Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2010)

[tb-thunder]

Evtl. kann mir hier jemand helfen.. Und zwar nutze ich GNUPG seit neustem nur irgendwie funktioniert das Signieren nicht richtig und ich erhalte über jeder Mail das unten eingefüge Foto..

Die Mails werden Zwar signiert aber immer als Unbekannt behandelt obwohl die Key´s beglaubigt sind.. Kann mir jemand weiterhelfen ?

 

[Zeisel]

Hast Du den Schlüssel / das Zertifikat auch als vertrauenswürdig eingestuft?

 

[tb-thunder]

Ich habe den PUB Key signiert und beglaubigt nur leider sagt er immer wieder: Achtung die Signatur dieser Nachricht ist ungültig. auf dem MAC und auf dem Windows Rechner sagt er: Mail Signiert von Unbekannt obwohl auch hier die PUB Key importiert wurde und Signiert wurde

 

[werekorden]

GnuPGP geht wieder, wenn auch bis jetzt nur als Alpha-Version. Bei mir kein Problem.

 

[bluejay]

Bin gerade auf folgendes Problem gestoßen:
Ich kann auf iPhone/iPad zwar signierte und verschlüsselte Mails empfangen, aber keine Mails verschlüsselt senden. Habe ich da beim Installieren der TC Zertifikate was vergessen/falsch gemacht?

 

[j@n]

Hast du den passenden Schlüssel für deinen Empfänger? Geht es an dich selbst?

 

[bluejay]

Hast du den passenden Schlüssel für deinen Empfänger?

Wie bekomme ich den auf das iPhone/iPad?

Geht es an dich selbst?

Nein, geht auch nicht.

 

[j@n]

Ich habe mir echt nochmal das Hirn zermartert, aber ich weiß echt nicht mehr, wie ich das damals hinbekommen habe, tut mir leid. Meine Zertifikate sind vor ein paar Monaten ausgelaufen, weil ich sie nie benutzt hab.

 

[bluejay]

Gesundes neues Jahr zunächst mal.
Habe mir gerade neue Zertifikate von CAcert geholt. (TC läuft ja seit geraumer Zeit unter Symantec-Regie, die TC-Produkte sind im Status EoS).
Die CAcert-Zertifikate sind ja nur 6 Monate gültig. Wie war das nochmal? Konnte man die verlängern oder mußten die immer wieder neu beantragt und installiert werden? Kann mir da jemand weiterhelfen?
Nächste Frage: Um CAcert auf iPhone/iPad zu verwenden (empfangen und senden) was alles muß ich auf den iOS-Geräten installieren?

 

[kossy]

Ich habe mir mal ein neues Zertifikat bei StartSSL.com erstellen lassen.
https://www.startssl.com/?app=12

 

[bluejay]

Selbst herausgefunden: Die CAcert-Zertifikate kann man erneuern, ist also kein Problem. Installiert habe ich jetzt auch auf dem iPhone, allerdings sind sowohl Root-Zertifikat als auch das Zwischenzertifikat und damit auch mein E-Mail-Zertifikat "Nicht vertrauenswürdig". Auf dem Mac kein Problem, da habe ich das in der Schlüsselbundverwaltung das Root-Zertifikt vertrauenswürdig gesetzt und es funktioniert alles. Wie mache ich das aber auf iPad/iPhone?

 

[oepfelbaum]

Zertifikate sind ja nur 6 Monate gültig. Wie war das nochmal? Konnte man die verlängern oder mußten die immer wieder neu beantragt und installiert

Lieber Bluejay

Nur die anonymen CAcert-Zertifikate sind 6 Monate gültig. Wenn du deine Identität prüfen lässt (assurance), wird dein Zertifikat aufgewertet, indem dein Name drin steht (z.B. Peter Muster <[email protected]>) und die Gültigkeit verlängert sich auf zwei Jahre, verlängerbar per Mausklick.

Hier [1] findest du nach Bundesländern und Ortschaften soriert 1978 "Assurer", also Leute, wo du deine Identität bestätigen lassen kannst – sicher auch in deiner Nähe (Ziel: 50< Punkte). Die Verknüpfung funktioniert jedoch nur, wenn du dich vorher auf der CAcert.org-Seite angemeldet hast, das es eine interne Seite ist.

Gruss vom Öpfelbaum


[1] https://secure.cacert.org/wot.php?id=1&ccid=87

 

[naich]

Mich würde die Seite auch mal interessieren. Nur blöd dass man nicht drauf zu greifen kann, wenn man noch kein Cacert Zertifikat hat.

Wie funktioniert genau die Identitätsprüfung, und kostet das was?

 

[FritzS]

Ja, ich verwende GnuPG/PGP Zertifikate/Verschlüsselung.

Ich verwendete früher das Paket GPGTools doch leider hinkt das bei einem Mail Update immer lange Zeit hinten nach, bis die Integration im Mail funktioniert. Da ich nun auch Homebrew verwende (und sich das an der GPG Installation stört) entfernte ich die GPGTools restlos, installierte GPG und GPG2 über Homebrew und nur die Tools GPG Keychain Access, GPGServices, GPGPreferences.
Mit GPGServices kann ich Inhalte händisch ver-/entschlüsseln und signieren bzw. Signaturen überprüfen.
Da ich dies sehr selten mache, stellt dies kein größeres Problem dar.

Ich hatte früher ein eMail Zertifikat einer CA (Thawte), die aufgekauft wurde, und heute nicht mehr existiert. Diese Zertifikate waren kostenlos, die Verteilung erfolgte über sogenannte "Notare", man musste mit einem Pass oder Personalausweis die Identität belegen.

Das Root Zertifikat von https://www.cacert.org/ ist leider in Safari und Mac OS nicht enthalten?
Kann man diesem vertrauen?

PS: Ich habe das https://www.cacert.org/ Root Zertifikat im Schlüsselbund importiert - hoffentlich wird diese CA nicht missbräuchlich verwendet.

 

[Bananenbieger]

Du kannst Dir auch kostenlose Zertifikate bei StartSSL besorgen - Die meisten Browser vertrauen StartSSL-Zertifikaten von Haus aus.

 

[SilentCry]

Nebengedanke: Da stellt sich doch die Frage, wie sicher sind eigentlich Zertifikate in einem neofaschistoiden Überwachungssystem?
Ein Schurkenstaat wie die USA kann sich doch jedes Zertifikat ausstellen (lassen), um einen Man-in-the-Middle-Angriff auszuführen und alle verschlüsselte Browser-Kommunikation über die eigenen NSA-Server laufen zu lassen.

Also zumindest SSL ist aus meiner Sicht in einer NSA/BND/CIA/...-Überwachungswelt gegen die Verbrecher mit staatlicher Legitimation nutzlos (geworden).

(Zur Sicherheit: Verschlüsselten E-Mail-Verkehr betrifft das nicht direkt, solange der private Schlüssel nicht kompromittiert wird bzw. wirklich lokal erzeugt wurde. Mein (leicht OT) Nebengedanke bezieht sich eigentlich nur generell auf die Aushebelung von SSL als "sichere Verbindung" durch .gov-Verbrecher. Der Held Eduward Snowden hat nun wohl auch die allerletzten Zweifel daran zerstreut, dass wir in einem globalen Überwachungsstaat "leben".)

 

[naich]

Das ist durchaus richtig. Und welcher Nutzer schaut schon nach, ob das Zertifikat der signierten Mail, die er bekommen hat, von StartSSL oder von NSA-SSL-CA erstellt wurde, welche auch im Betriebssystem vertraut wird?

Somit ist es bei Zugriff auf einer solchen CA ein leichtes, Mails mit "gültiger" Signatur zuzustellen, welche trotzdem garnicht vom Absender stammen.

 

[roland0509]

Mit PGP/GnuPG hat man das Problem nicht. Oder hab ich das falsch verstanden?

 

[FritzS]

Sofern die Rechner nicht kompromittiert sind und es sonst keine Backdoors gibt.

Der Schlüsselaustausch (Public Key) muss dann halt "face to face" erfolgen - traue niemals einen Keyserver.

 

[SilentCry]

So, nun endlich ist die GPG-Suite für Mac auch unter ML verfügbar. Habe sie installiert. funktioniert einwandfrei.
http://www.heise.de/mac-and-i/meldung/GPGMail-2-unterstuetzt-Mountain-Lion-1929530.html

Ja, ich bevorzuge auch den F2F-Schlüsseltausch aber für _so_ schlecht halte ich die Keyserver auch nicht.

Ich möchte in dem Zusammenhang auch dazu aufrufen, wer es sich leisten kann, für die Entwicklung zu spenden. (Nein, ich bin daran nicht beteiligt, habe selbst gespendet, denn ich denke, gerade in so dunklen Zeiten wie diesen muss man für jede Initiative gegen die Unrechtsstaaten dankbar sein.)