Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)

[MacAlzenau]

Auf alle Fälle aber der Lichtbildausweis dessen Nummer Du bei Thawte eingetragen hast.

Bei mir tauchte nirgends im Ablauf der Zertifikatbeantragung die Frage nach einer Ausweisnummer auf.

 

[pepi]

Auf der ID Info Seite gibt es einen Eintrag Passport Number welcher der Ausweisnummer entspricht. Entgegen dem Formular wo nach einer Reisepaßnummer gefragt wird, ist es nicht ratsam seinen Reisepaß als Ausweis heranzuziehen, da Reisepässe ein Ablaufdatum haben, also ungültig werden. Andere Lichtbildausweise wie zB ein österr. Führerschein haben kein Ablaufdatum und sind daher besser geeignet.

Ohne eingetragene ID Nummer kannst Du iirc kein Zertifikat runterladen (allerdings mögilcherweise durchaus requesten).
Gruß Pepi

 

[MacAlzenau]

Doch, ein Zertifikat habe ich zugesendet bekommen.
Ah, da steht dann: "Please submit your credentials ONLY if you want to have your
identity asserted (or "validated") through the Web of Trust."
Muß ich wohl mal meinen Ausweis suchen.

 

[Zeisel]

Hier nochmal der Hinweis an alle die in Wien und Umgebung einen Thawte Notar suchen! Ich kann 35 Thawte Punkte vergeben und bin sozusagen jeden MO in Wien problemlos erreichbar. Natürlich auch nach Vereinbarung. Einfach eine PN oder eMail an mich senden! Mit einem Kollegen kann ich auf einen Schlag die 50 notwendigen Punkte für den eigenen Namen im Zertifikat vergeben. Wer gleich 100 Punkte haben möchte um Notar zu werden möge mir das bitte vorher sagen, damit ich entsprechend 2 oder mehr Kollegen koordinieren kann.

Wenn ich wirklich mal nach Wien komme, dann werde ich mich bei Dir anmelden! Bis dahin habe ich jedoch sicher meine 50 Punkte schon, in Münster habe ich 3 Notare gefunden. Nach meine Besuch bei Dir wären es dann 4

Doch gerade im privaten Kreis ist es doch besonders leicht, durch einen kurzen Telefonanruf (Fingerprint vorlesen lassen) die Authentizität zu prüfen oder den Schlüssel gleich persönlich zu übergeben. Es macht sich nur schlicht kaum jemand Gedanken darüber (mich bis dato eingeschlossen!).

Das Thawte-Zertifikat brauche ich doch (wie ich es verstehe?!) hauptsächlich, um mich dritten gegenüber zu identifizieren - und um damit dem Fax wohl den endgültigen Todesstoß zu versetzen. Denn noch übermittle ich meine Identität (z.B. gegenüber meinem Provider) ausschließlich per unterschriebenem Fax!

 

[x2on]

Ich benutze GnuPG...

 

[Zeisel]

Wenn ich in Mail eine E-Mail bekomme, die mit Outlook versendet wurde, sieht der Header so aus :

Ich habe ein gültiges und im Schlüsselbund liegendes Zertifikat des Absenders, und ich habe ich auch kontrolliert, dass es sich um eine verschlüsselte Nachricht handelt.

Bekomme ich dagegen eine Mail von WEB.DE, wird Verschlüsselung und Signatur angezeigt:

Kennt sonst noch jemand dieses Phänomen? Ein Web-Trust-Notar (ja, ich bin schon am Thawte-Punkte sammeln ) sagte mir, er habe auf seinem Mac (sein "Zweit-Rechner") auch Probleme mit der Darstellung. Ist das ein bekannter Bug?

 

[pepi]

[…]Doch gerade im privaten Kreis ist es doch besonders leicht, durch einen kurzen Telefonanruf (Fingerprint vorlesen lassen) die Authentizität zu prüfen oder den Schlüssel gleich persönlich zu übergeben.[…]Das Thawte-Zertifikat brauche ich doch (wie ich es verstehe?!) hauptsächlich, um mich dritten gegenüber zu identifizieren - und um damit dem Fax wohl den endgültigen Todesstoß zu versetzen. Denn noch übermittle ich meine Identität (z.B. gegenüber meinem Provider) ausschließlich per unterschriebenem Fax!

Ein Fax ist (zumindest in Österreich) meines Wissens nach nicht mehr rechtlich bindend. Wenn man sich überlegt, wie gut die Darstellungsqualität eines Faxes ist, kann da ja quasi jeder alles hinkritzeln und man kann das nun glauben oder auch nicht. Mal abgesehen davon, daß der Sinn eines Faxes welches digital vom Computer, direkt aus Photoshop einer Textverarbeitung gesendet wird und beim Empfänger vom Fax-Server entgegengenommen wird, der es dann als PDF Anhang in einem eMail zustellt mehr als schwachsinnig fragwürdig ist.

Bei einem Zertifikat wie es beispielsweise von Thawte verwendet wird ist ein durchtelefonieren des Fingerprints eigentlich nicht mehr notwendig wenn Dein Name (ab 50 Punkten) im Zertifikat drinnen steht. Es ist natürlich auch kein Fehler.

Wenn ich in Mail eine E-Mail bekomme, die mit Outlook versendet wurde, sieht der Header so aus :[…]

Ich habe noch nie ein mit Outlook signiertes Mail bekommen, kann ich daher leider nicht beurteilen. Falls jemand hier tatsächlich Outlook verwendet, kann er mir gerne eines zum Testen zuschicken! Würde mich interessieren. Bist Du sicher, daß das Mail tatsächlich signiert war (und verschlüsselt)?
Gruß Pepi

 

[Zeisel]

Ein Fax ist (zumindest in Österreich) meines Wissens nach nicht mehr rechtlich bindend.

In Deutschland ist ein unterschriebenes Fax meines Wissens schon rechtsverbindlich. Im Zweifel hat sicher der Empfänger die Nachweispflicht - oder die Nachsicht. Viele Firmen erkennen ein unterschriebenes Fax jedenfalls an (Provider, Versandhäuser etc.)

Bist Du sicher, daß das Mail tatsächlich signiert war (und verschlüsselt)?
Gruß Pepi

Ja, das ist Sicher. Auf dem Server liegt nur eine Datei smime.p7m als Anhang einer leeren Mail des Absenders. Diese ist vom Web-Trust-Notar, der mir die Verschlüsselung und Signatur bestätigte.

 

[Zeisel]

Ich hatte mir von Thawte erst das Zertifikat ohne Namen in den Schlüsselbund geladen, nun ist noch das "neue" hinzugekommen, welches meinen Namen enthält und welches ich auch zukünftig nutzen will.
Wie teile ich Mail jetzt mit, dass es das neue Zertifikat verwendet und nicht das alte?
Wenn ich das alte lösche, kann ich die damit verschlüsselten E-Mails, die ich bereits bekommen habe, nicht mehr lesen. Lasse ich es im Schlüsselbund, verwendet Mail dieses beim Versenden von E-Mails und nicht das neue...

 

[pepi]

Du mußt das alte Zertifikat revoken, oder zumindest auf einen anderen Schlüsselbund verbannen. Sobald es abgelaufen ist löst sich das Problem von selbst.
Gruß Pepi

 

[Zeisel]

Danke - das mit dem Verbannen in einen neuen Schlüsselbund hat geklappt. Ich habe jetzt also einen Schlüsselbund "Meine alten Zertifikate", die muss ich dann ja aufbewahren solange ich noch damit verschlüsselte E-Mails habe. Beim Versand einer neuen signierten E-Mail hat Mail um Erlaubnis gefragt, auf das neue Zertifikat zugreifen zu dürfen. Das alte Zertifikat habe ich bei Thawte für ungültig erklärt.

 

[pepi]

Du solltest vor allem eigentlich die Schlüssel in einem eigenen Bund aufbewahren und diesen mit einem eigenen Passwort welches von Deinem normalen Benutzerpasswort abweicht ablegen. Außerdem diesen Schlüsselbund durch einen sehr kurzen Timeout (am besten 0 Minuten unter Leopard, eine Minute unter Tiger) absichern.

Grundsätzlich solltest Du beim Schlüsselbund in den Einstellungen auch einstellen, daß online der Zertifikatsstatus überprüft werden soll. (Bei Leo ist das soweit ich weis die Standardeinstellung.)
Gruß Pepi

 

[bluejay]

Du solltest vor allem eigentlich die Schlüssel in einem eigenen Bund aufbewahren und diesen mit einem eigenen Passwort welches von Deinem normalen Benutzerpasswort abweicht ablegen. Außerdem diesen Schlüsselbund durch einen sehr kurzen Timeout (am besten 0 Minuten unter Leopard, eine Minute unter Tiger) absichern.

Grundsätzlich solltest Du beim Schlüsselbund in den Einstellungen auch einstellen, daß online der Zertifikatsstatus überprüft werden soll. (Bei Leo ist das soweit ich weis die Standardeinstellung.)
Gruß Pepi

Nochmal für mich Langsamdenker:
Im Programm Schlüsselbund also einen neuen Schlüsselbund anlegen (alt--N), dem ein möglichst sicheres Paßwort geben, dann im Menü Bearbeiten | Einstellungen für Schlüsselbund „blablabla“ ändern … „Nach 0 Minuten Inaktivität schützen“ einstellen und in den dann einfach per Drag'n'Drop die ganzen Schlüssel aus dem Schlüsselbund „Anmeldung“ reinziehen?
Habe ich das bis dahin erst mal richtig verstanden?
Das Überprüfen des Zertifikatstatus stellt man unter „Schlüsselverwaltung | Einstellungen | Allgemein“ ein? Und das gilt dann für alle Schlüsselbunde?
Und gleich fällt mir noch auf: Was verbirgt sich in den Einstellungen hinter Online Certificate Status Protocol (OCSP) und Certificate Revocation List (CRL) - beide sind bei mir “Aus", sollte ich das ändern?

 

[Zeisel]

Das sagt die Hilfe dazu:

Zur Überprüfung der Gültigkeit eines Zertifikats gibt es zwei gängige Methoden: das OCSP-Protokoll (Online Certificate Status Protocol) und die CRL-Liste (Certificate Revocation List). [...] Im Bereich "Zertifikate" in den Einstellungen des Programms "Schlüsselbundverwaltung" können Sie ändern, wie die Überprüfung von Zertifikaten durchgeführt werden soll.

• Bester Versuch: Das Zertifikat wird als gültig betrachtet, sofern keine Meldung über die Ungültigkeit eines Zertifikats vom Server eingeht. Diese Einstellung eignet sich in den meisten Situationen am besten.

Habe ich mal eingestellt. Und dann muss ich neben meinem User- und Admin-Passwort also noch ein Drittes für meinen Schlüsselbund "Eigene Zertifikate" haben... puh... Edit:

Du schaffst das schon.

Danke

 

[bluejay]

Das sagt die Hilfe dazu:
…

Danke.
Ja, klar, die Hilfe - hätte ich Dummdödel ja auch wirklich selbst mal dran denken können da nachzulesen. Auf das Einfachste kommt man immer am schwersten. :-[
Dann werde ich mir das jetzt mal durchlesen und dann die Einstellung vornehmen.

 

[pepi]

[…]Und dann muss ich neben meinem User- und Admin-Passwort also noch ein Drittes für meinen Schlüsselbund "Eigene Zertifikate" haben[…]

Du schaffst das schon. Immerhin gibt es ja genug Tricks wie man sich gute Passwörter merken kann! Als Sysadmin habe ich momentan notgedrungenermaßen ca. 100 Zugangsdaten im Kopf die ich so quasi täglich brauche. Alles andere ist gut auf Schlüsselbunden gesichert.
Gruß Pepi

 

[nggalai]

Folgendes Problem: Mein VeriSign-Zertifikat ist vor drei Tagen abgelaufen. Nicht weiter wild, ich hab ja ein neues von Thawte. Was auch zu funktionieren scheint; wenn ich mir eine signierte Nachricht ins Büro schicke, wird die von Thunderbird als gültig signiert angezeigt.

Nicht so jedoch bei meiner Freundin auf Web.de. Verschlüsselte Nachrichten werden anstandslos dechiffriert (das neue Zertifikat wird also angenommen), aber die Signatur wird als ungültig angezeigt.

Kennt sich hier jemand mit Web.de aus? Muß meine Freundin irgendwo das alte Zertifikat löschen oder deaktivieren, sollte das neue nicht automatisch importiert werden?

Ich bin gerade etwas verwirrt. Pepi, darf ich Dir eine signierte E-Mail schicken, um mal auszuprobieren, ob der Zertifikatswandel wirklich funktioniert hat oder ob Mail.app noch das alte zum signieren (aber nicht verschlüsseln) nimmt?

Liebe Grüße,
-Sascha

 

[pepi]

[…]
Ich bin gerade etwas verwirrt. Pepi, darf ich Dir eine signierte E-Mail schicken, um mal auszuprobieren, ob der Zertifikatswandel wirklich funktioniert hat oder ob Mail.app noch das alte zum signieren (aber nicht verschlüsseln) nimmt?[…]

Selbstverständlich darfst Du mir gerne zu Testzwecken ein eMail senden. Ich gelobe auch artig (und nach Möglichkeit verschlüsselt) und signiert zu antworten.

Mail.app nimmt bestimmt das aktuelle gültige Zertifikat, da es abgelaufene Zertifikate niemals zur Verschlüsselung oder Signierung heranzieht. Ich vermute hier eher ein web.de Webmail Problem, kann dies aber mangels Web.de Mailaccount nicht ausprobieren und hege auch keinerlei Bestrebungen mir zu alleine diesem Zwecke einen solchen anzueignen.

Findet sich jemand mit einem aktiven web.de Account der sich heldenhaft für uns zum Testen zur Verfügung stellt? Ich würde mich sehr freuen auch diese Frage klären zu können.


Aufruf an alle stillen Leserinnen und Leser dieses Threads: Abstimmen, jetzt!
Danke

Gruß Pepi

 

[Zeisel]

Kennt sich hier jemand mit Web.de aus? Muß meine Freundin irgendwo das alte Zertifikat löschen oder deaktivieren, sollte das neue nicht automatisch importiert werden?

Ich habe mir extra eine E-Mail-Adresse bei WEB.DE zugelegt, um mein eigenes Zertifikat und die Verschlüsselung einmal auszuprobieren. Das hat mit meinem ersten - vorläufigen und nicht verifizierten - Zertifikat auch gut geklappt, ich konnte es mir bei WEB.DE anzeigen lassen und prüfen. Seid ich mein verifiziertes Zertifikat habe (mit meinem Namen darin) weigert sich WEB.DE es anzuzeigen... gibt aber auch keine Fehler- oder Warnmeldung.

Du kannst in Deinem Ordner "Gesendete" auf den kleinen Stern neben Deiner Adresse klicken, dann bekommst Du das Zertifikat angezeigt, mit dem Du gesendet hast - da kannst Du auch die Gültigkeit etc. sehen.

 

[bluejay]

…
Du kannst in Deinem Ordner "Gesendete" auf den kleinen Stern neben Deiner Adresse klicken, dann bekommst Du das Zertifikat angezeigt, mit dem Du gesendet hast - da kannst Du auch die Gültigkeit etc. sehen.

In Mail? Da finde ich bei mir nichts. Wo genau da? Oder ist das speziell auf Web.de bezogen?
Ich habe bei meinen gesendeten Mails im Header nur Sicherheit: _Stern_mit_Haken_drin_ Signiert (Mein Name) stehen. Wenn ich da in den Stern klicke passiert aber nichts. Gleiches bei empfangenen signierten/verschlüsselten Mails. Da ist dann auch nur der Stern/das Schloß. Mehr Informationen bekomme ich da aber nicht.