[gelöst] CAcert Zertifikate in K-Mail

P6CNAT · 22 Mai 2009

Hallo Miteinander,

ich verwende K-Mail 1.9.9 unter Open Suse 11.0.
Nun habe ich eine mit einem CAcert Zertifikat signierte Mail erhalten. Und K-Mail mosert rum, dass die Signatur nicht überprüft werden kann.

Es sind nicht genügend Informationen zur Überprüfung der Signatur vorhanden: [Details]

Status: Keine Status-Informationen verfügbar. Details ausblenden
Show Audit Log

Hier ist das Audit Log, anscheinend kann K-Mail das root Zertifikat von CAcert nicht finden - lesbare Namen von Personen habe ich durch X ersetzt.

Code:

*
Prüfung der Signatur erfolgreich

Yes

*  
Daten vorhanden

Yes

*  
Signatur vorhanden

Yes

*  
Syntaxanalyse der Signatur erfolgreich

Yes

*  
Signatur 0

bad

*     
(#06A28C/1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA)


*    
Zertifikatkette vorhanden

Yes

*       
(Das Wurzelzertifikat fehlt)


*       
(#06A28C/1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA)


*         
(/1.2.840.113549.1.9.1=#756C72696368406361636572742E6F7267,CN=XXXXXXXXXXX)


*         
(/<XXXXXX@XXXXXXXXXXXX>)


*    
Zertifikatkette gültig

No

*       
(Konfigurationsfehler)


*    
CRL/OCSP Prüfung der Zertifikate

-

*  
Mitgesendete Zertifikate

1

*     
(#06A28C/1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA)


*       
(/1.2.840.113549.1.9.1=#756C72696368406361636572742E6F7267,CN=XXXXXXXXXXXXXXXXXX)


*       
(/<XXXXXX@XXXXXXXXXXXX>)


*
Dirmngr benutzbar

Yes

Hat jemand eine Idee, wie man CAcert in K-Mail einbinden kann?

Grüße
Georg

/dev/null · 22 Mai 2009

Hi P6CNAT,

ist denn das Herausgeberzertifikat von CAcert im Zertifikatsspeicher enthalten? Von "Hause aus" ist es nicht drin, du musst es also zuerst importieren.

MfG Peter

Tooltime · 22 Mai 2009

Bei KDE3:

kcontrol --> Sicherheit & Privatsphäre --> Verschlüsselung

Da gibt es irgendwo die Möglichkeit Root-Zertifikate zu importieren. Bei KDE4 habe ich die Funktion bis jetzt noch nicht gefunden.

/dev/null · 22 Mai 2009

Es dürfte sogar schon reichen, das Zertifikat von der Webseite zu laden und durch Klick zu "starten". Zertifikate sind mit Kleopatra verbunden, und flugs ist es importiert. Ich schätze mal ein, dass das Programm so schlau ist, und erkennt, dass es ein Herausgeberzertifikat ist. Nachschauen dann so, wie beschrieben. Wenn es nicht geklappt hat, manuell importieren.

Da ich den Thunderbird (mit eigenem Zertifikatsspeicher) benutze, kann ich obiges nicht mit Bestimmtheit sagen.

Falls weitere Fragen zum Thema auftreten, schau mal hier, ich habe da mal was zusammengeschrieben:
http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift

MfG Peter

P6CNAT · 22 Mai 2009

Hi,

die Tipps sind gut!
Unter KMail kommt man mit Extras --> Zertifikatsverwaltung in Kleopatra, das hatte ich übersehen.
kcontrol --> Sicherheit & Privatsphäre --> Verschlüsselung funktioniert auch, unter dem Reiter SSL-Unterzeichner konnte ich das Class 3 Zertifikat importieren.

Das CAcert Class 3 Zertifikat sind jetzt im Kontrollzentrum sichtbar.
Unter Kleopatra sieht man einen Baum mit dem CAcert root Zertifikat, darunter das Class 3 Zertifikat und das des Absenders der Mail die ich erhalten habe als Zweige.

Merkwürdigerweise sagt KMail, dass die Signatur immer noch nicht geprüft werden kann. Eigentlich müssten doch jetzt alle Daten vorhanden sein.

Gruß
Georg

/dev/null · 22 Mai 2009

Schau dir das Zertifikat, mit dem die Nachricht signiert wurde, genauestens an. Du siehst u.a. mit welchem Zertifikat (genauer: privat Key) das Nutzerzertifikat des Absenders signiert wurde. Jetzt prüfe ebenso genau, ob das frisch importierte Zertifikat wirklich das richtige ist.
Ich habe da so meine Befürchtungen (class 3 ???)
Hast du das Herausgeberzertifikat auch wirklich unter "SSL-Unterzeichner" zu stehen?

MfG Peter

P6CNAT · 23 Mai 2009

Hallo,

das root Zertifikat von CAcert habe ich von http://www.cacert.org/index.php?id=3.

/dev/null schrieb:
Hast du das Herausgeberzertifikat auch wirklich unter "SSL-Unterzeichner" zu stehen?

Ja.

Zur Gegenkontrolle habe ich es in Windows XP mit Outlook installiert. Outlook findet die Signatur meines E-Mail Absenders nun vertrauenswürdig.

Das Class 3 Zertifikat habe ich aus dem KDE Kontrollzentrum und Kleopatra gelöscht Das CAcert root Zertifikat drin gelassen.

Das Zertifikat des E-Mail Absenders ist augenscheinlich von CAcert ausgestellt. Folgende Zeile gibt Kleopatra als Aussteller des Zertifikates aus.

CN=CA Cert Signing Authority,EMAIL=support@cacert.org,OU=http://www.cacert.org,O=Root CA

Ich habe keine Ahnung ob man das fälschen kann. In diesem Fall habe ich aber keine Zweifel an der Identität/Signatur des Absenders. Trotzdem kann KMail das Zertifikatkette nicht verifizieren.

Gruß
Georg

/dev/null · 23 Mai 2009

Hi Georg,

zuerst einmal grundsätzlich: Dem von einem etablierten Trustcenter (!) herausgegebenen Zertifikat kannst du bedenkenlos vertrauen. Bei der gemeinschaftsbetriebenen, nicht-kommerziellen Zertifizierungsstelle "CAcert" gehe ich davon aus, dass die "Mitarbeiter" ihre Tätigkeit genau so ernsthaft betreiben, wie bei einem kommerziellen oder behördlichen Trustcenter. Eine Fälschung eines User-Zertifikates kannst du ausschließen und mit Hilfe des root- oder Herausgeberzertifikates jederzeit erkennen. Letzteres kannst du von jedem Trustcenter auf dessen Webseite herunterladen und auch mit Hilfe des "Fingerabdruckes" überprüfen.

Es gibt einen einzigen, aber bedeutsamen, Unterschied zwischen den kostenpflichtigen Zertifikaten eines etablierten Trustcenters und den kostenlosen vom CAcert, vom TC-Trustcenter Hamburg oder anderen "Kostnix-Anbietern". Bei den kostenpflichtigen Zertifikaten erfolgt immer eine echte Identitätsprüfung des Antragstellers. Je nach Höhe der Sicherheit (qual. el. Signatur) bis zum persönlichen Vorsprechen und Unterschreiben im "4-Augen-Prinzip" bei einer Registrierungsstelle. Auf diese Weise garantieren wir, dass die Signatur immer von der Person stammt, deren Name im Zertifikat eingetragen ist. Nur damit ist die qual. el. Sig. vor dem Gesetz fast genau so viel Wert, wie eine echte menschliche Unterschrift. (Sicherer ist sie allemal ... .)

Bei vielen "Kostnix-Zertifikaten" gibt es eine derartige Identitätsprüfung nicht, oder sie wird wie beim CAcert mit Hilfe der Gemeinschaft ("Notare") durchgeführt. Vor dem Gesetz gilt das nicht, aber für private Verschlüsselung und unter Freunden ist das völlig ausreichend. Zumal du ja auch zum Bsp. am Telefon den Fingerprint überprüfen kannst.

Wie du mit Hilfe von Ausgugg festgestellt hast, ist ja die Signaturkette (root > User > Mail) vollständig. Warum das bei dir mit Kmail nicht funktioniert, weiß ich nicht. Fakt ist, Kmail kann das genau so gut ... . Bei der Nutzung von S/MIME mit X.509-Zertifikaten muss einfach alles passen. Das kleinste Versehen wird "bestraft". Schau dir am Besten alles noch einmal genauestens an.
Meine praktischen Erfahrungen mit Kmail gehen leider fast gegen Null. Habe mich nur kurzzeitig mal mit ihm befasst und bin schon vor Jahren beim Thunderbird hängengeblieben.

MfG Peter

Tooltime · 24 Mai 2009

Hast du mal geschaut ob das Zertifikat überhaupt für E-Mail-Signaturen zugelassen ist? Die Verwendung eines Zertifikats kann eingeschränkt werden.

whois · 24 Mai 2009

Mal so in den Raum gefragt.
Sind diese Certifikate bereits auf einigen Live Distributionen vorhanden?
Das wäre eine gefahrenlose Art das mal aus zu Probieren ob es den Beispielsweise unter Knoppix mit Thunderbird funktioniert.

P6CNAT · 24 Mai 2009

Hallo,

Tooltime schrieb:
Hast du mal geschaut ob das Zertifikat überhaupt für E-Mail-Signaturen zugelassen ist? Die Verwendung eines Zertifikats kann eingeschränkt werden.

Ja, das Zertifikat ist für Zertifizierung, Verschlüsselung und Signierung zugelassen. Nur Authentifizierung geht nicht.

whois schrieb:
Mal so in den Raum gefragt.
Sind diese Certifikate bereits auf einigen Live Distributionen vorhanden?

Soviel ich weiss nicht. Peter (Alias /dev/null) hat ja darauf hingewiesen, dass die Identitätsprüfungen von CAcert nicht anerkannt werden. CAcert arbeitet aber an der öffentlichen Zulassung.

Gruß
Georg

/dev/null · 24 Mai 2009

P6CNAT schrieb:
Zur Gegenkontrolle habe ich es in Windows XP mit Outlook installiert. Outlook findet die Signatur meines E-Mail Absenders nun vertrauenswürdig.

Ich lese daraus, dass Georg dabei zur Zertifikatsprüfung das gleiche Herausgeberzertifikat verwendet hat, welcher er auch im Kmail importiert hatte. Sonst wird das nix ... .
Deshalb habe ich ja geschrieben:

Schau dir das Zertifikat, mit dem die Nachricht signiert wurde, genauestens an. Du siehst u.a. mit welchem Zertifikat (genauer: privat Key) das Nutzerzertifikat des Absenders signiert wurde.

Du musst also exakt überprüfen, ob es wirklich das richtige (!) Herausgeberzertifikat ist. Zum Bsp anhand einer eingetragenen Zertifikatsnummer oder Hashwertes.

Ein etabliertes Trustcenter verwendet neben seinem root-Zertifikat dessen privat key mit einem kaum noch zu toppenden Aufwand geschützt wird (Hardwaresicherheitsmodule für mehrere 10.000 € pro Stück), noch weitere mit diesem Key signierte Herausgeberzertifikate für die einzelnen Qualitäten der produzierten Zertifikate. Also für Zertifikate für qualifizierte Signaturen ein anderes als für die "fortgeschrittenen" und wieder ein anderes für die "kostnix-Zertifikate". Das ist auch gut und richtig so, denn wenn ich "per se" den qualifizierten und fortgeschrittenen Signaturen eines etablierten TC trauen darf, so darf ich das ja noch lange nicht bei den kostenlosen. Die Begründung habe ich genannt.
Deshalb - noch einmal - genau nachsehen!

MfG Peter

P6CNAT · 24 Mai 2009

Hallo,

/dev/null schrieb:
Ich lese daraus, dass Georg dabei zur Zertifikatsprüfung das gleiche Herausgeberzertifikat verwendet hat, welcher er auch im Kmail importiert hatte. Sonst wird das nix ... .

Ja, dasselbe Herausgeberzertifikat und dieselbe Mail auf beiden Rechnern.

/dev/null schrieb:
Du musst also exakt überprüfen, ob es wirklich das richtige (!) Herausgeberzertifikat ist. Zum Bsp anhand einer eingetragenen Zertifikatsnummer oder Hashwertes.

Der Fingerprint in Kleopatra und kcontrol stimmen mit dem Fingerprint auf der Internetseite von CAcert überein.

An den private Key komme ich nicht ran, oder ich übersehe ihn geflissentlich. Hier ist Info die Kleopatra zum root Zertifikat von CAcert ausgibt:

Code:

           ID: 0x76CE8F33
          S/N: 00
       Issuer: 1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA
      Subject: 1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA
     sha1_fpr: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
      md5_fpr: A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
       certid: CDECFDC58640B7262B39CCB59B61E8EEFF2ED4D0.00
      keygrip: 39C0563884B2C101B20C59ED4027B50193FFF772
    notBefore: 2003-03-30 12:29:49
     notAfter: 2033-03-29 12:29:49
     hashAlgo: 1.2.840.113549.1.1.4 (md5WithRSAEncryption)
      keyType: 4096 bit RSA
    subjKeyId: 16B5321BD4C7F3E0E68EF3BDD2B03AEEB23918D1
    authKeyId: 00
               1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA
 authKeyId.ki: 16B5321BD4C7F3E0E68EF3BDD2B03AEEB23918D1
     keyUsage: [none]
  extKeyUsage: [none]
     policies: [none]
  chainLength: unlimited
        crlDP: https://www.cacert.org/revoke.crl
               issuer: none
     authInfo: [none]
     subjInfo: [none]
         extn: 2.16.840.1.113730.1.4 (netscape-ca-revocation-url)  [35 octets]
         extn: 2.16.840.1.113730.1.8 (netscape-ca-policy-url)  [39 octets]
         extn: 2.16.840.1.113730.1.13 (netscape-comment)  [73 octets]

In der Info die Kleopatra zum Schlüssel aus der Mail ausgibt stimmt die Zeile Issuer vollständig, die Zeile certid bis zum Punkt überein. Hinter dem Punkt kommt die Seriennummer aus der Zeile S/N.

Gruß
Georg

/dev/null · 24 Mai 2009

P6CNAT schrieb:
An den private Key komme ich nicht ran, oder ich übersehe ihn geflissentlich.

Das ist schon richtig so

Es wird immer nur das "Zertifikat", also der öffentliche Schlüssel + Zertifikatsdaten + Fingerprint + Herausgeber + Verwendungszweck usw. angezeigt.

So wie du das beschrieben hast, hast du wirklich alles richtig gemacht!
Warum das bei dir mit Kmail und Kleopatra nicht funktioniert, entzieht sich meiner Kenntnis.
Könnte es eventuell sein, dass du im Kmail auch erst ein eigenes Zertifikat (=> eine Schlüsseldatei .pfx oder .p12) installieren musst, um überhaupt S/MIME nutzen zu können? Ich weiß es wirklich nicht. Hole dir doch einfach eines vom TC Hamburg oder von CAcert. Kost doch nix ... . Und gut ist das Verschlüsseln der Mails ohnehin.

MfG Peter - bei dem kaum noch eine Mail unverschlüsselt raus geht ... .

P6CNAT · 25 Mai 2009

Hallo Peter (Alias /dev/null)

Danke für die Unterstützung.
Ich hoffe, dass das Problem mit KDE4 behoben ist. Ich werde aber erst umsteigen, wenn die DVD mit Suse 11.2 verfügbar ist.

Gruß
Georg

/dev/null · 25 Mai 2009

Oder du steigst um auf Thunderbird

Da kann ich dir wirklich helfen.
KDE4 werde ich so lange wie möglich vermeiden. Ist mir zu "klicki" und zu "bunti". Aber die Geschmäcker sind eben unterschiedlich.
Und das ist auch gut so, um mit den Worten eines bekannten Berliner Politikers zu sprechen.

MfG Peter

whois · 26 Mai 2009

Sonst wäre es auch keine schlechte Idee zweispännig zu fahren und neben Kmail auch Thunderbird zum Einsatz zu bringen.
Mit diversen Addons kann das meines Erachtens sogar mehr als Kontact.

Tooltime · 26 Mai 2009

P6CNAT schrieb:
ch hoffe, dass das Problem mit KDE4 behoben ist. Ich werde aber erst umsteigen, wenn die DVD mit Suse 11.2 verfügbar ist.

Jetzt wo du das Stichwort KDE4 ins Spiel bringst, stutze ich ein wenig. Denn wie gesagt, unter 11.1 und KDE 4.2 gibt es die Einstellungen nicht im Kontrollzentrum. Du hast aber erwähnt, das unter Kontrollzentrum -_> ..., das Zertifikat zu sehen ist. Das hegt in mir den Verdacht, das du das Zertifikat in die KDE3-Umgebung importiert hast, die unter KDE4 nicht erreichbar ist. Das kann man leicht mit dem entsprechenden Aufruf von Kleopatra testen:

/opt/kde3/bin/kleopatra für KDE 3
/usr/bin/kleopatra für KDE 4

P6CNAT · 26 Mai 2009

Hallo,

@Peter
so wie du das geschildert hast, habe ich keine Zweifel, dass die Signierung mit Thunderbird auf anhieb funktionieren würde.

Bei meinem Umstieg auf Linux hatte ich auch Thunderbird getestet. Ich finde es gut, aber wegen des integrierten Kalenders habe ich mich für Kontact entschieden. Zu diesem Zeitpunkt gab es kein Kalender für Thunderbird. Ich weiss nicht ob es heute einen gibt.

whois schrieb:
Sonst wäre es auch keine schlechte Idee zweispännig zu fahren und neben Kmail auch Thunderbird zum Einsatz zu bringen.

Zweispännig zu fahren bedeutet auch mehr Aufwand. Und ich brauche immer noch Outlook, weil ich gelegentlich auf alte Mails zurückgreife. Eine vollständige Migration wäre noch aufwändiger. Deshalb werde ich nicht noch einen dritten Mail-Client aufmachen.

Tooltime schrieb:
Jetzt wo du das Stichwort KDE4 ins Spiel bringst, stutze ich ein wenig. Denn wie gesagt, unter 11.1 und KDE 4.2 gibt es die Einstellungen nicht im Kontrollzentrum. Du hast aber erwähnt, das unter Kontrollzentrum -_> ..., das Zertifikat zu sehen ist. Das hegt in mir den Verdacht, das du das Zertifikat in die KDE3-Umgebung importiert hast, die unter KDE4 nicht erreichbar ist. Das kann man leicht mit dem entsprechenden Aufruf von Kleopatra testen:

/opt/kde3/bin/kleopatra für KDE 3
/usr/bin/kleopatra für KDE 4

Sehr interessanter Hinweis, darauf wäre ich nicht gekommen.
Ich nutze KDE3, aber die Zertifikate sind in beiden Kleopatras für KDE3 und KDE4 sichtbar!
Für mich sieht es so aus, dass die beiden Kleopatras auf dieselben Daten zurückgreifen.

Gruß
Georg

/dev/null · 26 Mai 2009

Hi Georg,

das Problem lässt uns wohl nicht los

Ich habe im Rahmen meiner beruflichen Tätigkeit wohl so ziemlich alle Mailclients getestet, die für Windows und Linux auf dem Markt sind. Sowohl kostenlose als auch Löhnware. Ziel war dabei die Anwendung von S/MIME, und natürlich auch Fragen der Sicherheit, also der Implementierung der Sicherheitsfunktionen in die Clients.
Wenn ich auch beruflich wohl niemals freiwillig von "meinem" Lotus-Notes nebst Domino abgehen würde, so bin ich privat beim Thunderbird "hängen geblieben". Damit wollte ich ausdrücken, einen "besten" Mailclient gibt es nicht! (LoNo ist ein sehr universelles Programm, was auch gut zum Mailen genutzt werden kann. Es einen Mailclient zu nennen, wäre eine Beleidigung.)

Was mir am TB so gut gefällt, ist seine Universalität. Es gibt fast nichts, was sich nicht mit Add-ons nachrüsten ließe. Selbstverständlich auch einen Kalender (Lightning). Ich habe die Add-ons nicht gezählt, es sind Hunderte. Und die Geschmäcker sind verschieden ... .

Ein großer Vorteil ist auch, dass ich mit dem physisch gleichen Mailprofil (auf einer NFS-Partition) den TB sowohl unter Linux, als auch auf der WinDOSe nutze. Auch wenn ich kaum noch weiß, wann ich diese das letzte Mal gebootet habe

Ich habe problemlos alle meine Mails und auch die Adressbücher von Ausgugg nach Thunderbird übernommen.

Ja, und ohne S/MIME (nicht nur mit Softtoken, sondern auch mit meiner Chipkarte) hätte ich den TB längst wieder gelöscht.

Das ganze sollte aber keine Werbeveranstaltung sein! Mir gefällt das Teil einfach und ich verbringe als der für Verschlüsselung und IT-Sicherheit "zuständige" Mod. viele Stunden im TB-Forum. Trotzdem: Mit gefällt auch Kmail und ich achte sogar Nutzer von Incredimail

MfG Peter

[gelöst] CAcert Zertifikate in K-Mail

P6CNAT

/dev/null

Moderator

Tooltime

/dev/null

Moderator

P6CNAT

/dev/null

Moderator

P6CNAT

/dev/null

Moderator

Tooltime

whois

P6CNAT

/dev/null

Moderator

P6CNAT

/dev/null

Moderator

P6CNAT

/dev/null

Moderator

whois

Tooltime

P6CNAT

/dev/null

Moderator