Emails verschlüsseln/signieren

PRISM

Active Member
Hab da auch mal ne Frage...

...und zwar nutze ich TB mit GnuPG (Enigmail). Nun habe ich aber auch noch einen Account bei secure-mail.biz. Secure-Mail unterstützt aber soweit ich das geschnallt habe nur x.509 Zertifikate. Nun habe ich versucht mittels Kleopatra (C:\Program Files (x86)\GNU\GnuPG\kleopatra.exe) für TB so ein Zertifikat zu basteln. Aber an dem Punkt komm ich nicht mehr weiter bzw. es wird kein Zertifikat erstellt.

Wird das Zertifikat zuerst irgendwann beglaubigt und kommt dann per Mail an mich oder wie geht es da weiter? Das Erstellen eines OpenPGP Zertifikates geht problemlos.

mfg
 

doe

Active Member
OK, der Moduluswert benennt die Schlüsseltiefe.
Der kleinste gemeinsame Moduluswert legt die Schlüsseltiefe beim Mailaustausch fest, richtig?

Was bedeutet dann der Feldwert?
Mein Mailkontakt hat ebenfalls Modulus 2K, sowie einen Feldwert von 256 Bytes / 2048 Bits
Mein Feldwert: 512 / 4096
Was bedeutet das?
 

doe

Active Member
Also Ausschau nach Modulus halten ... DANKE, und abgehakt :)

JackCarver;n1950 said:
Der Signaturwert wird wohl zum verifizieren der Signatur benötigt, hat also mit der Schlüsselstärke nix zu tun.

Du meinst sicher den Feldwert?
 

JackCarver

Well-known Member
Nö denn Feld-Wert steht auch bei deinem anderen Bild und steht wahrscheinlich für den Wert des Feldes, das einmal das Modulus Feld und einmal den Signaturwert bezeichnet.
 

doe

Active Member
SMIME ist fein, aber vieles ist für alle neu.

Zu meinem ersten SMIME-Kontakt hab ich eine verschlüsselte Mail senden können,
nachdem der User zuvor seine Signatur (gültige Unterschrift) gesendet hatte.
Die Antwort des User hingegen war unverschlüsselt.
Ist ein kommernzieller Kontakt, also hab ich die IT-Abteilung gebeten, das zu fixen.

Mein 2. Kontakt hatte mir eine verschlüsselte, aber unsignierte (?) Mail gesendet,
nachdem er meine Signatur empfangen hatte.
Meine Antwort wurde wegen seiner ungültiger Unterschrift nicht verschlüsselt.
Ist ein kommerzieller Kontakt, also habe ich angeraten,
den Zertifikatsaussteller/IT-Dienstleister zu kontaktieren, er muss es fixen.

Ach so: 4kB ist hier nicht etabliert, alle arbeiten mit 2kB.
Das kann OpenPGP besser.
 

JackCarver

Well-known Member
Desweiteren kann mit den ganzen kommerziellen Zertifikatausstellern einfach nicht gesichert davon ausgegangen werden, dass die Certs nicht an spezielle Behörden weitergegeben werden. OpenPGP hat den Vorteil, dass jeder seine Keys selbst erzeugt. Machst dasselbe bei SMIME schreien die Clients wieder rum, dass dem Aussteller des ssl Certs nicht vertraut wird usw usf
 

doe

Active Member
JackCarver;n2020 said:
Machst dasselbe bei SMIME schreien die Clients wieder rum, dass dem Aussteller des ssl Certs nicht vertraut wird usw usf

Weißt du das aus praktischer Erfahrung?

In meinem Fall gehe ich mal davon aus, das auf meiner Seite alles passt,
da ausführlich getestet. Also scheitert es an nicht sachgerechter Bedienung der anderen,
bzw. an schlonzigen IT-Dienstleistern.

In beiden Fällen habe ich deutlich gemacht,
das ich keine unverschlüsselten Emails mehr möchte.
Falls das ignoriert wird, geht meine "Bitte" als Einschreibebrief/Rückschein raus,
und falls sie weiterhin ignogiert wird, werd ich das meinem Anwalt übergeben.
Soweit mein SOP in diesen Angelegenheiten.

Wenn nun kein Aussteller 4kB anbietet, muss man sich wohl oder übel selber ein Cert. ausstellen,
welches 4kB kann.
 

JackCarver

Well-known Member
Das ganze ssl System ist doch auf Schwachheit ausgerichtet. Dazu gibt's auch n Artikel in der ct. Überleg bloß mal folgendes: PP würde sich für sein Forum etc n eigenes ssl Cert selbst ausstellen, dann würde jeder Webclient rumbrüllen, dass dem Cert nicht vertraut wird usw. Aber den Certs der kommerziellen Ausstellern wird vertraut oder was...völliger Schwachsinn sag ich dazu. Betriebssysteme lassen sich einfach mal so ohne Vorwarnung ssl Certs unterschieben solang sie von den vertrauenswürdigen Ausstellern stammen. Wieso soll man denen denn eigentl Vertrauen frag ich????
 

doe

Active Member
Kann ich verstehen, ist auch gar nicht so schwer, sich selber eines aus- und zu erstellen.
* 10 Jahre gültig
* ich traue mir selber noch am ehesten über den Weg, dafür steh ich mit meinem Namen :-D
* 4kB
* 0 Hintertürchen
Also sehr weit von genial ist das nicht entfernt.
Ach so: null Taler, null Ausweiskopie einem Unbekannten schicken oder Gedöns ;)

Unschön ist nur, dass ein selbsterstelltest Zertifikat immer als nicht vertrauenswürdig angesehen wird.
Ist bei 4kB eigentlich Schluss oder geht noch mehr?


Wen's interessiert, selbermachen leicht gemacht: http://pagebin.com/L7gO24ka
Hat jemand ein anderes Kochrezept :)
 

Dr_Iwan_Kakalakow

Active Member
Für den Kryptospezialisten und Tor-Mitbegründer Jacob Appelbaum ist eine Restrukturierung des Internets
unumgänglich. Vor allem E-Mail müsse durch sicherere Kommunikationswege ersetzt werden.

27.09.2013 07:30
Jacob Appelbaum:
„Schafft die E-Mail ab“

Was müssen wir tun, um in Zeiten globaler Überwachung das Netz widerstandsfähiger und sicherer zu machen? In einem Interview in der aktuellen Ausgabe von Technology Review (hier zu bestellen) beklagt Jacob Appelbaum, dass Firmen und die US-Regierung zu großen Einfluss auf vitale Teile des Internets hätten. „Das müssen wir ändern. Dafür brauchen wir nicht das alte System vollständig aufzugeben, aber wir müssen es erweitern.“ Vor allem müsse es mithilfe von Peer-to-Peer-Netzwerken dezentralisiert werden und durch alternative Namensverzeichnisse wie GNS die derzeitige Hoheit von Verisign bei der Namensvergabe von Adressen aufzuteilen.

Appelbaum sieht als großen Schwachpunkt in der globalen Kommunikation das derzeitige E-Mail-System. „Diese Technologie ist nicht gut genug.“ Sie biete Privatsphäre „auf dem Niveau des 19. Jahrhunderts“, so Appelbaum. Es gebe keine Möglichkeit, E-Mail in der derzeitigen Form sicher zu machen. Auch das Verschlüsselungsverfahren PGP sei keine Alternative, „weil es nicht hundertprozentig sicher und zudem ein Albtraum in Sachen Benutzerfreundlichkeit ist.“

Zuversichtlich ist Appelbaum hinsichtlich Verschlüsselung. „Ich glaube nicht, dass es der NSA gelingen wird, unsere besten Verschlüsselungssysteme zu knacken. Die Mathematik ist zu gut.“ Trotzdem müssten noch manche Probleme gelöst werden, zum Beispiel das der Folgenlosigkeit und des Schutzes der Metadaten. Das größte Problem sieht Appelbaum aber nicht in der Verschlüsselungstechnik sondern im Zugang zu ihr: „Sichere Verschlüsselung muss Standard sein – und zwar in jedem Smartphone.“

http://www.heise.de/newsticker/meldung/Jacob-Appelbaum-Schafft-die-E-Mail-ab-1966786.html
 

JackCarver

Well-known Member
Ich glaube nicht, dass PGP auf 4096 Bit Basis unsicher ist. Das Problem an den Emails sind die Metadaten, die nicht verschlüsselt werden können. Peer to Peer wär da tatsächlich ne Alternative für die Zukunft
 

JackCarver

Well-known Member
In der aktuellen ct steht im Artikel "Grenzen der NSA" der mE sehr interessant ist, dass noch nicht mal anzunehmen sei, dass sie RSA 1024 knacken können.trotzdem solle man mind 2048 einsetzen
 

doe

Active Member
JackCarver;n2262 said:
In der aktuellen ct steht im Artikel "Grenzen der NSA" der mE sehr interessant ist, dass noch nicht mal anzunehmen sei, dass sie RSA 1024 knacken können.trotzdem solle man mind 2048 einsetzen

Wo? Online? Print?

Antwort: Print

-----------------------------------------------------------------------------------------------------

Hab noch einen Tipp mit viel Charme bekommen.

Der Nachteil selbst erstellter Zertifikate liegt ja in der fehlenden "Vertrauenswürdigkeit".
Was dem Privatmann vielleicht egal ist, ist für Firmen eher schlecht aus Imagegründen.

Abhilfe:
Man schickt die selbsterstellte CSR-Datei, welche nach der 2. Befehlszeile in der Anleitung
erzeugt wird, einem Aussteller, damit dieser ein signiertes Zertifikat (CER-Datei) erzeugt.
Mit diesem führt man dann den 4. Befehl der Anleitung aus und erstellt sich seinen
privaten Schlüssel (P12-Datei) selber.
Eine mögliche Hintertür ist somit ausgeschlossen. Oh, wie ist das geil :cool:

Kurz:
1. Ich erzeuge KEY
2. Ich erzeuge CSR
3. Austeller erzeugt CER (mit meinem CSR)
4. Ich erzeuge P12 (mit seinem CER)

SMIME ist fein :)

Das ist einfach und doch genial, eine gute Idee, die getestet werden sollte.

--------------------------------------------------------------------------------------------------------------------------------------

Nachtrag 3.10.13.:
Zu früh gefreut, es funktioniert leider nicht.
Kein Wunder, wird doch bei jedem OpenSSL-Befehl das Passwort der KEY-Datei abgefragt.
Mein Informant hatte es selber nicht getestet, was mich schon ein wenig verwundert.


Wie auch immer, schaut man sich die Befehle genau an, sieht man,
dass die KEY-Datei in jeder Befehlszeile vorkommt.
Es kann also gar nicht funktionieren, die Anleitung für Firmen ist somit ungültig.
Ich lasse sie dennoch online, weil das Thema "offizielle Signatur" nicht gelöst ist.
Hier braucht's noch eine clevere Idee, wenn möglich, zuvor ausgetestet.

Nichtsdestotrotz, das ändert nichts für Privatpersonen, die CD und die erste Anleitung funktionieren,
mind. 10x benutzt, also mehr als getestet und funktioniert. :cool:



puppylinuxboot.iso
SHA1-Fingerprint/Fingerabdruck:
63f31798440f310fb59c35ac6049afcf75ee43f9
Anleitung 1.10.13
Anleitung für Firmen 1.10.13
 

derrrp

Member
Nur weil ein Zertifikate "vertrauenswürdig" ist, hat das nichts mit der Sicherheit zu tun. Eine offizielle CA kann auch unseriösen Seiten eine Cert ausstellen, und dein Browser sagt dann automatisch "alles oke" - ist das so viel besser? Siehe DigiNotar.
 
Top