Voyager 5.3.6.1 und GPG2 auf Stick?

  • Hallo,

    bin neuer Voyagernutzer und möchte GnuPG einrichten. Leider hab ich kaum praktische GPG-Erfahrung (Theorie ist bekannt).

    Als blutiger Anfänger hab ich viel gesucht, weiß aber nicht, welches Paket/Projekt ich benötige, wenn ich
    - Nachrichten per S/MIME signieren
    - Schlüsselmanager usw. portabel auf USB-Stick packen
    will. (Gpg4win zu installieren ist keine Lösung, die nötigen Dateien sollen auf denselben Stick wie der Voyager.)

    Gefunden habe ich dann noch GnuPG-Pack... aber was mir jetzt fehlt ist eine Anleitung. Für Thebat.
    Verständlich gehalten, notfalls bebildert :D (falls nötig).
    Kann es sein dass die Voyager-Hilfe wenig taugt...? War zumindest mein 1.Eindruck.

    Alle Tips und Links sind willkommen!

  • Danke für den Direkt-Link. Die LaTeX-Anleitung ist hilfreich.

    Zitat

    GnuPT kann noch viel mehr (z.B. beliebige Dateien verschlüsseln) oder Daten signieren.


    Irgendwoher hab ich aber den Hinweis, dass S/MIME erst ab GPG 2.x funktioniert.

    Bisher habe ich keine Nachrichten signiert, will aber eine FOIA-Anfrage stellen und da sind signierte Nachrichten vorgeschrieben. (Hatte ich ohnehin immer aufgeschoben, jetzt muss es mal sein.)

    Kann das mit S/MIME jemand bestätigen..?

  • Irgendwoher hab ich aber den Hinweis, dass S/MIME erst ab GPG 2.x funktioniert.

    Ja, S/MIME wird von GnuPG erst ab v2.0 unterstützt. Das steht auf der offiziellen GPG-Webseite:

    Zitat

    GnuPG 2.0 ist die neue modulbasierte Version von GnuPG, die das OpenPGP und das S/MIME-Protokoll unterstützt.

    oder auch z.B. bei Wiki:

    Zitat

    Versionen ab 2.0 implementieren auch den S/MIME-Standard.


    Die letzte Version von GnuPT-Portable (ist vor ein paar Tagen erschienen) beinhaltet aber nur GPG v1.4.13. Im Changelog zu v1.4.13 steht auch explizit:

    Zitat

    In contrast to GnuPG-2 (e.g version 2.0.19) it comes with no support for S/MIME, Secure Shell, or other tools useful for desktop environments.


    So wie ich das sehe, ist GPG v2.x momentan nur im Packet Gpg4win enthalten. Davon gibt es aber keine portable Version. Das hast du ja wohl schon selbst ausprobiert.

  • denn pinentry akzeptiert kein strg+v.


    Die Zwischenablage ist auch kein Ort, um Passworte sicher zu speichern! Deswegen wird pinentry wohl da nicht machen.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Okay, typische Anfängersituation: Wenn man nicht genau weiß, wo man hinwill, kommt man sonstenwo hin.

    Hab weitergelesen u.a. bei heise und weiß dass ich die Wahl zwischen PGP/GPG und S/MIME (X.509) habe.
    Sprich entweder oder. Ich brauche die Möglichkeit, Behörden (s.o.) bzw. Firmen signierte Nachrichten zu schicken.
    S/MIME ist Industriestandard, sollte also klappen. GPG hab ich zurückgestellt.

    Mit dieser Anleitung hab ich mir ein Zertifikat erzeugt.
    Testweise für eine gmx.net-Adresse. Hab die .p12 (bzw. .pfx) gesichert. Soweit sogut.
    Im Voyager fangen die Probleme an: In den GMX-Kontoeigenschaften (Allgemein, Persönliche Zertifikate...) hab ich das .p12 importiert.

    Wenn ich dann später "Ansicht" wähle, heißt es: "Dieses Zertifikat ist ungültig", darunter "Der Aussteller dieser Zertifikatskette wurde nicht gefunden"
    Verwendungszwecke: "Nachrichten-Verschlüsselung", "Signatur einer Nachricht", aber "keine TLS-Verschlüsselung" (die für GMX gewählt ist).

    Heißt das, das Comodo-Cert ist unvollständig? Oder hab ich was vergessen einzustellen?
    (Ritlabs' Hilfe ist leider für die Katz.)

    Nachtrag: Vielleicht stimmen die Einstellungen unter "S/MIME und TLS..." nicht ganz?
    Ist das irgendwo für Anfänger nachzulesen?

  • Ich brauche die Möglichkeit, Behörden (s.o.) bzw. Firmen signierte Nachrichten zu schicken.

    Dafür ist eigentlich die DE-Mail entwickelt worden.


    Wenn ich dann später "Ansicht" wähle, heißt es: "Dieses Zertifikat ist ungültig", darunter "Der Aussteller dieser Zertifikatskette wurde nicht gefunden"

    Dort steht vor allem "Ausgestellt an" und "Ausgestellt von". Von dem dort genau bezeichneten Aussteller brauchst du auch ein Zertifikat. Klicke im Adressbuch auf "Ansicht" und aktiviere "Zertifikatsdatenbanken". Von COMODO müsste dort das Zertifikat "COMODO Certification Authority" bereits standardmäßig enthalten sein. Du kannst es auch z.B. von hier herunterladen und importieren.


    Vielleicht stimmen die Einstellungen unter "S/MIME und TLS..." nicht ganz?
    Ist das irgendwo für Anfänger nachzulesen?

    Eine spezielle Anleitung dafür ist mir nicht bekannt. Du kannst im Fenster "S/MIME und TLS..." auf die Schaltfläche "Hilfe" klicken. Dann bekommst du eine Übersicht über die Einstellungen. Bei der Wahl "Interne Implementierung" wird die Zertifikatsdatenbank von TB! bzw. Voyager verwendet. Bei der Wahl "Microsoft Crypto API" wird die Zertifikatsdatenbank von Windows verwendet. Wenn man Voyager auf einem USB-Stick in verschiedenen PCs einsetzt, sollte man wahrscheinlich die interne Implementierung aktivieren.

  • Ja, in den Zertifikatsdatenbanken war ich und hab mich gewundert: Unter Trusted Root CA habe ich zwei gleichlautende Einträge "COMODO Certification Authority". Das gilt auch für fast alle anderen Zertifikate (2 identische). (Ist das so richtig...?)

    Jedenfalls, die Ansicht eines der 2 COMODO-Certs dort liefert:

    Zitat

    Dieses Zertifikat ist gültig.

    The Bat! Voyager kann dieses Zertifikat nutzen für: Nachrichten-Verschlüsselung - nein,
    Prüfe digitale Signatur einer Nachricht - nein, TLS Verbindungen - nein.

    Ausgestellt an: COMODO Certification Authority
    Ausgestellt von: COMODO Certification Authority

    Gültig ab 01.12.2006 bis 31.12.2029 23:59:59

    Hm.. Das ist wohl nix!

    An der "Keysize" -2048 Bits- kann es nicht liegen? (Hab mich an die Anleitung gehalten.)
    Maximale Konfusion. ?(

    Wg. Downloadlink: Kann man einfach so neue TrustRootCAs in Voyager importieren?

  • Ergänzung (wieso kann man einen Beitrag eigentlich nicht editieren?):

    Bei thunderbird-mail.de zu finden:

    Zitat

    Folgende Voraussetzungen müssen erfüllt sein:

    • Der Absender muss im Besitz eines gültigen X.509-Zertifikates sein und dieses auch in Thunderbird installiert haben.
    • Für die Empfänger müssen ebenfalls gültige Zertifikate installiert sein.
    • Es müssen die Zertifikate der herausgebenden Zertifizierungsstellen installiert sein.
    • Den Zertifikaten der Empfänger und der Herausgeber ist das Vertrauen ausgesprochen.

    Das habe ich nicht gefunden, wie geht das?

    Im Reiter Zertifizierungspfad (von Ansicht Zertifikat) steht unter COMODO Client Authentication and Secure Email CA als Zertifizierungsstatus "Undefiniert". Vermutlich weil das Vertrauen nicht ausgesprochen wurde?

    P.S.: XCA meint zum importierten COMODO Zertifikat:
    1. Unterschrift: Nicht vertrauenswürdig
    2. X509v3 Key Usage critical, X509v3 Basic Constraints critical

    Einmal editiert, zuletzt von vykrp (30. Juli 2013 um 08:02)

  • Hm.. Das ist wohl nix!

    Dann ist dein Zertifikat nicht von COMODO Certification Authority ausgestellt. Was steht genau unter "Ausgestellt von"? Davon brauchst du ein Zertifikat.


    Wg. Downloadlink: Kann man einfach so neue TrustRootCAs in Voyager importieren?

    Neue Zertifikate kann und manchmal muss man in die TB!- bzw. Voyager-Zertifikatsdatenbanken importieren. Sie werden zwar von RITLabs aktualisiert, aber nicht oft. Die Root CA Zertifikate wurden IMO das letzte Mal in TB! v5.3.8.7 aktualisiert. Von Voyager gibt es aktuell aber nur v5.3.6.x. Wenn du auch TB! einsetzt, dann könntest du vielleicht die Datei RootCA.abd von dort ins MAIL-Verzeichnis von Voyager kopieren.


    wieso kann man einen Beitrag eigentlich nicht editieren?

    Geht IMO nur innerhalb von 5-10 Min. nach der Erstellung des Originalbeitrags.


    Den Zertifikaten der Empfänger und der Herausgeber ist das Vertrauen ausgesprochen.

    Das habe ich nicht gefunden, wie geht das?

    Ich würde sagen, dass wenn man ein Zertifikat in die TRUSTED Datenbank aufnimmt, dass man damit dem jeweiligen Zertifikat das nötige Vertrauen ausspricht. ;)

  • Hab nochmal bei 0 angefangen: Neues Zertifikat (besserer Aussteller) mit neuer Adresse.

    Kurz gesagt: Für einen angeblich professionellen Mail Client (?) ist TBVoyager eine herbe Enttäuschung!
    Was war das ein Gefrickel! Thunderbird arbeitet wacker, TBVoyager hingegen kackt ab... :thumbdown:

    Neuer CA ist StartCom Ltd. - Ritlabs kennt natürlich dessen RootCAs nicht... echt "professionell".
    Glücklicherweise taugt der StartCom-Support was; Comodo vergess ich mal...

    Nächste Hürde war "S/MIME und TLS..." Einstellungen:
    Voreinstellung "Benutze Zeitstempel-Server für Digitale Signaturen" muss deaktiviert werden. Vermutlich klappt die hinterlegte URL nicht.
    Hätte man das für einen angeblich professionellen Mail Client nicht "intelligenter" lösen können...? Nun ja, nicht bei Ritlabs wie's scheint.
    Ach, hatte ich erwähnt, dass die Hilfe... suboptimal ist? Nicht?
    Die "Hilfe" hilft einem im Ernstfall nullkommanull. Und ist somit fürn Arsch: danke Ritlabs!

    Verschlüsselungstest steht noch aus (dazu bräuchte ich wen mit S/MIME dem ich schreiben kann).
    Mal sehen welche "Überraschungen" mir dann bevorstehen, bin schon "gespannt"...

    sanyok: Danke für den Tip, aber die RootCA.ebd (für Voyager) kann ich nicht einfach mit einer neueren Version überschreiben.
    Frage: Wie lass ich Ritlabs-Programmierern wissen, dass sie Scheiße gebaut haben? Kontaktformular?

  • aber die RootCA.ebd (für Voyager) kann ich nicht einfach mit einer neueren Version überschreiben.

    Das Adressbuch könnte man doch über die integrierte Importfunktion importieren. Über die Eigenschaften des Adressbuches kann man zudem den Pfad zur Datei anpassen.


    Frage: Wie lass ich Ritlabs-Programmierern wissen, dass sie Scheiße gebaut haben? Kontaktformular?

  • Das Adressbuch könnte man doch über die integrierte Importfunktion importieren.


    Sicherung/Wiederherstellung hab ich probiert. Hält nicht was es verspricht.
    In Voyager hab ich aktuell 140 RootCA-Einträge (2 davon manuell ergänzt).
    TheBat! 5.4 listet 244 auf, jeder Export-Versuch (LDIF/Ritlabs-Sicherung) der "Trusted Root CA" und spätere Import in Voyager beschert mir 129 Einträge...
    ?(

    Ich möchte die CAs aber lieber nicht per "Microsoft Crypto API" übernehmen.
    Besser wäre CAs von Opera oder Mozilla zu nehmen. (The Bat! 5.4 Desktop scheint certmgr abzufragen, oder?)

  • Warum benutzt du Voyager, wenn der zu kompliziert und buggy ist und Thunderbird stabil?
    hast du das Programm nicht vorher in der Testphase ausprobiert?

    Was die Bedienung bei Schlüsseln und Zertifikaten anbelangt, finde ich TheBat auch etwas ungelenk.

    Dass du der CryptoAPI kein Vertrauen schenkst, ist nachvollziehbar.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.