Emails verschlüsseln/signieren

PRISM

Active Member
Hab da auch mal ne Frage...

...und zwar nutze ich TB mit GnuPG (Enigmail). Nun habe ich aber auch noch einen Account bei secure-mail.biz. Secure-Mail unterstützt aber soweit ich das geschnallt habe nur x.509 Zertifikate. Nun habe ich versucht mittels Kleopatra (C:\Program Files (x86)\GNU\GnuPG\kleopatra.exe) für TB so ein Zertifikat zu basteln. Aber an dem Punkt komm ich nicht mehr weiter bzw. es wird kein Zertifikat erstellt.

Wird das Zertifikat zuerst irgendwann beglaubigt und kommt dann per Mail an mich oder wie geht es da weiter? Das Erstellen eines OpenPGP Zertifikates geht problemlos.

mfg
 

doe

Active Member
PRISM;n129 said:
Hab da auch mal ne Frage...

...und zwar nutze ich TB mit GnuPG (Enigmail). Nun habe ich aber auch noch einen Account bei secure-mail.biz. Secure-Mail unterstützt aber soweit ich das geschnallt habe nur x.509 Zertifikate. Nun habe ich versucht mittels Kleopatra (C:\Program Files (x86)\GNU\GnuPG\kleopatra.exe) für TB so ein Zertifikat zu basteln. Aber an dem Punkt komm ich nicht mehr weiter bzw. es wird kein Zertifikat erstellt.

Wird das Zertifikat zuerst irgendwann beglaubigt und kommt dann per Mail an mich oder wie geht es da weiter? Das Erstellen eines OpenPGP Zertifikates geht problemlos.

mfg


M.W. ist die Emailadresse doch egal. Ich hab zu allen möglichen Adressen von verschiedenen Providern OpenPGP-Schlüssel.

Du meinst sicher etwas anderes?

Ich glaube, mit Kleopatra tust du dir keinen Gefallen...
 

PRISM

Active Member
Hi

Ich kann ja mit GnuPG entweder mit OpenPGP oder mittels X.509 Zertifikaten verschlüsseln, signieren etc. Wie beschreiben brauche ich aber ein X.509 Zertifikat, damit ich mittels TB an Mailadressen von xyz@ecure-mail.biz verschlüsselte Mails senden kann, denn die akzeptieren keine OpenPGP Schlüssel (*.asc) sondern nur *.p12 Zertifikate...
 

Paolo

Member
secure-mail ist nicht zu empfehlen. Nicht etwa wegen dem Angebot, sondern wegen der Verfügbarkeit. Ständig down oder Mails kommen nicht an. Und das ist das KO-Kriterium. Mails kommen oft gar nicht an, nicht verzögert sondern garnicht, oder die versandten Mails landen im Spamordner vom Empfänger, da Mails von secure-mail bei vielen automatisch im Spamordner landen. Dann doch lieber gmail mit pgp und Proxy, die Mails (bzw nur Metadaten, wers glaubt) werden ja ohnehin gespeichert, da ist es egal ob man die an der Quelle anzapft (google) oder den Traffic am Knotenpunkt filtert.
 

doe

Active Member
So, da nun OpenPGP funktioniert möchte ich als nächstes S/MIME installieren,
da im kommerziellen Umfeld eher gebräuchlich.

Für private User scheint www.CAcert.org die Lösung zu sein.
Ist der OK oder wäre eine andere Cert-Stelle zu empfehlen?
 

Quasimodo

Member
Hallo doe,

Tja, als alter MacUser (noch aus G3 Zeiten) kann ich Dir nur sagen, daß obige Anleitung sehr gut gemacht ist. Ich persönlich nutze allerdings S/Mime da alle iOS Geräte dies seit iOS 4 unterstützen und bereits im System integriert ist. Okay, ist eine Glaubensfrage ob PGP oder S/Mime und dazu habe ich Dir einmal folgenden link hier heraus gesucht: http://www.kes.info/archiv/online/01...EvsOpenPGP.htm

CaCert ist ebenso eine hervorragende Zertifizierungsstelle jedoch auch nicht zu verachten ist StartSSL zumal es dort auch sehr gute Anleitungen gibt: http://www.startssl.com/?lang=de

Ich persönlich schätze den Vorteil, daß es ganz leicht möglich ist ( bei Mac OS ) seine Schlüssel aus dem Schlüsselbund heraus zu exportieren (auch in andere Formate) und nicht beschränkt auf p.12 und somit viel einfacher z.B. auf einen eigenen Webserver hoch zu laden......hoffe, daß Dir die Anleitungen ein wenig weiterhelfen :)
 

JackCarver

Well-known Member
Die werden mit 2 KB verschlüsselt, siehe Modulus 2048 Bits, der zweite Wert ist die gesamte Größe des Zertifikats (4096 Bit) das wahrscheinlich den private Key gleich mit enthält...

2 x 2048 = 4096
 

JackCarver

Well-known Member
Sollte der private Key da mit drin sein, dann Weitergabe NUR auf verschlüsseltem Weg, andernfalls kannst auch weiterhin gleich unverschlüsselt senden. Oder du extrahierst den private Key und sendest lediglich den pub Key als Emailanhang.
 

JackCarver

Well-known Member
Das kommt halt darauf an was dieser Anbieter an Verschlüsselungsstärken anbietet und wenn die nur 2k anbieten dann wars das. In der Regel werden ssl private Keys stets passwortgeschützt erzeugt es sei denn man erzeugt die explizit ohne Passwort. Oder quittiert mit nem leeren PW bei der Erzeugung, dann ist das PW halt n Leerstring,...

Welches PW hast du denn angegeben?
 

doe

Active Member
JackCarver;n1830 said:
Die werden mit 2 KB verschlüsselt, siehe Modulus 2048 Bits, der zweite Wert ist die gesamte Größe des Zertifikats (4096 Bit) das wahrscheinlich den private Key gleich mit enthält...

2 x 2048 = 4096

Bist du da sicher?

Nun, ich hab "hochgradig" erstellt. Was hab ich jetzt für eine Schlüsselstärke?
Weiß´jemand,was das bei CAcert.org bedeutet?
Danke
 

Dr_Iwan_Kakalakow

Active Member
@doe,
wenn Du wie ich feststehende,ständige Empfänger hast, dann kannst Du doch auch einen sagen wir 1MB-Container (das ist für Nachrichten schon sehr gross) mit TureCrypt erstellen - da passen jede Menge mitteilende Seiten/Infos rein. Das PW ist den Empfängern bekannt - bei mir immer das gleiche PW, immer der gleiche Container, nur die Nachricht innen ist natürlich anders. Der Container wird einfach an eine normale Mail gehängt und meine Nachricht kommt verschlüsselt im Container zum Empfänger. Starkes PW und der Käse ist gegessen. Ich schreibe meine Nachricht hier in eine txt.Datei und kopiere sie dann in den Container.
 

Dr_Iwan_Kakalakow

Active Member
@Jack, geht ja auch kleiner. Bei TrueCrypt kannst Du KB-Container erstellen. 1MB ist bei mir in 15 Sekunden raus.
Geschrieben werden muß die Nachricht sowieso. Schnell den Container aufmachen, Nachricht rein, schliessen und an die Mail hängen. ........ ..
 

doe

Active Member
Mit der Verschlüsselungstiefe hab ich immer noch nicht kapiert.
Wo kann ich das genau ablesen?

http://www0.xup.in/exec/ximg.php?fid=12890865

http://www0.xup.in/exec/ximg.php?fid=15095017

------------------------------------------------------------------------------

Das Mailen (smimen) selber geht wie geölt.
Von der Handhabung eigentlich noch einfacher im Vergleich zu OpenPGP,
weil es über einen (zentralen) Certserver geht.
Man muss nix vom Gegenüber installieren, das hat Charme.
So kann man auf seiner Emailadresse SMIME immer eingeschaltet haben,
und der andere kann sie immer lesen.
Hat das Gegenüber ebenfalls SMIME installiert,
dann geht fortan der Schriftwechsel verschlüsselt über den Äther.

Somit kann ich jedem Gegenüber immer Verschlüsselung anbieten,
ohne eine besondere Notiz der Email anzuhängen;
die Signatur wird vom suchenden Auge sofort erkannt.
SMIME wird daher meine Standardeinstellung werden.

Das erklärt möglicherweise die stärkere Verbreitung im kommerziellen Umfeld.

Durch die Zentralität dieses Systems geht aber auch eine mögliche Backdoorgefahr einher,
was bei OpenPGP durch die Dezentralität ausgeschlossen ist.

Schön, das der Mailknecht jetzt beides kann :cool:

Blöd, wenn er keines kann :p

Darauf eine Hoibe.


PS: Brieftauben sind auch nicht mehr sicher:
http://www.kojote-magazin.de/?p=8568
 
Top