• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Signaturprüfung bei eingehenden Mails

coogor

coogor

Morgen..ich bin nicht sicher ob diese Gruppe richtig ist, ich versuche es einfach mal....

Ich nutze KDE 4.9.5, KMail und Kpgp. Entschlüsseln mit pgp klappt auch problemlos.
Manche Mails sind aber mit S/MIME-Signaturen versehen, und hier wird regelmässig die Signatur 0 als fehlerhaft angezeigt.
Code: 
The root certificate (the trust-anchor) is not trusted. Depending on the configuration you may have been prompted to mark that root certificate as trusted or you need to manually tell GnuPG to trust that certificate. Trusted certificates are configured in the file trustlist.txt in GnuPG's home directory. If you are in doubt, ask your system administrator whether you should trust this certificate.
Der Aussteller in diesem Falle ist Verisign. Kenne ich nicht persönlich, würde ich im Moment aber als vertrauenswürdig einstufen :D
Die Frage die sich mir stellt...Mozilla aktualisiert andauernd Zertifikatslisten, kann man die für KMail/Kleopatra irgendwie anzapfen? Damit sollte sich das Problem ja dann erledigt haben.
 
/dev/null

/dev/null

Moderator
Teammitglied
Hallo coogor,

ich glaube, du haust hier GnuPG und S/MIME in einen Topf.
Beide arbeiten nach fast den gleichen Grundsätzen (hybride Kryptografie), sind aber trotzdem etwas anderes.
Wenn eine E-Mail eine mit einem X.590-Zertifikat und somit per S/MIME signiert wurde, dann kann diese Signatur auch nur mit S/MIME geprüft werden.
(=> das war meine Antwort auf "Ich nutze KDE 4.9.5, KMail und Kpgp. Entschlüsseln mit pgp klappt auch problemlos."

Bei der Signaturprüfung mit S/MIME muss auf dem Client der vollständige "Vertrauensbaum" vorhanden sein. Das bedeutet, dass beginnend vom "root-Zertifikat" des ausstellenden TrustCenters (hier: Verisign) über eventuelle Zertifikate von Sub-CAs auch das persönliche Nutzerzertifikat des unterschreibenden Nutzers vorhanden sein muss. Denn mit diesem öffentlichen Schlüssel wird ja die Signatur entschlüsselt und somit geprüft.
Fehlerursachen sind dabei:
- das Nichtvorhandensein eines der benötigten Zertifikate
- Ungültigkeit auch nur eines davon
- Wenn auch nur eines davon nicht das exakt benötigte ist. => Hashwerte der gesamten Kette vergleichen ...
- Wenn dem root-Zertifikat oder einer untergeordneten CA nicht das Vertrauen ausgesprochen wurde oder eines der Z. zurückgezogen wurde

MfG Peter
 
OP
coogor

coogor

Hi,

ja, das war etwas blöde ausgedrückt, der Unterschied zwischen pgp und S/MIME ist mir schon geläufig :/
Nachdem ich in Kleopatra mal Verisign mein Vertrauen ausgesprochen habe ging die Signaturprüfung auch durch.

Das kann aber doch nicht Sinn der Sache sein, denn schließlich vertraue ich Verisign per-se nicht (was sich nach den diversen Hacks in CA's ja auch als richtig rausgestellt hat) und kann auch nicht jedes Root-Zertifikat signieren. Also müßte es doch eine Möglichkeit geben, z.B. auf bestehende Zertifikatslisten aufzusetzen, oder?
 
/dev/null

/dev/null

Moderator
Teammitglied
... denn schließlich vertraue ich Verisign per-se nicht (was sich nach den diversen Hacks in CA's ja auch als richtig rausgestellt hat)
Zum Vergrößern anklicken....

Aha ...
Na dann mache mir doch bitte mal eine Gegenüberstellung wie viele (offizielle) Trustcenter es weltweit gibt, und wie viele davon "gehackt" wurden.
Und dann machst du dir bitte mal die Mühe, und analysierst, was da konkret "gehackt" wurde. (Kleiner Tipp: die CA selbst, oder aus Gründen der Profitoptimierung ausgelagerte Subunternehmen, welche extern Aufträge entgegen nehmen und antragstellende Personen identifizieren.)

...und kann auch nicht jedes Root-Zertifikat signieren.
Zum Vergrößern anklicken....
Das verlangt auch niemand von dir. Denn in der Regel sind so ziemlich alle als vertrauenswürdig eingestuften Herausgeber von Zertifikaten in den meisten Browsern, Mailclients usw. bereits vom Herausgeber der entsprechenden Software in diese vorinstalliert. Selbst M$ lässt in seine Updates regelmäßig die entsprechenden Zertifikatslisten (= Hinzufügen aber auch Enfernen v. Zertifikaten) einfließen.

Also müßte es doch eine Möglichkeit geben, z.B. auf bestehende Zertifikatslisten aufzusetzen, oder?
Zum Vergrößern anklicken....
S. oben.
Gib mal bei Software-Installieren "cert" als Suchwort ein.
Zu KMail kann/will ich nichts sagen, weil ich dieses Programm nicht auf der Platte habe. Mozilla hast du ja bereits lobend erwähnt ... .
Und nicht mehr vertrauswürdige Zertifikate landen in der Regel recht schnell auf einer crl (Zertifikatssperrliste).

Ach ja, vielen Dank dafür, dass ich versuchen durfte, dir zu helfen.

Peter
 
OP
coogor

coogor

/dev/null schrieb:
... denn schließlich vertraue ich Verisign per-se nicht (was sich nach den diversen Hacks in CA's ja auch als richtig rausgestellt hat)
Zum Vergrößern anklicken....

Aha ...
Na dann mache mir doch bitte mal eine Gegenüberstellung wie viele (offizielle) Trustcenter es weltweit gibt, und wie viele davon "gehackt" wurden.
Und dann machst du dir bitte mal die Mühe, und analysierst, was da konkret "gehackt" wurde. (Kleiner Tipp: die CA selbst, oder aus Gründen der Profitoptimierung ausgelagerte Subunternehmen, welche extern Aufträge entgegen nehmen und antragstellende Personen identifizieren.)
Zum Vergrößern anklicken....
...was im Endeffekt egal ist, wer nun geschlampt hat. Fakt ist dass so lange gefälschte Zertifikate im Umlauf sind, bis das root-Zertifikat dazu zurückgerufen wird - und damit die mit diesem Root-Zertifikat signierten Zertifikate auch ungültig werden. Als Enduser kann man nur hoffen dass diese Hacks frühzeitig aufgedeckt werden....ein Riesengeschäft sind sie auf jeden Fall.
...und kann auch nicht jedes Root-Zertifikat signieren.
Zum Vergrößern anklicken....
Das verlangt auch niemand von dir. Denn in der Regel sind so ziemlich alle als vertrauenswürdig eingestuften Herausgeber von Zertifikaten in den meisten Browsern, Mailclients usw. bereits vom Herausgeber der entsprechenden Software in diese vorinstalliert. Selbst M$ lässt in seine Updates regelmäßig die entsprechenden Zertifikatslisten (= Hinzufügen aber auch Enfernen v. Zertifikaten) einfließen.

Also müßte es doch eine Möglichkeit geben, z.B. auf bestehende Zertifikatslisten aufzusetzen, oder?
Zum Vergrößern anklicken....
S. oben.
Gib mal bei Software-Installieren "cert" als Suchwort ein.
Zu KMail kann/will ich nichts sagen, weil ich dieses Programm nicht auf der Platte habe. Mozilla hast du ja bereits lobend erwähnt ... .
Und nicht mehr vertrauswürdige Zertifikate landen in der Regel recht schnell auf einer crl (Zertifikatssperrliste).
Zum Vergrößern anklicken....
Das war der passende Hinweis, denn es gibt wohl noch ein Paket
Code: 
ca-certificates-cacert            | CAcert root certificates
welches nicht per default installiert wird. Mal sehen ob das das fehlende Element war....

Schönen Dank!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben