Verschlüsselte Mails

[heinetz]

Hallo Forum,

ich habe ein Problem beim Austausch von verschlüsselten Mails mit meinem Kunden. Ich hatte mir ein Zertifikat von Comodo heruntergeladen, in die Schlüsselbundverwaltung importiert und es wird in Mail verwendet. Es sieht alles gut und richtig aus, nur kann ich die Mails von meinem Kunden leider nicht lesen.

Nun würde ich die Austausch verschlüsselter Mails gerne mit jemand anders als meinem Kunden testen um zu sehen, ob es bei mir oder bei ihm hakt. Gibt es irgendeine Möglichkeit, das irgendwo zu testen bzw. würde das mal jemand mit mir testen?

gruss,
heinetz

 

[404]

Das öffentliche Zertifikat deines Kunden hast du auch im Schlüsselbund? Dein privater Schlüssel ist auch drin?

 

[heinetz]

sofern ich das nicht falsch deute, ja:
- In der Schlüsselbundverwaltung finde ich einen Eintrag der Art "Zertifikat" mit dem Namen entspr. meiner Email-Adresse.
- Darunter einen Sub-Eintrag der Art "Privater Schlüssel" mit dem Namen "Schlüssel von secure.comodo.com".
- In der Schlüsselbundverwaltung finde ich ausserdem einen Eintrag, wenn ich nach der Email-Adresse meines Kunden suche.
- Dieser Eintrag ist auch von der Art "Zertifikat" und hat den Namen "Secure Mail: Gateway Certificate" ohne Sub-Einträge.
- Wenn ich diesen Eintrag öffne steht dort Naben unzähligen anderen Informationen unter Name des Inhabers die Email-Adresse meines Kunden. Alle anderen Informationen lassen mich auf nichtsfehlerhaftes schliessen.

Es gibt nur einen auffälligen Punkt, zu dem ich auch schon gelesen hatte, das OS X Mail sich daran stört:

Inhaber des Zertifikats ist vorname.name@kunde.com während im Mail-Header Vorname.Name@kunde.com steht

Mein Kunde ist ein recht grosses Unternehmen und hat die Probleme beim Austausch verschlüsselterer Mails
nur mit mir. Was natürlich heissen kann, nur mit mir als Appel-Mail Nutzer. Deshalb habe ich mir Thunderbird
installiert, aber auch mit Thunderbird kann ich die Mail nicht lesen (Ich gehe davon aus, dass Thunderbird sich
den Schlüssel meines Kunden auch aus der Schlüsselbundverwaltung holt und ich den nicht extra in Thunderbird
importieren muss).

Was ich allerdings nicht einschätzen kann, wie dieses case-sensitive Verhalten zu qualifizieren ist, ob das als Bug
von OS X Mail zu werten ist, oder ob der Bug eher darin besteht, dass es die Windows-Umgebung, über die mein
Kunde wahrscheinlich mit allen anderen verschlüsselte Mails austauscht, nicht schert, ob Zertifikat und Email-Adresse
sich case-sensitiv unterscheiden.

gruss,
heinetz

 

[404]

Mozillas Thunderbird und Firefox nutzen eigene Zertifikatspeicher, nicht den OSX Schlüsselbund, d.h. du müsstest zum Testen sämtliche Zertifikate/Schlüssel in TB importieren.

Wenn du den Fehler partout nicht findest, könnte ich zur Not evtl. morgen ein eigenes Zertifikat erstellen (allerdings mit eigener CA) und wir testen das.

 

[Matrickser]

Nun würde ich die Austausch verschlüsselter Mails gerne mit jemand anders als meinem Kunden testen um zu sehen, ob es bei mir oder bei ihm hakt. Gibt es irgendeine Möglichkeit, das irgendwo zu testen bzw. würde das mal jemand mit mir testen?

gruss,
heinetz

Zum Testen deiner Verschlüsselung kannst du entweder: edward-de@fsf.org oder adele@gnupp.de nutzen - beides sind Übungsroboter von GnuPP bzw. Free Software Foundation.

 

[PaulFH]

Zum Testen deiner Verschlüsselung kannst du entweder: edward-de@fsf.org oder adele@gnupp.de nutzen - beides sind Übungsroboter von GnuPP bzw. Free Software Foundation.

Da er über Comodo redet, wird es wohl SMIME nach RFC 2633 auf Basis von x.509 Zertifikaten sein,

 

[Matrickser]

Da er über Comodo redet, wird es wohl SMIME nach RFC 2633 auf Basis von x.509 Zertifikaten sein,

Stimmt, völlig überlesen - mein Fehler.

 

[pc-bastler]

Hast du vielleicht "vor" Commodo mit dem Kunden mit Zertifikaten rumprobiert oder hast du bei Commodo mehrfach Zertifikate geladen? - Für mich klingt es nach einem Problem mit deinem Zertifikat, wenn du die Mail nicht lesen kannst. Läge der Fehler auf Seiten deines Kunden, so würdest du höchstens eine fehlerhafte Signatur angezeigt bekommen (und dein Kunde könnte von dir verschlüsselte Mails nicht lesen).

 

[heinetz]

Mozillas Thunderbird und Firefox nutzen eigene Zertifikatspeicher, nicht den OSX Schlüsselbund, d.h. du müsstest zum Testen sämtliche Zertifikate/Schlüssel in TB importieren.

Ich habe mir das Zertifikat meines Kunden in der Schlüsselbundverwaltung herausgesucht und exportiert. In tB importieren konnte ich es allerdings nicht.

Wenn du den Fehler partout nicht findest, könnte ich zur Not evtl. morgen ein eigenes Zertifikat erstellen (allerdings mit eigener CA) und wir testen das.

ja, gern.

 

[404]

-> Unterhaltung

 

[heinetz]

Hast du vielleicht "vor" Commodo mit dem Kunden mit Zertifikaten rumprobiert oder hast du bei Commodo mehrfach Zertifikate geladen? - Für mich klingt es nach einem Problem mit deinem Zertifikat, wenn du die Mail nicht lesen kannst. Läge der Fehler auf Seiten deines Kunden, so würdest du höchstens eine fehlerhafte Signatur angezeigt bekommen (und dein Kunde könnte von dir verschlüsselte Mails nicht lesen).

Ich bin mir nicht sicher, aber ich glaube, ich hatte die Zertifikate meines Kunden schon, bevor ich mein eigenes habe bei comodo erstellen lassen in meiner Schlüsselbundverwaltung. Ich habe jedenfalls nie ein Zertifikat meines Kunden manuell installiert, sondern habe ca. 150 Zertifikate von Mitarbeitern des Unternehmens n meiner Schlüsselbundverwaltung, mit denen ich noch nie zu tun hatte.

Mein Kunde hatte zwischendurch mal die Verschlüsselungsstärke für meine Emailadresse von AES256 auf AES192 umgestellt. Da hatte es ganz kurzfristig funkiontioniert und ich konnte seine verschlüsselte Mail lesen. Das war allerdings von kurzer Dauer. Die Begründung war die, dass mein Comodo-Schlüssel AES256 könne und der Verschlüsselungsgateway das merken würde, sobald ich eine Mail an ihn schicken würde und dann automatisch wieder auf AES256 umstellen würde.

 

[Olivetti]

dein kunde kann deine "verschlüsselungsstärke" in keinster weise umstellen, der schlüssel wird ja einmalig erstellt und ist damit fest.
du solltest dir erstmal ein paar grundlagen draufpacken, links und pdf wurde dir hier ja schon genannt, auch wenn's da um gpg geht, das prinzip ist das gleiche.

du hast dein zertifikat doch sicher in einem browser gespeichert, damit kannst du es exportieren und in TB importieren.

hast du nicht noch einen anderen thread mit dem gleichen problem?

 

[heinetz]

Nein, mein Kunde hat nicht meine Verschlüsselungsstärke umgestellt, sondern die Verschlüsselungsstärke der Mails von ihm an mich.

Ich konnte mein eigenes Zertifikat problemlos in TB importieren, nur das Zertifikat meines Kunden nicht.

Ja, ich hatte irgendwann schonmal versucht, das Problem zu lösen aber dann irgendwann aufgegeben.

 

[Olivetti]

schick mir mal eine signierte mail (einfach mit betreff: test, text: test) an meine adresse (kriegst du via PN).