Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2010)

[SilentCry]

[/COLOR]Sehe ich beides auch so. Daher habe ich auch komplett auf S/MIME umgestellt. Und jährlich ein neues Zertifikat bekomme ich gerade noch hin. Das ist mittlerweilen auch recht komfortabel geworden.

Welchen Anbieter wähltest du?

Ähmmm, wird das Schlüsselpaar nicht lokal auf dem anfordernden Rechner erstellt? Oder habe ich da was falsch verstanden?

Das müsstest du aber schon wissen. Wie machst du es denn?

Hääää? Was'n das jetzt?

Ui, du kennst vermutlich meine feindselige Ausdrucksweise gegen den Überwachungsstaat noch nicht ;.)
Für mich sind Menschen, vor allem in politischen Positionen, die Maßnahmen wie die Vorratsdatenspeicherung, Fingerabdrücke in Reisepässen, Videoüberwachung an allen Ecken und Enden, etc. begrüßen, vorantreiben, fordern schlicht "Neofaschisten". Sie halten den Bürger für eine Bedrohung, die kontrolliert und überwacht werden muss und nur der Staat (also die bürokratischen Institutionen) sind erhaben und berufen, diese totale Kontrolle auszuüben. Das charakterisiert Neofaschisten. Pikant: Selbst wollen die Neofaschisten natürlich nicht kontrolliert werden. Von wem auch?

 

[bluejay]

Welchen Anbieter wähltest du? …

Ich verwende das Class-1-Zertifikat TC Internet ID von Trustcenter. Genügt für meine Ansprüche.

Das müsstest du aber schon wissen. Wie machst du es denn?

ACHTUNG: Für die Zertifikatsbeantragung ist es erforderlich, ein Schlüsselpaar auf Ihrem Rechner zu erstellen.
​

 

[SilentCry]

Du musst aber schon ganz zitieren:

ACHTUNG: Für die Zertifikatsbeantragung ist es erforderlich, ein Schlüsselpaar auf Ihrem Rechner zu erstellen. Hierzu muss JavaSkript aktiviert sein, bei MS Internet Explorer muss zusätzlich die Ausführung von ActiveX zulässig sein.

D.h. der tut das IM BROWSER. Lokal? Das müsste man aber erstmal prüfen.

Aber ich stelle dir immer noch die Frage: WIE hast DU es konkret gemacht?

 

[j@n]

Das Problemchen ist einfach, das Zertifikat muss von jemandem sein, dem du vertraust. Vertrauen im Sinne von entweder „der liest meine Mails sicher NIEMALS“ oder „der darf ALLE meine Mails lesen, vor dem habe ich NICHTS zu verbergen“. Und unser guter SilentCry hat eben zu extrem wenigen Leuten vertrauen, wenn man so will. Zumindest zu keinen juristischen Personen, die mit Nachnamen GmbH oder -ministerium heißen.

Wenn es für dich, bluejay, okay ist, eine Restunsicherheit zu haben, ob auch wirklich die Regierung oder die Leute von Trustcenter nicht mitlesen können, kannst du alles so weiter machen wie bisher.

 

[ImperatoR]

@SilentCry: Schau dir mal CAcert an, das Konzept ist echt ganz gut, jedoch ist diese Zertifizierungsstelle bisher nur bei einigen Linuxdistributionen als standardmäßig als vertrauenswürdig eingestuft.

Wenn das sich ändert, bin ich sofort wieder bei S/MIME dabei.

 

[Zeisel]

Dort kanst Du, wenn Du einmal Deine WOT-Punkte beisammen hast, auch ganz einfach Deine GPG/PGP-Schlüssel signieren lassen und diese dann veröffentlichen.

(Meine Schlüssel liegen dort seit Jahren und ich habe kein Problem mit Spam - nur als Hinweis, weil viele diese Bedenken haben)

CAcert:
http://www.cacert.org/index.php?id=0&lang=de_DE

 

[SilentCry]

Ich habe mal probehalber diesen Trustcenterprozess durchgemacht.
Tatsächlich schiebt er ein .p7s-File in den Dowload-Ordner; das doppelklickt man und es erscheint als Zertifikat im Schlüsselbund.
Wenn man dann auf der Webseite weiter macht sind plötzlich auch Private- und Public-Schlüssel im Schlüsselbund. Das geht alles ganz "magisch", ich hatte keine Chance zu "beobachten" was geschieht.
Kann also sein, dass der Vorgang rein lokal war (via Java Script), kann aber auch sein dass die im TrustCenter meinen Private Key generiert und damit auch gespeichert haben.

Bin ich eigentlich der einzige, der darin ein Problem sieht? Dieser Schlüssel ist sowas wie ein Personalausweis. Er bestätigt die Authentizität meiner Mails; es geht nicht "nur" darum, dass eine fremde Stelle mitlesen kann sondern auch, dass beliebig Mails generiert werden könnten, die zumindest als Anscheinsbeweis gegen mich verwendet werden können. Das Trustcenter muss dabei nicht einmal aktiver Teil dieses Angriffs sein sondern kann einfach nur kompromittiert werden. Es wurden schon Zertifizierungsstellen kompromittiert.
Von .gov-Verbrechern, die sich die Daten einfach "legal" beschaffen um zu schnüffeln wie die dreckigen Hunde will ich gar nicht erst reden.

 

[Zeisel]

... kann aber auch sein dass die im TrustCenter meinen Private Key generiert und damit auch gespeichert haben.

Ein Schlüsselpaar wird auf Deinem Rechner generiert und dort lokal gespeichert. Der private Schlüssel sollte ihn auch nur mit einem guten Passwort geschützt verlassen (wird beim Export festgelegt). Die .p12-Datei enthält dann das Zertifikat und den öffentlichen Schlüssel. Diese können nun in andere Programme (Thunderbird, Firefox, Outlook) importiert werden. Andersherum funktioniert es natürlich auch. Dein Zertifikat ist vom Aussteller signiert, zum unterzeichnen brauchst Du den privaten Schlüssel.

Ist das Zertifikat abgelaufen, brauchst Du normalerweise keine neuen Schlüssel (z. B. CAcert) sondern lässt Dir einfach ein neues Zertifikat ausstellen. Bei der kostenlosen Internet-ID von TC TrustCenter musst Du nach Ablauf jedoch ein neues Schlüsselpaar generieren. Das hat den Nachteil, dass Du so langsam immer mehr Schlüssel hast (was bei den Zertifikaten, da mit Datum versehen, unproblematisch ist). Im Schlüsselbund wird das sehr unübersichtlich, weil dem Schlüssel nicht anzusehen ist, zu welchem Zertifikat es gehört. Schlüssel haben kein Verfallsdatum. Ohne zugehörigem Schlüssel können alte E-Mails nicht mehr entschlüsselt/gelesen werden.

Tipp: Ein Gespräch mit Henrik Heigl, Presseprecher der Organisation CACert, die sich um die kostenlose Vergabe von Zertifikaten für sichere Web- und E-Mail-Kommunikation kümmert. CACert ist die einfachste und günstigste Möglichkeit für Privatpersonen, an Zertifikate zu kommen und bietet aber auch Vereinen, Unternehmen und anderen Organisationen, an der CACert-Zertifikatsstruktur teilzunehmen.

 

[j@n]

Um es kurz zu machen:

Ein Schlüsselpaar wird auf Deinem Rechner generiert und dort lokal gespeichert. (…)

Beweise?

 

[Zeisel]

Da musst Du der Aussage von TC TrustCenter Glauben schenken.

Für die Zertifikatsbeantragung ist es erforderlich, ein Schlüsselpaar auf Ihrem Rechner zu erstellen. Hierzu muss JavaSkript aktiviert sein, bei MS Internet Explorer muss zusätzlich die Ausführung von ActiveX zulässig sein.

Auch CAcert musst Du dieses Vertrauen entgegen bringen.

Und Deine Partner müssen dieses Vertrauen ebenfalls teilen - wollen sie Authentizität und Integrität Deiner E-Mail anerkennen. Vertraulichkeit ist ein weiterer Aspekt.

Deine begründete Vorsicht teile ich, jedoch vertraue ich meinen Schlüsseln und den Zertifikaten von TC TrustCenter und CAcert. Andernfalls könne ich sie auch gleich löschen und für wertlos erklären. Ich ziehe jedoch OpenPGP vor - dessen (meine öffentlichen) Schlüssel sind auch zertifiziert (von CAcert) - sogar mit Foto darin (wenngleich sehr klein) - und auf einem öffentlichen Server für den, der mag, abrufbar.

Diese Gründe gelten auch für OpenPGP:

Der größte Vorteil von GnuPG gegenüber proprietärer [geschützter] Software ist [...] die Sicherheit, die in der Lizenz, unter die GnuPG fällt, begründet ist. Experten vom Bundesamt für Sicherheit in der Informationstechnik, des Bundesministeriums für Wirtschaft und Technologie sowie des Bundesministeriums des Innern über das Bundeswirtschafts- und Forschungsministerium bis zum Chaos Computer Club (CCC) sind der einhelligen Überzeugung, dass Quelloffenheit einer Software essenzielle Voraussetzung für ihre Sicherheit ist. Bei proprietärer Software muss sich der Anwender auf das Wort des Anbieters verlassen, was grundsätzlich als suspekt angesehen werden sollte. Überprüfbarkeit durch Experten des Vertrauens, somit Quelloffenheit, ist eine Voraussetzung für Vertrauensbildung. [...] Nur permanente, mit laufende Überprüfung durch Nutzer, Gruppen und Behörden bieten die Gewähr, dass weder nachlässig noch gezielt Sicherheitsprobleme eingebaut werden. GnuPG wurde von Anfang an offen entwickelt.

Patric Majcherek

 

[naich]

Beweise?

Auch wenn ich Trustcenter traue, am besten wäre es immer noch, wenn man die Keys mit openssl lokal von Hand generieren kann, und dann die entsprechende Datei an Trustcenter übermittelt. Entsprechende Terminal-Kommandos sind nicht besonders lang. Leider kenne ich kein kostenloses Angebot, bei welchem das möglich wäre.

Mich stört ebenfalls an Trustcenter, dass man immer nur komplett neue Zertifikate bekommt. Kennt jemand nen kostenlosen Anbieter, bei dem das nicht so ist?

Cacert fällt für mich komplett flach, bis nicht alle Major-Betriebssysteme die als vertrauenswürdig markieren. Im Moment signiere ich meist nur die Mails, um die Empfänger auf die Signaturen aufmerksam machen (was sind denn das für komische Anhänge an deinen Mails?). Und wenn der Empfänger dann doch nen S/MIME-fähiges Mail-Programm hat, sollte das Zertifikat auch ordentlich validiert werden.

 

[roland0509]

Ich bin mit GnuPG recht zufrieden.

Am Mac ist das mit GPGTools relativ schön realisiert und auch unter Windows ist das mit gpg4win einfach einzurichten.

Mittlerweile hab ich schon einen 3. und einen 4. überredet. Ich muss ihnen nur noch helfen es einzurichten.

 

[bluejay]

Vielleicht kann mir ja jemand weiterhelfen, folgendes Problem:
Ich gleiche regelmäßig mehrere Netzwerkfestplatten mit ChronoSync ab und lasse mir aus dem Programm heraus entsprechende Status-E-Mails zusenden, was auch anstandslos klappt. Der E-Mail-Versand erfolgt über Mail. Die gesendeten Mails sind auch fast immer - und da frage ich mich schon, weshalb manchmal nicht? - signiert. Kann ich Mail auch dazu zwingen, automatisch generierte E-Mail zu verschlüsseln und wenn ja, wie?
(OSX 10.7.2, Build 11C74, Mail 5.1 (1251/1251.1), S/MIME TC-Zertifikat)

 

[roland0509]

Mit GPG-Tools verschlüsselt er, wenn er den public-key im keyring hat.

 

[gbyte]

@ bluejay ... die S/MIME Signierung/Verschlüsselung von Mail.app merkt sich den letzten Zustand der Einstellung zur Signierung/Verschlüsselung.

Das heißt: wenn Du manuell eine E-Mail schreibst und bei dieser die Signierung und Verschlüsselung aktivierst, danach keine E-Mail mehr schreibst, und dann eine automatisch erzeugte E-Mail versendet wird, wird diese auch signiert/verschlüsselt, sofern alle Zertifikate vorhanden sind.

Wenn Du allerdings, vor dem erneuten automatischen senden, manuell eine E-Mail verschickst und bei dieser die Signatur und/oder die Verschlüsselung ausschaltest, wird diese Entstellung beibehalten und bei dem nächsten automatischen versenden auf die Signatur/Verschlüsselung verzichtet.

Dies könnte ich mir eventuell als Erklärung für Dein beschriebenes Verhalten vorstellen.

Gruß,

GByte

 

[bluejay]

Genau das wird es sein. Nicht optimal (eigentlich großer Mist), aber im Moment wohl nicht zu ändern. Danke auf jeden Fall für die einleuchtende Erklärung.

 

[roland0509]

was du versuchen könntest ist, den inhalt der mail per skript zu verschlüsseln und dann in ein unverschlüsseltes plain-text mail zu dumpen.

also quasi selbst plugin spielen.

 

[gbyte]

@ roland ... wir reden hier von S/MIME, das ist Dir schon klar oder? Mit GnuPG mag das gehen, allerdings ist mir bei S/MIME keine Möglichkeit bekannt den Mail-Content per Skript in ein entsprechendes Format zu packen um dieses dann zu verschicken.

Gruß,

GByte

 

[bluejay]

@roland0509: Danke für Deine Tips, aber wie gbyte schon richtig erwähnte geht es mir um die Signatur/Verschlüsselung mit S/MIME. Gegen GPG/PGP, das ich früher verwendet und auch noch installiert aber deaktiviert habe, sprechen im Moment die hier schon aufgeführten Argumente:
Keine Verfügbarkeit auf iDevices (ist für mich momentan das Killerargument gegen GPG), Funktionalität sehr Abhängig von Apples Änderungswillkür der Mail.app, Kommunikationspartnern noch immer schwierig zu vermitteln, auch wenn Installation und Konfiguration in letzter Zeit erheblich verbessert wurden.
S/MIME ist da deutlich "komfortabler", daher habe ich mich auch für TC entschieden obwohl mir das CACert-Konzept mit verlängerbaren Zertifikaten deutlich besser gefällt.

 

[roland0509]

ich kenn S/MIME nicht. Wär ja möglich gewesen das das auch geht.