Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[User 50673]

Auch mit dem GPG Schlüsselbund. Da im Bereich public (oder öffentlich in der deutschen Version) den Schlüsselbund auswählen also markieren und dann im Menu Datei -> Export wählen. Dann einfach als Textdatei abspeichern und weitergeben


PS: Am besten ASCII Amored auswählen. Is kompatibler als die Unicode Variante.

 

[da_jones]

Mmh, vielleicht stelle ich mich auch nur zu doof an. Aber selbst wenn ich das Häkchen bei "ASCII Amored" setze, dann spuckt mir der GPG Schlüsselbund immer eine Datei nach dem Schema Fingerprint.gpgkey aus. Und der Fingerprint ist ja nun - wenn ich das richtig verstanden habe - nicht der Public Key.

Die Datei konnte ich bislang auch nur wieder mit dem GPG Schlüsselbund öffnen. Das hilft mir also leider nicht weiter.

EDIT: Lösung gefunden! Beim Export habe ich einfach das Suffix ".gpgkey" gegen ".txt" eingetauscht. Das war's. Im Nachhinein simpel. Aber deppensicher ist das nicht.

 

[vino]

Mal an die Experten hier im Forum: Wie gehe ich bei GPG am besten vor, wenn ich dummerweise mehrere öffentliche Schlüssel für mehrere E-Mail-Adressen unter dem gleichen Namen habe, nun jetzt aber nur noch einen primären Schlüssel mit mehreren Unterschlüsseln haben möchte? Alle Schlüssel widerrufen und neue generieren?

 

[Der_Apfel]

Ja, so würde ich das machen. Widerrufen, aber nicht löschen, sonst kannst du ja deine alten Mails nicht mehr entschlüsseln. Das schöne an GPG ist ja (so sollte es zumindest sein), dass die Schlüssel auf einem Keyserver gespeichert sind und jeder sollte nach einem Update seiner gespeicherten Keys erfahren, dass deine alten Schlüssel nicht mehr gültig sind.

 

[pepi]

Das Vorgehen bringt nur Arbeit und keinen nennenswerten Vorteil. Wozu also antun?
Gruß Pepi

 

[bluejay]

Erst mal allen Sicherheitsfetischisten hier ein gesundes, glückliches und vor allem (daten)sicheres Jahr 2010.

Habe gerade meine am 5.1.2010 auslaufenden TC Internet ID Zertifikate erneuert. Wie bekomme ich die eigentlich von meinem Rechner, auf dem sie jetzt installiert sind auf andere Rechner, da ich von da gelegentlich auch E-Mail absende? Einfach die private keys aus dem Schlüsselbund des Hauptrechners exportieren und auf den Nebenrechnern importieren und anschließend die Installationsdateien auf den Rechnern ausführen? Oder gibt's da eine andere Lösung?

 

[Zeisel]

Einfach das Zertifikat (mit dem darin enthaltenen privaten Schlüssel) als .p12 exportieren (für den Export musst Du ein Passwort angeben, das sollte sicher sein!!!) und am Zielrechner doppelt anklicken, dann importiert es sich in den Schlüsselbund. Oder bei Windows in das entsprechende Programm importieren.

 

[bluejay]

Danke, hat funktioniert. War mir nicht mehr ganz sicher, ob es so geht.
Mal noch eine andere Frage: Werden die private keys eigentlich über MobileMe mit synchronisiert, wenn man den Schlüsselbund darüber synct?

 

[Zeisel]

Soweit mir bekannt ist, wird der Standard-Schlüsselbund des Benutzers (das ist der Fett dargestellte in der Schlüsselbundverwaltung) komplett synchronisiert, also auch mit den darin enthaltenen privaten Schlüsseln.

Beim Synchronisieren eines anderen Rechners mit MobileMe musst Du dann das Kennwort des Ursprünglichen Schlüsselbundes eingeben. Ohne Gewähr, ich habe das noch nie gemacht!

Was mit ggf. anderen Schlüsselbunden passiert (z.B. dem von 1Passwort) weiß ich nicht, würde mich aber interessieren.

 

[bluejay]

Soweit mir bekannt ist, wird der Standard-Schlüsselbund des Benutzers (das ist der Fett dargestellte in der Schlüsselbundverwaltung) komplett synchronisiert, also auch mit den darin enthaltenen privaten Schlüsseln. …

Hmmmm Ist das gut, wenn da die gesamten private keys einfach mal so durchs Netz gejagt werden?

 

[Zeisel]

Das musst Du für Dich selbst entscheiden. Wichtig ist ein vernünftiges Passwort für Deinen Schlüsselbund.

 

[bluejay]

Toll, Zertifikate auf den Rechnern verteilt. Nur bekomme ich jetzt den Hinweis:
„Die E-Mail_Signatur konnte nicht überprüft werden.“
wenn ich von den anderen Rechnern Mails erhalte. Muß ich da noch irgendwo irgendwas einstellen?

 

[pepi]

Erst mal allen Sicherheitsfetischisten hier ein gesundes, glückliches und vor allem (daten)sicheres Jahr 2010.
[…]

Ich weis nicht was der Schutz der eigenen Privatsphäre mit Fetischismus zu tun hat. In Deutschland gibt es sogar ein Grundrecht auf digitale Intimsphäre, etwas was dem Rest der Welt immer noch fehlt. Privatsphäre und Datenschutz sollten ein Grundrecht für jeden sein!
Trotzallem ein auch Dir und allen anderen ein sicheres 2010. (Wie sagte Ron im Security Nightmares Talk am #26C3: "Da geht noch was.")

Einfach das Zertifikat (mit dem darin enthaltenen privaten Schlüssel)[…]

In einem Zertifikat ist niemals ein privater Schlüssel enthalten!

Soweit mir bekannt ist, wird der Standard-Schlüsselbund des Benutzers (das ist der Fett dargestellte in der Schlüsselbundverwaltung) komplett synchronisiert, also auch mit den darin enthaltenen privaten Schlüsseln.

Beim Synchronisieren eines anderen Rechners mit MobileMe musst Du dann das Kennwort des Ursprünglichen Schlüsselbundes eingeben. Ohne Gewähr, ich habe das noch nie gemacht!

Was mit ggf. anderen Schlüsselbunden passiert (z.B. dem von 1Passwort) weiß ich nicht, würde mich aber interessieren.

Es werden entweder alle oder garkein Schlüsselbund synchronisiert, mit jeweils allen darin enthaltenen Objekten. Es ist nicht granularer Einstellbar welche Schlüsselbunde oder Objekte synchronisiert werden sollen unabhängig davon ob diese sich am Anmeldeschlüsselbund befinden oder ob der "Login" Keychain überhaupt der Standardschlüsselbund ist.

Hmmmm Ist das gut, wenn da die gesamten private keys einfach mal so durchs Netz gejagt werden?

Grundsätzlich nein, auch nicht wenn diese verschlüsselt sind. Das ist auch der Grund warum ich davon keinen Gebrauch mache.

Das musst Du für Dich selbst entscheiden. Wichtig ist ein vernünftiges Passwort für Deinen Schlüsselbund.

Grundsätzlich ein paar korrekte Tips, wie zum Beispiel, daß Passwortlänge vor Zeichenvielfalt gewinnt. Also lieber das Passwort länger machen als sich mit Sonderzeichen die Hände zu brechen. Noch besser ist es freilich beides zu verwenden! Was absolut nicht korrekt ist, daß Zeichenpermutationen schwer zu erraten sind. Sogenannter 1337-Speak (Leet Speak) ist nicht hilfreich wenn man ihn alleine einsetzt! Solche Ersetzungen wo beispielsweise ein a durch ein @ oder ein e durch eine 3 oder ein o durch die Ziffer 0 ersetzt werden sind in jedem Standard Passwort Cracker bereits seit Jahren enthalten.

Bei Passwort Generatoren sei darauf hingewiesen, daß man einen solchen Verwenden sollte der auch garantiert zufällige Passwörter erzeugt und nicht immer die selbe Abfolge! Nichts ist schlimmer als ein Passwort Generator der reproduzierbare Ergebnisse liefert! Positiv sei hier der apg (Automated Password Generator) hervorgehoben!

Toll, Zertifikate auf den Rechnern verteilt. Nur bekomme ich jetzt den Hinweis:
„Die E-Mail_Signatur konnte nicht überprüft werden.“
wenn ich von den anderen Rechnern Mails erhalte. Muß ich da noch irgendwo irgendwas einstellen?

Woher kommen die Zertifikate? Welche CA hat sie signiert? Sicherheit ist kein Ratespiel.
Gruß Pepi

 

[bluejay]

… In einem Zertifikat ist niemals ein privater Schlüssel enthalten!

Nein, die habe ich auch extra ex- und importiert, also eine Zertifikat.p12 und eine Schlüssel.p12.

… Grundsätzlich nein, auch nicht wenn diese verschlüsselt sind. Das ist auch der Grund warum ich davon keinen Gebrauch mache. …

Dann habe ich an dieser Stelle ja bisher nichts falsch gemacht.

… Woher kommen die Zertifikate? Welche CA hat sie signiert? Sicherheit ist kein Ratespiel.
Gruß Pepi

Es sind allesamt TC Internet ID Zertifikate (hatte ich am 1.1. ja gepostet).
Nochmal kurz zur Erklärung meines bisherigen Vorgehens:
Habe auf meinem Hauptrechner für mehrere E-Mailadressen die Zertifikate bei Trust Center beantragt und installiert. Funktioniert auch alles problemlos.
Dann einzelne Zertifikate und zugehörige priv. Schlüssel aus dem Schlüsselbund vom Hauptrechner exportiert und auf zwei weiteren Rechnern in den Schlüsselbund importiert.
E-Mails vom Hauptrechner machen keine Probleme. Versende ich E-Mails von einem der beiden anderen Rechner empfange ich diese mit der genannten Meldung: „Die E-Mail_Signatur konnte nicht überprüft werden.“

 

[pepi]

Und die Stammzertifikate vom Trustcenter sind auch auf allen Rechnern installiert?
Gruß Pepi

 

[Zeisel]

In einem Zertifikat ist niemals ein privater Schlüssel enthalten!

Nun - dann bietet zumindest der Schlüsselbund den "Service", diese in einer Datei zusammen zu exportieren.
Entweder aus der Kategorie "Meine Zertifikate"

oder der Kategorie "Schlüssel".

Daher mein Trugschluss. In der Kategorie "Alle Objekte" liegen Schlüssel und Zertifikat tatsächlich getrennt vor.

Ich habe den Test gemacht, ich brauche aus dem Schlüsselbund aus einer der genannten Kategorien nur eine Datei zu exportieren in der dann sowohl das Zertifikat als auch der Schlüssel enthalten sind. Auf einem anderen Rechner installiert konnte ich damit signieren und entschlüsseln.

 

[Zeisel]

Und die Stammzertifikate vom Trustcenter sind auch auf allen Rechnern installiert?

Die Stammzertifikate von CAcert waren auf dem anderen Rechner nicht installiert. Das musste ich, bevor ich eine E-Mail signieren konnte, noch selbst tun.

 

[bluejay]

Und die Stammzertifikate vom Trustcenter sind auch auf allen Rechnern installiert?
Gruß Pepi

Ja, habe gerade nochmal überprüft.

 

[bluejay]

Ich hab' ja keine Ahnung, aber vielleicht ist dieser Hinweis noch hilfreich:
Auf dem absendenden (Neben-)Rechner wird mir die Mail korrekt signiert angezeigt. Auf dem empfangenden (Haupt-)Rechner erhalte ich sie aber mit der Fehlermeldung.

 

[Zeisel]

Eine Signatur von TC TrustCenter wird von Mail als nicht korrekt angezeigt, während Thunderbird dieselbe E-Mail als korrekt (nicht verändert) anzeigt. Wie kann das zustande kommen? Am Stammzertifikat kann es doch nicht liegen, denke ich, dann gäbe Mail eine andere Fehlermeldung aus.

Fehlermeldung in Mail:

Korrekt dagegen in Thunderbird: