Outlook s/mime Yubikey

J

jomip

unregistriert
Thread Starter
Dabei seit
02.03.2007
Beiträge
1.969
Reaktionspunkte
362
Folgende Fragestellung:
Verwendete Software: MacOS Mojave, MS Outlook für Mac (Vers. 16.31)

Ich habe mir mit dem Zertifikatsassistenten ein selbstsigniertes s/mime-Zertifikat erstellt, das ich zum Signieren und Verschlüsseln meiner Mails benutze. Das funktioniert seit langem einwandfrei.

Um das Zertifikat noch besser zu schützen, möchte ich Outlook dazu bringen, beim Signieren oder Verschlüsseln nicht auf das Zertifikat im Schlüsselbund zuzugreifen, sondern ich möchte das Zertifikat auf meinem Yubikey 5 ablegen. Das sollte mit dem Yubikey Manager und dem Import einer digitalen Signatur sicher funktionieren.

Ungelöst ist die Frage, wie ich Outlook nun dazu bringe, auf den Yubikey zuzugreifen?

Jemand eine Idee?
 
So wie du schreibst, vermute ich dass dir nicht ganz klar ist, wie die Verschlüsselung funktioniert. Du hast sicher nicht deine Mails mit deinem selbst erstellten u. signiertem CERT verschlüsselt.

Ausgehende Mails werden mit dem Schlüssel des Empfängers verschlüsselt. Dein Mail-Client hängt immer zusätzlich deinen öffentlichen Schlüssel dran, bei verschlüsselten und nd unverschlüsselten Mails. Mit deinem öffentlichen Schlüssel wird deine ausgehende Mail nie verschlüsselt sondern nur signiert.

Eingehende Mails muss der Empfänger mit deinem zuvor erhaltenen öffentlichen Schlüssel verschlüsseln. Dazu muss auch er zwingend selbst S/MIME nutzen. Nutz der Empfänger das nicht, bringt auch der zuvor erhaltene öffentliche Schlüssel von dir nichts. Die Mails an dich bleiben unverschlüsselt.

Selbst signierte Certs für S/MIME zu nutzen ist wenig sinnvoll, da die Empfänger deiner Mail nicht die Authentizität verlässlich prüfen können und in deren Mail-Client auch sowas erscheint wie „nicht vertrauenswürdig“. Und als nicht vertrauenswürdig möchtest du bei Verwendung von S/MIME Signierung und Verschlüsselung sicher nicht bezeichnet werden.
 
Danke für die Ausführungen, die allerdings meine eigentliche Frage völlig ignorieren. Sei's drum: Ich gebe zu, mich nicht klar ausgedrückt zu haben. Im übrigen beschäftige ich mich mit dem Thema Verschlüsselung schon seit Anfang der 90er Jahre, meine ersten verschlüsselten Nachrichten habe ich mit PGP unter MS-Dos erstellt. Das zum Hinweis, mir sei nicht klar, wie Verschlüsselung funktioniert.
 
Ich wollte dir nicht zu nahe treten, aber du hast dich wirklich sehr unglücklich ausgedrückt. Und nein, ich kenne keine Lösung für Outlook.

Ich würde dir aber eh einen ganz anderen Ansatz vorschlagen, nämlich nicht nur dein cert auf den Yubikey zu bringen und irgendwie Outlook bekannt zu machen, sondern den gesamten Schlüsselbund, da du ja zum Verschlüsseln die certs der Empfänger brauchst.
 
ich wüsste ehrlich gesagt auch keine Möglichkeit, Outlook einen andern Schlüssel Store als den Schlüsselbund auf macOS bzw. certmgr.msc auf Windows beizubringen.
Wäre mir absolut neu und ich nutze S/Mime seit deutlich über einem Jahrzehnt.
 
maba_de schrieb:
ich wüsste ehrlich gesagt auch keine Möglichkeit, Outlook einen andern Schlüssel Store als den Schlüsselbund auf macOS bzw. certmgr.msc auf Windows beizubringen.
Wäre mir absolut neu und ich nutze S/Mime seit deutlich über einem Jahrzehnt.
Zum Vergrößern anklicken....

Das vermute ich auch. Jedenfalls werden in den erweiterten Account-Einstellungen bei Outlook ausschließlich Zertifikate aus dem Schlüsselbund angezeigt. Ich denke, das Thema kann dann auch geschlossen werden.
 
@jomip, doch das sollte möglich sein, gleichwohl habe ich es auch noch nicht hingebracht. Die Idee funktioniert anders herum. D.h. nach dem entsperren des Yubikeys werden die Zertifikate vom Yubikey in der Keychain von macOS angezeigt. Dazu war unter älteren Versionen das Tool openSC nötig. Leider scheint genau dieser Mechanismus unter macOS Catalina nicht mehr zu funktionieren. Es gibt bei GIT eine Seite für openSC, vielleicht schaust Du dir diese an und versuchst es einfach mal.

ciao
ryder
 
Zurück
Oben Unten