Apple Mail und die Verschlüsselung

[Thyrfing]

Hallo zusammen,

folgendes Szenario: Ich habe für E-Mails Zertifikate installiert (Thawte) und kommuniziere damit recht glücklich durch die Welt.

In der Firma benutzen wir eine "seltsame" Software um die firmeneigenen Zertifikate, die vom Konzern verteilt werden, zur sicheren Kommunikation per E-Mail.

Nun kann ich an die Kollegen in der Firma durchaus eine verschlüsselte Mail per Mail.app senden. Klappt wunderbar, nur kann ich deren Antwort nicht lesen... Dies ist mir nur mit Thunderbird oder Postbox möglich.

Any idea?

[Pastor Anke]

Von dem Problem mal ab: Thawte® stellt zum 16.11.2009 die Unterstützung der freien E-Mail-Zertifikate ein und revoked an diesem Tag auch alle, die mit ihren Zertifikaten nicht zur Mutter VeriSign® gegangen sind. (1 Jahr kostenlos, danach Bezahlstatus).

https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO12658

[Florian]

Ja, sie können angeblich die security nicht mehr gewährleisten. Genau, und bei Verisign bekomme ich dann ohne jede Identitätsprüfung meinen Namen ins Zertifikat, für ein Jahr kostenlos, dann 20 Dollar im Jahr. Nach einem Jahr erfolgt also eine unsichere Identitätsprüfung über die Kreditkarte - nach normalen Sicherheitsansprüchen viel zu wenig.

Damit ist das ganze Prozedere ziemlich sinnlos. Es bleibt also entweder die Hoffnung, dass auch CaCERT was wird, also das sie in den Status erreichen, mit dem sie als vertrauenswürdige Instanz von den Client- und Browserherstellern vorinstalliert werden.
Oder man verzichtet gleich auf jede Identitätsprüfung und stellt sich einfach ein selbstsigniertes Zertifikat aus.

Oder man zahlt eben deutlich mehr und kann so beweisen, dass die eigenen Mails authentisch und unverändert sind.

Eine Sauerei finde ich das Ganze gegenüber dem Web Of Trust. Viele Notaries und auch normale Mitgleider haben viel Zeit und auch Geld ausgegeben,  dass ist jetzt alles für die Katz.


Zu Thyrfings Problem: Ich halte es für durchaus möglich, dass Mail.app mit gewissen Zertifikaten Schwierigkeiten hat. Kommt denn eine Fehlermeldung oder geht gar nichts?

[Thyrfing]

Zu Thyrfings Problem: Ich halte es für durchaus möglich, dass Mail.app mit gewissen Zertifikaten Schwierigkeiten hat. Kommt denn eine Fehlermeldung oder geht gar nichts?

Mail meldet lediglich, dass die Entschlüsselung nicht möglich ist.

[Thyrfing]

Von dem Problem mal ab: Thawte® stellt zum 16.11.2009 die Unterstützung der freien E-Mail-Zertifikate ein und revoked an diesem Tag auch alle, die mit ihren Zertifikaten nicht zur Mutter VeriSign® gegangen sind. (1 Jahr kostenlos, danach Bezahlstatus).

https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO12658

Das ist mir allerdings entgangen... Danke für die Info. So ein Mist. GPG tut's mit SL nicht, die Zertifikate werden eingestampft, irgendjemand will nicht, dass ich mich ausweise... 

[Pepi]

iMt welchem Zertifikat werden denn die Antworten an Dich verschlüsselt? Hast Du sowohl Zertifikat als auch die Keys dazu am Schlüsselbund? Mail kann leider nur sehr schlecht mit mehreren gültigen Zertifikaten für eine Adresse umgehen um nicht zu sagen garnicht.

Das mit Thawte ist ein kleiner Irrsinn. Der Mutterkonzern brauchte wohl ein wenig Geld und hat mal die Druckwerke angeworfen. Mich stört hauptsächlich die Art und Weise wie sie das Programm stanzen. Nämlich ohne offizielle benachrichtigung der Benutzer. Ich wurde bisher noch nicht darüber informiert. In Realität bleiben einem aber nur knapp 6 Wochen Zeit sich um eine Alternative umzusehen, ein etwaiges WoT Verfahren über sich ergehen zu lassen und diese Zertifikate zu deployen. Sowohl Thawte als auch Verisign sind für mich mit dieser Aktion jedenfalls nicht mehr vertrauenswürdig.

GnuPG funktioniert grundsätzlich auch unter SL, das Mail Plug-In ist nicht verwendbar, was auch schlimm ist. :-/
Gruß Pepi

[Thyrfing]

Ok, dann back to the roots: Thunderbird und EnigMail.

[Florian]

Ich werde mir wahrscheinlich ein professionelles Zertifikat holen, da ich auf S/Mime nicht verzichten kann. Aber sicher nicht  von Thawte/Verisign.

Für MailGPG besteht ja anscheinend noch Hoffnung. Es werden halt Entwickler gesucht, wer weiß, ein wichtiges Projekt wäre es ja. Andererseits ist es natürlich sehr frustrierend, dass Apple keine PlugIns vorsieht und die Entwickler immer wieder aussperrt. 

[Pepi]

Ah, ein professionelles kostenpflichtiges Zertifikat. :-/ Da ist leider technisch Null Unterschied, also nix professioneller als an anderen S/MIME Zertifikaten, nur teurer sind sie. Aber auch für mich gilt, daß ich auf S/MIME nicht verzichten will.

Apple sieht Plug-Ins durchaus vor, aber eben nur für Apple und niemand anderen. Daher nehmen sie beim Ändern der Schnittstelle auch auf niemanden Rücksicht. Wäre mal interessant was Apple intern damit so macht. Ich kann mich da auch an ein paar interessante Dinge mit iChat Plug-Ins erinnern die es zu Panther Zeiten gab.
Gruß Pepi

[Florian]

Ich dachte halt an die Identitätsprüfung, weil sonst kann ich mit ja gleich eins selber generieren, geht ja mit OS X ganz einfach.
 Gibt es denn eine Alternative, die kostenlos ist und eine Identitätsprüfung (WoT oder sonst wie) beinhaltet, und welche die Softwarehersteller in ihre vertrauenswürdige Instanzen aufgenommen haben?  Denn wenn der Client immer warnt, er akzeptiere das Zertifikat nicht, bekommt man doch wieder Nachfragen vom Kommunikationspartner.

[Pepi]

Genau so eine Alternative suche ich. Wobei ich bisher noch nichts gefunden habe. Bei StartSSL bekommt man nur ein Class 1 Zertifikat kostenlos. Wer seinen Namen drinnen haben möchte (über WoT) der muß ein Class2 dann kaufen. Was ich überhautp nicht verstehe, wer Notar für deren WoT werden will, muß dieses Zertifikat auch kaufen. Das motiviert sicher!
Gruß Pepi

[Florian]

Ich habe das Verschlüsselungs-BHB http://www.apfelinsel.de/forum/index.php/topic,466.0.html mit Warnungen überzogen. War ja einigermassen angebracht.
Irgendwann werde ich ihn dann komplett überarbeiten müssen. Gerne nehme ich Tips und Vorschläge entgegen, v.a. falls sich eine gute Alternative zu Thawte auftuen sollte.

[Florian]

Jetzt hat Thawte doch noch eine Rundmail rausgegeben, zumindest ich habe eine bekommen. Man kann wohl auch bis zu 100 Dollar sparen, wenn man jetzt bei Thawte Zertifikate einkauft, genaues Angebot ist aber in der Email nicht enthalten.

An sich wäre mir StartSSL ganz sympathisch. Aber was soll das mit den Notaries? Einfach ein Class2-Zertifikat kaufen und sich per Ausweis-Scans ausweisen und schon kann man Notary werden? Das geht mir etwas zu einfach und stellt die sichere Identitätsprüfung insgesamt in Frage. Denn was nützen mir letztendlich zwei Bekundungen von Notaries, die selbst nicht 100% sicher identifiziert wurden?
Okay, nennt mich paranoid, aber 100 Punkte im Thawte-WoT waren eine wesentlich sicherere Hürde und m.E. auch angebracht.
Sehr gute Idee finde ich allerdings die persönliche Seite jeden Users, aus der hervorgeht, wie oft er identifiziert wurde.

[Thyrfing]

Ich trau mich nicht, aber vielleicht jemand sonst hier: http://dl.getdropbox.com/u/20215/GPGMail-1.2.1.mailbundle.zip

[Florian]

Den Link hast Du von der Mailingliste?

Ich lasse auch erstmal die Finger davon, jetzt kann es ja dann anscheinend nicht mehr allzu lange dauern mit einer offiziellen Version.