Verwendest Du eMail Verschlüsselung oder digitale Signaturen?

[nggalai]

Ich habe noch eine Frage zu S/MIME-Zertifikaten:

Die Dinger laufen ja auch irgendwann ab. Dann holt man sich ein neues Zertifikat. E-Mails, die mit dem alten Zertifikat verschlüsselt wurden können dann aber noch immer gelesen werden, oder? Oder „verfallen“ die gleichzeitig mit dem Zertifikat?

Cheers,
-Sascha

 

[doeme89]

Ich habe noch eine Frage zu S/MIME-Zertifikaten:

Die Dinger laufen ja auch irgendwann ab. Dann holt man sich ein neues Zertifikat. E-Mails, die mit dem alten Zertifikat verschlüsselt wurden können dann aber noch immer gelesen werden, oder? Oder „verfallen“ die gleichzeitig mit dem Zertifikat?

Cheers,
-Sascha

Neuerdings hatte ich eine E-Mail mit einem aktuellen Zertifikat gesendet, und sie konnte nicht gelesen werden, sie war leer... (das war wohl ein Fehler).

Wenn das Zertifikat ablauft, musst du es erneuern lassen. Die E-Mails sollten aber trotzdem noch gelesen werden können.

Sehe ich das richtig (bin auch neu mit Zertifikat am mailen): Wenn man das E-Mail signiert, also ein Zertifikat anwendet, wird dieses einfach als Anhang mitgesendet oder was?

 

[nggalai]

Ich habe noch eine Frage zu S/MIME-Zertifikaten:

Die Dinger laufen ja auch irgendwann ab. Dann holt man sich ein neues Zertifikat. E-Mails, die mit dem alten Zertifikat verschlüsselt wurden können dann aber noch immer gelesen werden, oder? Oder „verfallen“ die gleichzeitig mit dem Zertifikat?

Ich habe mal bei VeriSign gesucht, und die Mails mit „verflossener“ Verschlüsselung bleiben lesbar –*so lange man das abgelaufene Zertifikat auf dem Rechner behält oder das Zertifikat erneuert, statt ein neues zu nehmen. Wenn man ein neues nimmt, rät VeriSign entsprechend auch, einen anderen Real Name zu verwenden, z. B. mit einem zusätzlichen Initial, damit das alte auf dem Rechner bleiben kann ohne zu stören.

Cheers,
-Sascha

 

[pepi]

Hallo Pepi,
gerade habe ich mich auf der PGP Website (www.pgp.com) umgeschaut und nur die BETA Version für Leopard entdeckt, für die man sich momentan nicht anmelden kann, da ein Serverproblem besteht.
Meinst du diese Version?
Viele Grüße
Timo

9.7 Public Beta 1, die meinte ich. (Sorry, ich hab im letzten Posting versehentlich 9.0.7 geschrieben).

Ich habe noch eine Frage zu S/MIME-Zertifikaten:

Die Dinger laufen ja auch irgendwann ab. Dann holt man sich ein neues Zertifikat. E-Mails, die mit dem alten Zertifikat verschlüsselt wurden können dann aber noch immer gelesen werden, oder? Oder „verfallen“ die gleichzeitig mit dem Zertifikat?

Cheers,
-Sascha

Du mußt unbedingt die beiden dazugehörigen Schlüssel (public und private key) sowie das Zertifikat aufheben. Du kannst selbstverständlich auch ältere Nachrichten damit öffnen, wäre ja sonst sehr unpraktisch. Hol Dir bei Ablauf des aktuellen Zertifikates einfach ein neues. Thawte informiert Dich rechtzeitig per eMail, daß Dein Zertifikat ablaufen wird. Es ist aber natürlich kein Fehler sich das selbst im Kalender ebenfalls einzutragen.
Gruß Pepi

 

[Appleboy]

9.7 Public Beta 1, die meinte ich. (Sorry, ich hab im letzten Posting versehentlich 9.0.7 geschrieben).

Super! Vielen Dank für deine Antwort.

 

[nggalai]

Huhu pepi,

Du bist jetzt sicher der dreizehnte Mensch, der mir Thawte nahelegt. Wie sieht es da mit der Verfügbarkeit von Root-Zertifikaten aus, vorwiegend für Windows-User? Mein Hauptgrund, bisher ein VeriSign-Zertifikat zu führen, war, daß die Root-Zertifikate bei praktisch jedem System vorinstalliert sind … Ich hab keinen Bock darauf, daß eine signierte E-Mail beim unbedarften Empfänger ein Popup mit OMG LOL CERTIFICATE CAN’T BE VALIDATED LOL öffnet.

Cheers,
-Sascha

 

[bluejay]

Neue Version GnuPG 1.4.8.

 

[pepi]

Huhu pepi,

Du bist jetzt sicher der dreizehnte Mensch, der mir Thawte nahelegt. Wie sieht es da mit der Verfügbarkeit von Root-Zertifikaten aus, vorwiegend für Windows-User? Mein Hauptgrund, bisher ein VeriSign-Zertifikat zu führen, war, daß die Root-Zertifikate bei praktisch jedem System vorinstalliert sind … Ich hab keinen Bock darauf, daß eine signierte E-Mail beim unbedarften Empfänger ein Popup mit OMG LOL CERTIFICATE CAN’T BE VALIDATED LOL öffnet.

Cheers,
-Sascha

Thawte ist ein Tochterunternehmen von VeriSign. Der Grund warum so viele Mac User ausgerechnet Thawte verwenden ist historisch bedingt. Sie waren einer der wenigen der damals (2002/2003) bereits kostenlose eMail Zertifikate anbot und es gab ein kleines Tutorial im Netz wie man so ein Zertifikat mit Panther nutzen kann. So hat sich das entwickelt.

Die Thawte Root Zertifikate sind seit Ewigkeiten bei Mac OS X dabei, Du läufst also keine Gefahr, daß irgendjemandem die Root Certs abgehen. Das gleiche gilt für Linux, Windows und andere Systeme.

Wer "can't be validated" als "is invalid" interpretiert hat aber schon vorher was nicht verstanden. Auch hier gilt wie immer "Wer lesen kann ist klar im Vorteil". Fehlermeldungen sind heutzutage ja sogar lokalisiert.
Gruß Pepi

PS: Das Anbot eine "Key-Signing-Party" in Wien zu machen gilt immer noch. Es böte sich beispielsweise das Metalab an, oder ein anderes Lokal (meiner Wahl ). (Thawte, CAcert, GnuPG/PGP)

Grundsätzlich könnte man sowas auch bei jedem ATUT in Betracht ziehen.

 

[nggalai]

Danke für die Erklärung, Pepi!

Da ich meinen Passphrase fürs VeriSign-Zertifikat mit 90%iger Wahrscheinlichkeit vergessen habe (bzw. aufgeschrieben, aber der Zettel ist weg), wird’s wohl als nächstes ein Thawte werden.

Liebe Grüße,
-Sascha

 

[pepi]

Solche Daten speichert man sich am Besten als "Sichere Notiz" auf seinem Schlüsselund (von dem (und von allem anderen) man immer ein gutes Backup hat!
Gruß Pepi

 

[bluejay]

Ich habe mir gestern ein neues Zertifikat bei Thawte geholt (mit Navigator). Zertifikat, privater und öffentlicher Schlüssel liegen auch im Schlüsselbund. Allerdings erscheint nix in Mail.
Muß ich eigentlich für jede meiner bei Thawte angegebenen Mailaccounts ein eigenes Zertifikat holen oder, und so habe ich es gamacht, geht es auch alle Accounts in ein Zertifikat zu packen?
Mac OS X Version 10.5.1 (Build 9B18), Mail Version 3.1 (914/915).

 

[nggalai]

Guten Abend Pepi,

Solche Daten speichert man sich am Besten als "Sichere Notiz" auf seinem Schlüsselund (von dem (und von allem anderen) man immer ein gutes Backup hat!
Gruß Pepi

Das mache ich mittlerweile auch so, aber im März, als ich das Zertifikat einrichtete, war ich noch nicht so weit. Hier sollte ein Rollende-Augen-Smiley hin.

Eine Frage noch zu neuen Zertifikaten: Wie entscheidet Mail.app, welches Zertifikat es für die Mail-Adresse verwenden soll, wenn ein altes und ein neues eingetragen ist? Oder muß ich das alte (also VeriSign) löschen, bevor ich das Thawte-Zertifikat einsetzen kann? Aber dann kann ich doch meine alten verschlüsselten Mails nicht mehr lesen?

Steh gerade ein wenig auf dem Schlauch …

Liebe Grüße,
-Sascha

 

[pepi]

Unter Tiger entscheidet Mail.app anhand des Datums der Gültigkeit eines Zertifikates und dann wird das erste gültige genommen welches gefunden wird. Unter Leopard kann man aus allen gültigen Zertifikaten für eine Mailadresse auswählen.

Lösche niemals ein abgelaufenes Zertifikat oder noch schlimmer die zugehörigen Keys vom Schlüsselbund! Sonst wird es tatsächlich so sein, daß die bisher mit diesen Zertifikaten verschlüsselten Mails nicht mehr entschlüsselt werden können.

@bluejay
Wenn Du Zertifikat und Keys am Schlüsselbund hast, sollte es kein Problem sein zumidnest ein signiertes Mail von der Adresse die im Zertifikat steht zu senden. Du brauchst für jede Mailadresse ein eigenes Zertifikat welche Du aber alle mit ein und demselben Thawte Account anlegen kannst.
Überprüfe, daß im Zertifikat und im Mail.app die Schreibweise der Mailadresse ident ist. (Groß-/klein-schreibung)

Gruß Pepi

 

[bluejay]

@bluejay
Wenn Du Zertifikat und Keys am Schlüsselbund hast, sollte es kein Problem sein zumidnest ein signiertes Mail von der Adresse die im Zertifikat steht zu senden. Du brauchst für jede Mailadresse ein eigenes Zertifikat welche Du aber alle mit ein und demselben Thawte Account anlegen kannst.
Überprüfe, daß im Zertifikat und im Mail.app die Schreibweise der Mailadresse ident ist. (Groß-/klein-schreibung)

Gruß Pepi

Danke! Dann werde ich das gleich mal ändern.

 

[Macholino]

Weiter oben in diesem Beitrag habe ich von meinem Scheitern berichtet, ein Thawte-Zertifikat unter Tiger zu installieren.

Nun, mit Leopard und nach der Rückkehr zum alten, ruhenden .Mac-Konto habe ich einen neuen Versuch unternommen und mich bei CACert angemeldet. Welch eine beruhigende Einfachheit der Anmeldung im Vergleich zu Thawte. Die Zertifikate landeten ordnungsgemäß im Schlüsselbund, konnten allerdings noch nicht so ohne weiteres von Mail genutzt werden, weil der Schlüsselbund sie nicht als vertrauenswürdig eingestuft hat.
Das kann man aber manuell im Schlüsselbund nachholen. Nun geht es. Ich werde mir mal spaßeshalber eine verschlüsselte Mail ins Büro schicken, wo wir ein ganz engmaschiges System haben. Wenn die Mail dort anstandslos durchgeht, ist alles in bester Ordnung. Dann kann ich mich darum bemühen, das Zertifikat auch mit Nachweis auf meinem Namen verifizieren.

Gerne würde ich pepis Angebot annehmen und die Verifizierung in Wien vornehmen, der Stadt, in der ich mich nach meiner Heimat Berlin am wohlsten fühle. Aber die Entfernung...

Ich wünsche Euch schöne Weihnachten!

 

[bluejay]

Also, nochmal Danke pepi. Funktioniert jetzt alles bestens. Das Erstellen der Zertifikate hat für drei Accounts ganze 5 min. gedauert. Für GuPG benötigt man da schon etwas mehr Zeit, ist aber auch nicht die Welt.
GPG habe ich auch gleich mal aktualisiert. Beide zusammen (also Thawte und GnuPG) funktionieren auch problemlos.
Noch mal eine Frage: Wenn ich ein Zertifikat mit revoke zurückziehe, kann ich aber die Mails, die damit verschlüsselt/signiert sind trotzdem noch lesen und auch diejenigen, die diese Mails erhalten haben? Und Gleiches gilt dann auch für GnuPG-Zertifikate?

 

[nggalai]

Guten Morgen, Pepi,

Unter Tiger entscheidet Mail.app anhand des Datums der Gültigkeit eines Zertifikates und dann wird das erste gültige genommen welches gefunden wird. Unter Leopard kann man aus allen gültigen Zertifikaten für eine Mailadresse auswählen.

Lösche niemals ein abgelaufenes Zertifikat oder noch schlimmer die zugehörigen Keys vom Schlüsselbund! Sonst wird es tatsächlich so sein, daß die bisher mit diesen Zertifikaten verschlüsselten Mails nicht mehr entschlüsselt werden können.

Ah, excellent! Danke! Jetzt ist mir einiges klarer.

Dann mal allerseits frohes Verschlüsseln.

Cheers,
-Sascha

 

[pepi]

[...]habe ich einen neuen Versuch unternommen und mich bei CACert angemeldet. Welch eine beruhigende Einfachheit der Anmeldung im Vergleich zu Thawte. Die Zertifikate landeten ordnungsgemäß im Schlüsselbund, konnten allerdings noch nicht so ohne weiteres von Mail genutzt werden, weil der Schlüsselbund sie nicht als vertrauenswürdig eingestuft hat.[...]

Die CACert Seite ist deutlich simpler und übersichtlicher gestaltet als die von Thawte, das ist ganz klar. Ich habe das selbst auch immer bei Thawte kritisiert. Einen Nachteil haben CAcert Zertifikate leider, deren Stammzertifikate sind nämlich auf kaum einem System installiert. Das muß ein Benutzer also selbst nachholen, was leider nicht immer möglich ist, oder für viele Anwender zu komplex ist.

Ich bin selbst auch CAcert Notar und Anwender und kenne die Problematik leider zur Genüge. (Ich sag' nur Postfix...)

Also, nochmal Danke pepi. Funktioniert jetzt alles bestens. Das Erstellen der Zertifikate hat für drei Accounts ganze 5 min. gedauert. Für GuPG benötigt man da schon etwas mehr Zeit, ist aber auch nicht die Welt.
GPG habe ich auch gleich mal aktualisiert. Beide zusammen (also Thawte und GnuPG) funktionieren auch problemlos.
Noch mal eine Frage: Wenn ich ein Zertifikat mit revoke zurückziehe, kann ich aber die Mails, die damit verschlüsselt/signiert sind trotzdem noch lesen und auch diejenigen, die diese Mails erhalten haben? Und Gleiches gilt dann auch für GnuPG-Zertifikate?

Das gilt generell für alle Zertifikate. Zum Entschlüsseln werden ja die Keys und nicht die Zertifikate verwendet. Ein Zertifikat bestätigt nur die Gültigkeit von Public Keys. Wenn Dir jemand also ein Mail senden möchte und noch einen alten Public-Key von Dir hat und die Revoking Listen beachtet (Kann man im Schlüsselbund einstellen) dann wird er mit einem zurückgezogenen Zertifikat nicht mehr an Dich verschlüsseln können. Du selbst kannst selbstverständlich alle zurückliegenden Nachrichten immer noch öffnen.

Vorteil von S/MIME Zertifikaten gegenüber GnuPG/PGP ist, daß man am Client heutzutage keine Zusatzsoftware installieren muß. Jedes aktuelle System kann Out-of-the-Box damit umgehen.

Vorteil von GnuPG ist, daß es größere Schlüssellängen bietet und als freie Software ohne Zertifikatsanbieter auskommt.

Guten Morgen, Pepi,
Ah, excellent! Danke! Jetzt ist mir einiges klarer.
Dann mal allerseits frohes Verschlüsseln.

Cheers,
-Sascha

Wer möchte kann mir gerne ein eMail senden um die Verschlüsselung und Signierung zu testen.

Gruß Pepi

 

[Hairy]

Ich verwende keine Mail-Verschlüsselung, obwohl ich es sehr gerne würde. Mir fehlt da eine Mac-like-Umsetzung wie z.B. mit OTR bei Adium (was ich sehr gerne verwende). Wenigstens zwischen Mac und Mac sollte es eine "1-Klick-Lösung" für Verschlüsselung geben.
Und ein wirklich brauchbares Tutorial (mit dem auch meine Mutter verschlüsseln könnte und würde) habe ich leider noch nirgends gefunden.

 

[Macholino]

gerade habe ich mich auf der PGP Website (www.pgp.com) umgeschaut [...]

Ich war gerade auf der Seite. Habe ich richtig gelesen, dass ich da richtig Geld abliefern muss, 69 bzw. 141 $?
Für ein Zertifikat?