Moin,
ich habe da mal eine Frage:
Ich habe jetzt schon den 2. Fall, bei dem ich eine verschlüsselte Antwort auf eine Mail bekomme.
Ich nutze ein Class1 s/mime Zertifikat für die Digitale Signierung, nicht für Verschlüsselung.
Die Absender sind in beiden fällen Behörden (Stadtverwaltung) und die Personen können das scheinbar nicht beeinflussen.
Verschlüsseln die Server automatisch, nur weil ich digital Signiert habe, und wie komme ich dann an die Entschlüsselung? Oder muss ich s/mime Signierung aus machen?

Kann das Phänomen jemand aufklären?

Herzlichen Dank!

Im Falle das du Apple Mail benutzt und das Zertifikat richtig installiert hast. Entschlüsselt Mail die Nachricht automatisch.
Das ist ja einer der tollen dinge an dieser Technologie. Das Wenn dir jemand eine Signierte Email sendet, du ihm Verschlüsselte Emails senden kannst. Danach kannst er dir dann auch Verschlüsselte Emails senden.


Mail zeigt das oben rechts normalerweise an was möglich ist.

Ob die Server das Automatisch machen weiß ich leider nicht. Mich würde es nicht wundern wenn die auch einfach ihr email Programm nicht bedienen können.

viele Grüße

Ich habe das auf dem iPhone und da fehlt mit Sicherheit das Zertifikat.
Es wird aber auch keins angezeigt...
In AppleMail sehe ich einen Anhang smime.p7m kann mit dem aber nichts anfangen.

Bei der Erstellung des Zertifikats kann man angeben ob es nur zum Signieren oder auch zum Verschlüsseln zugelassen ist. Normalerweise dürfte beides erlaubt sein. Daher reicht es wenn du jemandem eine signierte Mail schickst. Der Empfänger hat dann alles um dir signierte oder auch verschlüsselte Emails zu schicken. Da du ja ein Zertifikat hast, warum installierst du es nicht auch auf deinem iPhone?

Ich verstehe die Aussage nicht... auf welchen Geräten hast du das Problem und auf welchen Geräten ist dein Zertifikat installiert?

Auf dem iphone ist mein Zertifikat! Signieren geht Problem los. Wenn ich aber an die Stadtverwaltung eine Mail schicke, bekomme ich die Antwort verschlüsselt und kann sie eben nicht lesen. Es wird auch kein Anhang gezeigt.
In Mail (macOS) sehe ich einen Anhang, kann aber nichts damit machen.
Wenn ich verschlüsseln will (das nutze ich gar nicht) bekomme ich einen Hinweis, dass das nicht möglich sei, weil keine Identität zum Verschlüsseln zu finden sei.
Ist das schon das eigentliche Problem?

Du mußt zwischen dem Zertifikat und dem privaten Schlüssel unterscheiden.

Wenn Du wirklich nur das Zertifikat auf einem Gerät hast, kannst Du damit nur an Dich selbst verschlüsselte Mails schicken oder von Dir selbst signierte Mails validieren, was beides in der Praxis eher sinnfrei ist.

Wenn Du signieren und entschlüsseln willst, brauchst Du zusätzlich auch den privaten Schlüssel. Der ist bei den üblichen Zertifikatsformaten (DER, PEM) nicht enthalten. Um das Zertifikat mit dem privaten Schlüssel z.B. von einem Mac auf ein iOS-Gerät zu übertragen, brauchst Du ein Format, das beides kann - in der Regel ist das PKCS12.

Dafür gehst Du in 'Keychain Access', selektierst das gewünschte Zertifikat und gehst dabei sicher, daß da auch ein privater Schlüssel dran ist:



Dann kannst Du aus dem Kontextmenü heraus exportieren, wobei Du sicherstellen mußt, daß beide Teile, also privater Schlüssel und Zertifikat, exportiert werden. Beim Export mußt Du ein Paßwort vergeben - das ist wichtig, da es das einzige ist, was Deinen privaten Schlüssel vor unbefugter Benutzung sichert. Der Export sollte dann die Dateiendung '.p12' haben.

Diese Datei kannst Du dann auf andere Rechner oder iOS-Geräte übertragen. Per Mail geht das, wenn Du Deinem Mailprovider und Deinem vergebenen Paßwort traust. Ich gehe an diese Themen immer mit dem Apple Configurator heran, mit dem sich auch noch ein paar andere Sachen konfigurieren lassen, die sonst auf iOS nicht gehen (z.B. Siri zuverlässig töten). Ist aber etwas mehr Aufwand.

Ohne privaten Schlüssel kannst Du weder signieren noch entschlüsseln.

Nachtrag: Du mußt auch sicherstellen, daß eventuelle Intermediate-Zertifikate der CA, die Dein Zertifikat signiert hat, installiert sind.

Wenn ich mir das Problem des OP so ansehe, vermute ich allerdings noch eine andere mögliche Fehlerursache:

EIBohu signiert die Mails, die er verschickt, mit einem Zertifikat, das ausschließlich für die Signatur und nicht für die Verschlüsselung freigegeben ist (kann man machen).

Der Empfänger mißachtet aber die Restriktion des Zertifikats und verschlüsselt trotzdem damit ... das wäre ein Bug auf der anderen Seite. Sowas ist nicht selten, da anscheinend kaum jemand das Thema X.509 wirklich verstanden hat (ganz trivial ist es auch nicht).

In dem Fall gibt es zwei mögliche Abhilfen: Ein Zertifikat besorgen, mit dem auch Verschlüsselung erlaubt ist, oder der Gegenstelle keine signierten Mails schreiben. Je nach Softwarelösung auf der Gegenseite kann es für die zweite Option auch schon zu spät sein. Dann braucht der OP eine neue Mailadresse für diesen Empfänger.

Ich habe ein .p12 von der Zertifizierungstelle bekommen, das ist ja das private.
Ich kann signieren, aber nicht verschlüsseln, wie es scheint.
Ich habe sogar zwei, eins von Comodo und eins von SwissSign. Beide sind vertrauenswürdige Stammtzertifizierungsstellen, wenn mich nicht alles täuscht.
Das von SwissSign ist nicht mal kostenlos.

Verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers!
Den privaten Schlüssel würde ich lieber nicht versenden.

Zum Entschlüsseln benötigst Du Deinen privaten Schlüssel.
Wenn Du den nicht haben solltest, wird das wohl nichts mit dem Entschlüsseln.

Nee den privaten Schlüssel gebe ich natürlich nicht aus der Hand!
Aber komisch finde ich das schon.

darf ich hier mal wen eine signierte und eine verschlüsselte Mail schicken?

Wenn Du ein Zertifikat mit privatem Schlüssel installiert hast, …
– kannst Du selbst damit lediglich signieren, nicht verschlüsseln,
– der Empfänger der signierten Mail erhält damit Deinen Public Key und kann Dir anschließend verschlüsselte Mails schicken (er muss nicht, sein Mail Client sollte ihm die Auswahl anbieten, ob er nun verschlüsseln will oder nicht, wobei oft automatisch Verschlüsselung vorgeschlagen wird).
– Du kannst die Mail nur auf den Clients lesen, auf denen Du den Private Key installiert hast.
– Man sollte selbst nach Ablauf der Zertifikats dieses (vor allem seinen Private Key) nicht deinstallieren, weil sonst die gespeicherten verschlüsselten Nachrichten nicht mehr lesbar sind.
– Um selbst verschlüsselte Mails zu versenden, benötigst Du ein Zertifikat mit Public Key des Empfängers, z.B. indem Du einmal von ihm eine signierte Mail empfangen hast.

Wenn Du das p12 nicht auf allen Geräten installiert hast, solltest Du das vielleicht nachholen.

Warum das Lesen der verschlüsselten Mails auf dem Gerät, von dem die signierte Mail gesendet wurde, nicht funktioniert, ist mir allerdings ein Rätsel. Der Private Key muss da sein, sonst hättest Du ja gar nicht signieren können.

Also ich fasse das nochmal zusammen, nur damit keiner denk "was macht der da?":
Ich habe ein s/mime Zertifikat von comodo und auch von SwissSign.
Das ist auf dem Mac und auf dem iPhone installiert und kann damit erfolgreich signieren, was ich auch tue.
Wenn ich der Stadtverwaltung schreibe, bekomme ich die Antwort verschlüsselt, kann sie aber nicht entschlüsseln.
Schreibe ich mir von einem zum anderen Account, geht das aber! Ich habe eben mit jemandem Mails ausgetauscht und auch da ging es, wenn auch nach anfänglichen Schwierigkeiten, weil der Zertifikat (von SwissSign) nicht als Vertrauenswürdig erkannt wurde. Auf dem Mac alles ohne Probleme, auf dem iPhone ist die Sache schon etwas schwieriger.
Dann hatte ich noch das Problem, dass die Signierung mit dem SwissSign Zert. in meinem Outlook Firmenpostfach nicht als Vertrauenswürdig erkannt wurde, ich habe dann nachgesehen, ob SwissSign eine Vertrauenswürde Zertifizierungstelle ist, und ja ist es! und plötzlich war die Signierung auch OK. Ohne etwas geändert zu haben! Das lasse ich mal in der Welt von Windows.

Also: Im Prinzip ist alles ok, eine Erklärung warum ich eine Verschlüsselte Antwort bekomme, ohne vorher Mails ausgetauscht zu haben, gibt es wohl nicht wirklich.

Ich danke allen für Ihre Hilfe und hoffe, dass die Sache unter iOS eher besser als schlimmer wird.

Jetzt verstehe ich das erst: Du hast verschlüsselte Mails erhalten, obzwar der Absender nicht darüber in Kenntnis sein konnte, dass Du diese entschlüsseln kannst?!
Wie konnte das denn funktionieren?
Wenn der Absender nicht im Besitz Deines öffentlichen Schlüssels ist, kann er Dir keine verschlüsselten Mails geschickt haben.
Gut, kann man natürlich schon, aber was sollte das bringen?

Kontaktiere die Absender doch einfach mal und frag nach!
Fragen kostet ja bekanntlich nichts – noch nicht!


Dürftest Du gerne!
Ich verwende aber PGP.
Da kann ich Dir leider nicht weiterhelfen.
Wir haben hier im Forum aber ein paar Leute, die in Sachen Verschlüsselung mit S/MIME mehr als fit sind.
Vielleicht kann Dir am Wochenende geholfen werden.

Das ergibt ja auch Sinn. Wenn Du jemandem eine signierte Email schickst, teilst Du ihm implizit mit, „mir kann man verschlüsselte Emails senden“. Manche Empfänger, ich z.B. und offensichtlich auch Deine Stadtverwaltung, halten es so, dass sie grundsätzlich nur noch verschlüsselte Emails versenden, sobald sie ein Zertifikat des Kommunikationspartners erhalten haben, das das ermöglicht.
Und das ist nun in der Tat extrem seltsam. Kannst Du sie denn wirklich auf dem Gerät nicht entschlüsseln, von dem aus Du Deine signierte Email gesandt hast? Nicht, dass Du Deine Signatur von einem Gerät gesandt hast, auf dem Dein Zertifikat korrekt installiert ist, und dann die verschlüsselte Mail auf einem anderen Gerät nicht entschlüsseln kannst, auf dem Dein Zertifikat aus irgendeinem Grund nicht korrekt installiert ist.

Mein Zertifikat ist auch von SwissSign, ich hatte aber noch nie Probleme damit. Wenn Du noch möchtest, schick mir ne PM mit Deiner Email-Adresse, dann können wir einen Email-Test machen. (Kann bei mir später am Tag werden.)

Deshalb nochmal die zusammen fassung
Ich habe hier schon wen gefunden mit s/mime, danke!
Ich habe denen geschrieben und dann die Antwort verschlüsselt bekommen, funktionieren würde das ja schon so, aber mir fehlt dann eben das Zert, um zu entschlüsseln.
Das eigentlich schlimme daran ist: ich bekomme die Verschlüsselte Antwort und der Absender kann es nicht erklären, weiß wahrscheinlich nicht mal was das ist...
Ich habe mir dann meist beholfen mit den iCloud Postfach, das kein Cert. hat.

Einfach ist anders.

Ja, aber da liegt doch der Hase im Pfeffer: Wie kannst Du überhaupt eine signierte Email versenden, wenn Dir das Zertifikat zur Entschlüsselung fehlt? Das kein eigentlich nicht passieren.
Was gibt es denn da zu erklären? Wie ich schon schrieb: Vermutlich ist dessen Mail-Client einfach so voreingestellt, dass er Mails grundsätzlich automatisch verschlüsselt versendet, sobald die Signatur des Empfängers bekannt ist – was bei Dir halt der Fall ist, da Du ja Deine Emails mit Signatur versendest.
Bei mir geht das alles super-einfach … Irgendwas bei Dir ist da nicht so, wie es sein sollte.

Signiert versenden kann ich doch! Aber ich entschlüssele doch mit seinem Schlüssel, nicht mit meinem oder?

Du kannst nur mit Deinem privaten Schlüssel entschlüsseln!
Den hast Du doch auf irgendeinem Wege erhalten, oder?

Nein, Du entschlüsselst natürlich mit Deinem (privaten) Schlüssel! Den dazu passenden öffentlichen Schlüssel hast Du zuvor mit Deiner Signatur Deinem Gegenüber mitgeteilt.

Und Dein öffentlicher und privater Schlüssel befinden sich beide in einer Datei, die Du von SwissCom erhalten hattest und installieren musstest. Deswegen kann es eigentlich nicht sein, dass Du Deine Signatur versenden, aber dann die mit dem in Deiner Signatur enthaltenen öffentlichen Schlüssel verschlüsselten Emails, die Du zurückbekommst, nicht entschlüsseln kannst.

Also, um vielleicht nochmal das Grundprinzip dieser Verschlüsselung zu verdeutlichen:

Es gibt ein zusammenhängendes Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel.

Beides sind de facto lange Zeichenketten mit folgender besonderer mathematischer Eigenschaft:

• Mit Hilfe des öffentlichen Schlüssels verschlüsselte Daten können mit dem privaten Schlüssel wieder entschlüsselt werden, weil die beiden Schlüssel einerseits „zusammenpassen“.
• Andererseits passen die beiden Schlüssel aber nicht zusammen in dem Sinne, dass sich aus dem öffentlichen Schlüssel der private Schlüssel nicht errechnen lässt.

Deshalb kannst Du problemlos Deinen öffentlichen Schlüssel (über Deine Signatur) fröhlich in alle Welt verteilen, dort können andere dann Emails an Dich mit diesem Schlüssel verschlüsseln, aber nur Du kannst sie mit Deinem privaten Schlüssel dann wieder entschlüsseln.

Aber öffentlicher und privater Schlüssel sind ein fest zusammengehöriges Paar, und es sind beides Deine Schlüssel.

aha, das macht die Sache nicht besser.
Ich bin davon ausgegangen, das ich zum entschlüsseln den öffentlichen des gegenüber benötige.
Weswegen a auch vor ein Austausch stattfinden muss, der nicht verschlüsselt ist.
Ich habe nun comodo ganz raus, SwissSign drin, vielleicht ist das Zertifikat "besser".
Werde es mal beobachten.

Wer nochmal hin und her senden möchte, kann mir ja eine PM schicken. Oder mich im Netz suchen

Wenn Du genauer darüber nachdenkst, wirst Du feststellen, dass das sehr seltsam wäre:

Da der öffentliche Schlüssel Deines Gegenüber ja eben, öhm, öffentlich ist und ihn daher grundsätzlich jeder kennen kann, könnte ja auch jeder Emails, die Dein Gegenüber an Dich versendet, entschlüsseln.

Das wäre nicht so ganz der Sinn der Sache.

Dein privater Schlüssel hingegen ist der, den nur Du hast und mit dem nur Du an Dich gerichtete Emails entschlüsseln kannst – so soll es sein. Damit diese Emails zuvor passend zu Deinem privaten Schlüssel von Deinem Gegenüber verschlüsselt werden können, braucht den Gegenüber Deinen öffentlichen Schlüssel, den es eben durch Deine Signatur bekommt.
Das stimmt im Prinzip ja auch: Bevor ich Dir eine verschlüsselte Mail schicken kann, muss ich mindestens eine Email von Dir mit Deinem öffentlichen Schlüssel erhalten haben. (Die kann zwar bereits verschlüsselt sein, falls Du meinen öffentlichen Schlüssel bereits hattest, aber ganz am Anfang des Austausches kann noch keiner von uns beiden verschlüsseln und es muss folglich zuallermindest eine unverschlüsselte Email gesendet werden.)
Ich schick’ Dir mal ’ne Mail mit Signatur von mir. Und darauf antwortest Du mir dann bitte von dem Gerät, das die meisten Probleme macht (iPhone?) mit einer signierten (und gerne auch bereits verschlüsselten) Mail.

Danke, für die Hilfe.
Ist geschehen

So, durch Testmails zwischen elBohu und mir hat sich das Problem jetzt geklärt.

Ausgangssituation: elBohu konnte auf seinem iPhone zwar verschlüsselte Mails empfangen (und auch entschlüsseln), aber selbst keine verschlüsselten Mails senden.

Grund dafür ist die in der Tat schwer verständliche Tatsache, dass bei dem iPhone für jeden Empfänger, dem man verschlüsselte Mails senden können will, zuvor ein manueller Schritt erforderlich ist, den Mail auf dem Mac vollautomatisch und völlig transparent erledigt.

Für diejenigen, die mit demselben Problem kämpfen und auf diesen Thread stoßen, hier eine Anleitung:


Was muss man tun, um vom iPhone verschlüsselte Emails senden zu können?

Die Situation ist wie folgt:

Wie oben in diesem Thread schon beschrieben, könnt Ihr einem Empfänger erst dann eine verschlüsselte Email schicken, wenn Ihr dessen öffentlichen Email-Schlüssel habt. Dieser öffentliche Schlüssel ist in jeder digital signierten Email enthalten.

Also braucht Ihr zunächst von demjenigen, der Eure verschlüsselte Email empfangen soll, eine Email, die digital signiert ist. Ihr erkennt das daran, dass neben dem Namen des Absenders ein gezackter blauer Kreis mit einem Häkchen darinnen erscheint.

Sobald Ihr auf dem Mac das erste Mal eine digital signierte Email von Eurem Kommunikationspartner bekommt, wird diese Signatur und damit der öffentliche Email-Schlüssel von ihm vollkommen automatisch, ohne dass Ihr irgendetwas tun müsstet, im Schlüsselbund von Eurem Mac gespeichert. Und deshalb könnt Ihr von diesem Moment an Eurem Kommunikationspartner ohne weiteres verschlüsselte Emails senden.

Auf dem iPhone hingegen werden die digitale Signatur und der öffentliche Schlüssel nicht automatisch abgespeichert, sobald Ihr eine digitale signierte Email von Eurem Kommunikationspartner empfangt, sondern Ihr müsst das ausdrücklich selbst tun (keine Ahnung, warum – um Speicherplatz oder Rechenleistung zu sparen, warum auch immer). Erst danach könnt Ihr verschlüsselte Emails an Euren Kommunikationspartner senden.

Und das geht nun im Einzelnen wie folgt:

Ihr seht ja wie oben beschrieben, dass die Email Eures Kommunikationspartners (ich nenne ihn im folgenden Stefan Arbeit) digital signiert ist. Daher tippt Ihr auf das blaue fette Stefan Arbeit (in Von: Stefan Arbeit). Dann kommt Ihr auf eine Seite mit seinen Adressbuchdaten, und ziemlich weit oben steht dort, dass diese Email signiert ist. Darunter steht in blau Zertifikat anzeigen. Wenn Ihr darauf tippt, wird Euch das Zertifikat angezeigt, und am Ende dieser Anzeige steht blau Installieren. Darauf müsst Ihr nun tippen – das ist der Schritt, der auf dem Mac automatisch ginge, auf dem iPhone aber eben nicht.

Wenn Ihr das getan habt, könnt Ihr auf Fertig tippen und testweise Stefan Arbeit auf seine Email antworten. Ihr werdet sehen, dass in der Antwort unter dem Betreff in klein blau jetzt automatisch Verschlüsselt steht. Das ist nun die Voreinstellung. Wollt Ihr im Einzelfall eine Email nicht verschlüsseln, so könnt Ihr bei der Empfänger-Adresse (An: Stefan Arbeit) auf Stefans Namen tippen. Dann wird direkt daneben das kleine geschlossene blaue Schloss sichtbar (da die Email verschlüsselt ist), und auf der rechten Seite das große, geöffnete blaue Schloss-Symbol. Wenn Ihr auf das tippt, wird für diese Email die Verschlüsselung aufgehoben und das Schloss neben Stefans Namen verschwindet.

Bei allen Empfängern, von denen Ihr gar keine digitale Signatur abgespeichert habt, steht dann eben oben unter dem Betreff klein Verschlüsseln nicht möglich.

Wollt Ihr, dass Emails im Normalfall nicht verschlüsselt werden, dann müsstet Ihr in den Einstellungen > Mail, Kontakte, Kalender > [Persönlicher Account] > Erweitert > Standardmäßig verschlüsseln (der unterste Eintrag) von Ja auf Nein stellen. In diesem Fall müsstet Ihr dann jedes Mal, wenn Ihr eine Email verschlüsseln wollt, auf den Empfängernamen tippen und dann auf das große offene blaue Schloss rechts, was dann die Verschlüsselung einschaltet.

Ich hoffe, alle Klarheiten sind damit restlos beseitigt.

Für alle, die es bislang noch nicht geschnallt haben: Weias mehr als ausführliche Beschreibung bezieht sich auf die Verschlüsselung via S/MIME.

Ich wurde soeben gefragt, ob das Vorerwähnte nicht auch für andere Verfahren gilt.
Nein!
Leute, PGP ist eine andere Baustelle!
Die Vorgehensweise ist gleich, PGP und S/MIME sind sich aber nicht grün.

Es gibt einen Haufen PGP-Threads, die man über die Suche finden kann!

Hier lesen ja viele Schweizer mit ...
Wenn einem alles zu lästig ist, man aber trotzdem nicht auf verschlüsselte Kommunikation verzichten will, kann man auch mal einen Blick auf ProtonMail werfen.

Öhm, ja – so lautet schließlich der Betreff dieses Threads

Ja, manche Leser verbeißen sich nahezu in einen Thread und verlieren den Roten Faden!
Kann passieren ...

Vielen Dank nochmal.
Was nicht zu erklären ist, ist aber die Tatsache, dass mir eine verschlüsselte Mail gesendet wurde, die ich nicht entschlüsseln kann. Der Absender schickt auch kein Zertifikat mit.
Wenn nach nochmal vorkommt, werde ich deren Admin ansprechen.

Stimmt.
Naja, das muss er auch nicht zwingend. Damit er Dir eine verschlüsselte Mail schicken kann, musst nur Du ihm zuvor Dein öffentliches Zertifikat geschickt haben.

Der Normalfall ist natürlich, dass man, wenn man eine verschlüsselte Mail verschickt, auch sein Zertifikat mitschickt, damit der Epfänger seinerseits verschlüsselt antworten kann. Aber technisch zwingend ist das nicht.

Hätte jetzt schon wieder den Fall und versuche den Admin an den Draht zu bekommen. Scheint nicht so einfach zu sein. Muss mal meine Kontakte spielen lassen.

Könnte sich s/Mime und PGP/GPG evtl. In die Quere kommen?