gpgsm testen? - ignore

Stefan Claas

unread,

May 19, 2017, 3:39:23 PM5/19/17

to

Guten Abend miteinander,

habe mal heute mit X.509 Zertifikate under gpgsm rumgespielt und
wollte mal die de.test crew fragen ob wir das auch mal etwas testen
können?

Hier mal ein kleiner Artikel von Werner Koch (how-to):

https://lists.gnupg.org/pipermail/gnupg-devel/2011-March/025989.html

und hier mal mein Zertifikat:

Issuer ...: /CN=Stefan Claas/O=privat/C=DE
Serial ...: 618905A10E7C85D3
Subject ..: /CN=Stefan Claas/O=privat/C=DE
aka ..: stefan...@protonmail.ch
Keygrip ..: 3DFE333280521CDBFC8CC473345485F4242578D2

-----BEGIN CERTIFICATE-----
MIIDSzCCAjOgAwIBAgIIYYkFoQ58hdMwDQYJKoZIhvcNAQELBQAwNTELMAkGA1UE
BhMCREUxDzANBgNVBAoTBnByaXZhdDEVMBMGA1UEAxMMU3RlZmFuIENsYWFzMCAX
DTE3MDUxOTE4NTc0NFoYDzIwNjMwNDA1MTcwMDAwWjA1MQswCQYDVQQGEwJERTEP
MA0GA1UEChMGcHJpdmF0MRUwEwYDVQQDEwxTdGVmYW4gQ2xhYXMwggEiMA0GCSqG
SIb3DQEBAQUAA4IBDwAwggEKAoIBAQCq/uPGdkgufLfqZAqCtgvUoXfcLLQGg8LE
CyDeCtsgo2blXI6fUJVHtA97+qPMAsRWVKyd0EZ5x7bUrm7MjyRh+8PpylU98Zib
cLqudCY576r1VwvQneVE07Pjqur9LT1OBr7LRzqWK1OhG9xRMgp7gnCpcjyDj8dk
W42Uf9/ZJ5uczHaiSomLWdp/eAnuqCRFidgh0mN8drzNpI9keVWdWj4Xbi8mGSvn
I2HOCmMXb57kyYo4IvuctDfL1Bf2AwaNbxisY5k9sA7gXhfxteH+8SUx/wwV9CZv
5HTgG7BP/PZok2FUKMGzbgQW3H5R1DgrFhqB7DE5YyNh+TFbzKHnAgMBAAGjXTBb
MCUGA1UdEQQeMByBGnN0ZWZhbi5jbGFhc0Bwcm90b25tYWlsLmNoMBEGCisGAQQB
2kcCAgEEAwEB/zAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIE8DANBgkq
hkiG9w0BAQsFAAOCAQEAlfiMGOB33JYuL2XotBJHE3F8YRG5++7M+etSqoXEicky
MbdLVo9AvPYdFk+cjZUtFSkMhtD0zZHBZG1IYLuUD5rsN9Id+5pmZwx9nDqMWAj6
0GAu4dh3W3CxnJNaIcVoYRNNdp6cHXdUCwGUADWVn0Abrq4FKqcfGaTIuWD+O0HO
8ED0APKNhjM++TNueuA2z4qvvLgjkbL7K5xudyHfg1qIeVNhcU6T77+jb5WcgMeA
vi7258fd+WW5y2DF5P6zVH5m39viOLJlnt9XthUvQ+k4xnw/1jC2KMaDkqVqtB45
U6M1PHOPyttVuUTbKfqXaaTgryXOrjBGCbqYn+VdOA==
-----END CERTIFICATE-----

Grüße
Stefan

Stefan Claas

unread,

May 19, 2017, 3:47:45 PM5/19/17

to

Und hier mal ein Test:

-----BEGIN SIGNED MESSAGE-----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-----END SIGNED MESSAGE-----

Überprüfen und Datei schreiben mit:

gpgsm -o text.txt --verify msg.txt (falls ihr die Datei mit msg.txt
gespeichert habt wird der Klartext dann als test.txt gespeichert.)

Grüße
Stefan

Marcel Logen

unread,

May 21, 2017, 9:32:35 AM5/21/17

to

Stefan Claas schrieb:

>habe mal heute mit X.509 Zertifikate under gpgsm rumgespielt und
>wollte mal die de.test crew fragen ob wir das auch mal etwas testen
>können?

Mit S/MIME habe ich mich noch nicht befaßt. Wäre ja mal eine
Gelegenheit ...

Aber: Wenn ich das richtig sehe, gehört gpgsm zu GnuPG v2. Ich
habe hier GnuPG v1. Da stellen sich mir zwei Fragen:

- Kann man v1 und v2 nebeneinander installieren? IIRC heißt
der Befehl bei v2 doch auch "gpg" und nicht "gpg2", oder?

- Wie sieht es mit dem Config-Verzeichnis aus? Lautet das
bei v2 auch "~/.gnupg" und gibt es dadurch evtl. Konflikte?

>Hier mal ein kleiner Artikel von Werner Koch (how-to):
>
>https://lists.gnupg.org/pipermail/gnupg-devel/2011-March/025989.html

Vielen Dank, interessant.

Marcel
--
+--+ +----+ +-------+ +-+ +---+
+-+ +--+ +-+ +-+ +---+ +-+ +-+ +----+ +-+ +-+
+---+ +-+ +---+ +-+ +--+ +--+ +---+ +-+ +----+ +
+--+ +-+ +--+ +-+

Stefan Claas

unread,

May 22, 2017, 7:39:38 AM5/22/17

to

Am 21.05.2017 um 16:28 schrieb Stefan Claas:
> Marcel Logen wrote:
>> Stefan Claas schrieb:

>>> Hier mal ein kleiner Artikel von Werner Koch (how-to):
>>>
>>> https://lists.gnupg.org/pipermail/gnupg-devel/2011-March/025989.html
>>
>> Vielen Dank, interessant.
>

> Gerne. Ich bin jedoch zu der Erkenntnis gekommen (für X.509 Nutzung)
> das man das garn nicht (mehr) braucht, ebenso OpenSSL X.509 Spielereien
> (ausser in de.test natürlich, zwecks lernen etc.) da heutige email
> clients das mit den kostenlosen Zertifikaten ausgezeichnet beherrschen.
>
> Grüße
> Stefan

Habe gerade das gefunden: https://www.volksverschluesselung.de/index.php

Grüße
Stefan

Gunter Gutzeit

unread,

May 23, 2017, 5:36:26 AM5/23/17

to

Stefan Claas schrieb am Mo 22.05.2017 13:39:37 +0200:

> Habe gerade das gefunden: https://www.volksverschluesselung.de/index.php

Vom Ansatz her gut ...

https://de.wikipedia.org/wiki/Volksverschl%C3%BCsselung

Hat zur Zeit aber wohl noch einige Haken ...

--
Gruß Gunter · PC: Intel Atom CPU N455 @ 1.667GHz · 1GB RAM
OS: Unknown rolling void · WM: JWM v2.3.6 · Desktop: ROX 2.11
Kernel: 4.10.17_1 #1 SMP PREEMPT Sat May 20 13:04:00 UTC 2017
Erfahre mehr: https://de.wikipedia.org/wiki/Void_Linux

Stefan Claas

unread,

May 23, 2017, 5:55:41 AM5/23/17

to

Am 23.05.2017 um 13:36 schrieb Gunter Gutzeit:
> Stefan Claas schrieb am Mo 22.05.2017 13:39:37 +0200:
>
>> Habe gerade das gefunden: https://www.volksverschluesselung.de/index.php
>
> Vom Ansatz her gut ...
>
> https://de.wikipedia.org/wiki/Volksverschl%C3%BCsselung
>
> Hat zur Zeit aber wohl noch einige Haken ...
>

Nun, bei S/MIME gibt es eigentlich keine Haken. Das einzige was
Kommunikationspartner nur machen müssen ist das Root Zertifikat vom
Frauenhofer Institut zu importieren, da es bei Windows oder macOS nicht
vorinstalliert ist. Die Volksverschlüsselungs Software ist wie ich das
sehe nur gedacht um die Zertifikate zu generieren und dann importiert
man diese in sein email/News client.

Ich signiere mal diesen Reply nicht mit S/MIME, da ich gerne wissen
würde ob du mein anderen thread "Signatur Test - ignore" z.B. mit
CLaws-Mail lesen konntest. Mit flnews geht das (noch) nicht. Mit Gnus
wurde der thread korrekt angezeigt (aber nicht überprüft, da ich dafür
keine Scripte installiert habe)

Grüße
Stefan

Gunter Gutzeit

unread,

May 23, 2017, 6:12:36 AM5/23/17

to

Stefan Claas schrieb am Di 23.05.2017 11:55:39 +0200:

> Am 23.05.2017 um 13:36 schrieb Gunter Gutzeit:
>> Stefan Claas schrieb am Mo 22.05.2017 13:39:37 +0200:
>>
>>> Habe gerade das gefunden: https://www.volksverschluesselung.de/index.php
>>
>> Vom Ansatz her gut ...

Gut ist der Ansatz, das Verschlüsselungsverfahren benutzerfreundlicher
zu gestalten. E-Mail-Verschlüsselung muss einfach populärer werden.

>> https://de.wikipedia.org/wiki/Volksverschl%C3%BCsselung
>>
>> Hat zur Zeit aber wohl noch einige Haken ...
>>

> Nun, bei S/MIME gibt es eigentlich keine Haken. [...]

| Kritik
|
| Die Volksverschlüsselung kann nur dann zuverlässig arbeiten, wenn auch
| der Adressat das Programm installiert hat oder ebenfalls einen
| S/MIME-kompatiblen E-Mail-Client nutzt; hierbei wird kritisiert, dass
| der Absender nicht immer darüber informiert sein kann, ob der Empfänger
| das Programm verwendet.
|
| Ein weiterer Schwachpunkt ist, dass die Software nur auf Windows läuft;
| andere Betriebssysteme wie Linux oder OS X werden nicht berücksichtigt.
| Jedoch enthält die Volksverschlüsselungs-Software eine Export-Funktion
| der Schlüssel für iOS.[9] Kritisiert wird weiterhin, dass
| Festnetzkunden der Telekom bevorzugt werden, da diese ihre Zertifikate
| über das Telefon erhalten können; Kunden von alternativen Anbietern wie
| etwa Vodafone sind ausgeschlossen. Durch die verpflichtende
| Identitätsprüfung ist es nicht möglich, mit dem Programm anonym zu
| kommunizieren.[2] Für nicht in Deutschland lebende Menschen ist die
| Software so nicht einsetzbar.[10] Nicht in Deutschland lebende Menschen
| können sich in einem direkten Kontakt mit dem Fraunhofer-Institut für
| Sichere Informationstechnologie nach Vorlage des Personalausweises oder
| Reisepasses registrieren lassen. Termine hierfür werden regelmäßig auf
| der Webseite der Volksverschlüsselung veröffentlicht.[11]
|
| Auch ist es nicht möglich, mit diesem Verschlüsselungsverfahren
| rechtssichere Dokumente zu versenden bzw. zu empfangen. Dafür fallen
| jedoch keine Kosten für die Übertragung an.[5]

Einzelnachweise

vgl dort

--
Gruß Gunter · PC: Intel Pentium Dual CPU E2220 @ 2.403GHz · 4GB RAM
OS: Debian 8.8 jessie · WM: JWM v2.3.6 · Desktop: ROX 2.11
Kernel: 4.9.0-0.bpo.2-686-pae #1 SMP Debian 4.9.18-1~bpo8+1
(2017-04-10) Learn more: https://de.wikipedia.org/wiki/Debian

Stefan Claas

unread,

May 23, 2017, 6:36:53 AM5/23/17

to

Am 23.05.2017 um 12:12 schrieb Gunter Gutzeit:
> Stefan Claas schrieb am Di 23.05.2017 11:55:39 +0200:
>
>> Am 23.05.2017 um 13:36 schrieb Gunter Gutzeit:
>>> Stefan Claas schrieb am Mo 22.05.2017 13:39:37 +0200:
>>>
>>>> Habe gerade das gefunden: https://www.volksverschluesselung.de/index.php
>>>
>>> Vom Ansatz her gut ...
>
> Gut ist der Ansatz, das Verschlüsselungsverfahren benutzerfreundlicher
> zu gestalten. E-Mail-Verschlüsselung muss einfach populärer werden.

X.509 bzw. S/MIME, was ein Standard ist, hätte schon längst populärer
werden können wenn nicht alle immer Artikel zur email Verschlüsselung
für das Geek-Tool GnuPG veröffentlichen würden und GnuPG Anwender
sich das auch ansehen würden. Ich habe meine kostenlosen X.509
Zertifkate mir bei Comodo generiert und brauchte diese nur in mein
Schlüsselbund und in Thunderbird importieren. Lernen, wie bei GnuPG
braucht man nichts und es funktioniert sofort. Die Comodo Root
Zertifikate sind schon in macOS und Windows enthalten. Bei Linux
muss ich mir das mal ansehen.

P.S. Wenn ich dir zum Beispiel eine signierte email schreibe oder
hier signiert poste dann importiert Thunderbird mein Zertifikat
automatisch und es wird in Thunderbird, rechts oben im Headerbereich,
eine Briefumschlag mit rotem Punk angezeigt. Klickt man darauf
kann man da die Infos sehen. Alles kinderleicht. So könnte sogar
Tante Emma signiert/verschlüsselt komunizieren. :-)

Ich habe mir die Volkverschlüsselungs Software gestern mal
runtergeladen. Sie generiert, wenn man einen Kartenleser
für seinen Personalausweis hat Class3 Zertifikate. Oder
wie beschrieben einen Telekom Anschluss. Anderfalls muss
man sonst zu deren Treffen, zwecks Personen Überprüfung,
fahren.

Diese persönliche Überprüfung, wie bei der Volksverschlüsselungs
Software, fällt bei den kostenlosen Web basierten Lösungen, wie
bei Comodo, weg, da das Class1 Zertifikate sind, wo nur die email
Adresse überprüft wird.

Grüße
Stefan

Stefan Claas

unread,

May 23, 2017, 7:12:12 AM5/23/17

to

Am 23.05.2017 um 12:36 schrieb Stefan Claas:

> P.S. Wenn ich dir zum Beispiel eine signierte email schreibe oder
> hier signiert poste dann importiert Thunderbird mein Zertifikat
> automatisch und es wird in Thunderbird, rechts oben im Headerbereich,
> eine Briefumschlag mit rotem Punk angezeigt. Klickt man darauf
> kann man da die Infos sehen. Alles kinderleicht. So könnte sogar
> Tante Emma signiert/verschlüsselt komunizieren. :-)

Tante Emma, kann das auch ohne Thunderbird etc. machen falls sie
gerne einen Web Browser benutzt. Das geht zum Beispiel bei web.de.
Dann müssen sich die Kommunikationpartner nur das Root Cert von
web.de besorgen, da dies auch nicht unter macOS ode Windows
vorinstalliert ist.

Grüße
Stefan

Marcel Logen

unread,

May 30, 2017, 5:56:19 PM5/30/17

to

Marcel Logen schrieb:

>Stefan Claas schrieb:

>>habe mal heute mit X.509 Zertifikate under gpgsm rumgespielt und
>>wollte mal die de.test crew fragen ob wir das auch mal etwas testen
>>können?
>
>Mit S/MIME habe ich mich noch nicht befaßt. Wäre ja mal eine
>Gelegenheit ...
>
>Aber: Wenn ich das richtig sehe, gehört gpgsm zu GnuPG v2. Ich
>habe hier GnuPG v1. Da stellen sich mir zwei Fragen:
>
>- Kann man v1 und v2 nebeneinander installieren? IIRC heißt
> der Befehl bei v2 doch auch "gpg" und nicht "gpg2", oder?

Nein, heißt "gpg2".

>- Wie sieht es mit dem Config-Verzeichnis aus? Lautet das
> bei v2 auch "~/.gnupg" und gibt es dadurch evtl. Konflikte?

Das Verzeichnis scheint dasselbe zu sein wie bei v1. Aber
es sieht so aus, als würden dort andere Dateien (.kbx)
angelegt.

>>Hier mal ein kleiner Artikel von Werner Koch (how-to):
>>
>>https://lists.gnupg.org/pipermail/gnupg-devel/2011-March/025989.html

Habe mir jetzt mal unter OpenBSD GnuPG v2 mit gpgsm in-
stalliert und ein self-signed Zertifikat erzeugt:

| $ gpgsm --dump-cert
| /home/user19/.gnupg/pubring.kbx
| -------------------------------
| ID: 0xF0D32C4A
| S/N: 239C3C409D63C947
| Issuer: CN=Marcel Logen,L=Bonn,C=DE
| Subject: CN=Marcel Logen,L=Bonn,C=DE
| aka: <33320000...@ybtra.de>
| sha1_fpr: 3F:A2:31:9B:F1:42:3D:D3:42:4B:32:05:A9:E7:F4:EA:F0:D3:2C:4A
| md5_fpr: 83:6C:A5:A4:F3:D6:2D:57:5E:93:AA:F6:F0:EC:CF:85
| certid: [...]
| keygrip: [...]
| notBefore: 2017-05-30 18:08:57
| notAfter: 2063-04-05 17:00:00
| hashAlgo: 1.2.840.113549.1.1.11 (sha256WithRSAEncryption)
| keyType: 3072 bit RSA
| subjKeyId: [none]
| authKeyId: [none]
| keyUsage: digitalSignature nonRepudiation keyEncipherment dataEncipherment
| extKeyUsage: [none]
| policies: [none]
| chainLength: unlimited
| crlDP: [none]
| authInfo: [none]
| subjInfo: [none]
| extn: 1.3.6.1.4.1.11591.2.2.1 (standaloneCertificate) [3 octets]

Was mich stört, ist, daß dort eine sehr lange Laufzeit auto-
matisch vorgegeben wurde. Ich habe nicht herausgefunden, wie
ich die ändern kann.

Man kann sich das Zertifikat BTW auch mit OpenSSL ansehen:

openssl x509 -in smime-zertifikat.pem -noout -text -fingerprint | less

Mal sehen, wie ich jetzt damit signieren kann ...
Dazu werde ich zu einem späteren Zeitpunkt wohl noch ein paar
Postings absetzen.

Marcel
--
+---+ +-------+ +-+ +---+ +--------
--+ +--+ +----+ +--------+ +--+ +-+ +-----+ +--+
+-+ +---+ +--+ +-+ +-------+ +---+ +-+
+-+ +----+ +-------------+ +---+

Marcel Logen

unread,

May 30, 2017, 6:22:30 PM5/30/17

to

Marcel Logen schrieb:

>Mal sehen, wie ich jetzt damit signieren kann ...
>Dazu werde ich zu einem späteren Zeitpunkt wohl noch ein paar
>Postings absetzen.

-----BEGIN SIGNED MESSAGE-----
MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgEFADCABgkqhkiG9w0B
BwGggCSABEFIYWxsbyBXZWx0IQoKSGllciBlaW5lIFMvTUlNRS1zaWduaWVydGUg
TmFjaHJpY2h0LgoKR3J1w58KTWFyY2VsCgAAAAAAADGCAoAwggJ8AgEBMD8wMzEL
MAkGA1UEBhMCREUxDTALBgNVBAcTBEJvbm4xFTATBgNVBAMTDE1hcmNlbCBMb2dl
bgIII5w8QJ1jyUcwDQYJYIZIAWUDBAIBBQCggZMwGAYJKoZIhvcNAQkDMQsGCSqG
SIb3DQEHATAcBgkqhkiG9w0BCQUxDxcNMTcwNTMwMjIxMzExWjAoBgkqhkiG9w0B
CQ8xGzAZMAsGCWCGSAFlAwQBAjAKBggqhkiG9w0DBzAvBgkqhkiG9w0BCQQxIgQg
DPc9sbTTUyOWzW837is+aQvdoJ0SZy42TDyiMLCT7iswDQYJKoZIhvcNAQEBBQAE
ggGACFNqRpdgSh4ESBL+h8K2jsTpxxPb1QG9KLznTHwc+oD/BI4W2gRZ7WVwce89
quvkDWg3FNClXwrGj+Gji6EOsliR4BySFP8QT9PQ9g7CqknYPmHwejwvcj1gdE6w
Q7kAk7T36APyi5ZudXZJSr1iNEjzrWgB9dolZrT9fTNDtMmdPA0LRrg0+4xIpEnF
I/2df11+mA7Jbr6p0p5WfKvFMeaCuFSDk3z0h+XSlynYCb7HcEQ5H4LChi8eK9fv
XtJgJkD/p9dOhl+JNYM/YIo2cBJKjq7SzWDlNnxX5NrnlAICrqz0jF0anOLyMXQF
5a1jeygDOZXI3tQ2hwncBWX9NjWjC6KJEHf6HQJouAsTyzOTSpu3wojWrpvnJpo4
NP8WfpmJcwbk4V3ov1R+v0jnaAcTaBZuN6zECQHVfnKF9r1Pw5wzGttF+FxWcWp/
cK8XD+cDVRG7DJoaBguRHkV9x40R4XsV83KZVoit8RLB8mbNQrKa7KMIhfsmCmFv
mD+zAAAAAAAA
-----END SIGNED MESSAGE-----

Hier das Zertifikat:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Cleartext-Signaturen scheint es wohl bei S/MIME nicht zu geben.

Marcel
--
-+ +--+ +----+ +-------------+
+-----+ +------+ +-+ +------+ +-+ +-+ +-+
+-------+ +---+ +-+ +-+ +--+ +-+ +-+ +---+ +--+ +--
+----------+ +-+ +-----+ +-+ +--+ +-+

Marcel Logen

unread,

May 30, 2017, 6:38:21 PM5/30/17

to

Stefan Claas schrieb:

>Und hier mal ein Test:
>
>-----BEGIN SIGNED MESSAGE-----
>MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgEFADCABgkqhkiG9w0B
>BwGggCSABFtHdXRlbiBBYmVuZCEKCldpZSBpbW1lciwgZWluIHNjaMO2bmVzIFdv
>Y2hlbmVuZGUgYW4gZGllIGRlLnRlc3QgY3Jldy4gOi0pCgpHcsO8w59lClN0ZWZh
>bgoKAAAAAAAAMYICAjCCAf4CAQEwQTA1MQswCQYDVQQGEwJERTEPMA0GA1UEChMG
>cHJpdmF0MRUwEwYDVQQDEwxTdGVmYW4gQ2xhYXMCCGGJBaEOfIXTMA0GCWCGSAFl
>AwQCAQUAoIGTMBgGCSqGSIb3DQEJAzELBgkqhkiG9w0BBwEwHAYJKoZIhvcNAQkF
>MQ8XDTE3MDUxOTE5NDMzOFowKAYJKoZIhvcNAQkPMRswGTALBglghkgBZQMEAQIw
>CgYIKoZIhvcNAwcwLwYJKoZIhvcNAQkEMSIEIL9VnuWHuQRjGREsfLMdvbk6fgDg
>NFrICtl7T3n5X17YMA0GCSqGSIb3DQEBAQUABIIBADlDCR5e2l8Rxac7ngPJiaaV
>C7cO8NMwrkWhgycKpz3aSgFplwXxpagTzgcbIXMccfu6GR0A/rIwcUfnguY/r/68
>Bx5nLtq7vwCTsCGcrC3TH/FQCAEoyd89+YYFtJ8rYbvqlwwCldAbEqMyaqGVPDZQ
>8PSkl1zGcC9MP6GbA3lLBTMASzrJcr39dR3vgEg6XGj8ZZR6Y/JFfTtIpKn9VcgL
>pK61qBplnSIeVh0AD4KshrHlPO0w2KfYebxqAuBxcsG7EOho4AzJCKpO9vgFFRbs
>Zy649sVEnvm/DEC/m9EG99NgzM8EGXzK03kVBtl19iU7N58hEiXtsLGtY10m6rsA
>AAAAAAA=
>-----END SIGNED MESSAGE-----
>
>Überprüfen und Datei schreiben mit:
>
>gpgsm -o text.txt --verify msg.txt (falls ihr die Datei mit msg.txt
>gespeichert habt wird der Klartext dann als test.txt gespeichert.)

Hat geklappt.

| Guten Abend!
|
| Wie immer, ein schönes Wochenende an die de.test crew. :-)
|
| Grüße
| Stefan

Marcel
--
+------+ +-----+ +-----+ +---------+ +-----------+
+---+ +---+ +---+ +--+ +-+ +-+ +-+ +---+ +--+
+ +-+ +--+ +-+ +-+ +-+
+------+

Marcel Logen

unread,

May 30, 2017, 6:51:36 PM5/30/17

to

stefan...@posteo.de schrieb:

>[application]
>MIME content type not supported

| Content-Type: application/x-pkcs7-mime; smime-type=enveloped-data;
| name="smime.p7m"
| Content-Disposition: attachment; filename="smime.p7m"
| Content-Transfer-Encoding: base64
|
| MIAGCSqGSIb3DQEHA6CAMIACAQAxggHKMIIBxgIBADCBrTCBlzELMAkGA1UEBhMC
| R0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9y
| ZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxPTA7BgNVBAMTNENPTU9ETyBS
| U0EgQ2xpZW50IEF1dGhlbnRpY2F0aW9uIGFuZCBTZWN1cmUgRW1haWwgQ0ECEQDT
| aV5HB8+FQDZ4DU14/ZV6MA0GCSqGSIb3DQEBAQUABIIBAJhF36V3ZBSKE7hYLyfw
| ErUrhZDqAqsRgZE0XOAB/oENMd0smQgjzUCOCh6iXfPd6vp1P7qNfoZ8a1bCLkR/
[...]

Damit kann ich allerdings nichts anfangen.

Ich sehe nur, daß da wohl schon die COMODO-CA im Spiel ist:

$ openssl base64 -d < nachricht-stefan06.smime | hexdump -Cv | head -15
00000000 30 80 06 09 2a 86 48 86 f7 0d 01 07 03 a0 80 30 |0...*.H........0|
00000010 80 02 01 00 31 82 01 ca 30 82 01 c6 02 01 00 30 |....1...0......0|
00000020 81 ad 30 81 97 31 0b 30 09 06 03 55 04 06 13 02 |..0..1.0...U....|
00000030 47 42 31 1b 30 19 06 03 55 04 08 13 12 47 72 65 |GB1.0...U....Gre|
00000040 61 74 65 72 20 4d 61 6e 63 68 65 73 74 65 72 31 |ater Manchester1|
00000050 10 30 0e 06 03 55 04 07 13 07 53 61 6c 66 6f 72 |.0...U....Salfor|
00000060 64 31 1a 30 18 06 03 55 04 0a 13 11 43 4f 4d 4f |d1.0...U....COMO|
00000070 44 4f 20 43 41 20 4c 69 6d 69 74 65 64 31 3d 30 |DO CA Limited1=0|
00000080 3b 06 03 55 04 03 13 34 43 4f 4d 4f 44 4f 20 52 |;..U...4COMODO R|
00000090 53 41 20 43 6c 69 65 6e 74 20 41 75 74 68 65 6e |SA Client Authen|
000000a0 74 69 63 61 74 69 6f 6e 20 61 6e 64 20 53 65 63 |tication and Sec|
000000b0 75 72 65 20 45 6d 61 69 6c 20 43 41 02 11 00 d3 |ure Email CA....|
000000c0 69 5e 47 07 cf 85 40 36 78 0d 4d 78 fd 95 7a 30 |i^G...@6x.Mx..z0|
000000d0 0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 04 82 |...*.H..........|
000000e0 01 00 98 45 df a5 77 64 14 8a 13 b8 58 2f 27 f0 |...E..wd....X/'.|

Marcel
--
+--+ +---+ +----+
+-+ +-+ +--+ +-+ +---+ +-+
+ +--+ +-+ +--+ +-+ +----+ +-+ +--+ +--+ +-+
+-+ +-+ +-+ +--+ +--+ +----------+ +

Alfred Peters

unread,

May 31, 2017, 2:45:24 PM5/31/17

to

Es schrieb einmal Stefan Claas:
> Marcel Logen wrote:

>> -----BEGIN SIGNED MESSAGE-----

>> Cleartext-Signaturen scheint es wohl bei S/MIME nicht zu geben.
>

> Nein, habe ich auch noch nicht gesehen.

Doch das geht:

| gpgsm -o Foo.sig -a -b -s Foo.txt

Foo.txt enthält dann den Klartext, und Foo.sig nur die Signatur.

Mit:
| gpgsm --verify Foo.sig Foo.txt

kann man das dann wieder prüfen.

Jetzt muss nur noch definieren, wie man daraus einen Artikel und aus dem
Artikel wieder die Dateien macht - ohne sie zu verändern.

Das sollte aber im Prinzip genauso wie mit dem normalen gpg auch funktionieren.

Alfred
--
Thunderbird (55.0a1) - Daily BuildID=20170531114322
Rev: Comm-Central:a4458b9e5377 / Mozilla-Central:7b8937970f9c 17413.3

Marcel Logen

unread,

May 31, 2017, 6:37:48 PM5/31/17

to

Stefan Claas writes:

>Marcel Logen wrote:
>> stefan...@posteo.de schrieb:

>> | Content-Type: application/x-pkcs7-mime; smime-type=enveloped-data;
>> | name="smime.p7m"
>> | Content-Disposition: attachment; filename="smime.p7m"
>> | Content-Transfer-Encoding: base64
>> |
>> | MIAGCSqGSIb3DQEHA6CAMIACAQAxggHKMIIBxgIBADCBrTCBlzELMAkGA1UEBhMC
>> | R0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9y
>> | ZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxPTA7BgNVBAMTNENPTU9ETyBS
>> | U0EgQ2xpZW50IEF1dGhlbnRpY2F0aW9uIGFuZCBTZWN1cmUgRW1haWwgQ0ECEQDT
>> | aV5HB8+FQDZ4DU14/ZV6MA0GCSqGSIb3DQEBAQUABIIBAJhF36V3ZBSKE7hYLyfw
>> | ErUrhZDqAqsRgZE0XOAB/oENMd0smQgjzUCOCh6iXfPd6vp1P7qNfoZ8a1bCLkR/
>> [...]
>>
>> Damit kann ich allerdings nichts anfangen.
>>
>

>Ich glaube da kannst du gpgsm und openssl zum überprüfen vergessen.

Das kann ich mir eigentlich nicht vorstellen.

Ich habe es hier mit OpenSSL versucht, aber es kam immer die Meldung
"wrong content type":

| pi@r18:~/ybtra-r18 $ ~/osl110f-p/bin/openssl smime -verify -in smime.p7m
| Verification failure
| 1996021760:error:21075071:PKCS7 routines:PKCS7_verify:wrong content type:crypto/pkcs7/pk7_smime.c:223:

Auch mit "application/pkcs7-mime" statt "x-" hat es leider nicht
geklappt. Ich muß mir das in den nächsten Tagen noch einmal ge-
nauer ansehen - <https://tools.ietf.org/html/rfc5751>.

>Jedoch kann das jeder S/MIME fähige email oder news client.

Das glaube ich Dir gern, aber ich bin der Meinung, es müßte auch
"zu Fuß" gehen. Zumindest wäre das für mein Verständnis des Ganzen
gut ...

Marcel
--
+--+ +-----+ +--+ +---+ +---+ +---+
----+ +-+ +---+ +---+ +---+ +--+ +------+ +--+ +--+
+-------+ +-+ +--+ +-+ +---+ +-+
+-------------+ +-------+ +------+ +---

Marcel Logen

unread,

May 31, 2017, 8:12:47 PM5/31/17

to

Stefan Claas schrieb:

>Alfred Peters wrote:
>> Es schrieb einmal Stefan Claas:
>> > Marcel Logen wrote:

>> > > Cleartext-Signaturen scheint es wohl bei S/MIME nicht zu geben.
>> >
>> > Nein, habe ich auch noch nicht gesehen.
>>
>> Doch das geht:
>>
>> | gpgsm -o Foo.sig -a -b -s Foo.txt

Oh ja. Die Optionen -a und -b muß ich mir dann mal auf dem
anderen (dem gpgsm-)Rechner ansehen. Danke.

[...]
>Marcel müsste mal probieren einen S/MIME (mimemässig) konformen Artikel
>zu basteln damit man mal das Ergebnis in TB, ClawsMail oder Gnus betrachten kann.

Tja, dafür muß ich aber erst noch etwas lesen (RFC, Wikipedia),
da ich mit dem genauen Format noch nicht vertraut bin. :-)

Marcel
--
+-----+ +----------+
+-----+ +---+ +-+ +-----+ +---+ +-+ +--------+ +---+ +---+ +
+--+ +--+ +--+ +-+ +--+ +-+ +--+ +-+ +-+ +---+ +--+ +-+ +--+
--+ +------+ +----+ +-+ +-+ +-------+

Marcel Logen

unread,

May 31, 2017, 8:25:01 PM5/31/17

to

Stefan Claas schrieb:

>Marcel Logen wrote:

>> -----BEGIN SIGNED MESSAGE-----
>

>Ja, hat auch geklappt. Nur weiss man bei diesem Verfahren nicht
>ob das auch wirklich du bist.

Tja, das ist wie bei GnuPG. Außerdem müßte man anderenfalls
COMODO oder ähnlichen Stellen trauen. Das muß wohl jeder für
sich entscheiden.

>> Cleartext-Signaturen scheint es wohl bei S/MIME nicht zu geben.
>

>Nein, habe ich auch noch nicht gesehen.
>

>Ich würde dir aber für weitere Tests mal empfehlen ein kostenloses
>Zertifkat bei Comodo zu erstellen und einen S/MIME fähigen news
>client zu benutzen, denn damit funzt das dann richtig. :-)

Beides werde ich vermutlich nicht machen: Einerseits möchte
ich nicht einfach so irgendwo (COMODO) ein Zertifikat beantra-
gen (dort kennt man mich ja schließlich auch nicht, und das
kostenlose Zertifikat würde AFAIK eh nur auf meine eMail-
Adresse ausgestellt) - und andererseits bin ich immer sehr zu-
rückhaltend, was das Installieren neuer Software angeht. Ich
wäre schon froh, wenn es mit gpgsm oder OpenSSL (die ja in-
zwischen beide hier vorhanden sind, wenn auch gpgsm nur auf
einem Rechner) klappen würde.

So könnte ich auch etwas über das S/MIME-Verfahren lernen. :-)

Marcel
--
+---+ +-+ +--------+ +-+ +-+
-+ +-+ +-+ +-+ +---+ +---+ +-+ +-+
+-+ +--+ +-+ +--+ +-+ +---+ +----+ +-+ +-+ +-------------------+
+--+ +-+ +-+ +--+ +-+ +------+ +----+ +----------------------

Stefan Claas

unread,

Jun 1, 2017, 3:43:43 AM6/1/17

to

Am 01.06.2017 um 00:37 schrieb Marcel Logen:
> Stefan Claas writes:
>
>> Marcel Logen wrote:
>>> stefan...@posteo.de schrieb:
>
>>> | Content-Type: application/x-pkcs7-mime; smime-type=enveloped-data;
>>> | name="smime.p7m"
>>> | Content-Disposition: attachment; filename="smime.p7m"
>>> | Content-Transfer-Encoding: base64
>>> |
>>> | MIAGCSqGSIb3DQEHA6CAMIACAQAxggHKMIIBxgIBADCBrTCBlzELMAkGA1UEBhMC
>>> | R0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9y
>>> | ZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxPTA7BgNVBAMTNENPTU9ETyBS
>>> | U0EgQ2xpZW50IEF1dGhlbnRpY2F0aW9uIGFuZCBTZWN1cmUgRW1haWwgQ0ECEQDT
>>> | aV5HB8+FQDZ4DU14/ZV6MA0GCSqGSIb3DQEBAQUABIIBAJhF36V3ZBSKE7hYLyfw
>>> | ErUrhZDqAqsRgZE0XOAB/oENMd0smQgjzUCOCh6iXfPd6vp1P7qNfoZ8a1bCLkR/
>>> [...]
>>>
>>> Damit kann ich allerdings nichts anfangen.
>>>
>>
>> Ich glaube da kannst du gpgsm und openssl zum überprüfen vergessen.
>
> Das kann ich mir eigentlich nicht vorstellen.

Na, ich meinte das wegen der MIME Ummantellung der Nachricht. Kann
mich natürlich auch irren.

Grüße
Stefan

Stefan Claas

unread,

Jun 1, 2017, 4:38:36 AM6/1/17

to

Am 01.06.2017 um 02:24 schrieb Marcel Logen:
> Stefan Claas schrieb:
>
>> Marcel Logen wrote:
>
>>> -----BEGIN SIGNED MESSAGE-----
>>
>> Ja, hat auch geklappt. Nur weiss man bei diesem Verfahren nicht
>> ob das auch wirklich du bist.
>
> Tja, das ist wie bei GnuPG. Außerdem müßte man anderenfalls
> COMODO oder ähnlichen Stellen trauen. Das muß wohl jeder für
> sich entscheiden.

Du sprichst einen sehr sehr wichtigen Punkt an, Vertrauen.
Bei S/MIME sind beispielweise unter OSX und Windows, oder auch
bei Thunderbird die Zertifikate der bekannten CA's bereits als
vertrauenswürdig eingestuft und vorinstalliert.

Kannst du den einen signierten public key von jemanden trauen der
von jemand anderem signiert ist?

Ich traue PGP keys (von Fremden) nur wenn sie Unterschriften (sig3)
von einer bekannten CA wie CT Magazin oder Governikus tragen, oder
bei ausländischen keys wenn diese ebenfalls sig3 von bekannten Netizen
tragen, wobei der bekannte Netize klare einsehbare Signatur Richtlinen
haben sollte, für einen (hoffentlich offline) Signatur Schlüssel.

Grüße
Stefan

Marcel Logen

unread,

Jun 1, 2017, 6:37:49 AM6/1/17

to

Marcel Logen schrieb:

>Stefan Claas schrieb:
>>Alfred Peters wrote:
>>> Es schrieb einmal Stefan Claas:
>>> > Marcel Logen wrote:

>>> > > Cleartext-Signaturen scheint es wohl bei S/MIME nicht zu geben.
>>> >
>>> > Nein, habe ich auch noch nicht gesehen.
>>>
>>> Doch das geht:
>>>
>>> | gpgsm -o Foo.sig -a -b -s Foo.txt
>
>Oh ja. Die Optionen -a und -b muß ich mir dann mal auf dem
>anderen (dem gpgsm-)Rechner ansehen. Danke.

Ah ja, -a ist gleich --armor. OK.

Aber -b finde ich in der (Online-)Doku nicht, weder unter
"Commands" noch unter "Options":
<https://www.gnupg.org/documentation/manuals/gnupg/Invoking-GPGSM.html>.

Ich schaue dann mal auf dem gpgsm-Rechner in Manual nach.

Marcel
--
+-+ +-+ +---+ +-------+ +-----------------+
+ +---+ +-+ +-+ +-+ +-+ +-+ +------------+ +-+
+-------+ +-+ +--+ +-----+ +--+ +--+ +--+ +-+ +------
+------+ +-----------+ +----+ +---+ +-+

Marcel Logen

unread,

Jun 1, 2017, 7:25:31 AM6/1/17

to

Marcel Logen schrieb:

>Marcel Logen schrieb:
>>Stefan Claas schrieb:
>>>Alfred Peters wrote:

[cleartext signatures mit S/MIME]

>>>> | gpgsm -o Foo.sig -a -b -s Foo.txt
>>
>>Oh ja. Die Optionen -a und -b muß ich mir dann mal auf dem
>>anderen (dem gpgsm-)Rechner ansehen. Danke.
>
>Ah ja, -a ist gleich --armor. OK.
>
>Aber -b finde ich in der (Online-)Doku nicht, weder unter
>"Commands" noch unter "Options":
><https://www.gnupg.org/documentation/manuals/gnupg/Invoking-GPGSM.html>.
>
>Ich schaue dann mal auf dem gpgsm-Rechner in Manual nach.

*done*

Da ist kein -b zu finden, es funktioniert aber!
Woher hast Du das denn, Alfred?

Auch der Befehl für die Verifizierung von detached signatures
ist nicht beschrieben, nur bei falshcer Anwendung kommt eine
Meldung. Beispiel:

| $ gpgsm --verify signaturzumcleartext.sig -b cleartext.txt
| usage: gpgsm [options] --verify [signature [detached_data]]

Marcel
--
+----+ +------+ +---------------+ +-----+ +-+
+--+ +-+ +--+ +----+ +---+ +-------------+ +--+ +---+ +--+
+-+ +-+ +-+ +---+ +-+ +---+ +-+ +---+ +---+ +-----+
--+ +---+ +-+ +-+ +-+ +------+ +------+

Marcel Logen

unread,

Jun 1, 2017, 7:47:14 AM6/1/17

to

Stefan Claas schrieb:

Ich bekomme es nicht hin! Grmpf.

Auch hier auf dem gpgsm-Rechner nicht:

| $ gpgsm --verify nachricht-stefan07.smime
| gpgsm: ksba_cms_parse failed: End of file

| $ openssl smime -verify -in nachricht-stefan07.smime
| Verification failure
| 26685488960352:error:21FFF071:PKCS7 routines:func(4095):wrong content type:/usr/src/lib/libcrypto/pkcs7/pk7_smime.c:277:

Wird denn die Nachricht in Deinem Thunderbird als korrekt
signiert angezeigt? Oder war das etwa eine verschlüsselte
Nachricht? An wen?

Marcel
--
+------+ +-+ +-+ +---+ +--+ +---+ +-------+ +-+
+-+ +--+ +-+ +-+ +-+ +-+ +--+ +-+ +-+ +-+ +-+ +--+ +
+ +--------+ +----+ +---+ +--+ +---+ +----+
+-----------+ +---+

Stefan Claas

unread,

Jun 1, 2017, 8:30:47 AM6/1/17

to

Am 01.06.2017 um 13:47 schrieb Marcel Logen:

> Ich bekomme es nicht hin! Grmpf.
>
> Auch hier auf dem gpgsm-Rechner nicht:
>
> | $ gpgsm --verify nachricht-stefan07.smime
> | gpgsm: ksba_cms_parse failed: End of file
>
> | $ openssl smime -verify -in nachricht-stefan07.smime
> | Verification failure
> | 26685488960352:error:21FFF071:PKCS7 routines:func(4095):wrong content type:/usr/src/lib/libcrypto/pkcs7/pk7_smime.c:277:
>
> Wird denn die Nachricht in Deinem Thunderbird als korrekt
> signiert angezeigt? Oder war das etwa eine verschlüsselte
> Nachricht? An wen?

Ich weiß nicht welche Nachricht du jetzt meinst. Alle Nachrichten
die ich bisher mit Thunderbird in diese Gruppe gepostet haben sind
signiert gewesen und jeder der einen S/MIME fähigen News Reader hat
konnte die Signatur überprüfen. Eine Nachricht war auch mit meinem
Volksverschlüsselung Zertifikat signiert, welches man als korrekte
Signatur überprüfen kann, wenn man die Root Zertifikate vom Fraunhofer
SIT installiert hat. Dann hatte ich mal versehentlich mit einem
Python Skript eine verschlüsselte S/MIME Nachricht hier gepostet,
die Thunderbird Nutzern dann eine ganz großen Hinweis zeigt, dass
diese nicht entschlüsselt werden kann.

Grüße
Stefan

Alfred Peters

unread,

Jun 1, 2017, 9:29:31 AM6/1/17

to

Es schrieb einmal Marcel Logen:
>>Marcel Logen schrieb:

>>>>Alfred Peters wrote:
> [cleartext signatures mit S/MIME]
>>>>> | gpgsm -o Foo.sig -a -b -s Foo.txt
>>>
>>>Oh ja. Die Optionen -a und -b muß ich mir dann mal auf dem
>>>anderen (dem gpgsm-)Rechner ansehen. Danke.

> Da ist kein -b zu finden, es funktioniert aber!
> Woher hast Du das denn, Alfred?

> Auch der Befehl für die Verifizierung von detached signatures
> ist nicht beschrieben,

Das habe ich so vom gpg übernommen. Das steht dort irgendwo in der
man^WAnleitung.

Alfred
--
Thunderbird (55.0a1) - Daily BuildID=20170601125755
Rev: Comm-Central:a4458b9e5377 / Mozilla-Central:953b93589b72 17415.4

Stefan Claas

unread,

Jun 1, 2017, 11:46:51 AM6/1/17

to

On 01.06.17 13:47, Marcel Logen wrote:

> Ich bekomme es nicht hin! Grmpf.
>
> Auch hier auf dem gpgsm-Rechner nicht:
>
> | $ gpgsm --verify nachricht-stefan07.smime
> | gpgsm: ksba_cms_parse failed: End of file
>
> | $ openssl smime -verify -in nachricht-stefan07.smime
> | Verification failure
> | 26685488960352:error:21FFF071:PKCS7 routines:func(4095):wrong content type:/usr/src/lib/libcrypto/pkcs7/pk7_smime.c:277:
>

So, ich signiere jetzt nochmal mit meinem ClassIII Zertifikat diesen
Reply für dich, zum überprüfen.

Die Root Zertifikate dafür findest du hier:

https://www.volksverschluesselung.de/zertifikate.php

(ich benutze die Comodo ClassI nicht mehr)

Grüße
Stefan

Marcel Logen

unread,

Jun 2, 2017, 4:32:20 PM6/2/17

to

Alfred Peters schrieb:

>Es schrieb einmal Marcel Logen:
>>>Marcel Logen schrieb:
>>>>>Alfred Peters wrote:

>>>>>> | gpgsm -o Foo.sig -a -b -s Foo.txt
>>>>
>>>>Oh ja. Die Optionen -a und -b muß ich mir dann mal auf dem
>>>>anderen (dem gpgsm-)Rechner ansehen. Danke.
>
>> Da ist kein -b zu finden, es funktioniert aber!
>> Woher hast Du das denn, Alfred?
>
>| >gpgsm --help
>| gpgsm (GnuPG) 2.1.20
[...]

>| Commands:
>| -s, --sign make a signature
>| -b, --detach-sign make a detached signature

Auch ne Möglichkeit. :-)

[...]

>Eine 'man page' habe ich nicht. :-)

Windows, oder?

>> Auch der Befehl für die Verifizierung von detached signatures
>> ist nicht beschrieben,
>
>Das habe ich so vom gpg übernommen. Das steht dort irgendwo in der
>man^WAnleitung.

Das kann sein, denn daher hatte ich mir mal die Reihenfolge
gemerkt: erst "sig_file", dann "signed_file".

Marcel
--
+---+ +-+ +-+ +-+ +-------+ +--+ +--+ +
+ +-+ +---+ +--+ +-+ +--+ +---+ +-+ +--+ +-+ +-+
+---+ +---+ +--+ +-+ +-+ +-------+
+--+ +--+ +--+

Marcel Logen

unread,

Jun 2, 2017, 4:38:27 PM6/2/17

to

Stefan Claas schrieb:

Ich meinte diese Nachricht hier aus diesem Thread:
<news:3wVPD53...@submission01.posteo.de>.

Die muß irgendwas mit COMODO zu tun haben, wie ich ja schon
am Anfang schrieb.

Ich bekomme sie aber leider nicht verifiziert, da immer eine
Fehlermeldung kommt. Ich weiß auch nicht, wie ich sie richtig
'zusammenbauen' müßte, um die Fehlermeldung zum Verschwinden
zu bringen ...

Marcel
--
+--+ +--------+
+--+ +-+ +---+ +-+ +-+ +----+
+-+ +--+ +-+ +--+ +-+ +------+ +------+ +----+ +-+ +-+ +--
-+ +------+ +---+ +-+ +--+ +--+ +-----+

Marcel Logen

unread,

Jun 2, 2017, 5:20:20 PM6/2/17

to

Stefan Claas schrieb:

>So, ich signiere jetzt nochmal mit meinem ClassIII Zertifikat diesen
>Reply für dich, zum überprüfen.
>
>Die Root Zertifikate dafür findest du hier:
>
>https://www.volksverschluesselung.de/zertifikate.php
>
>(ich benutze die Comodo ClassI nicht mehr)

Hat geklappt! Ich habe die Nachricht in den Text und die
Signatur zerlegt und dann gemacht:

| $ gpgsm --disable-crl-checks --verify nachricht-stefan09.signatur nachricht-stefan09.txt
| gpgsm: Signature made 2017-06-01 15:46:49 using certificate ID 0xD56D47D4
| gpgsm: Note: non-critical certificate policy not allowed
| gpgsm: Note: non-critical certificate policy not allowed
| gpgsm: CRLs not checked due to --disable-crl-checks option
| gpgsm: Good signature from "/CN=STEFAN [...] CLAAS/SN=CLAAS/GN=STEFAN [...]/SerialNumber=1149CE4E6F61465C94C2D12E0AF1658110CE9AD8461AA16AB2ECD9E83210B0D4"
| gpgsm: aka "[...]@posteo.de"

Marcel
--
+---+ +------+
+ +----+ +-----+ +-+ +--+ +--+ +--+
+-+ +-+ +--+ +-+ +--+ +---+ +-+ +-----+ +-+ +-+ +-+
+----+ +--+ +-------+ +----+ +--+ +-+ +----------

Marcel Logen

unread,

Jun 2, 2017, 5:33:35 PM6/2/17

to

Stefan Claas schrieb:

>Marcel Logen wrote:

>> Ich meinte diese Nachricht hier aus diesem Thread:
>> <news:3wVPD53...@submission01.posteo.de>.
>>
>> Die muß irgendwas mit COMODO zu tun haben, wie ich ja schon
>> am Anfang schrieb.
>

>Achso, die. Die hatte ich versehentlich verschlüsselt gehabt.
>Da kannst du nichts mit machen, sorry.

Hatte ich es doch richtig vermutet: sie war verschlüs-
selt.

>> Ich bekomme sie aber leider nicht verifiziert, da immer eine
>> Fehlermeldung kommt. Ich weiß auch nicht, wie ich sie richtig
>> 'zusammenbauen' müßte, um die Fehlermeldung zum Verschwinden
>> zu bringen ...
>

>Da kann ich momentan leider auch nicht helfen, da ich mit gpgsm
>zu wenig gespielt habe.

Ich weiß es jetzt: Die Nachricht aufteilen in
Signatur und Text und dann als "detached" verifizieren.

>Ich habe dir aber noch als Antwort vorher eine nur signierte
>Nachricht nach geposted. Vielleicht bekommst du es irgenwie
>hin diese zu verifizieren.

Ja! :-)

Die Zertifikate hat gpgsm bis auf das Root-Zertifikat
alle von selbst importiert. Vermutlich sind die in der
Signatur schon enthalten.

>Wenn es meine Zeit erlaubt schaue ich auch nochmal nach,
>ob ich es auch hinbekomme, signierte Nachrichten mit MIME
>Hülle (mit gpgsm) zu überprüfen.

Muß ich mir auch noch mal ansehen.

Marcel
--
+-+ +--+ +----------+ +---+
+-+ +-----+ +----+ +-+ +----+ +--+ +-+ +--+
+ +------+ +--------------+ +-+ +-+ +-+ +--+ +----+ +-+ +---+ +-
+----------------+ +-+ +----+ +--+ +---+ +--+

Marcel Logen

unread,

Jun 5, 2017, 2:58:14 PM6/5/17

to

Marcel Logen schrieb:

>Marcel Logen schrieb:
>>Stefan Claas schrieb:

Man kann die Option --batch benutzen und ein "parameter file"
angeben, worin man u. a. die Laufzeit spezifizieren kann:

<https://www.gnupg.org/documentation/manuals/gnupg/CSR-and-certificate-creation.html>

Auch der Hash-Algorithmus kann dort angegeben werden (Default
ist wohl SHA256).

Marcel
--
+-----+ +------+ +-----------+ +------------+
+----+ +--+ +-+ +----+ +--+ +--+ +--+ +-+
+-+ +----+ +--+ +--+ +-+ +----+ +--+ +---+ +------+ +-+
+---+ +----+ +----+ +------+ +----------+ +---