unter 10.6.2 mit dem hier aufgezeigten PGP-PlugIn für Mail und dem GPG Schlüsselbund (Vers. 0.7.0.1).

Vielen Dank für eure Hilfe!

Gruß, jones

EDIT: Ich bin schon soweit gekommen, dass ich auf dem PGP-Server nach dem Namen des Public Key gesucht, und diesen auch gefunden habe. Danach öffnete sich aus dem GPG Schlüsselbund heraus das Terminal. Hier wusste ich nicht weiter…

 

[Der_Apfel]

Du könntest einfach ab

-----BEGIN PGP PUBLIC KEY BLOCK-----

alles in die Zwischenablage kopieren (cmd+c). Terminal öffnen,

gpg --import

eintippen, den Schlüssel wieder einfügen (cmd+v), dann ein ctrl+d (signalisiert ein EOF) und der Schlüssel wird importiert.

 

[User 50673]

Der GPG-Schlüsselbund kann das per Menueintrag. Einfach mal durchforsten

 

[da_jones]

Dankeschön! Erste Frage beantwortet, aber wie schaut es mit der zweiten aus: Wie kann ich meinen Public Key in solche eine Textform überführen (mit Hilfe des GPG Schlüsselbundes und/oder dem Terminal)?