Vertrauen in S/MIME-Kette o. ae.?

anon78379145 · September 24, 2020, 10:39am

Hallo!

Ich habe in einem Ticketsystem eine mutmaßlich mit einem S/MIME-Zertifikat signierte Nachricht erhalten - es gibt keinen Text, sondern nur einen Angang smime.p7m.
Ich gehe davon aus, dass das Ticketsystem einfach nicht mit einer solchen signierten Nachricht umgehen kann und deshalb diese Zustellung als reiner Dateianhang erfolgte.

Die Datei habe ich heruntergeladen und mit einem Doppelklick wurde sie in Kleopatra geöffnet. (Ich muss noch prüfen, wie dies auf Rechnern ohne Gpg4win aussieht, denn das ist nur auf sehr wenigen Rechnern bei uns installiert.)
Es zeigt sich (vgl. unten), dass dem Herausgeber der Signatur (“Signatur 0”) nicht vertraut wird; da wir immer auf diese Zertifikate setzen: Wie kann ich zumindest bei mir ein Vertrauen für S/MIME-Zertifikate eintragen?
Für teilweise mit OpenPGP-signierten E-Mails von DFN-CERT konnte ich ein entsprechendes Vertrauen eintragen.

Vielen Dank & viele Grüße

Bernd Leutenecker

Prüfung der Signatur erfolgreich

Ja

Daten vorhanden

Ja

Signatur vorhanden

Ja

Syntaxanalyse der Daten erfolgreich

Ja

(Hashverfahren für Daten: SHA1)

Signatur 0

Falsch

(#2288136A8B8ACCE962AF5CC9/CN=DFN-Verein Global Issuing CA,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(Hashverfahren für Daten: SHA1)

(Hashverfahren für Attribute: SHA1)

Zertifikatkette vorhanden

Ja

(#01/CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE)

(#00E30BD5F8AF25D981/CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE)

(/CN=DFN-Verein Certification Authority 2,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(#1B63BAD01E2C3D/CN=DFN-Verein Certification Authority 2,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(/CN=DFN-Verein Global Issuing CA,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(#2288136A8B8ACCE962AF5CC9/CN=DFN-Verein Global Issuing CA,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(/CN=Oliver Roll,O=Universitaet Stuttgart,L=Stuttgart,C=DE)

(/oliver.roll@verwaltung.uni-stuttgart.de)

Zertifikatkette gültig

Nein

(Nicht vertrauenswürdig)

Wurzelzertifikat vertrauenswürdig

Nein

(Nicht vertrauenswürdig)

(#01/CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE)

CRL/OCSP Prüfung der Zertifikate

Korrekt

Mitgesendete Zertifikate

4

(#2288136A8B8ACCE962AF5CC9/CN=DFN-Verein Global Issuing CA,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(/CN=Oliver Roll,O=Universitaet Stuttgart,L=Stuttgart,C=DE)

(/oliver.roll@verwaltung.uni-stuttgart.de)

(#1B63BAD01E2C3D/CN=DFN-Verein Certification Authority 2,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(/CN=DFN-Verein Global Issuing CA,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(#00E30BD5F8AF25D981/CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE)

(/CN=DFN-Verein Certification Authority 2,OU=DFN-PKI,O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.,C=DE)

(#01/CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE)

(/CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE)

Gpg-Agent benutzbar

Ja

Dirmngr benutzbar

Ja

Keine Hilfe für ‘gpgsm.root-cert-not-trusted’ vorhanden.

aheinecke · September 24, 2020, 11:03am

Hallo,

Welchen Wurzeln vertraut wird speichern wir in der “trustlist.txt” die gibt es in der Regel einmal Systemweit und einmal per user. In %APPDATA%\gnupg\trustlist.txt

Die kann man mit einem Texteditior bearbeiten und es ist dann so gedacht das diese Datei Administrativ verwaltet und verteilt wird. Machen wir z.B. für erste Kunden jetzt auch in einer angepassten Paketierung damit die Anwender sich damit gar nicht mehr befassen müssen.

Für Einzelanwender ist der einfachste Weg ist in Kleopatra “Rechtsklick” auf das Wurzelzertifikat und “Wurzelzertifikat vertrauen”.

anon78379145 · September 24, 2020, 11:15am

Hallo!

Was ist hier (S/MIME-Zertifikat) mit Wurzelzertifikat gemeint? Jenes des DFN oder ganz oben das von "T-TeleSex GlobalRoot Class "?

Und wo überhaupt könnte ich das mit einem Rechtsklick machen? Im Fenster “Vertrauenskette” von Kleopatra gibt es keine solche Option.

Danke & Grüße

Bernd Leutenecker

anon78379145 · September 24, 2020, 11:17am

Hm - ob das ein “Freud’scher Vertipper” war? Ich meine natürlich TeleSec …

anon78379145 · September 24, 2020, 11:29am

Hallo!

Die Suche unter “Dieser PC” auf meinem privaten Windows 10 pro-Rechner mit Gpg4win-Installation findet keine trustlib-Datei?

Jene in meinem Profil fand ich dann aber über den angegebenen Pfad (ist keine versteckte Datei o. ä.), wo aber wäre die systemweite Datei zu finden?

Ähm - und was wäre dort nun einzutragen?
Es gibt z. B. bereits diesen Eintrag:

CN=T-TeleSec GlobalRoot Class 2

OU=T-Systems Trust Center

O=T-Systems Enterprise Services GmbH

C=DE

!59:0D:2D:7D:88:4F:40:2E:61:7E:A5:62:32:17:65:CF:17:D8:94:E9 S relax

Müsste ich aus dem Prüfprotokoll dann einen entsprechenden Eintrag für das DFN oder erneut für T-TeleSec … erzeugen?

Vielen Dank und viele Grüße

Bernd Leutenecker

aheinecke · September 24, 2020, 12:02pm

das ! am Anfang steht für nicht vertrauenswürdig. Du hast es also extra mal als nicht vertrauenswürdig markiert. Wenn du das ! wegnimmst müsste es klappen.

anon78379145 · September 24, 2020, 5:43pm

Hallo!

Ich war definitiv nie oder in den letzten Jahren nicht in dieser Datei … Wie also hätte es zu diesem Eintrag kommen können? Es scheint ja eben gar keine einfachen Möglichkeiten zu geben, einem S/MIME-Zertifikat bzw. dessen vorgeschalteten Zertifizierungsstellen das Vertrauen auszusprechen bzw. dieses abzulehnen.
Ich habe im beruflichen E-Mail-Konto auf demselben Rechner übrigens auch ein S/MIME-Zertifikat des DFN im Einsatz und keine Probleme oder Fehlermeldungen damit festgestellt.
Und ich habe für den PGP-Key des DFN-CERT sogar explizit nach meiner Erinnerung der “Wurzel-Zertifizierungsstelle” durch Kontrolle des Fingerprints das Vertrauen eingeräumt.

Allerdings gebe ich zu, dass auf dem Rechner Gpg4Win schon seit vielen Jahren immer wieder installiert war, wenn auch nicht jede Version. Trotzdem ist mir schleierhaft, weshalb es hier zu einem negativen Eintrag gekommen sein kann.

Danke & Grüße

Bernd Leutenecker

bernhard · September 25, 2020, 7:01am

Hallo Bernd,

in einigen Versionen war es möglich, dass eine Dialog-Abfrage kam, welche dann einen Eintrag in die trustlist.txt vorgenommen hat. Das passt zu Deiner Beschreibung der Situation.

Hintergrund ist, dass dieser Vorgang mehrmals geändert worden ist. Er war und ist noch nicht optimal. HIer ist eine alte Anleitung für GnuPG 2.0 verlinkt: https://wiki.gnupg.org/X.509
Es würde sich lohnen dort mal wieder eine neue Version zu hinterlegen. Allerdings sind die Varianten von X.509/CMS basierten Vertrauensketten vielfältig und deshalb ist die Konfiguration allgemein recht schwer.

Gruß,
Bernhard

aheinecke · September 25, 2020, 8:28am

Beim ersten Importieren eines Wurzelzertifikats wird man gefragt ob man diesem vertrauen möchte. Da hat sich auch nicht viel geändert.

Klickt man da auf “Nein” wird das mit ! in die trustlist.txt eingetragen. Ich bin mir ziemlich sicher das das hier passiert ist.