Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)

[Zeisel]

Synchronisation mit Outlook ist mir ein Gräuel, IMAP Synchronisation ist viel schicker!

Es geht ja aber auch (und bei vielen in der Hauptsache) um den Kalender und das Adressbuch (mit Telefonnummern).

Ich habe meine E-Mail auch komplett auf IMAP umgestellt (auch wenn es etwas kostet - es ist einfach praktischer mit mehreren Rechnern an verschiedenen Orten), um so schlimmer ist ja der Schlunz mit der Verschlüsselung, alles liegt offen lesbar auf dem Server herum.

Ich werde wie schon angedroht im Feber wieder eine entsprechende Umfrage starten … Bitte verteilt vorab schon die Kunde, daß es diese Umfrage geben wird, da ich auf eine etwas regere Beteiligung hoffe als letztes Jahr!

Gebongt

 

[bluejay]

Hast Du zufällig eine BugID für mich. Ich muß gestehen, daß mir der Bug noch nicht begegnet ist.
…

Auuuuu, kalt erwischt. Das Ding ist schon so alt. Da muß ich mal nachkramen, ob ich die noch irgendwo finde. Mach mich mal ans Suchen.

 

[bluejay]

Gefunden : Apple-ID 5641981 - Boaaah, bin ich gut
Hmmm, irgendwie komme ich gerade nicht auf die Apple Bugreportseite. :-c

 

[pepi]

Ja, in vielen Bereichen muß Apple noch etwas nachholen. MobileMe ist mir nach wie vor zu gefährlich für meine persönlichen Daten. Mal abgesehen davon, daß ich die nicht in die USA exportieren will, und das natürlich für eine Firma nichts ist. SnowLeopard wird hier sehr viel Erleichterungen bringen (und eine neue Qualität von IMAP Server).

Meine IMAP Mails liegen auch auf meinem eigenen Server, und da greift keiner hin. Könnte man grundsätzlich auch auf einem verschlüsselten Store ablegen.
Gruß Pepi

 

[da_jones]

Ich hab da mal eine Frage:

Da ich nun schon seit einiger Zeit mit eurer, vor allem pepi's Hilfe, ein thawte-Zertifikat in Apple Mail nutze, dachte ich mir, dass ich dass nicht nur auf dem iMac, sondern auch auf dem MacBook verwenden könnte. (Wäre ja doof, wenn auf Reisen mal 'ne verschlüsselte Mail reinkommt, und ich die nicht lesen kann.)

Wenn ich nun aber mein Zertifikat von der thawte-Seite erneut "fetchen" will, dann wird zwar eine Datei heruntergeladen und die Schlüsselbundverwaltung öffnet sich – leider wird mein thawte-Freemail-Zertifikat aber nicht installiert. Auf der thawte-Seite stand der Hinweis, es muss beim Fetchen der gleiche Browser und der gleiche Benutzer(-account?) am Werke sein.

Browser – mmh, einen Versionssprung in der Zwischenzeit möchte ich nicht ausschließen, aber Safari ist es noch. Aber der Benutzeraccount ist auf dem MacBook natürlich ein anderer (ich rede nicht von meinem thawte-Account, da habe ich nur einen).

Wie kann ich nun mein Zertifikat mit dem Private Key auf dem MacBook installieren? Ich mag nur ungern die MobileMe-Synchronisation dafür nutzen. Dafür ist sie mir zu unsicher.

Für Hilfe vielen Dank im Voraus!
besten Gruß, da_jones

 

[User 12794]

Hi.

Wie kann ich nun mein Zertifikat mit dem Private Key auf dem MacBook installieren? Ich mag nur ungern die MobileMe-Synchronisation dafür nutzen. Dafür ist sie mir zu unsicher.

AFAIR musst Du in die Schlüsselverwaltung gehen (zu Deinen Zertifikaten), gehst mit Rechtsklick auf "... exportieren" und exportierst Dein Zertifikat im .p12-Format. Dabei musst Du ein (beliebiges Kennwort vergeben, dass Du später zum Import brauchst).

Diese Datei transferierst Du auf den neuen Rechner, gehst in die Schlüsselverwaltung und machst einen Import. Dabei wirst Du nach dem Kennwort von vorher gefragt.

Das sollte es gewesen sein. Gib mal Laut, ob es funktioniert.

 

[nggalai]

Bei S/MIME kannst Du bei den Zertifizierungsstellen wie THAWTE dasselbe Zertifikat nur EINMAL runterladen. Weil es im Browser generiert wird, und dann zum Download angeboten.

Wenn Du dasselbe Zertifikat auf einem anderen Rechner verwenden willst, mußt Du es aus dem Schlüsselbund exportieren (incl. privatem Schlüssel) und auf dem anderen Rechner importieren.

Cheers,
-Sascha

 

[da_jones]

Eine ergänzende Frage noch: Mein jetziges Zertifikat ist für mehrere Mailadressen erstellt. Wenn ich nun eine Mailadresse daraus lösche und ein neues Zertifikat erstelle, sollte ich das alte dann "revoken"? Oder werden dadurch die noch gültigen Mailadressen in Mitleidenschaft gezogen? So ganz habe ich die Funktion des "revoke" noch nicht verstanden…

EDIT: Vielen Dank für die schnellen Antworten. So werde ich das machen.

 

[nggalai]

Ein Tip: Manche Mail-Clients haben Probleme damit, wenn ein S/MIME-Zertifikat mehrere Mail-Adressen beinhaltet. Besser für jede Adresse ein eigenes Zertifikat erstellen.

Cheers,
-Sascha

 

[pepi]

Bei S/MIME kannst Du bei den Zertifizierungsstellen wie THAWTE dasselbe Zertifikat nur EINMAL runterladen. Weil es im Browser generiert wird, und dann zum Download angeboten.

Wenn Du dasselbe Zertifikat auf einem anderen Rechner verwenden willst, mußt Du es aus dem Schlüsselbund exportieren (incl. privatem Schlüssel) und auf dem anderen Rechner importieren.

Cheers,
-Sascha

Das ist nicht korrekt. Ich kann das Zertifikat, welches von Thawte erstellt wird, beliebig oft runterladen, kopieren, weiterverteilen oder Papierflieger draus machen.

Das Zertifikat wird auch nach dem Transfer tadellos am anderen Rechner drauf sein.

Was hier aber schon ca. 498.204 Mal gesagt wurde ist, daß das Zertifikat alleine zu wenig ist. Man muß auch die beiden Schlüssel dazu übertragen. Diese werden am eigenen Rechner generiert und liegen nicht bei Thawte. Man muß den öffentlichen und den Privaten Schlüssel exportieren, und am Zielrechner wieder importieren. (Alternativ das ganzen Krempel in einen eigenen Schlüsselbund verfrachten und den gleich komplett kopieren.)

Ein Tip: Manche Mail-Clients haben Probleme damit, wenn ein S/MIME-Zertifikat mehrere Mail-Adressen beinhaltet. Besser für jede Adresse ein eigenes Zertifikat erstellen.

Cheers,
-Sascha

Sehr viele Clients haben damit ein Problem, auch Mail.app vor 10.5 hatte damit ein Problem. Es empfiehlt sich daher für jede Mailadresse ein eigenes Schlüsselpaar zu generieren und somit auch jeweils ein eigenes Zertifikat zu verwenden. Dann klappts auch mit dem Nachbarn.
Gruß Pepi

 

[nggalai]

Moin moin,

Das ist nicht korrekt. Ich kann das Zertifikat, welches von Thawte erstellt wird, beliebig oft runterladen, kopieren, weiterverteilen oder Papierflieger draus machen.

Das Zertifikat wird auch nach dem Transfer tadellos am anderen Rechner drauf sein.

Was hier aber schon ca. 498.204 Mal gesagt wurde ist, daß das Zertifikat alleine zu wenig ist. Man muß auch die beiden Schlüssel dazu übertragen. Diese werden am eigenen Rechner generiert und liegen nicht bei Thawte. Man muß den öffentlichen und den Privaten Schlüssel exportieren, und am Zielrechner wieder importieren. (Alternativ das ganzen Krempel in einen eigenen Schlüsselbund verfrachten und den gleich komplett kopieren.)

Danke für die Klarstellung. Ich verwende oft „Zertifikat“ gleichbedeutend für „Zertifikat + Schlüssel“, was wohl nicht so klug da verwirrend sein kann …

Cheers,
-Sascha

 

[da_jones]

Auch herzlichen Dank von mir für die Richtigstellung. Trotzdem ist mir immer noch nicht die Sache mit dem "revoke" klar: Lasse ich nun für jede meiner Mailadressen ein eigenständiges Zertifikat-Schlüssel-Pärchen erstellen, ist das alte in seiner Funktion quasi hinfällig.

Soll ich das alte dann gleich "revoken", oder selbstständig in seiner Gültigkeit auslaufen lassen?

Gruß, da_jones

 

[pepi]

Zertifikat synonym für "Zertifikat und Schlüsselpaar" zu verwenden verwirrt die meisten ohnehin schon mit der Terminologie und Thematik kämpfenden Probanden noch mehr. Das ganze ist halt nicht ganz so simpel wie es sein sollte. Wenn man seine Begriffe daher so exakt als möglich einsetzt hilft es dem Verständnis aller.

Ein Zertifikat ist ab Ausstellungszeitpunkt (Datum, Uhrzeit) auf die Sekunde genau ein Jahr gültig. (Im Falle von Thawte, um deren Zertifikate es in unserem Fall ja geht.) Danach ist das Zertiikat abgelaufen und ungültig.

Zusätzlich kann man ein Zertifikat vor Ablauf dieser Gültigkeitsdauer zurückziehen, also vorzeitig für ungültig erklären, was dann als revoken bezeichnet wird. Grundsätzlich sollte man ein Zertifikat meiner Ansicht nach nur dann revoken wenn der zugehörige Private Schlüssel kompromittiert wurde, oder es andere triftige Gründe dafür gibt, wie beispielsweise einen ausgeschiedenen Mitarbeiter, oder begründeter Zweifel an der Korrektheit des ausgestellten Zertifikates aufkommt. (Fälschung, Zweifel an der Korrektheit der Identität oder der Korrekten Arbeitsweise der signierenden Notare.)

Du solltest für jede Mailadresse mit der Du signierte Mails senden möchtest, bzw. an die verschlüsselte Mails gesendet werden können sollen ein eigenes Schlüsselpärchen und somit auch ein eigenes Zertifikat erstellen. So kannst Du entsprechend auch die Zertifikate getrennt voneinander verarbeiten sollte sich beispielsweise eine dieser Mailadressen nicht mehr in Deinem Zugriff befinen. (zB durch einen Providerwechsel, Firmenwechsel oder den Verkauf einer Domain.)

Außerdem haben, wie schon erwähnt, viele Applikationen Probleme mit Zertifikaten die Gültigkeit für mehrere Mailadressen vorgeben. Um solchen (unnötigen) Problemen aus dem Weg zu gehen empfiehlt sich obig beschriebene Vorgangsweise von einem Zertifikat pro Mailadresse.
Gruß Pepi

 

[da_jones]

Herzlichsten Dank für die umfangreiche und erhellende Antwort! Also lass ich mir gleich nochmal neue Zertifikate für jeden Mailaccount separat erstellen und die alten einfach auslaufen.

Das hab ich doch wissen wollen.

 

[j@n]

Ich habe eine Frage: ich versende meine Mails seit geraumer Zeit nur noch signiert (Thawte-Zertifikat). Mein Vater hat vor kurzem auch damit begonnen und kann, wenn er mir eine E-Mail schickt, auch das Schloss zum verschlüsseln anklicken. Wenn ich jedoch meinem Vater eine E-Mail schicken will, kann ich diese nicht verschlüsseln - es sei denn, ich nehme eine seiner verschlüsselten Mails und klicke auf antworten. (!)

Leider haben die verschlüsselten Mails auch keinen (sichtbaren) Anhang, den ich abspeichern könnte... Ich wäre sehr dankbar, wenn ihr mir das erklären könntet!

Systeme sind jeweils 10.5.6 und das aktuelle Apple Mail.

Ergänzung: in meinem Schlüsselbund existiert ein gültiges "Thawte Freemail Member"-Zertifikat für die Adresse meines Vaters.

 

[Zeisel]

Geh mal in das Adressbuch zur E-Mail Adresse Deines Vaters - ist dort ein schwarzer Stern mit einem weißen Haken neben der Adresse? Gucke zum Vergleich in Deinen Adressbucheintrag, da muss dieses Zeichen auch vorhanden sein.

Ich gehe mal davon aus, dass Du Apple Mail verwendest?

 

[pepi]

Dieser Thread wird geschlossen und im Folgethread für 2009 weitergeführt.

Ich danke allen die mitgepostet haben und freue mich schon auf eine angeregte Diskussion mit der neuen Umfrage!

Danke
Gruß Pepi

 

[Zeisel]

Du bist 3 Wochen zu früh - konntest es wohl nicht abwarten?

 

[j@n]

Geh mal in das Adressbuch zur E-Mail Adresse Deines Vaters - ist dort ein schwarzer Stern mit einem weißen Haken neben der Adresse? Gucke zum Vergleich in Deinen Adressbucheintrag, da muss dieses Zeichen auch vorhanden sein.

Ich gehe mal davon aus, dass Du Apple Mail verwendest?

Nein, bei der Adresse meines Vaters ist kein schwarzer Haken zu sehen - nur bei meiner. Aber wie kann das sein? Das Zertifikat ist doch im Schlüsselbund…

 

[Zeisel]

Stimmen Name und E-Mail Adresse des Adressbuches mit denen im Zertifikat EXACT!!! überein?