S/MIME Verschlüsslung Iphone/Ipad; Class1 Zertifikate öffentliche CA

[i-uschi]

Hallo liebe Apfel - Freunde,

aus gegebenem Anlass wird der Bedarf an verschlüsselten Daten im Netz ja immer größer.
Bei der Einbindung von S/MIME gibt es aber leider bei meinen mobilen Geräten Probleme.

Microsoft Exchange 2010 Umgebung. In Outlook funktioniert die Verschlüsslung optimal.

Auch auf den mobilen Geräten (Iphone/Ipad) hat es mit einer eigenen Zertifizierungsstelle auch optimal funktioniert.
Dies waren Class 2 Zertifikate mit Namen vom Benutzer und die E-Mail Adresse vom Benutzer.

Da wir die Lösung auch extern Nutzen wollen, kommen wir nicht drum herum Zertifikate einer öffentlichen Zertifizierungsstelle zu verwenden.

Leider treten hier die Probleme auf. Öffentliche Namenhafte Zertifizierungsstelle, Class 1 Zertifikate

Bei gleicher Vorgehensweise... erstmal Signierte Mails gegenseitig verschicken. Öffentlichen Key installieren Vertrauen etc. bekomme ich nicht es einfach nicht 100% zum laufen. Folgender Zustand aktuell.

- User1 schickt verschlüsselt zu user2 erfolgreich
- User2 schickt verschlüsselt zu user1 erfolgreich
- User1 antwortet verschlüsselt zu user2 fehlgeschlagen
- User2 antwortet verschlüsselt zu user1 fehlgeschlagen

Kann das an den Zertifikaten liegen das die Zuordnung Namen / Email Adresse nicht funktioniert.
In der Testumgebung mit den selbst ausgestellten Zertifikaten gab es diese Probleme nicht und es war eine bidirektionale Verschlüsslung möglich.

Bin am verzweifeln

<<< Danke Gruß I-Uschi >>>

 

[gKar]

Ich komme nicht mit. Es macht doch gar keinen Unterschied, ob User 1 eine verschlüsselte Mail an User 2 schickt oder ob er eine verschlüsselte Mail als Antwort auf eine andere Mail an User 2 schickt. User 1 kann nur dann eine verschlüsselte Mail an User 2 schicken, wenn er den öffentlichen Schlüssel von User 2 kennt. Das könnte z.B. der Fall sein, wenn ihm User 2 zuvor keine verschlüsselte, sondern eine signierte Mail geschickt hat! User 2 daraufhin muss natürlich sein Zertifikat mitsamt privatem Schlüssel auf seinem Gerät installiert haben, um die verschlüsselte Mail lesen zu können.
Das Ganze gilt auch umgekehrt (vertausche 1 mit 2).

Wie hast Du denn die Zertifikate und privaten Schlüssel der User und ggf. auch der Zertifizierungsstelle (CA) auf den Geräten installiert? (Vertrauen musst Du den Zertifikaten des jeweils anderen Users m.W. nicht, sofern die CA-Zertifikatskette auf den Geräten bekannt ist. Das ist ja gerade der Sinn einer CA: Sie beglaubigt die Zertifikate der User. Falls es sich nicht um eine der CAs handelt, deren Zertifikate in den Browsern / auf den Geräten vorinstalliert sind, musst Du ggf. die Zertifikatskette von der CA laden und installieren.

Bist Du den Anweisungen in Deinen Screenshots gefolgt und hast ein Profil mit Deinem Zertifikat und privaten Schlüssel (mit dem iPhone-Konfigurationsprogramm erstellt und) auf dem Gerät installiert?

 

[i-uschi]

Hallo

es war nur eine Übersicht was bis jetzt funktioniert und was nicht. Das die öffentlichen Schlüssel ausgetauscht werden müssen ist bekannt. Dies hat ja auch funktioniert. in eine Richtung hat die Verschlüsslung ja auch funktioniert. Nur das Antworten der Mail nicht und genau hier ist das Problem. Beim Antwort klicken steht oben der Name vom User als Empfänger. "Max Mustermann"

bei einer neuen Mail steht [email protected] hier ist das Zertifikat zugeordnet aber dem Namen nicht. Deshalb meine Vermutung ob ich Class 2 Zertifikate benötige das auch der Name vom User im Zertifikat steht.

Das User Zertifikat habe ich als .pfx Datei von der öffentlichen CA geschickt bekommen. Dieses habe ich auf dem Iphone installiert mit den vergebenem Key.

Edit: Ich habe es auch mit dem Iphone Konfigurationsprogramm ausprobiert und mir ein Profil erstellt , keine Verbesserung


Diese Schritte sollten doch ausreichen? Die öffentliche Zertifizierungsstelle sollte ja bekannt sein!?

 

[gKar]

in eine Richtung hat die Verschlüsslung ja auch funktioniert. Nur das Antworten der Mail nicht und genau hier ist das Problem. Beim Antwort klicken steht oben der Name vom User als Empfänger. "Max Mustermann"

bei einer neuen Mail steht [email protected] hier ist das Zertifikat zugeordnet aber dem Namen nicht.

Dann würde ich spontan erstmal annehmen, dass die Absenderadresse hinter dem Namen "Max Mustermann" nicht exakt mit der im Zertifikat gespeicherten Mailadresse übereinstimmt. Hier ist m.W. (zumindest für Apple-Clients) die Groß-/Kleinschreibung zumindest vor dem @ entscheidend!
Tippe doch den Namen "Max Mustermann" mal an, um Dir die dahinter liegende Mailadresse anzeigen zu lassen!

 

[i-uschi]

Wenn ich allerdings eine neue Mail verfasse und den Namen Max Mustermann eintippe wird der Name blau hinterlegt und das Verschlüsslungssymbol ist aktiv und funktioniert.

Verknüpft sich also doch mit dem Namen.

Bingo !! ich glaub das ist die Lösung.

es gab wirklich unterschiede das die User im Aktive Directory einmal mit Großbuchstaben und einmal mit Kleinbuchstaben vor dem @ angelegt waren..

Vielen Dank !! Ich werde berichten ob es die Lösung ist

 

[Reservist]

S/MIME generell ist schon ganz okay integriert, wenn auch etwas fummelig.

Nervig ist vielmehr, dass die Verschlüsselung nur aktiviert ist, wenn ich eine Mail aus der Mail-App heraus versende. Versende ich aus einer App eine Mail (egal ob System-App wie "Fotos" oder Safari, installierte App etc ) wird die Verschlüsselung nicht verwendet (und auch nicht angeboten)

 

[Ijon Tichy]

Über das Problem mit der Großkleinschreibung in der E-Mail-Adresse bin ich auch vor ein paar Tagen gestolpert. Ich halte das für einen Bug in Apple Mail, da Großkleinschreibung bei E-Mail-Adressen grundsätzlich unerheblich ist. Ich habe das auch an Apple gemeldet, aber ob das was bewirkt...

Mit iOS Mail (zumindest in iOS7) gibt es dieses Problem interessanterweise nicht.

 

[gKar]

Ich halte das für einen Bug in Apple Mail

Ganz im Gegenteil, das muss eigentlich so sein. Ich halte es für einen Bug, wenn ein E-Mail-Programm die Groß-Kleinschreibung im local part der Mailadresse (also vor dem @) nicht ignoriert, ebenso wie es ein Bug wäre, wenn die Groß-/Kleinschreibung im Domänennamen (nach dem @) beachtet würde.

da Großkleinschreibung bei E-Mail-Adressen grundsätzlich unerheblich ist.

Aha, und woher nimmst Du diese Information?
In der Spezifikation für Mail-Adress-Aufbau (http://tools.ietf.org/html/rfc5322#section-3.4.1) steht zumindest nichts davon, dass die Groß-/Kleinschreibung ignoriert werden dürfe. Dass die Groß-/Kleinschreibung im Domänennamen ignoriert werden muss, steht in http://tools.ietf.org/html/rfc1034 (Section 3.1), aber der Teil vor dem ‚@’ ist ein locally interpreted name, d.h. der Mailserver, der die Mailbox verwaltet, erreichbar unter der nach dem @ genannten Domain, bestimmt, wie er den Namen interpretiert. So lange es keine Vorschrift gibt, dass ein Mailserver die Groß-/Kleinschreibung ignorieren muss, könnte es Mailserver geben, die sie beachten – so unüblich das auch sein mag. Und wenn davon auszugehen ist, dass es Mailserver gibt, für die XYZ@domain und xyz@domain verschiedene Mailboxen sind, dann darf auch ein Mailclient nicht ein Zertifikat für XYZ@domain auch einfach auf xyz@domain anwenden – es sei denn, er weiß irgendwoher, dass der Mailserver ein bestimmtes Produkt (z.B. MS Exchange Server) ist, das zusichert, dass die Groß-/Kleinschreibung egal ist.

Da ein Nicht-Finden einer entsprechenden Vorschrift meinerseits aber nicht deren Nicht-Existenz beweist, zum Abschluss noch etwas, was ich mal eben schnell ergoogled habe:
http://email.about.com/od/emailbehindthescenes/f/email_case_sens.htm
Dort wird insb. aus dem SMTP-Standard zitiert, dass ein SMTP-Server die Groß-/Kleinschreibung im Local Part beachten muss.

 

[Ijon Tichy]

Aha, und woher nimmst Du diese Information?

Einfach praktische Erfahrung. Ich halte das für einen De-facto-Standard. Theoretisch hast du natürlich recht, praktisch wird das anders gehandhabt. Im Sinne des Anwenders ist es sicher, sich an den De-facto-Standard zu halten, zumal es ja keine eindeutige Aussage gibt.

Irritierend ist zudem, dass ich bei der eingehenden Mail zwar angeben kann, dass das Zertifikat von [email protected] auch für [email protected] gelten soll, dass aber, wenn ich anschließend an [email protected] schreibe, mir trotzdem nicht angeboten wird, die Mail zu verschlüsseln, weil er in dieser Situation das passende Zertifikat wieder nicht findet. Ich muss dann explizit die E-Mail-Adresse [email protected] eingeben, was nicht einfach ist, da Mail immer versucht, die Adresse wieder auf die ihm bekannte [email protected] zu ändern.

Dieses Verhalten ist dann zumindest inkonsistent.

Und dass iOS Mail sich da anders verhält, ist für mich auch ein Hinweis, dass man sich bei den verschiedenen Entwicklertruppen nicht einig ist, was denn nun richtig (in welchem Sinne auch immer) ist.

 

[gKar]

Im Sinne des Anwenders ist es sicher, sich an den De-facto-Standard zu halten, zumal es ja keine eindeutige Aussage gibt.

Die Aussage, dass Groß-/Kleinschreibung beim Local Part berücksichtigt werden darf, also nicht davon ausgegangen werden darf, dass verschieden geschriebene Local Parts immer dieselbe Adresse bezeichnen, halte ich durchaus für eindeutig. Und von geschriebenen Standards abzuweichen, indem man Verhalten bestimmter Software als „De-facto-Standard“ bezeichnet, hat (z.B. im Bereich des WebDesigns für IE) schon für viel Ärger gesorgt.

Irritierend ist zudem, dass ich bei der eingehenden Mail zwar angeben kann, dass das Zertifikat von [email protected] auch für [email protected] gelten soll

Da kann ich nicht folgen. Wie sollte man so etwas „angeben“ können? Falls Du vom Eingang einer signierten Mail sprichst, deren Absenderadresse wegen Groß-/Kleinschreibung nicht zum Zertifikat passt, dann kann man vermutlich nach Einsichtnahme ins Zertifikat angeben, dass man diesem vertrauen will, aber das hat ja nichts mit der Verschlüsselung ausgehender Mails zu tun.

Ich muss dann explizit die E-Mail-Adresse [email protected] eingeben, was nicht einfach ist, da Mail immer versucht, die Adresse wieder auf die ihm bekannte [email protected] zu ändern.

Dann solltest Du aufräumen: Im Adressbuch nur die korrekte Schreibweise einrichten und aus der Liste vorheriger Empfänger (siehe Fenster-Menü) die Einträge mit falscher (d.h. vom Zertifikat abweichender) Groß-/Kleinschreibung löschen. Dann sollte das kein Problem mehr darstellen.

Und dass iOS Mail sich da anders verhält.

Ist das so? Ist mir noch nie aufgefallen, aber ich hatte so einen Fall auch schon ewig nicht mehr (dass mir jemand eine Mail mit nicht zum Zertifikat passender Absenderadresse geschickt hat), daher kann ich das gerade nicht ausprobieren.
Aber da kommen wir zurück auf das eigentliche Thread-Thema, denn da ging es im iOS. Wenn iOS die Groß-/Kleinschreibung wirklich ignorieren sollte, dann müsste das Problem hier also ganz woanders liegen. Mal sehen, ob sich i-uschi nochmal diesbezüglich meldet.

 

[i-uschi]

Ich melde mich nochmal leider immer noch frustriert

Die Idee mit der Groß/Kleinschreibung war schon mal sehr gut und hat mich ein Schritt weiter gebracht. Aber dennoch habe ich leider noch Probleme. Habe jetzt alle Zertifikate exakt der im Active Directory angelegten E-Mail Adresse erstellen lassen von einer öffentlichen CA.

Das Verhalten in Outlook local am PC funktioniert immer.

Testumgebung besteht mittlerweile aus 4 Usern. Leider mit unterschiedlichen verhalten. Die Probleme treten auch nur auf den mobilen Endgeräten auf. Ich testen mit Iphones aus 3 Generationen (3GS,4,5) IOS 6/7 + Ipad mini

2 User können in beide Richtungen verschlüsselt kommunizieren. Jedoch habe ich bei 2 Usern weiterhin Probleme. Ausgiebige Tests haben ergeben das die 2 Fehlerhaften User Verschlüsselt senden, aber nicht empfangen können. Beim öffnen der Nachricht wird nur Rot der Name von User angezeigt und der bekannte Text

"Diese Nachricht ist verschlüsselt. Installieren Sie ein Profil mit Ihrer Verschlüsselungsidentität, um diese Nachricht zu entschlüsseln."

Auf allen 4 Geräten habe ich ein Profil mit Zertifikat auf das Gerät mit dem Konfigurationsprogramm erstellt. Dies kann ich also normal als Fehlerquelle ausschließen. Die Zertifikatskette der CA und Root CA stimmt auch.

Es sieht komischerweise für mich immer noch so aus als ob das Gerät Probleme hat den Namen der Email Adresse zuzuordnen. Getestet habe ich einmal mit sync vom Globalen Adressbuch und auch ohne. Laut Aussage vom Support von der öffentlichen CA würde es kein Unterschied machen ob ich Class 1 oder Class 2 Zertifikate verwende.

Ich werde jetzt nochmal die Exchange Benutzer nach irgendwelchen Abweichungen abgleichen, weiß aber langsam nicht mehr wo ich noch suchen kann...

Hat jemand noch eine Idee? Stoff zum testen..??

Gruß

 

[gKar]

Oh, neue Zertifikate? Wäre es nicht einfacher gewesen, die Directory-Einträge den bestehenden Zertifikaten anzugleichen als umgekehrt?

Wie auch immer, wenn sich eine empfangene E-Mail nicht entschlüsseln lässt, spricht das dafür, dass sie entweder mit einem anderen (nicht zu Deinem aktuellen privaten Schlüssel und Zertifikat passenden) öffentlichen Schlüssel (z.B. aus dem alten Zertifikat) verschlüsselt wurde oder wieder der Message-Header nicht passt. Kannst Du Dir nicht die Daten der empfangenen Mail (Zertifikat, Message Header) anzeigen lassen? So generell ohne genauere Untersuchung des Einzelfalls wüsste ich auch nicht, wie ich Dir helfen soll.

 

[Ijon Tichy]

"Diese Nachricht ist verschlüsselt. Installieren Sie ein Profil mit Ihrer Verschlüsselungsidentität, um diese Nachricht zu entschlüsseln."

Sind die in den Mail-Account-Einstellungen der iPhones hinterlegten Mail-Adressen tatsächlich identisch mit den Adressen der Zertifikate? Ist auch die Empfänger-Adresse der Test-Mail identisch? Hast du das mal direkt auf den betroffenen iPhones überprüft? Klingt ja so, als ob das nicht so wäre. Ist dort S/MIME eingeschaltet?

 

[i-uschi]

Oh, neue Zertifikate? Wäre es nicht einfacher gewesen, die Directory-Einträge den bestehenden Zertifikaten anzugleichen als umgekehrt?

Die E-Mail Adressen werden durch E-Mail Adressrichtlinien generiert und die Domain ist leider mit Groß/Kleinschreibung versehen.

Die Zertifikate waren gerade erst gekauft. Konnte sie noch stornieren und neu ausstellen

Ich hab mir den Header mal angeschaut... leider erkenne ich nix was mit dem Zertifikat zu tun hat. Die Email Adressen stimmen überein mit dem Zertifikat.


@Ijon Tichy

Ich hab alle E-Mail Adressen abgeglichen und die Zertifikate exakt nach der angelegten Adresse ausstellen lassen.

Ja Natürlich ist S/MIME auf allen Geräten eingeschaltet. Die andere Richtung funktioniert ja.. wenn ich auf die Mail antworte kann ich die Antwort verschlüsselt senden.

----------------

Bin Schritt für Schritt vorgegangen. Iphone Konfigurationsprogramm für jedes Gerät ein Profil mit Zertifikat angelegt und auf diese gespielt.

S/MIME auf jedem Gerät aktiviert. Nur Signierung eingeschaltet.

Jetzt habe ich an jedes Gerät Signierte Mails versendet, Zertifikat beim Empfänger gespeichert. So das alle Geräte den öffentlichen Schlüssel ausgetauscht haben.

S/MIME Verschlüsslung eingeschaltet und sogar eine Tabelle angelegt zum Testen



was ich mir jetzt nur noch vorstellen kann das wirklich noch "alte" Zertifikate (öffentliche Schlüssel) hinterlegt sind.
Wo kann ich denn sehen im IOS welche ich abgelegt habe um diese nochmal zu bereinigen und evt nochmal mit dem Signieren (öffentliche Schlüssel) verteilen beginne.

Nachtrag:

User2 habe ich auch auf einem weiteren Gerät getestet. Somit die öffentlichen Schlüssel auch nochmal neu verteilt.

 

[Ijon Tichy]

Ja Natürlich ist S/MIME auf allen Geräten eingeschaltet. Die andere Richtung funktioniert ja.. wenn ich auf die Mail antworte kann ich die Antwort verschlüsselt senden.

Sorry, aber das versteh ich jetzt nicht. Nach meinem Verständnis passt diese Aussage (Antworten geht mit Verschlüsselung) nicht so richtig zu der Aussage von 8:36, dass die beiden User nicht verschlüsselt empfangen können.

Wenn die verschlüsselte Nachricht eines Absenders nicht gelesen werden kann, aber ich kann antworten drücken und dann verschlüsselt senden, dann wird offensichtlich nicht in beiden Fällen die gleiche E-Mail-Adresse des Empfängers verwendet.

Sind in dem Mail-Account mehrere Absender-Adressen konfiguriert? Oder gar mehrere Accounts auf dem iPhone?

Leider ist das ein ziemliches Stochern im Nebel, wenn man nicht alle Infos zur Verfügung hat...

 

[i-uschi]

Ich verstehe es auch absolut nicht mehr wo das Problem noch liegen kann!

Es ist richtig, die verschlüsselte Nachricht eines Absenders Kann nicht gelesen werden, aber ich kann antworten drücken und dann verschlüsselt senden. Diese kommt auch verschlüsselt an.

Dies habe ich eben nochmal genau überprüft und. Es werden die gleichen E-Mail Absender/Empfänger Adressen verwendet. In Outlook habe ich die Header überprüft.

Es gibt immer nur eine Absenderadresse pro Email Account.

Pro Iphone ist immer nur für das jeweilige Postfach das Benutzerzertifikat hinterlegt und andere Accounts sind nicht aktiv.

 

[Ijon Tichy]

Hm… Klingt eigentlich ganz so, als hätte hat der Sender nicht das richtige öffentliche Zertifikat für den Empfänger installiert oder verwendet, der Empfänger aber schon. Dümpelt auf dem Sender-iDevice vielleicht auch noch - zusätzlich zum richtigen - das falsche Zertifikat des Empfängers herum (das von deinen vorherigen Versuchen vielleicht)?

Schau doch mal direkt auf dem Absender-iDevice nach welche Zertifikate dort vorhanden sind.

 

[i-uschi]

Schau doch mal direkt auf dem Absender-iDevice nach welche Zertifikate dort vorhanden sind.

Wo kann ich die einsehen? Also die gespeicherten öffentlichen Zertifikate? Hab leider nix gefunden.

Ich sehe nur das Benutzerzertifikat bei Einstellungen->Allgemein->Profil

 

[Ijon Tichy]

Wo kann ich die einsehen? Also die gespeicherten öffentlichen Zertifikate? Hab leider nix gefunden.

Ich sehe nur das Benutzerzertifikat bei Einstellungen->Allgemein->Profil

Gute Frage - ich musste selber erst einmal suchen. Und habe festgestellt, dass ich selbst noch ein Problem habe, das ich nicht behoben bekomme.

Also, das geht nur aus der Mail heraus und blöderweise nur beim Absender…?! Also wenn du in der Mail auf den Absender klickst, dann kannst du das Zertifikat ansehen. Wenn es installiert ist, dann gibt es einen "Entfernen"-Button.

Bei mir findet er das eigene Zertifikat beim Senden gerade nicht mehr, aber theoretisch müsstest du auf dem Sender-Device eine Mail an den Empfänger schreiben. Wenn er verschlüsseln kann, erscheint ja ein Schloss neben dem Empfänger. Wenn das beim Senden so geht wie beim Empfangen (kann's wie gesagt gerade selbst nicht testen), dann musst du dort auf den Empfänger klicken und in dem Zertifikat auf "Entfernen" klicken.

Falls das nicht geht: Hast du auf dem Sender-Device noch eine Mail vom Empfänger mit dem falschen Zertifikat? Dann könntest du diese Mail aufrufen und das Zertifikat entfernen.

Ist aber schon bescheuert, wenn das nur so geht… Denn wenn du keine Mail findest mit dem falschen Zertifikat, dann fällt mir nur noch ein die Problem-Devices komplett zurückzusetzen und die Profile neu einzuspielen.

 

[gKar]

Ich kenne leider keine Möglichkeit, ohne Jailbreak die auf einem iOS-Device gespeicherten Zertifikate und öffentlichen Schlüssel der iOS-Keychain einzusehen oder zu löschen!
Die installierten Profile enthalten ja nur das eigene Zertifikat samt privatem Schlüssel. Die Zertifikate mit öffentlichem Schlüssel der Kommunikationspartner installiert iOS 7 im Hintergrund selbstständig, wenn es signierte Mails empfängt. Wenn nun ein iPhone zwei Mails vom selben Absender mit verschiedenen Zertifikaten empfängt, was dann? Vermutlich speichert es dann beide Zertifikate und sucht beim Verschlüsseln einer Mail an diese Person ein „passendes“ davon aus.
Falls iOS nun wirklich (wie OS X) die Groß-/Kleinschreibung der Mailadresse bei der Zertifikatsauswahl berücksichtigt, sollte eigentlich das neue, korrekte Zertifikat gewählt werden, sofern im Adressfeld auch die korrekt geschriebene Mailadresse verwendet wird. Aber mit sowas habe ich noch nie experimentiert (d.h. zu einem Kontakt habe ich nur ein einziges nicht abgelaufenes Zertifikat gespeichert).