[10.14 Mojave] Frage an Zertifikat- bzw. S/MIME Experten

[kingshill_de]

Hallo ATler,

ich habe das Problem, dass ich Emails zwischen Macs und Mitarbeitern eines bestimmten Unternehmens nicht verschlüsseln kann, weil mir die Option zum Verschlüsseln nicht zur Verfügung steht. Hier zur besseren Übersichtlichkeit die Details in Kurzform:

• eigenes Zertifikat funktioniert tadellos mit anderen Adressen (außerhalb des Empfängerunternehmens)
• Eigenes Zertifikat bereits gewechselt, um hier ein Problem auszuschließen (Comodo, Volksverschlüsselung)
• Empfängerzertifikat ist dreistufig: 1. IT Dienstleister als Root --> Company --> Mitarbeiter / alle drei sind im Schlüsselbund importiert und auf "vertrauen" gesetzt
• Empfangene Emails von den "Problemadressen" kann ich entschlüsseln / lesen

Die gleiche Konstellation funktioniert unter Windows 10 sowie auf iOS Geräten, d.h. dort kann ich ohne Probleme an die Empfänger im Unternehmen senden.

Das beschriebene Mac - Problem ist auf anderen Macs direkt nachstellbar also kein Problem meines MBP und MacOS-unabhängig (gleiches also auf den Vorgängerversionen).

Meine Frage an die Experten:

1. Was in MacOS ist anders als auf iOS oder Windows?
2. Wie kann ich das Problem eingrenzen (eine Fehlermeldung gibt es nicht / einen log Eintrag habe ich nicht finden können)
3. Kann es sich -auch wenn ich entschlüsseln kann- um einen Einstellungsfehler handeln (müssen also root oder Unternehmenszertifikat anders behandelt / eingestellt werden?)

Vielen Dank schon mal,
kingshill_de

 

[kingshill_de]

Einen Hinweis habe ich noch: Eine empfangene Email kann zwar angezeigt / entschlüsselt werden, allerdings erscheint der Warnhinweis "Die Nachichtensignatur konnte nicht überprüft werden". Laut Apple Hilfe kann die Ursache hierfür sein:

• Möglicherweise wurde die E-Mail geändert, nachdem sie gesendet wurde. Bitte den Absender, die E-Mail erneut zu senden.
  --> Das kann ich natürlich nicht nachprüfen
  
  
• Das Zertifikat des Absenders ist möglicherweise abgelaufen. In diesem Fall muss der Absender das Zertifikat erneuern und die E-Mail erneut senden.
  --> Nein, das Zertifikat läuft bis 2020
  
  
• Du musst bestätigen, dass du dem Zertifikat des Absenders vertraust.
  --> Ist bereits geschehen (für S/Mime und X509)
  
  
• Die E-Mail-Adresse des S/MIME-Zertifikats stimmt nicht mit der Adresse im Feld „Von“ überein. In diesem Fall muss der Absender die E-Mail-Adresse im Feld „Von“ so ändern, dass sie genau mit der Adresse übereinstimmt, die im S/MIME-Zertifikat des Absenders verwendet wird.
  --> sowohl Name als auch Email stimmen 1:1 überein
  

 

[Dr.Death]

Ich hatte mal einen ähnlichen Fall, da stimmte die Email Adresse nicht mit dem Zertifikat überein.

• Die E-Mail-Adresse des S/MIME-Zertifikats stimmt nicht mit der Adresse im Feld „Von“ überein. In diesem Fall muss der Absender die E-Mail-Adresse im Feld „Von“ so ändern, dass sie genau mit der Adresse übereinstimmt, die im S/MIME-Zertifikat des Absenders verwendet wird.
  --> sowohl Name als auch Email stimmen 1:1 überein

Beim Zertifikat war die E-Mail Adresse mit Groß- und Kleinbuchstaben angegeben.....

Beispiel:
Zertifikat: [email protected]
Absender: [email protected]

Ansonsten fällt mir dazu auch nichts weiter ein.....

 

[Ijon Tichy]

Wäre es vielleicht möglich, dass du Zertifikate mal im Schlüsselbund anzeigst und davon Screenshots postest?

Von dem, was du beschreibst, ist ja zu vermuten, dass das Problem bei den Zertifikaten des Empfängerunternehmens steckt. Verwenden die ein self-signed Root-Zertifikat oder sind die Zertifikate von einem der großen Provider erstellt? Verwenden sie ein eigenes Intermediate-Zertifikat?

Abgesehen von dem bereits erwähnten Problem mit der Email-Adresse, könnte es auch an falsch gesetzten Erweiterungen in den Zertifikaten liegen. Zum Beispiel muss "Verschlüsseln von Schlüsseln" im S/MIME-Zertifikat gesetzt sein, aber die übergeordneten Zertifikate müssen auch korrekt ausgestellt sein, sonst wird die Zertifizierungskette unterbrochen.

Beim Import kann natürlich auch etwas schiefgehen. In welchen Schlüsselbund wurden die Zertifikate denn importiert – also System oder Anmeldung? Oder gemischt, und wenn ja wie?

Edit:
Das mit der Email-Adresse scheint mir derzeit am wahrscheinlichsten, weil das sowohl die Warnung bei eingehenden Emails erklären würde, als auch die Tatsache, dass Mail das Zertifikat nicht zum Verschlüsseln verwenden möchte. Ist die Email-Adresse sowohl im User- als auch im Alternate name (RFC822) enthalten und dort korrekt geschrieben?

 

[kingshill_de]

Zunächst vielen Dank für die Antworten und Entschuldigung für das späte Feedback. Ich war leider länger nicht verfügbar....

Wäre es vielleicht möglich, dass du Zertifikate mal im Schlüsselbund anzeigst und
davon Screenshots postest?

Hier sind sie - ohne Namen. Vertraueneseinstellung ist immer für S/MIME und X.509 gesetzt.

Root:


Intermediate:


User

Von dem, was du beschreibst, ist ja zu vermuten, dass das Problem bei den Zertifikaten des Empfängerunternehmens steckt. Verwenden die ein self-signed Root-Zertifikat oder sind die Zertifikate von einem der großen Provider erstellt? Verwenden sie ein eigenes Intermediate-Zertifikat?

Das Root-Zertifikat ist für die Finanzinformatik Technologie Service GmbH und von selbiger ausgestellt.
Intermediate ist das Unternehmen (Aussteller die Finanzinformatik) und dann kommt der Angestellte (Aussteller: Das Unternehmen)

Abgesehen von dem bereits erwähnten Problem mit der Email-Adresse, könnte es auch an falsch gesetzten Erweiterungen in den Zertifikaten liegen. Zum Beispiel muss "Verschlüsseln von Schlüsseln" im S/MIME-Zertifikat gesetzt sein, aber die übergeordneten Zertifikate müssen auch korrekt ausgestellt sein, sonst wird die Zertifizierungskette unterbrochen.

Das ist auch meine Vermutung. Die Frage ist, WO?

Als Verwendung ist angegeben
Root: Signatur von Zertifikateschlüsseln, Signatur CRLS
Intermediate: Signatur von Zertifikateschlüsseln, Signatur CRLS
User: Überprüfen, Einpacken, Ableiten

Bin nicht sicher, ob das wichtig ist: Wenn ich die Zertifikate überprüfe (Kette), wird mir beim User nur der Intermediate angezeigt. Den Root sehe ich nur bei Überprüfung des Intermediates.

Beim Import kann natürlich auch etwas schiefgehen. In welchen Schlüsselbund wurden die Zertifikate denn importiert – also System oder Anmeldung? Oder gemischt, und wenn ja wie?

Alle Zertifikate sind in ANMELDUNG / Zertifikate

Das mit der Email-Adresse scheint mir derzeit am wahrscheinlichsten, weil das sowohl die Warnung bei eingehenden Emails erklären würde, als auch die Tatsache, dass Mail das Zertifikat nicht zum Verschlüsseln verwenden möchte. Ist die Email-Adresse sowohl im User- als auch im Alternate name (RFC822) enthalten und dort korrekt geschrieben?

Das habe ich zig mal überprüft. Auch für mehrere User. Name ist im angegeben mit <Max Mustermann>. Email ist [email protected]. Genau so auch im Adressbuch.

Wichtig finde ich noch mal den Hinweis: Das Adressbuch wird mit Exchange auf iOS und Windows Geräte synchronsiert. Auf dem iPhone /iPad / Windows PC funktioniert die Verschlüsselung für diese Kontakte.

Nochmal vielen Dank für Eure Mühe,
Kingshill

 

[Ijon Tichy]

Ich bin mir nicht 100%ig sicher (das bin ich mir bei S/MIME nie), aber beim User-Zertifikat kommt mir schon sehr seltsam vor, dass als Schlüsselverwendung nur Überprüfen, Einpacken, Ableiten angegeben ist. Meiner Meinung nach sollte hier Verschlüsseln enthalten sein. Ich habe mehrere User-Zertifikate in meinem Schlüsselbund durchgesehen, und die haben alle Verschlüsseln als Schlüsselverwendung. (Nachtrag: Ich selbst erstelle Zertifikate immer auch mit Verschlüsseln von Schlüsseln, denn das ist das, was tatsächlich bei der E-Mail-Verschlüsselung passiert.)

Kann es vielleicht sein, dass die FI verschiedene Zertifikate für E-Mail-Verschlüsselung und E-Mail-Signierung verwendet, und du nur das Zertifikat fürs Signieren vorliegen hast?

 

[Ijon Tichy]

Wichtig finde ich noch mal den Hinweis: Das Adressbuch wird mit Exchange auf iOS und Windows Geräte synchronsiert. Auf dem iPhone /iPad / Windows PC funktioniert die Verschlüsselung für diese Kontakte.

Noch ne Idee:

Werden die Verschlüsselungs-Zertifikate dann vielleicht automatisch vom Exchange-Server geholt? Das würde erklären, warum du sie auf dem Mac nicht verfügbar hast, wenn der nicht am Exchange-Adressbuch hängt. Warum hängt der Mac denn nicht am Exchange-Adressbuch?

Aktuelle Hypothese also:

Die FI verwendet (vorbildlich) getrennte Zertifikate für Verschlüsseln und Signieren. Du bekommst mit einer Mail dann möglicherweise nur das Zertifikat zum Signieren mitgeschickt. Du kannst nicht verschlüsselt antworten, weil die das Verschlüsselungs-Zertifikat deines E-Mail-Partners fehlt. Auf iOS und Windows funktioniert es, weil die Zertifikate auf dem Exchange-Server bereitgehalten werden, wo sie automatisch geholt werden.

Das erklärt allerdings noch nicht die Fehlermeldung mit der nicht überprüfbaren Absendersignatur. Man müsste mal nachsehen, mit welchem Zertifikat die E-Mail signiert wurde und welches Zertifikat mitgeschickt wird.

Falls du Lust dazu hast - um eine E-Mail zu untersuchen, wie folgt vorgehen:

1. E-Mail im Rohformat speichern - die meisten Mail-Clients erzeugen eine Datei mit eml-Endung, aber letztlich ist es eine reine Textdatei
2. pk7-Anhang extrahieren und parsen:
   openssl smime -pk7out -in email.eml | openssl asn1parse

Der Output ist mehr oder weniger erhellend, je nachdem...

 

[kingshill_de]

Hallo Ijon,

ich habe mir noch mal alles angeschaut:

>kommt mir schon sehr seltsam vor, dass als Schlüsselverwendung nur Überprüfen, Einpacken, Ableiten angegeben ist
Ja, habe ich auch zuerst gedacht. Ich habe aber einen privaten Kontakt, der ein S/MIME Zertifikat hat, dass auch nur diese Attribute zeigt und auf dem Mac funktioniert. Deshalb glaube ich noch immer, dass was in der Kette nicht stimmt.


>Warum hängt der Mac denn nicht am Exchange-Adressbuch?
Doch, hängt er. Wieso glaubst Du, dass nicht? Ich führe keine lokalen Adressbücher.
Hier vielleicht noch mal zur Erläuterung. Meine Geräte (Mac, Win, iOS) nutzen meinen (gehosteten Exchange Server). Das hat mit dem Empfänger (andere Organisation) nichts zu tun.

>Auf iOS und Windows funktioniert es, weil die Zertifikate auf dem Exchange-Server bereitgehalten werden,
>wo sie automatisch geholt werden.
Hier hast Du mich abgehängt: (mein) Exchange hat doch die Zertifikate nicht, oder doch? Ich dachte, die Zertifikate sind nur im Schlüsselbund. Oder verstehe ich was falsch?
Und was ist der Unterschied zu iOS und Windows? Alle drei haben m.E. das gleiche Setup (Zertifikat lokal und Adresse des Adressaten in Exchange)

>Falls du Lust dazu hast - um eine E-Mail zu untersuchen, wie folgt vorgehen:
Hab ich mal gemacht. Sieht im Ergebnis so aus, wie die Infos in meinen Screenshots - zumindest kann ich als Laie hier keine Infos rausziehen.

Trotzdem vielen Dank für Deine Geduld und Erklärungen.

Ich werde mal versuchen, in der betroffenen Firma jemanden aufzutreiben, der sich mit den Zertifikaten seines Hauses auskennt. Vielleicht hat der eine Idee. Wie gesagt, dass es auf iOS und Windows geht, macht mich ganz verrückt....

Viele Grüße
Kingshill

 

[Ijon Tichy]

>kommt mir schon sehr seltsam vor, dass als Schlüsselverwendung nur Überprüfen, Einpacken, Ableiten angegeben ist
Ja, habe ich auch zuerst gedacht. Ich habe aber einen privaten Kontakt, der ein S/MIME Zertifikat hat, dass auch nur diese Attribute zeigt und auf dem Mac funktioniert. Deshalb glaube ich noch immer, dass was in der Kette nicht stimmt.

Sorry, aber das ist für mich unlogisch. Ist das auch wirklich ein Verschlüsselungszertifikat und nicht nur eins zum Signieren?

Aber wie gesagt, S/MIME is so verworren, da will ich nichts ausschließen.

>Warum hängt der Mac denn nicht am Exchange-Adressbuch?
Doch, hängt er. Wieso glaubst Du, dass nicht? Ich führe keine lokalen Adressbücher.

Weil du weiter oben geschrieben hast:

Wichtig finde ich noch mal den Hinweis: Das Adressbuch wird mit Exchange auf iOS und Windows Geräte synchronsiert. Auf dem iPhone /iPad / Windows PC funktioniert die Verschlüsselung für diese Kontakte.

Du hast also zweimal nicht den Mac bzw. OS X im Zusammenhang mit Exchange genannt, und ich hatte das so verstanden, dass der Mac also nicht am Exchange hängt.

Hier vielleicht noch mal zur Erläuterung. Meine Geräte (Mac, Win, iOS) nutzen meinen (gehosteten Exchange Server). Das hat mit dem Empfänger (andere Organisation) nichts zu tun.

Dann habe ich das falsch verstanden. Ich dachte, du hast über den Exchange-Server Zugriff auf die Daten deines Email-Partners.

Edit: Oder sind auf deinem Exchange-Server nicht auch die Kontakte der anderen Firma zu finden? (Adressbuch und so?) Dann habe ich es doch nicht falsch verstanden, und es ist relevant.

>Auf iOS und Windows funktioniert es, weil die Zertifikate auf dem Exchange-Server bereitgehalten werden,
>wo sie automatisch geholt werden.
Hier hast Du mich abgehängt: (mein) Exchange hat doch die Zertifikate nicht, oder doch? Ich dachte, die Zertifikate sind nur im Schlüsselbund. Oder verstehe ich was falsch?

Die Zertifikate müssen nicht unbedingt im Schlüsselbund sein. Die Mail App kann sich die Zertifikate auch aus einem LDAP bzw. Exchange-Server holen, wenn sie sie braucht – und wenn sie sie dort bekommen kann.

Aber wenn deine Email-Partner nicht in deinem Exchange-Server zu finden sind, dann kann auch das Zertifikat nicht von dort kommen. Wie gesagt, das war wohl ein Missverständnis.

Trotzdem vielen Dank für Deine Geduld und Erklärungen.

Ich werde mal versuchen, in der betroffenen Firma jemanden aufzutreiben, der sich mit den Zertifikaten seines Hauses auskennt. Vielleicht hat der eine Idee. Wie gesagt, dass es auf iOS und Windows geht, macht mich ganz verrückt....

Ich würde gerne besser helfen. Bitte poste auf jeden Fall hier das Ergebnis, wenn ihr das Problem festnageln konntet!

 

[kingshill_de]

Kleines Update (falls jemand ein ähnliches Problem haben sollte):

Ich konnte das Problem inzwischen eingrenzen: Und zwar auf Apple Mail und / oder die Schlüsselbundverwaltung. Es sind definitiv nicht die Zertifikate.

Ich habe heute ohne Schwierigkeiten verschlüsselte Emails (mit den oben beschriebenen Zertifikaten, Organisationen, Personen) vom Mac versenden können und zwar mit Thunderbird und MS Outlook 2019.

Das ist nervig, da mit Apples iOS Mail das ganze auch funktioniert. Wie auch immer: Das wird im Falle der Verschlüsselung mein Workaround sein: Tägliche emails mit Mail, Verschlüsselung mit MS Outlook.

@Ijon Tichy: Nochmal Danke.

 

[Ijon Tichy]

@kingshill_de: Kannst du dir bitte mal meinen Thread hier anschauen und mir sagen, ob du auch im Zertifikat diese ominöse OID 1.2.840.113635.100.1.21 siehst? Vielleicht haben unsere Problem ja dieselbe Ursache...?

 

[kingshill_de]

Habe ich Deinem Thread geantwortet

 

[Ijon Tichy]

Hallo Ijon,
>kommt mir schon sehr seltsam vor, dass als Schlüsselverwendung nur Überprüfen, Einpacken, Ableiten angegeben ist
Ja, habe ich auch zuerst gedacht. Ich habe aber einen privaten Kontakt, der ein S/MIME Zertifikat hat, dass auch nur diese Attribute zeigt und auf dem Mac funktioniert. Deshalb glaube ich noch immer, dass was in der Kette nicht stimmt.

Zur Vervollständigung möchte ich hierzu anmerken, dass ich mich (wieder mal) von S/MIME habe verwirren lassen. Es gib die "Schlüsselverwendung" mehrmals im Zertifikat:

• Also einmal die Schlüsselverwendung, und da reicht Überprüfen, Einpacken, Ableiten.
• Und dann noch die Erweiterung namens Schlüsselverwendung. Dort muss Datenverschlüsselung und, wie ich meine, auch Verschlüsselung von Schlüsseln vorhanden sein.
• Wobei die Erweiterung Schlüsselverwendung natürlich nicht mit der Erweiterung namens Erweiterte Schlüsselverwendung verwechselt werden darf. Da muss dann zu finden sein, dass das Ganze dem Zweck E-Mail-Schutz dienen soll.

Wer sich die Bezeichnungen ausgedacht hat, muss irgendwie... anders sein.

Dazu hatte ich mal ein passendes Zitat aus dem Netz gefischt:

I think a lot of purists would rather have PKI be useless to anyone in any practical terms than to have it made simple enough to use, but potentially "flawed".
— Chris Zimman