Guten Abend,
ich arbeite mich gerade in das Thema Signieren / Verschlüsseln von Mails ein. Dazu eine kleine Verständnisfrage zu Schlüsselservern, denn von denen scheint es ja eine ganze Menge zu geben.
Wenn ich meinen öffentlichen Schlüssel also auf den Server foo exportiere, kann ich davon ausgehen, dass mein Gegenüber diesen automatisch findet, auch wenn er vielleicht ein Outlook hat? Nicht das dort nur auf dem Server bar gesucht wird.
Also macht es einen Unterschied auf welchem ich hochlade, oder synchronisieren die alle miteinander?

Danke.

Leider nicht.

(zumindest nicht alle .. zumindest nicht nach meinen Experimenten).

Dein Kommunikationspartner muss also den gleichen Schlüsselserver (evtl. unter anderen) in seinem Verschlüsselungsprogramm eingestellt haben wie du.

In der Praxis wirst du ihn wohl meist deinen Public Key einfach mailen und dann per Telefon den Fingerprint abgleichen...


Da viele Keys ohne "Verfalldatum" eintragen und dann evtl. ihren privaten Schlüssel verlieren kann es auch gut sein dass du jemandem eine Mail schickst die niemand mehr lesen kann falls sein Key schon etwas älter ist ....


Welches Mailprogramm er verwendet sollte egal sein. Outlook habe ich nicht probiert da das damals nur Mime konnte.. und ich nur einen GPG Key habe ...

nur als kleine anmerkung, gnupg oder pgp sind mit outlook nahezu unbenutzbar.
der neue pgp-plugin für outlook soll zwar endlich einfacher zu bedienen sein, an die einfachheit von s/mime kommt er aber bestimmt nicht heran. :-(

//richard

Ich habe es befürchtet, alles andere wäre ja auch zu einfach.
Gibt es ein wenigstens ein paar empfehlenswerte Server, bei denen man eine recht große Trefferwahrscheinlichkeit hat?

Ich kann dir da nicht helfen.. nachdem ich es nicht geschafft habe Freunde und Bekannte vom Nutzen verschlüsselter oder signierter Mails

(

Ich kann das Attachment nicht öffnen !


.. als Standardantwort auf signierte Mails ... :ugly: )

zu überzeugen habe ich bestimmt schon ein Jahr lang keine verschlüsselte Mail mehr verschickt... falls das bei dir besser klappt poste doch hier wie du es geschafft hast, dann versuche ich es nochmal .... :)

:D
Dazu wäre es halt gut zu wissen, wie man das für den gegenüber am einfachsten und plattformübergreifend gestalten kann, Wenn Outlook nur schwer mit PGP zurecht kommt, ist das ja schon einmal nicht sehr förderlich.

Habe mir Outlook 2007 gerade einmal angeschaut: im "Vertrauensstellungscenter" [sic!] gibt es ein paar Optionen zu s/mime, aber kein Wort von PGP, ist wohl ein Add On, welches man nachinstallieren muss. Outlook bietet da noch "Digitale IDs" an, aber das ist wohl irgendein Microsoft- Eigenbau, oder?

Gibt es ein wenigstens ein paar empfehlenswerte Server, bei denen man eine recht große Trefferwahrscheinlichkeit hat?

Ich würde sagen, dass http://pgp.mit.edu/ der Klassiker ist. Ansonsten ist Verschlüsselung mit Thunderbird und Enigmail wirklich auch für den Laien recht einfach einzurichten - allerdings sollte man das Prinzip durchaus kapiert haben, sonst kommt man durcheinander. →Diese Seite (http://www.youdzone.com/signature.html) erklärt es ganz gut (könnte man ja mal übersetzen und der Schwiegermutter zuschicken oder so was). Ich habe mit dieser Kombination durchaus ein paar "unbedarfte" rumkriegen können.

eines sollte man auch noch dazu sagen :
auf dem mit.edu server und den meisten anderen kannst du deinen Schlüssel nicht löschen lassen (warum, steht dabei, wenn's du's probierst). Und der Haken mit den Keyservern ist, dass die von Spammern gemolken werden können. Also brauchst du einen guten Spamfilter oder schickst deinen Schlüssel eben per mail an die paar Leute, die mit verschlüsselten Mails was anfangen können. Damit verhinderst du zumindest, dass ein paar Spammails erst gar nicht durch's Netz geschickt werden.

Und der Haken mit den Keyservern ist, dass die von Spammern gemolken werden können.

Das klingt zwar nachvollziehbar, aber deckt sich komischerweise keinesfalls mit meinen Erfahrungen. Ich habe auf diesem server Schlüssel für drei Mailadressen hinterlegt, von denen zwei so gut wie nie Spam erhalten, eine Adresse ist von mir bewusst als Spam-Mülleimer angelegt worden (welche ich ggf. bei Bestellungen und dergleichen angebe).

Das klingt zwar nachvollziehbar, aber deckt sich komischerweise keinesfalls mit meinen Erfahrungen. Ich habe auf diesem server Schlüssel für drei Mailadressen hinterlegt, von denen zwei so gut wie nie Spam erhalten, eine Adresse ist von mir bewusst als Spam-Mülleimer angelegt worden (welche ich ggf. bei Bestellungen und dergleichen angebe).

Und wieder bin ich die Ausnahme - nachdem mein key auf nem keyserver landete - war das spam aufkommen so hoch das ich die mailadresse irgendwann zu den akten legte bzw löschte .... ist schon nen paar jährchen herr und es mag sein das die spamfilter da noch nicht so gut waren, aber seitdem lass ich das mit dem keyserver

ich mach das eigentlich immer so:
1. ICQ/Jabber usw. kontakt (das ganze verschlüsselt mit OTR)
http://de.wikipedia.org/wiki/Off-the-Record_Messaging

2.Austausch der schlüssel über IM - oder sftp an - schlüssel getauscht - sftp aus ;)

und dann kann man mailen :)

PS: es gibt übrigens auch SE programme wie maltego die gebrauch von keyservern machen um emails zu bestimmten personen zu finden .... nur so als denkanstoss

Ob man spam erhält oder nicht ist von vielen Faktoren abhängig. Ich habe zwei Mailadressen, die bereits seit mehreren Jahren auf oben genannten Keyserver liegen, die haben zusammen gerade mal *drei* spams erhalten (mit der dritten Adresse gehe ich recht sorglos um)... Wie gesagt: ich fände es eigentlich logisch, wenn Keyserver von Spambots abgeerntet werden, aber irgendwie scheinen meine Adressen weniger interessant zu sein.

Hi naraesk,

schön, dass du dich mit dem Thema befasst ... .
Es ist zwar schon viele Jahre her, dass ich PGP bzw. GnuPG den Rücken gekehrt habe und mich ausschließlich mit S/MIME befasse, dafür aber sowohl beruflich als auch privat sehr intensiv ... .

Hier wenn du willst, was zum Nachlesen: FAQ-Beitrag Thunderbird-Wiki (http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift )

Es war tatsächlich mal so, dass sich die (PGP-)Schlüsselserver synchronisiert haben. 1x bei Heise auf der c' bit signieren lassen, finde ich meinen 15 Jahre alten PGP-Schlüssel noch heute auf den gängigen Keyservern weltweit. Aber wie es aussieht, ist man davon wohl abgegangen.

Eine richtige Notwendigkeit für derartige Schlüsselserver sehe ich aber auch kaum noch. Klar, wenn ich im Intranet eine Mail an einen Empfänger schreibe, dann holt sich mein LoNo-PlugIn das Zertifikat des Empfängers vom Verzeichnisdienst, prüft per Sperrliste oder OCPS die Gültigkeit, usw.
Wenn wir im Internet eine verschlüsselte Kommunikation aufbauen wollen, dann schicken sich die beiden Partner eine signierte Mail - und die nächste Mail kann dann verschlüsselt werden. Und an einen mir völlig Unbekannten habe ich noch nie "einfach so" eine verschlüsselte Mail geschickt. Jeder moderne Mailclient beherrscht heutzutage S/MIME und kann empfangene Zertifikate problemlos automatisch importieren.
(Ich schreibe über S/MIME! Und ich gehe dabei von vertrauenswürdigen Herausgebern der Zertifikate aus. Bei "Kostnix-Zertifikaten" bzw. selbstsignierten Zertifikaten muss man natürlich noch etwas für die Prüfung der Vertrauenswürdigkeit tun, aber hier reicht schon der bewusste Anruf.)

Sicherheit Schlüsselserver hinsichtlich Abgreifen der Mailadressen:
Schlüsselserver für X.509-Zertifikate basieren heute wohl ausschließlich auf Verzeichnisdiensten wie openLDAP u.ä..
Hier ist es problemlos möglich und auch üblich, den Bots das Leben arg zu erschweren. I.d.R. muss entweder der cn, der vollständige Familienname oder die komplette Mailadresse zur Suche eingegeben werden. Teilstrings kann man auf eine Mindeszahl an notwendigen Zeichen begrenzen, und auch die Anzahl der Suchläufe pro IP und Zeiteinheit kann auf ein vernünftiges Maß eingestellt werden.
Und den Admins eines TrustCenter ist ein IDS auch kein unbekanntes Wesen (oder sollte es zumindest nicht sein ... .).

PGP bzw. GnuPG versus S/MIME:
Ich will hier keinesfalls die uralte Diskussion wieder hochpuschen. Bitte nicht!
PGP war eben einfach ab 1991 als "Kryptografie für die Massen" vorhanden. S/MIME dagegen war die Lösung für Behörden und Firmen. Und Zertifikate gab es nur käuflich.
Mittlerweile ist es auch dem ONU möglich, sich ein kostenloses Zertifikat zu beschaffen oder (weniger für den ONU) sich mit guten Tools selbst herzustellen. Und jeder moderne MUA beherrscht S/MIME von Hause aus.
Mich freut es ... .

Akzeptanz:
Da habe ich gerade heute einen meiner vielen Beiträge dazu im Thunderbird-Forum getippt: Forenbeitrag Akzeptanz (http://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=47154#p246758)

HTH

MfG Peter

Hat S/MIME denn irgendwelche Vorteile gegenüber PGP / GPG? Ich bin mit GPG eigentlich sehr zufrieden...

Denn es passt ja nicht zum Thema, und ich wollte und will ja auch nicht ...

Es gibt mehr Gemeinsamkeiten als Trennendes.
Beides eine Kombination aus symmetrischer und asymmetrischer Kryptografie.
Beides verwendet die gleichen oder ähnlichen Verfahren.
Du musst dich immer vor allem am Umfeld orientieren, denn allein ...
Und kompatibel ist es auch nicht, leider ... .

Der große Unterschied ist, dass ein TrustCenter bei Zertifikaten für qualifizierte Signaturen garantiert!, dass die vom Gesetz vorgeschriebene Identifizierung der Person vorgenommen wurde. Viele TC führen diese Personenidentifizierung in gleicher Qualtität auch für Zertifikate für fortgeschrittene Signaturen durch.
Wir garantieren also, dass in einer Signatur, wo "Meier drauf steht", auch "Meier drin ist". Und das eben auch beweissicher.

Und entgegen landläufiger Meinung werden selbst bei einem "Kostnix-Zertifikat" die privaten Schlüssel nicht vom Trustcenter, sondern von der Kryptoengine des Browsers des beantragenden Nutzers erzeugt. Der Browser schickt einen Zertifikatsrequest (public-Key + Nutzerdaten) an den Server, dieser signiert das ganze mit dem private-Key des Herausgebers und schickt das Zertifikat zurück. Der Browser kombiniert das dann wieder zu einer exportierbaren Schlüsseldatei.
(Für Chipkarten und andere Sachen gibt es auch andere Lösungen.)

Und: Ich betrachte die Anwendung als einfacher. Aber das mag Ansichtssache sein.
Nur so viel: Mein Thunderbird hat so viel "Eigenintelligenz", dass ich mir keine Gedanken mehr machen muss, an wen ich verschlüsselt schicken kann, und an wen nicht.


Ich hoffe, meine Moderatorenkollegen lassen diesen kleinen Abschweifer zu :-)

MfG Peter

Hm okay, danke für die Erläuterung - ich bleibe vorerst bei GPG, S/MIME scheint mir vor allem in Unternehmenszusammenhängen einen Mehrwert zu bieten, für meine privaten Mails hole ich mir die Vertrauenswürdigkeit selber ab. :) Zudem lässt Thunderbird ja beide Varianten auch zeitgleich zu (und die Ausrede, dass die Einrichtung einen unangemessenen Aufwand nach sich zieht, würde ich bei beiden Methoden nicht gelten lassen, also Leute: schaut es Euch mal näher an, ist echt nicht schwer).

Hi,

ich möchte auch S/MIME verwenden, jedoch bekommen meine Gegner, oder ich selbst wenn ich mir eine Mail auf meine private Adresse sende, immer nur eine angehängte s/mime.p7s Datei und der E-Mail-Client (OL2002 und Thunderbird) erkennen die Signierung nicht automatisch.
Was mache ich falsch?


Grüße
Timm

Hi Timm,

also, wenn meine Gegner nur den verschlüsselten Container (p7m) erhalten, bin ich ja sehr zufrieden ... .

Was du falsch machst, kann ich dir nicht sagen, denn ich weiß ja nicht, was du überhaupt gemacht hast. Fakt ist, dass Thunderbird seit der 1-er Version perfekt mit X.509-Zertifikaten und S/MIME umgehen kann.

Vorschlag: du schaust dir in den FAQ des Thunderbird-Forums meinen Beitrag zur Mailverschlüsselung an und versuchst ihn zu verstehen und umzusetzen.
Bei beidem kann ich dir gern helfen. Schreibe aber bitte, wie du die Zertifikate importiert und zugewiesen hast, woher du sie hast, Einstellungen usw.

MfG Peter

Hi Peter,

ich meinte aber bei Signierung und nicht Verschlüsselung.
Wenn ich Verschlüsseln möchte, das habe ich jetzt mal ausprobiert, kommt diese Fehlermeldung, aber wie gesagt ich möchte nur unterschreiben.


Senden der Nachricht fehlgeschlagen.
Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für t.s@domain.tld finden.Es ist aber da.

Wenn ich dann auf S/MIME klicke sehe ich das Zertifikat unter Status steht "Nicht vertra..."(leider kann die Spalte nicht verschoben werden) und bei "Ansehen" steht dann "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden". Unter Kryptokraphie-Modul steht bei mir nicht das "Builtin" sondern "Software-Sicherheitsmodul"

Grüße
Timm

Hi Timm,

für das Thema "Schlüsselserver ..." sind wir jetzt schon ganz schön [OT], da wird der zuständige Mod. bestimmt bald abtrennen ...

Bevor ich alles 2x schreiben muss: Meine Anleitung gelesen? Es erleichtert schon die Zusammenarbeit!

Zum reinen Signieren benötigst du selbstverständlich kein Zertifikat deiner Mailempfänger, aber sehr wohl ein eigenes Z. inclusive des private Keys. Wir nennen es zur Unterscheidung "Schlüsseldatei" (.p12 oder .pfx).
Hast du eines? Von wem?
Herausgeberzertifikat importiert? Wohin? Vertrauen eingestellt?
Dein eigenes Z. deinem Mailkonto bekannt gemacht? <===== !!
Und welches Mailprogramm nutzt du überhaupt? (Ich schreibe hier nix zu Ausgugg!)

Wenn es um Thunderbird geht (wovon ich ausgehe), dann schau doch auch bei uns gleich mal ins Forum. Ich habe da sooooo viele Beiträge zu diesem Thema geschrieben. Wirst mich schon finden ... .

MfG Peter

auch edit: Herausgeberzeirtifikat nicht importiert bzw, diesem kein Vertrauen ausgesprochen!

Hi Peter,


ja ich verwende TB und habe ich alles gelesen und auch alles so gemacht.
Auch vertrauen ausgesprochen, das einzigste ist eben das Software-Sicherheitsmodul.

Grüße
Timm

... das einzigste ist eben das Software-Sicherheitsmodul.
???????????????????????????????????????????????
Du sprichst in Rätseln.

Ich stelle dir konkrete Fragen. Warum antwortest du nicht genau so konkret darauf?
Aus deinen Antworten kann ich dir weitere zielführende Fragen stellen.

Fakt ist (noch einmal), dass TB S/MIME perfekt beherrscht, und dass ich das schon ungezählte Male bei diversen Nutzern eingerichtet habe.
Ergo: Dabei auftretende Fehler liegen meist im Level 8 :-)

MfG Peter

Hallo Peter,


habe ich doch, ich hab alles so gemacht wie Du es gesagt hast.
Ich habe mal ein Screenshot hochgeladen, damit Du meinst was ich meine.
Siehe ARGE-DATEN(Globaltrust)
Verwende TB 3.0.4 unter XP.
Habe alles so gemacht wie im Wiki steht und trotzdem...


Grüße
Timm

PS: Habe in TB Forum einen Thread eröffnet, damit es hier nicht so OT wird.

Hi,

antworte mir mal selber, damit die Änderung gleich gesehen wird, habe den Verursacher des Problems ausgemacht.
Es war der Virenscanner auf meinem Ausgangsmailserver, der hat nämlich einen Disclaimer hinzugefügt.
Nun geht alles wie es soll.

Grüße
Timm

Dann will ich doch der Vollständigkeit wegen auch den Thread aus dem Thunderbirdforum hier mit anfügen:

http://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=47717

Vielleicht hilft es jemandem.

MfG Peter