Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
PCKS#12
19 views
Skip to first unread message
Alexander Langer
Jun 12, 2013, 2:41:16 PM6/12/13
to
Hallo allesamt,
ich habe ein Verständnisproblem.
Ich kenne das von der Lehre so, dass man public und private key sauber
trennen sollte.
Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden. Also private und
public key in einem. Gleichzeitig frage ich mich dann, warum ich zwei
Eingabefelder für Signieren und Ver/Entschlüsseln habe....
Chrome aber bietet mir beim Export beides an, Zertifikat mit oder ohne
enthaltenen private key.
Diese Willkür regt mich echt wieder wieder auf. Jeder macht wie er es
will. Ich sag nur Standards, Standards, Standards.
Ich freue mich auf eure Kommentare.
ich habe ein Verständnisproblem.
Ich kenne das von der Lehre so, dass man public und private key sauber
trennen sollte.
Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden. Also private und
public key in einem. Gleichzeitig frage ich mich dann, warum ich zwei
Eingabefelder für Signieren und Ver/Entschlüsseln habe....
Chrome aber bietet mir beim Export beides an, Zertifikat mit oder ohne
enthaltenen private key.
Diese Willkür regt mich echt wieder wieder auf. Jeder macht wie er es
will. Ich sag nur Standards, Standards, Standards.
Ich freue mich auf eure Kommentare.
Message has been deleted
Alexander Langer
Jun 14, 2013, 3:29:44 PM6/14/13
to
Hi Volker,
ja, jetzt hast du nochmal das Verfahren beschrieben.
Unklar ist aber warum es keinen Standard für
den Schlüsselpaar-Export/Import, genauer für das Dateiformat, gibt.
Was spricht beispielsweise dagegen nur noch PCKS#12 zu unterstützen?
Will man alte Software unterstützen ? Wenn ja, sollte das klarer
kommuniziert werden: "Für aktuelle Software verwenden Sie bitte PCKS#12".
Mal davon abgesehen besteht bei PCKS#12 die Gefahr, dass man das ganze
Zertifikat an seine Kontakte sendet. Auch wenn der private key darin
verschlüsselt ist, widerspricht das doch dem eigentlich Prinzip, dass
man seinen privaten Schlüssel geheim halten sollte !?
ja, jetzt hast du nochmal das Verfahren beschrieben.
Unklar ist aber warum es keinen Standard für
den Schlüsselpaar-Export/Import, genauer für das Dateiformat, gibt.
Was spricht beispielsweise dagegen nur noch PCKS#12 zu unterstützen?
Will man alte Software unterstützen ? Wenn ja, sollte das klarer
kommuniziert werden: "Für aktuelle Software verwenden Sie bitte PCKS#12".
Mal davon abgesehen besteht bei PCKS#12 die Gefahr, dass man das ganze
Zertifikat an seine Kontakte sendet. Auch wenn der private key darin
verschlüsselt ist, widerspricht das doch dem eigentlich Prinzip, dass
man seinen privaten Schlüssel geheim halten sollte !?
Uwe Premer
Jun 14, 2013, 6:44:54 PM6/14/13
to
Alexander Langer schrieb am 14.06.2013 21:29 Uhr:
> Hi Volker,
>
> ja, jetzt hast du nochmal das Verfahren beschrieben.
>
> Unklar ist aber warum es keinen Standard für
> den Schlüsselpaar-Export/Import, genauer für das Dateiformat, gibt.
>
> Was spricht beispielsweise dagegen nur noch PCKS#12 zu unterstützen?
>
> Will man alte Software unterstützen ? Wenn ja, sollte das klarer
> kommuniziert werden: "Für aktuelle Software verwenden Sie bitte PCKS#12".
Also ich mache das so, dass ich GnuPG verwende und im Thunderbird die
> Hi Volker,
>
> ja, jetzt hast du nochmal das Verfahren beschrieben.
>
> Unklar ist aber warum es keinen Standard für
> den Schlüsselpaar-Export/Import, genauer für das Dateiformat, gibt.
>
> Was spricht beispielsweise dagegen nur noch PCKS#12 zu unterstützen?
>
> Will man alte Software unterstützen ? Wenn ja, sollte das klarer
> kommuniziert werden: "Für aktuelle Software verwenden Sie bitte PCKS#12".
dafür gängige GUI "Enigmail" nehme.
Und mit Enigmail habe ich mir damals einige Schlüsselpaare selbst
erzeugt (Geheimer, Öffentlicher und auch das Lösch-Zertifikat).
Und meiner Meinung nach macht das Thunderbird ziemlich ordentlich mit
Verschlüsselung und Entschlüsselung.
Gut, bei den Formaten der Zertifikate scheint es tatsächlich
Inkompatibilitäten zu geben. Man kann zwar diese eigens erzeugten
Schlüssel exportieren mittels Enigmail oder auch direkt mit GnuPG, aber
leider diese Schlüssel nicht mehr mit irgendwelchen anderen Programmen
verwenden, die GnuPG nicht nutzen, sondern andere Zertifikate.
Mir ist das völlig wurscht, welches Verschlüsselungsformat da verwendet
wird, einzig wichtig für mich ist es, genau jene Schlüsselpaare in
möglichst vielen verschiedenen Rechnern und Betriebssystemen verwenden
zu können.
Und was das angeht, haut das zumindest mit Windows, Linux und auch Mac
OS X sauber hin, überall kann ich Thunderbird mit jenen Schlüsseln
verwenden.
Das einzig aktuelle Problem habe ich mit der Verwendung dieser Schlüssel
in Android, dort gibt es auch sowas Ähnliches wie PGP, aber scheinbar
leider inkompatibel im Format der Verschlüsselung.
Jedenfalls hab ich es da noch nicht hinbekommen, dass K9-Mail oder
irgendein anderes Mailprogramm meinen eigenen verschlüsselten Mails
entschlüsseln kann.
Uwe
Juergen P. Meier
Jun 15, 2013, 1:41:34 AM6/15/13
to
Alexander Langer <alexande...@address.invalid>:
problem. Welchen Standard haettens denn gerne?
> Was spricht beispielsweise dagegen nur noch PCKS#12 zu unterstützen?
Ganz einfach: PKCS#12 ist das Containerformat fuer ein komplettes
Schluesselpaar aus Privatem und Oeffentlichem Schluessel.
Das ist nur fuer *einen* ganz bestimmten Zweck vorgesehen: die
Aufbewahrung beider Schluessel in einer einzigen Containerdatei.
Fuer den Export/Import oeffentlicher Schluessel gibt es u.v.a. PKCS#7
> Will man alte Software unterstützen ? Wenn ja, sollte das klarer
Die Frage lautet richtig: will man *fremde* Software unterstuetzen?
> kommuniziert werden: "Für aktuelle Software verwenden Sie bitte PCKS#12".
Wofuer?
> Mal davon abgesehen besteht bei PCKS#12 die Gefahr, dass man das ganze
> Zertifikat an seine Kontakte sendet. Auch wenn der private key darin
Ach. Kunststueck bei einem Containerformat SPEZIELL FUER PRIVATE KEYS.
Achja: der Andere[tm] Standard heist PEM.
> verschlüsselt ist, widerspricht das doch dem eigentlich Prinzip, dass
> man seinen privaten Schlüssel geheim halten sollte !?
Do'h.
> Unklar ist aber warum es keinen Standard für
> den Schlüsselpaar-Export/Import, genauer für das Dateiformat, gibt.
Natuerlich gibt es Standards dafuer. Mehrere. DAs ist ja genau das
> den Schlüsselpaar-Export/Import, genauer für das Dateiformat, gibt.
problem. Welchen Standard haettens denn gerne?
> Was spricht beispielsweise dagegen nur noch PCKS#12 zu unterstützen?
Schluesselpaar aus Privatem und Oeffentlichem Schluessel.
Das ist nur fuer *einen* ganz bestimmten Zweck vorgesehen: die
Aufbewahrung beider Schluessel in einer einzigen Containerdatei.
Fuer den Export/Import oeffentlicher Schluessel gibt es u.v.a. PKCS#7
> Will man alte Software unterstützen ? Wenn ja, sollte das klarer
> kommuniziert werden: "Für aktuelle Software verwenden Sie bitte PCKS#12".
> Mal davon abgesehen besteht bei PCKS#12 die Gefahr, dass man das ganze
> Zertifikat an seine Kontakte sendet. Auch wenn der private key darin
Achja: der Andere[tm] Standard heist PEM.
> verschlüsselt ist, widerspricht das doch dem eigentlich Prinzip, dass
> man seinen privaten Schlüssel geheim halten sollte !?
Message has been deleted
Juergen P. Meier
Jun 15, 2013, 4:10:06 AM6/15/13
to
Volker Delf <nop...@invalid.invalid>:
> Also etwas verwirrend ist es schon. Nachdem man das eigene PKCS#12
> importiert hat, kann daraus der öffentliche Schlüssel als
> X509-Zertifikat in verschiedenen Formaten exportiert werden:
>
> (1) Dateiendung .p7s (PKCS#7) bei der S/MIME Kommunikation
> (2) Dateiendung .pem (base64) für den Import in PGP
> (3) Dateiendung .der (binär) für den Import in Thunderbird und Outlook
Du verwehselst Dateiendungen mit Format. Das Format steht in klammern,
die Dateiendung ist irrelevant fuer alle Plattformen ausser Windows.
> Outlook verlangt aber die Dateiendung .cer (binär) für den Import!
Das liegt an dem duemmlichen Wintendo-Mantra "DAteiendung =
Dateiformat!!1elf". In Wirklichkeit erwartet Outlook ein DER oder PEM
formatiertes Zertifikat (also Option 2 oder 3 gefolgt vom Umbennnen
des Dateinamens damit er auf .cer oder .crt endet).
Praktischerweise ist es trivial zwischen DER und PEM codierung zu
unterscheiden, weswegen genau das die meisten Systeme/Programme auch
automatisch machen, egal wie die DAtei heist.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
> Also etwas verwirrend ist es schon. Nachdem man das eigene PKCS#12
> importiert hat, kann daraus der öffentliche Schlüssel als
> X509-Zertifikat in verschiedenen Formaten exportiert werden:
>
> (1) Dateiendung .p7s (PKCS#7) bei der S/MIME Kommunikation
> (2) Dateiendung .pem (base64) für den Import in PGP
> (3) Dateiendung .der (binär) für den Import in Thunderbird und Outlook
Du verwehselst Dateiendungen mit Format. Das Format steht in klammern,
die Dateiendung ist irrelevant fuer alle Plattformen ausser Windows.
> Outlook verlangt aber die Dateiendung .cer (binär) für den Import!
Das liegt an dem duemmlichen Wintendo-Mantra "DAteiendung =
Dateiformat!!1elf". In Wirklichkeit erwartet Outlook ein DER oder PEM
formatiertes Zertifikat (also Option 2 oder 3 gefolgt vom Umbennnen
des Dateinamens damit er auf .cer oder .crt endet).
Praktischerweise ist es trivial zwischen DER und PEM codierung zu
unterscheiden, weswegen genau das die meisten Systeme/Programme auch
automatisch machen, egal wie die DAtei heist.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Helmut Springer
Jun 15, 2013, 9:22:07 AM6/15/13
to
Alexander Langer <alexande...@address.invalid> wrote:
> Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden.
Wo siehst Du das?
> Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden.
Unter dem tab "Your certificates" steht der Standardfilter fuer die
Filenamem im Importdialog auf "*.p12;*.pfx". Man kann das ueber das
drop down aendern.
Unter den tabs fuer Zertifikate anderer steht der Standardfilter
fuer die Filenamem im Importdialog auf den ueblichen Werten fuer
public key files.
> Also private und public key in einem.
Standardeinstellung. "Eigene Zertifikate" sind idR (und
kryptographisch genau) die, zu denen man den private key hat.
> Gleichzeitig frage ich mich dann, warum ich zwei Eingabefelder für
> Signieren und Ver/Entschlüsseln habe....
Verschluesselung gibt.
> Chrome aber bietet mir beim Export beides an, Zertifikat mit oder
> ohne enthaltenen private key.
sondern nur ein backup vom key pair. Auch, um Benutzerfehler zu
vermeiden.
> Diese Willkür regt mich echt wieder wieder auf. Jeder macht wie er
> es will. Ich sag nur Standards, Standards, Standards.
>
> Ich freue mich auf eure Kommentare.
mehr ueber sie informieren. Bei erkennbarem Unwillen zum eigenen
Aufwand wirst Du idR keine qualifizierten Antworten bekommen.
--
Best regards
helmut springer panta rhei
Helmut Springer
Jun 15, 2013, 9:28:26 AM6/15/13
to
Alexander Langer <alexande...@address.invalid> wrote:
> Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden.
> Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden.
Wo siehst Du das?
Unter dem tab "Your certificates" steht der Standardfilter fuer die
Filenamem im Importdialog auf "*.p12;*.pfx". Man kann das ueber das
drop down aendern.
Unter den tabs fuer Zertifikate anderer steht der Standardfilter
fuer die Filenamem im Importdialog auf den ueblichen Werten fuer
public key files.
Unter dem tab "Your certificates" steht der Standardfilter fuer die
Filenamem im Importdialog auf "*.p12;*.pfx". Man kann das ueber das
drop down aendern.
Unter den tabs fuer Zertifikate anderer steht der Standardfilter
fuer die Filenamem im Importdialog auf den ueblichen Werten fuer
public key files.
> Also private und public key in einem.
Was bei den eigenen Zertifikaten idR sinnvoll ist und daher die
Standardeinstellung. "Eigene Zertifikate" sind idR (und
kryptographisch genau) die, zu denen man den private key hat.
Standardeinstellung. "Eigene Zertifikate" sind idR (und
kryptographisch genau) die, zu denen man den private key hat.
> Gleichzeitig frage ich mich dann, warum ich zwei Eingabefelder für
> Signieren und Ver/Entschlüsseln habe....
> Signieren und Ver/Entschlüsseln habe....
Weil es Leute mit unterschiedlichen Schluesseln fuer Signatur und
Verschluesselung gibt.
Verschluesselung gibt.
> Chrome aber bietet mir beim Export beides an, Zertifikat mit oder
> ohne enthaltenen private key.
Thunderbird bietet Dir erstmal gar keinen Export Deines Zertifikats
> ohne enthaltenen private key.
an, sondern nur ein backup vom key pair.
Im "details" tab eines eigenen Zertifikats kann man dann den public
key in den dafuer ueblichen Formaten exportieren, mit oder ohne
certificate chain.
> Diese Willkür regt mich echt wieder wieder auf. Jeder macht wie er
> es will. Ich sag nur Standards, Standards, Standards.
>
> Ich freue mich auf eure Kommentare.
Alexander Langer
Jun 16, 2013, 10:01:05 AM6/16/13
to
> Natuerlich gibt es Standards dafuer. Mehrere. DAs ist ja genau das
> problem. Welchen Standard haettens denn gerne?
Einen allgemeingültigen ? Aber ich vergaß, die Staaten sind in dem
> problem. Welchen Standard haettens denn gerne?
Kontext gar nicht an Standards interessiert. Ist vielleicht auch besser so.
>> Was spricht beispielsweise dagegen nur noch PCKS#12 zu unterstützen?
>
> Ganz einfach: PKCS#12 ist das Containerformat fuer ein komplettes
> Schluesselpaar aus Privatem und Oeffentlichem Schluessel.
>
> Das ist nur fuer *einen* ganz bestimmten Zweck vorgesehen: die
> Aufbewahrung beider Schluessel in einer einzigen Containerdatei.
>
> Fuer den Export/Import oeffentlicher Schluessel gibt es u.v.a. PKCS#7
>
wühlen muss.
>> Will man alte Software unterstützen ? Wenn ja, sollte das klarer
>
> Die Frage lautet richtig: will man *fremde* Software unterstuetzen?
>
>> kommuniziert werden: "Für aktuelle Software verwenden Sie bitte PCKS#12".
>
> Wofuer?
>
liegt es nicht an mir Mozilla- / Google- / Microsoft-Software zu entwickeln.
>> Mal davon abgesehen besteht bei PCKS#12 die Gefahr, dass man das ganze
>> Zertifikat an seine Kontakte sendet. Auch wenn der private key darin
>
> Ach. Kunststueck bei einem Containerformat SPEZIELL FUER PRIVATE KEYS.
Alexander Langer
Jun 16, 2013, 10:24:47 AM6/16/13
to
Am 15.06.2013 15:28, schrieb Helmut Springer:
> Alexander Langer <alexande...@address.invalid> wrote:
>> Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden.
>
> Wo siehst Du das?
>
> Unter dem tab "Your certificates" steht der Standardfilter fuer die
> Filenamem im Importdialog auf "*.p12;*.pfx". Man kann das ueber das
> drop down aendern.
Hm, was interessiert mich die Dateiendung ?
> Alexander Langer <alexande...@address.invalid> wrote:
>> Jetzt sehe ich, Thunderbird kann nur PCKS#12 laden.
>
> Wo siehst Du das?
>
> Unter dem tab "Your certificates" steht der Standardfilter fuer die
> Filenamem im Importdialog auf "*.p12;*.pfx". Man kann das ueber das
> drop down aendern.
Ich erhalte jedenfalls die Meldung
"Die Datei konnte nicht dekodiert werden. Entweder ist sie nicht im
PKCS#12-Format, wurde fehlerhaft übertragen, oder das Passwort, das Sie
eingegeben haben, war inkorrekt."
wenn ich das Zertifikat mit dem öffentlichen Schlüssel importieren
möchte. Auch der ganze Aufbau der GUI deutet darauf hin.
> Thunderbird bietet Dir erstmal gar keinen Export Deines Zertifikats
> an, sondern nur ein backup vom key pair.
erhalten.
>> Diese Willkür regt mich echt wieder wieder auf. Jeder macht wie er
>> es will. Ich sag nur Standards, Standards, Standards.
>>
>> Ich freue mich auf eure Kommentare.
>
> Gerne: Du solltest Dich weniger ueber Dinge aufregen und Dich dafuer
> mehr ueber sie informieren. Bei erkennbarem Unwillen zum eigenen
> Aufwand wirst Du idR keine qualifizierten Antworten bekommen.
>
weiß, es ist mein Fehler weil ich nicht weiß wie Thunderbird und Co.
genau ticken und welche Formate Programm X und Programm Y unterstützen.
Da muss man erst die Quellcodes studieren. Den Tipp gebe ich dann auch
meinem Opa :D
0 new messages