Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SMIME und XCA

Mitglied: CyborgWeasel

CyborgWeasel (Level 1) - Jetzt verbinden

28.06.2018 um 17:06 Uhr, 1904 Aufrufe, 10 Kommentare

Hallo Leute,

ich habe mich ein wenig bzgl. SMIME im Netz ungesehen und ich denke die Theorie ist soweit halbwegs begriffen. Jetzt möchte ich zur Tat schreiten und versuchen, meinen Emailverkehr mit meinem Firmenaccount zu verschlüsseln. Mit XCA habe ich schon häufig Zertifikate ausgestellt, allerdings lediglich für OpenVPN. Nun ist mir hier noch nicht so ganz klar, wer welche Dateien bekommt und welche nicht.

Also ich erstelle eine ROOT-CA. Dann erstelle ich ein Client Zertifikat, welches von der CA signiert wird. Habe ich das jetzt richtig verstanden, dass ich einfach das Client-Zertifikat in mein Outlook importiere, dem Gegner (Firmen Account) dann eine signierte Email schicke und schon hat er meinen öffentlichen Schlüssel zum verschlüsselten Versenden an mich? Was ist dann mit dem Root CA, brauch das auch noch der gegner zum Ablgeich der Gültigkeit des Client-Zertifikats? Oder kann ich eine PKCS#12 Datei mit Zertifikatskette ausstellen und das RootCA ist mit dabei?

Danke für einen kurzen Schubs in die richtige Richtung!

Gruß
Mitglied: colinardo
LÖSUNG 28.06.2018, aktualisiert um 21:09 Uhr
Servus.
Zitat von CyborgWeasel:
Habe ich das jetzt richtig verstanden, dass ich einfach das Client-Zertifikat in mein Outlook importiere, dem Gegner (Firmen Account) dann eine signierte Email schicke und schon hat er meinen öffentlichen Schlüssel zum verschlüsselten Versenden an mich?
Ja.
Was ist dann mit dem Root CA, brauch das auch noch der gegner zum Ablgeich der Gültigkeit des Client-Zertifikats?
Ja, wenn du das Zertifikat mit deiner eigenen CA signierst muss das Gegenüber der CA natürlich erst mal vertrauen, dazu muss er das CA Zertifikat in den vertrauenswürdigen Speicher für Stammzertifizierungsstellen importieren damit Outlook dem Zertifikat vertraut und es als gültig ansieht und auch so markiert!
Oder kann ich eine PKCS#12 Datei mit Zertifikatskette ausstellen und das RootCA ist mit dabei?
Das reicht nicht, wie oben geschrieben muss er dieses dann erst noch am Rechner als vertrauenswürdige CA deklarieren indem er es in den CA Speicher importiert.
Wenn du stattdessen ein Zertifikat einer öffentlich annerkannten CA verwendest entfällt dieser Schritt natürlich weil dieser ja bereits vertraut wird.
Danke für einen kurzen Schubs in die richtige Richtung!
Immer gerne.

Grüße Uwe
Bitte warten ..
Mitglied: aqui
29.06.2018 um 07:38 Uhr
Dazu sollte man das hier auch nochmal lesen:
https://www.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-a ...
Besonders S/MIME gilt jetzt als unrettbar kaputt. Warum also noch der Aufwand für ein schon totes Pferd...?
Bitte warten ..
Mitglied: colinardo
29.06.2018 um 08:59 Uhr
Irgendwer muss ja der NSA noch was an Klartext liefern .
Bitte warten ..
Mitglied: beidermachtvongreyscull
29.06.2018 um 11:04 Uhr
Zitat von aqui:

Dazu sollte man das hier auch nochmal lesen:
https://www.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-a ...
Besonders S/MIME gilt jetzt als unrettbar kaputt. Warum also noch der Aufwand für ein schon totes Pferd...?

Ich bin da nicht ganz bei Dir.
Die Meldung wurde nach meinem Kenntnisstand dahingehend relativiert, dass das Problem EFail nicht im Verschlüsselungsalgorithmus zu suchen sei, sondern nur in den Programmen.

Es gibt Anfälligkeiten bei bestimmten Clients und einer bestimmten Art, wie E-Mails aufgebaut sein müssen, so dass eine temporär entschlüsselte E-Mail abgreifbar wird. Das kompromittiert aber nicht den Algorithmus.

Ich setze bei uns auf OpenPGP und fahre damit gut.
Wenn XMSS in ersten Implementierungen vorliegen wird, werde ich das ausgiebig testen.
Bitte warten ..
Mitglied: CyborgWeasel
02.07.2018, aktualisiert um 10:35 Uhr
@colinardo: Super, danke es hat wunderbar geklappt. Aber noch eine Frage, bei PKCS#13 Export, ist da der Private-Key nicht auch mit dabei? Den sollte man doch nicht aus der Hand geben, oder?
Bitte warten ..
Mitglied: CyborgWeasel
02.07.2018 um 10:38 Uhr
Zitat von aqui:

Dazu sollte man das hier auch nochmal lesen:
https://www.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-a ...
Besonders S/MIME gilt jetzt als unrettbar kaputt. Warum also noch der Aufwand für ein schon totes Pferd...?

Der Artikel ist mir tatsälich bekannt. Aber es ist zumindest besser als gar nicht verschlüsselt, ich denke damit sollte wengistens dem Datenschutz genüge getan sein (f. Steuerberater o.ä.).
Bitte warten ..
Mitglied: aqui
02.07.2018 um 10:51 Uhr
Vermutlich nicht, denn weil nun die ganze Welt ja weiss wie man insbesondere S/MIME schnell und einfach knacken kann, kann ja logischerweise von "Datenschutz" keinerlei Rede mehr sein.
Das wird wohl auch ein seriöser Datenschützer so sehen.... Aber egal, wenn du damit gut schlafen kannst ist das was anderes. Sicher ist es jetzt nicht mehr...
Bitte warten ..
Mitglied: CyborgWeasel
02.07.2018, aktualisiert um 11:46 Uhr
OK, was wäre dein Alternativvorschlag?

EDIT: Wenn die Email zusätzlich noch signiert wird, sollte doch eine Manipulation erkennbar und damit das Problem behoben sein, oder habe ich was übersehen?
Bitte warten ..
Mitglied: colinardo
02.07.2018, aktualisiert um 13:29 Uhr
Zitat von CyborgWeasel:

@colinardo: Super, danke es hat wunderbar geklappt. Aber noch eine Frage, bei PKCS#13 Export,
Du meinst PKCS12.
ist da der Private-Key nicht auch mit dabei?
PKCS12 ist ein Container-Format und wenn du beim Export wählst das der private Schlüssel mit exportiert werden soll landet dieser ebenfalls zusammen mit dem öffentlichen Teil im Container. Der Container wird seinerseits mit einer Passphrase versehen.
Den sollte man doch nicht aus der Hand geben, oder?
Absolut richtig, der private Key gehört niemals nicht weitergegeben!! Gibst du ihn weiter ist dein Schlüssel nicht mehr geheim und jeder kann damit Mails in deinem Namen signieren.

Weitergegeben wird immer nur der öffentliche Teil deines Zertifikates, ob als crt, der, pem or whatever, die Formate kannst du leicht bei Bedarf per XCA oder OpenSsl umwandeln.
Bitte warten ..
Mitglied: CyborgWeasel
02.07.2018 um 14:11 Uhr
Du meinst PKCS12.

Ja, sorry, Tippfehler

Weitergegeben wird immer nur der öffentliche Teil deines Zertifikates, ob als crt, der, pem or whatever, die Formate kannst du leicht bei Bedarf per XCA oder OpenSsl umwandeln.

Ja, XCA kenne ich. Ich tu mir nur noch etwas schwer mit den Zertifikatformaten. Ich werde einfach für die Weitergabe nur CRT verwenden, dann bin ich sicher dass der private Schlüssel nicht dran hängt. Bzw. habe ich eben gemerkt, dass hier XCA auch nicht nach einer Passphrase fragt. Schlussfolgerung: Frägt XCA nach einem Passwort, dann vorsicht mit der Weitergabe (je nach Zweck natürlich).

Danke nochmals!!

Gruß
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Zertifikate mit XCA-Tool (Windows RDP)
Frage von supertuxVerschlüsselung & Zertifikate5 Kommentare

Hallo, verwendet hier jemand das XCA-Tool für Zertifikate? Ich würde gerne zwischen 2 PCs mit Windows 10 Pro (RDP) ...

Verschlüsselung & Zertifikate

Asymmetrische Verschlüsselung mit XCA (Offline CA)

Frage von H4rdQu0r3Verschlüsselung & Zertifikate2 Kommentare

Hallo Leute, Um mich kurz zu fassen. Ich möchte: -VPN einrichten mit OpenVPN (der professionellen Lösung mit Access Server) ...

Windows Server

Zertfikate mit XCA - "Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden."

gelöst Frage von scusimarcusWindows Server12 Kommentare

Hallo! Mal wieder plagt mich ein Windows-Sicherheitsproblem. Mal wieder ist es scheinbar nirgends dokumentiert. Es geht um die Zertifikatsbasierte ...

Neue Wissensbeiträge
Sicherheits-Tools

Erfahrungsbericht - TrendMicro WFBS Advanced v10.0 (aktuelles Patchlevel) und neues Windows 10 2004 als Funktionsupgrade

Anleitung von VGem-e vor 10 StundenSicherheits-Tools2 Kommentare

Servus Kollegen, grad bei einer Außenstelle mit TrendMicro WFBS Advanced v10.0 das Funktionsupgrade für Windows 10 2004 testweise in ...

Netzwerkgrundlagen

IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)

Anleitung von FA-jka vor 11 StundenNetzwerkgrundlagen5 Kommentare

Hallo, Vorab Ich beschreibe hier lediglich die IPv6-Anbindung. Informationen zu IPv4 sollten selbsterklärend sein. In meinem Szenario verwende ich ...

Grafik

Performance von Onboard Grafik mit DualChannel RAM verbessern

Anleitung von NetzwerkDude vor 13 StundenGrafik

Moin, das ist ist Hardwarekreisen natürlich ein alter Hut, aber falls ihr vom Chef nen RAM-Riegel bekommt fürs Notebook ...

Windows 10

Windows 10 Mai 2020 Update ab sofort verfügbar

Information von Frank vor 13 StundenWindows 101 Kommentar

Microsoft hat das Windows 10 Mai 2020 Update mit integriertem Linux-Kernel und Cortana-Updates veröffentlicht. Auch Windows Server 10 Version ...

Heiß diskutierte Inhalte
Weiterbildung
Umschulung zum FISI
gelöst Frage von Sabo86Weiterbildung29 Kommentare

Hallo zusammen, kurz zu mir: ich bin 33 und möchte in Zukunft im Bereich Systemadministration arbeiten. Da ich vor ...

TK-Netze & Geräte
Günstige Telefonanlagen Lösung für 5 Mitarbeiter
Frage von WashingtonTK-Netze & Geräte25 Kommentare

Hi, eine kleine Firma mit nur einem Standort bezieht eine Bürofläche, als Provider wurde die Telekom favorisiert. Es steht ...

Tipps & Tricks
Kostenlose alternative zu Teamviewer
Frage von andyw5Tipps & Tricks21 Kommentare

Moin an alle, kann mir jemand eine kostenlose einfache alternative zum Teamviewer/Fastviewer nennen? Wie möchten einen PC Win7/10 aus ...

Windows 10
Windows 10 Version 200"4"
gelöst Frage von SarekHLWindows 1019 Kommentare

Guten Morgen zusammen, weiß jemand, wann das MediaCreationTool für die Version 200"4" veröffentlicht wird, oder wo man es evtl. ...