Emails verschlüsseln/signieren

[PRISM]

Hab da auch mal ne Frage...

...und zwar nutze ich TB mit GnuPG (Enigmail). Nun habe ich aber auch noch einen Account bei secure-mail.biz. Secure-Mail unterstützt aber soweit ich das geschnallt habe nur x.509 Zertifikate. Nun habe ich versucht mittels Kleopatra (C:\Program Files (x86)\GNU\GnuPG\kleopatra.exe) für TB so ein Zertifikat zu basteln. Aber an dem Punkt komm ich nicht mehr weiter bzw. es wird kein Zertifikat erstellt.

Wird das Zertifikat zuerst irgendwann beglaubigt und kommt dann per Mail an mich oder wie geht es da weiter? Das Erstellen eines OpenPGP Zertifikates geht problemlos.

mfg

 

[doe]

Nur weil ein Zertifikate "vertrauenswürdig" ist, hat das nichts mit der Sicherheit zu tun.

Ich stimme dir zu!

S/MIME wird ja bevorzugt im gewerblichen Umfeld eingesetzt.
Da sitzt nun das Mädel vom Kundendienst am PC und Outlook,
(ist bei Mäc vermutlich kaum anders)
ich bitte um den Import meines selbstgehäkelten Dingens
und als Antwort bekomme ich was?

Wer Hirn hat oder/und Open Source benutzt,
wird mit dieser überflüssigen Frage der "Vertrauenswürdigkeit" nicht gelangweilt,
so zumindest meine Erfahrung.
Ob Hirn weit verbreitet ist kann man bezweifeln,
MS-Software ist es jedenfalls.

 

[doe]

Beim Durchlesen könnte der Eindruck entstehen, als käme die Zertifizierungstelle ohne mein Passwort aus.
Zum Testen könnte man vielleicht CAcert.org nehmen.
Doch wie das mittels OpenSSL-Befehl gehen soll, ist noch unklar.

Bis dahin kann ich bis zum unterstrichenen Befehl testen wegen des Passwortes...

.............

openssl req -newkey rsa:2048 -out request.pem -keyout pub-sec-key.pem
Generiert einen neuen 2048 Bit langen RSA-Schlüssel und legt ihn in der Datei pub-sec-key.pem ab. Passend dazu wird ein Request in der Datei request.pem erstellt.

openssl req -new -out request.pem -key pub-sec-key.pem
Wie zuvor, nur wird der Request zum bereits vorhandenen Schlüssel pub-sec-key.pem generiert.

openssl req -text -noout -in request.pem
Zeigt den Request request.pem an.

openssl req -verify -noout -in request.pem
Verifiziert die Selbstsignatur des Requests request.pem.

openssl req -noout -modulus -in request.pem | openssl sha1 -c
Generiert einen SHA1-Fingerabdruck vom Modulus des Schlüssels aus dem Request request.pem.

openssl req -x509 -days 365 -newkey rsa:2048 -out self-signed-certificate.pem -keyout pub-sec-key.pem
Generiert einen 2048 Bit langen RSA-Schlüssel und legt ihn in der Datei pub-sec-key.pem ab. Es wird ein selbst signiertes Zertifikat erstellt und in der Datei self-signed-certificate.pem gespeichert. Das Zertifikat ist 365 Tag gültig und für simple Testzwecke gedacht.

openssl req -x509 -days 365 -new -out self-signed-certificate.pem -key pub-sec-key.pem
Wie zuvor, erstellt jedoch ein selbst signiertes Zertifikat aus einem vorhandenen Schlüssel pub-sec-key.pem.

openssl x509 -x509toreq -in self-signed-certificate.pem -signkey pub-sec-key.pem -out request.pem
Erstellt neuen Request aus altem Selbstzertifikat.

openssl x509 -text -noout -md5 -in self-signed-certificate.pem
Gibt das Zertifikat self-signed-certificate.pem als Klartext aus.

openssl x509 -fingerprint -noout -md5 -in self-signed-certificate.pem
Gibt den Fingerabdruck des X.509 Zertifikats self-signed-certificate.pem aus. Der Algorithmus ist hier MD5, SHA1 kann verwendet werden, wenn -md5 durch -sha1 ersetzt wird.

openssl verify -issuer_checks -CAfile self-signed-certificate.pem self-signed-certificate.pem
Überprüft ein selbst signiertes Zertifikat.

openssl s_client -showcerts -CAfile self-signed-certificate.pem -connect www.dfn-pca.de:443
Baut eine OpenSSL-Verbindung unter Verwendung des Zertifikats self-signed-certificate.pem zum angegebenen Server auf. Es wird dabei die gesamte Zertifikatskette angezeigt.

openssl crl -noout -text -CAfile self-signed-certificate.pem crl.pem
Gibt die Zertifikats-Widerrufsliste crl.pem in Klartext aus.

openssl pkcs12 -export -inkey pub-sec-key.pem -certfile certificate-chain.pem -out pub-sec-key-certificate-and-chain.p12 -in signed-certificate.pem
Erzeugt die PKCS#12-Datei pub-sec-key-certificate-and-chain.p12 für den Import nach MS Windows 2000 oder MS Windows XP zur späteren Nutzung durch den MS Internet Information Server (IIS). Die Datei enthält den privaten und öffentlichen Schlüssel (pub-sec-key.pem) mit dem Zertifikat einer Zertifizierungsinstanz (signed-certificate.pem) und einer optionalen Zertifikatkette bzw. dem Zertifizierungspfad (certificate-chain.pem).

In Windows wird das ,,Zertifikate-Snap-In'' für die Microsoft Management Console (MMC) benötigt. Hier muss die PKCS#12-Datei pub-sec-key-certificate-and-chain.p12 in die Zertifikat-Datenbank Eigene Zertifikate des Zertifikate (Lokaler Computer) importiert werden.

Die evtl. ebenfalls importierten Zertifikate aus der Kette (Wurzel-CA, Stammzertifizierungsstelle bzw. Zwischenzertifizierungsstellen (Intermediate-CAs)) sollten danach aus dem Speicher für Eigene Zertifikate in den Bereich Vertrauenswürdige Stammzertifizierungsstellen bzw. Zwischenzertifizierungsstellen verschoben werden.

Ist das Server-Zertifikat im IIS eingestellt, so schickt der IIS bei jeder SSL-Verbindung fast die gesamte Zertifikatkette (Server-Zertifikat und alle Zwischenzertifizierungsstellen-Zertifikate) an den Browser (Klienten). Ausgenommen hiervon ist das Zertifikat der Stammzertifizierungsstelle in dieser Kette.

 

[doe]

Geht auch einfacher

Mit einem selbst erstellten und selbst ausgestelltem Zert. nur Stress im nicht-privaten Umfeld.
Selbst wenn ein solches Zert. nur als Signatur angehängt ist (ohne Verschlüsselung),
hatte ich einen Fall, da konnte die Kundendienstdame die Email nicht lesen.

Das neue CAcert-Zertifikat ist auf "WOT-User" (Web of Trust) ausgestellt.
Ob das reicht oder ob ich besser gleich zum nächsten Assurer radel,
bevor ich wieder einen Test wage?

Es geht also darum, dass unfreie Mailclients das Meckern aufhören.
Reicht WoT da aus?

Die Anleitung ist von hier: https://wiki.cacert.org/EmailCertificates


The manual way: Create key locally (using OpenSSL) and get certificate with CSR

• The steps are similiar to the procedure described above, where your browser generates the key pair for you. However, if your browser doesn't support automatic key generation (or you don't trust your browser), you can always create the key pair manually. Before logging in to CAcert.org you have to generate your key and prepare a certificate signing request (CSR) you present at the stage client certificate / New (as described .above).

These are the needed steps in order:

1. Generate the key
2. Create the CSR
3. Paste the CSR in the Generate Certificate form on CAcert.org
   Choose options (not sure whether "Enable certificate login with this certificate" is respected by the server, or something else must be done to prevent creation of a certificate which allows login) Click on Generate Certificate
4. Save the certificate to a file, or install it in your browser (but more must be done to actually use the key resp. certificate, because the server response doesn't contain the private key part!)
5. Assemble the certificate in PKCS12 format (.p12 file extension) which includes the private key part and can be imported in web browsers like Firefox and email application.

One possible way to accomplish this is the following:

• Step_1&2: Using 4096 as the length of your key (in bits), issue the following command:

openssl req -nodes -newkey rsa:4096 -keyout my.key -out my.csr

Fill out the two fields Common Name and Email Address (although that might be unnecessary?) and leave all other blank. After that the private key is in file private.key (note: not protected by a passphrase - this can only be done using OpenSSL's rsa command), and the key signing request including the public part in server.csr .

• Step_3: Log into the CAcert.org website and use the menu client certificate | New. Check Show advanced options: to show the input field Optional Client CSR. Paste the complete contents of the file my.csr (from Step_1&2) into the Optional Client CSR.Then check the other options and finally click on Generate Certificate.
• Step_4: Save the presented response (which is a new signed certificate) into a new file named my.crt (use Copy/Paste). The button Install Your Certificate may or may NOT work in Firefox.
• Step_5: To prepare a PKCS12 file, including the root certificate of the CA use the following command:

openssl pkcs12 -export -in my.crt -inkey my.key -in root.pem -out my.p12

---

Statt der root.pem (bzw. crt) habe ich meine alias@domain.net[B].crt[/B] von CAcert.org runtergeladen, der Befehl lautet somit:

openssl pkcs12 -export -in my.crt -inkey my.key -in alias@domain.net.crt -out my.p12

Es sieht so aus, als sei das Verfahren frei von Hintertüren UND man hat eine "gültige" Signatur.

---

• As of 2011-02-19 with recent Firefox/openssl it seems that you don't need to include the CA cert in the last step, so:

openssl pkcs12 -export -in my.crt -inkey my.key -out my.p12 Where:

• my.key: contains the private key (from Step_1&2)
• my.crt: the server-generated certificate (from Step_3)
• root.pem: the CAcert root certificate (Get this from CAcert.org from the menu Root Certificate, or probably you installed it on your PC already: Then you can export it from the local key store (OS-dependent). If you download it from CAcert.org then choose either Class 1 or Class 3 PKI key dependend on your signing option (or both, then include 2 key files with an extra -in option). The formats Text or PEM should be ok.)

Now the PKCS12 certificate you can work with (which you can keep in a safe place as your backup copy) can be created in the file my.p12 (or choose another name) with this command:
Import the resulting file to Mozilla, Thunderbird, Outlook etc. At the same time this is your backup copy (which you should move to a safe place).

• You can safely delete my.csr, my.crt and my.key since they are "merged" into my.p12 now.

(Statt löschen würde ich sicher abspeichern)​

 

[doe]

SSL Labs: Stricter security requirements for 2014 January 21, 2014 Keys below 2048 bits are now considered weak, with the grade capped at B. Keys below 1024 bits are now considered insecure, and given an F. http://blog.ivanristic.com/2014/01/ssl-labs-stricter-security-requirements-for-2014.html

 

[doe]

Lese hier gerade mit https://board.perfect-privacy.com/fo...auderecke/4525 und möchte fragen, ob ein SHA1-signiertes Stammzertifikat ein kleineres Sicherheitsrisiko darstellt, als eine SHA1-Signatur beim eigenen Zert.

 

[doe]

Gibt es eine Möglichkeit, SMIME-Optionen in Outlook fix einzusellen, so wie hier http://www.loaditup.de/files/820536_t2suz5sy52.png bzw. mit einem Addon oder Registry-Hack?
(Leider benutzen meine Crypto-Kontakte AppleMail und Outlook und sind menschlich)

 

[Dr_Iwan_Kakalakow]

Auch interessant? Gerade erst entdeckt:
[..]
Encrypto verschlüsselt nach dem Standard AES-256, dafür müsst ihr die Dateien einfach per Drag’n’Drop auf das Programmfenster ziehen. Damit der Empfänger die Datei öffnen kann, ist die Eingabe eines Kennworts erforderlich. Entweder legt ihr hier ein gemeinsames Passwort für die Nutzung fest, oder liefert mit der Datei einen Tipp, mit dem euer Gegenüber etwas anfangen kann: „Was isst mein Hund am liebsten?“

Die verschlüsselten Dateien könnt ihr auf beliebigem Weg übertragen – beispielsweise per E-Mail, Direktnachrichten oder USB-Stick – und durch Eingabe des korrekten Kennworts in einer beliebigen Encrypto-Installation öffnen.

Natürlich könnt ihr das Programm auch dazu benutzen, Dateien auf eurer eigenen Festplatte, die nicht für jedermann zugänglich sein sollen, zu verschlüsseln. Anstatt die Datei zu versenden speichert ihr sie hierfür einfach lokal ab.
[..]
http://www.heise.de/newsticker/meld...sselung-fuer-Mac-und-Windows-PCs-2650017.html
http://www.ifun.de/encrypto-neues-verschluesselungs-tool-fuer-mac-und-windows-76729/

 

[Honk]

Tach zusammen,

bin Neuling in openPGP und habe immer ein Fragezeichen beim "Briefumschlag".

Was könnte die Ursache dafür sein?