FeaturePhone: Lange Laufzeit, Emailclient mit SMIME, StatusLED

Gegenfrage: Welche Plattform außer dem Apple iPhone bzw. Android K-9 kann überhaupt S/MIME? Selbst mit einem BlackBerry ist das Einrichten ein wenig tricky. trinec, ich denke Du wirst Dich mit Energiespar-Tricks oder einer mobilen Batterien auseinandersetzen müssen.

Keinen neuen Phones, aber falls hier mal jemand drüber stolpern sollte:

• Mails verschlüsseln – Was ist eigentlich S/MIME und wie richte ich es ein?
  kurzer Artikel für Jedermann mit Tiefgang und Rundum-Blick
• Bibliothek zur Ergänzung vieler Mail-Programme auf Android: DJIGZO
• eigenständiges Mail-Programm für Android: R2Mail2
• iPhone bzw. iOS seit Version 5.0: Thread

Im ersten Link (Artikel) und im letzten Link (Thread) finden sich Anbieter für S/MIME-Zertifikate, sowohl kostenlose, für Privatpersonen, als auch für Unternehmen, teilweise 5-Jahre-Sorglospakete.

Wenn Euch dieser Post gefällt, bitte, erzählt davon weiter. Wenn nicht, ich will hier Kommentare sehen!

Nicht groß einlesen, Fragen beantworten und machen, jetzt:

• Willst Du E-Mail nicht als öffentlich lesbare Postkarte verschicken, sondern verschlüsseln? PGP oder S/MIME!
• Bist Du bereit Geld auszugeben? S/MIME, einmalig 99 € für 5 Jahre, 79 € für 3 Jahre, 49 € für 2 Jahre!
• Nachdem Du Dein Zertifikat hast, E-Mail-Client einrichten! Welches Betriebssystem/Client nutzt Du (Windows 7, Microsoft Outlook)?

Fertig. Ich helfe bei jeder Frage gerne Schritt-für-Schritt.

Zitat

Original geschrieben von trinec
Diese Kosten sind zumindest für privat Interessenten irrrelevant und unnötig.

In dem Fall erscheint beim Empfänger nicht mein Name, sondern nur noch die E-Mail-Adresse (Klasse-1). Ich möchte nicht nur die E-Mail-Adresse sondern auch meinen Namen bestätigt haben (Klasse-2) – und das kostet, weil kaum automatisierbar.

Zitat

Original geschrieben von trinec
in vielen Fällen durch einfachkeit ebenfalls die privaten Schlüssel dazu vorliegen

Wie meinen?

Zitat

Original geschrieben von trinec
Wirklich Sinn macht es erst mit der Nutzung einer eigenen root-CA.

Ich habe zwar meine eigene Root-CA, aber ich möchte es einfach haben, d. h. überall sofort einen vertrauenswürdigen Haken. Um das zu erreichen, müsste der Empfänger entweder meine CA als vertrauenswürdig einstufen (weil meine CA das sicherheitstechnisch nicht leisten kann, absoluter Unfug) oder explizit mein Personen-Zertifikat ausschließlich für S/MIME als vertrauenswürdig einstufen. Nur: Ich wüsste nicht, wie das in meinem E-Mail-Client überhaupt geht. Und selbst dann, ich müsste einen OCSP-Server einrichten, eine CRL führen, … das machen die bekannten CAs für mich und dafür bin ich bereit Geld auszugeben. Wer kein Geld ausgeben will, nimmt allein PGP:

Zitat

Original geschrieben von trinec
Alternativ die für mich eigtl. sinnvollere Lösung GPG/PGP …

Du darfst das gerne zusätzlich neben S/MIME machen. Der Android-Client kann beides parallel in einer Nachricht.
Nebenbei: Seit ein paar Jahren vertraut die Bundesregierung und die gesamte Hochschullandschaft in Deutschland der CA der Deutschen Telekom für S/MIME.

Samsung GALAXY

Wenn ich jetzt den Thread schon entführt habe, dann aber richtig.

Samsung hat auf Android seinen E-Mail-Client mit PGP ausgestattet, aber nur bei IMAP:

• am Computer das Schlüsselpaar als ASCII-Datei exportieren
  Samsung erkennt nur Dateien mit der Endung .asc, Dateiname selbst egal
• per Bluetooth oder Speicherkarte rüber aufs Telefon schaffen
• Samsung » Menü » Eigene Dateien » Alle Dateien » (Device storage ») Bluetooth » (lange berühren) Kontextmenü » Verschieben » (Device storage) » (oben) Ordner erstellen mit Name openpgp » in diesem Ordner dann einen weiteren Ordner mit Name export anlegen » darin dann die Taste Hierhin verschieben wählen
• Menü » Einstellungen » (Konten ») E-Mail » Einstellungen » Name Deines Kontos » (ganz unten) Weitere Einstellungen » Sicherheitsoptionen » Private Schlüssel » Taste Optionen » Schlüssel importieren » im Ordner

Das waren die Schritte auf meinem Samsung GALAXY S4 mini (Samsung i9195 mit Android 4.2.2). Bei wem der Pfad /openpgp/export nicht geht, probiere dies …
Andere Nutzer berichten, dass bestimmte Dateinamen nötig sind. Offensichtlich benutzt Samsung (mal wieder) verschiedene Implementierungen, je nach Modell (oder Android-Version?). Inline-PGP tut hier nicht. Allein PGP/MIME wird gesendet und verstanden. Allerdings kann mein Apple Mail 6.6 mit GPG-Mail 2.1 die Signatur nicht erfolgreich prüfen. Verschlüsseln, geht immer.

Samsung hat auf Android seinen E-Mail-Client mit S/MIME ausgestattet, aber ausschließlich bei Exchange ActiveSync (EAS):

• am Computer das Schlüsselpaar als Binär-Datei exportieren
  Samsung erkennt nur Dateien mit der Endung .pfx und .p12, Dateiname selbst egal
• per Bluetooth oder Speicherkarte rüber aufs Telefon schaffen
• Samsung » Menü » Eigene Dateien » Alle Dateien » (Device storage ») Bluetooth » (lange berühren) Kontextmenü » Verschieben » (Device storage ») Hierher verschieben
  legt die Datei in das Wurzelverzeichnis des internen Massenspeichers, manchmal auch sdcard0 genannt
• Menü » Einstellungen » (Konten ») Microsoft Exchange ActiveSync » Einstellungen » Name Deines Kontos » (ganz unten) Weitere Einstellungen » Sicherheitsoptionen » E-Mail-Zertifikat » oben rechts, das Hinzufügen-Icon

Das Einstellungsmenü macht mir Angst, denn es stehen unsichere Verschlüsselungsalgorithmen wie RC2 oder DES zur Auswahl. AES fehlt. Hier sollte man wirklich bei der Voreinstellung 3DES bleiben. Auch beim Signaturalgorithmus fehlt SHA2, der angebotene MD5 ist bereits seit Jahren verpönt und nur SHA1 bleibt. Um verschlüsseln zu können, brauche ich ein vollständiges EAS-GAL, ansonsten bekomme ich die Fehlermeldung COULD_NOT_FETCH_THE_CERTIFICATE_FROM_SERVER. Signieren, geht immer.

Also, den internen Client Deines Samsung GALAXY in dem „Zustand“ bitte nur verwenden, wenn Du weißt, was Du tust/willst:

• IMAP ausschließlich PGP, sowohl für das Lesen als auch Schreiben. Signieren seltsam umständlich (Passworteingabe; Schlüssel wählen, obwohl nur einer vorhanden).
• EAS ausschließlich mit S/MIME, sowohl für das Lesen als auch Schreiben. Verschlüsseln nur mit GAL.

Samsung bietet einen „einfachen Startbildschirmmodus“, in dem eine graphisch reduzierter Startbildschirm nur noch 6+9 Apps enthält und genauso viele Kontakte. Damit wirkt das Samsung wie ein Feature-Phone. Leider nicht beim Akku, wie von trinec gewünscht.

Microsoft Windows Phone 8.1

Seit Montag ist die Developer Preview von Windows Phone 8.1 für jedermann verfügbar und bietet S/MIME. Allerdings fand ich bis jetzt keinerlei Dokumentation, wie das gehen soll. Kurz: Ich bekomme es nicht zum Laufen.

• IMAP/POP3: Nope, nichts zu sehen, weder authentifizieren, signieren, verschlüsseln oder gar entschlüsseln
• EAS:

• .p12-Datei erstellt, welches die Zertifikat(e) und den privaten Schlüssel enthält
• .p12-Datei auf einen Webserver gelegt (böse, weil nur Passwort geschützt); wie soll es sonst rüber?
• Windows Phone » Internet Explorer » .p12 geladen und erfolgreich (?) installiert
  Ich finde in 8.1 noch immer keine Zertifikatsverwaltung.
• Menu » Settings » email+accounts » my EAS account » Sign with S/MIME » On
• Menu » my EAS account » read a S/MIME mail »
  red, exclamation mark: Signed message: There was a problem validating the digital ID for this message.
  Signierte Nachricht: Es gab ein Problem beim Überprüfen der digitalen ID für diese Nachricht.
  red, exclamation mark: Encrypted message: The message cant't be decrypted because the encryption certificate isn't on the phone.
  Verschlüsselte Nachricht: Die Nachricht kann nicht entschlüsselt werden, weil das Verschlüsselungszertifikat nicht auf dem Handy vorhanden ist.

Die E-Mail-Nachricht enthielt alle nötigen öffentlichen Zertifikate. Es erschien ein gelbes Aktualisierungsicon. Diese beiden Fehlermeldungen erschienen, nachdem (!) ich das öffentliche Zertifikat (.cer) des Absenders manuell über den Internet Explorer installiert hatte.

Abgehende E-Mails werden nicht einmal signiert.

Was ich noch nicht probiert habe:

• .pfx anstatt .p12
• öffentliche Zertifikate einzeln von der Wurzel aus über die Zwischenzertifikate hin zum Identitätszertifikat installieren
  ich habe erst das Identitätszertifikat, dann das Zwischenzertifikat, dann die Wurzel installiert
• öffentliche Zertifikate als .p7b-Datei

Die Alternativen machen keinen Sinn in meiner Welt. Ich warte die offizielle Dokumentation ab. Was ich sehe ist, eine kurze Aktualisierung. Verlangt Microsoft genau wie Samsung auch einen EAS-GAL?