Signierung und Verschlüsselung von Emails mit Signaturkarten

[Deflo]

Hallo !
Ich suche ein Plugin für ein Mailprogramm oder ein Programm das es ermöglicht
Emails zu Signieren und zu verschlüsseln aber nicht einfach per PGP sondern
über s/mime und die Zertifikate und schlüssel sollen über eine Signaturkarte (Chipkarte) abgeglichen werden...
wisst ihr weches Linux tool das unterstützt?

danke schonmal

MfG
Deflo

[duploian]

... aber nicht einfach per PGP ...

Was hast Du gegen PGP/GPG ?

[hkalegre]

Kgpg installieren
Kmail installieren, konfigurieren

Geht bei mir ohne Probleme.

[praetor]

Dieser Thread ist nun schon acht Jahre alt, aber die Eingangsfrage immernoch offen. Da ich bei der Suche nach einer Antwort mehrfach hier gelandet bin, habe ich beschlossen, ihn wieder aufzunehmen bzw. fortzusetzen. Die Frage von Deflo war,

Ich suche ein Plugin für ein Mailprogramm oder ein Programm, das es ermöglicht, Emails über s/mime mittels eines Zertifikates von einer Signaturkarte zu Signieren und zu verschlüsseln ...

Vorsorglich: Ich kenne und nutze gpg, das ist nett. Aber das war nicht die Frage. Die Frage war:

Ich suche ein Plugin für ein Mailprogramm oder ein Programm, das es ermöglicht, Emails über s/mime mittels eines Zertifikates von einer Signaturkarte zu Signieren und zu verschlüsseln ...

Hat jemand inzwischen einen Hinweis oder einer Antwort?

[schorsch_76]

enigmailund icedove. Ja da steht gpg, aber enigmail kann auch s/mime.

[praetor]

enigmail kann auch s/mime.

Der Haken ist eigentlich nicht s/mime, sondern die Einbindung der Signaturkarte. Ich habe eine von S-Trust. Der Herausgeber (Deutscher Sparkassenverlag) unterstützt Linux überhaupt nicht. Mit dem SecSigner von seccommerce.de kann ich damit PDF-Dateien signieren. Aber ich habe nicht herausgefunden, wie ich mit Kmail, evolution oder Iceape auf die Karte zugreifen kann. Da fehlt wohl noch ein Zwischenstück, ein »Kartentreiber« oder so etwas.

[jkoerner]

Da fehlt noch etwas mehr. Das sollte so ähnlich wie onlinebanking funktionieren.
Karte einstecken, der pcsc-daemon wird eingeschaltet und das Was-auch-immer- Programm greift auf den Kartenleser zu und veranlaßt alles Weitere. Das ist jetzt stark vereinfacht und erfordert entsprechende Programmierung am Mailprogramm.

[praetor]

Das sollte so ähnlich wie onlinebanking funktionieren. Karte einstecken, der pcsc-daemon wird eingeschaltet und das Was-auch-immer- Programm greift auf den Kartenleser zu und veranlaßt alles Weitere. Das ist jetzt stark vereinfacht und erfordert entsprechende Programmierung am Mailprogramm.

Nur zum Verständnis: Wie das Zertifikat im Chip steckt bzw. wie der auf Anfragen von »außen« reagiert, das folgt doch einem offenen Standard, oder? Schließlich erkennt der SecSigner das Zertifikat problemlos und hat nicht lang gefackelt, ob die Karte nun von S- oder D- oder Was-weiß-ich-was-Trust ist.

[wanne]

Nur zum Verständnis: Wie das Zertifikat im Chip steckt bzw. wie der auf Anfragen von »außen« reagiert, das folgt doch einem offenen Standard, oder?

Da währe ich mir mal nicht so sicher.

Schließlich erkennt der SecSigner das Zertifikat problemlos und hat nicht lang gefackelt, ob die Karte nun von S- oder D- oder Was-weiß-ich-was-Trust ist.

Vermutlich weil das Zertifikat was du benutzt hast von SecSigner getrustet wurde wurde.

[praetor]

das folgt doch einem offenen Standard, oder?

Da wäre ich mir mal nicht so sicher.

Na ja, verschiedene Karten arbeiten mit verschiedenen Lesegeräten zusammen. Also muß doch die Schnittstelle Karte-Lesegerät irgendwie standardisiert sein. Und Anwendungen wie z.B. ElSter und EGVP akzeptieren auch verschiedene Lesegeräte. Also muß es auch für die Schnittstelle Anwendung-Lesegerät bzw. Betriebssystem-Lesegerät einen Standard geben.

Geistesblitz
Vielleicht ist die Frage falsch gestellt. Natürlich hat Debian nötige an Bord:
$ apt-cache search smartcard
$ apt-cache show pcscd
...
Jetzt geht es nur noch um die korrekte Integration von Kmail und pcscd. Der Kartenleser wird schonmal erkannt:
$ lsusb
Bus 002 Device 004: ID 0c4b:0400 Reiner SCT Kartensysteme GmbH

[jkoerner]

Bus 002 Device 004: ID 0c4b:0400 Reiner SCT Kartensysteme GmbH

Dem Leser mußt du erst einmal die neuste Firmware verpassen damit er (wieder) mit pcscd zusammenarbeitet. Das hatten wir zur Genüge in den vergangenen Monaten bei aqbanking und mit dem Update funktioniert der Kartenleser wieder. Reiner kocht da nämlich ein ganz eigenes Süppchen mit seinen Treibern...
Und für das Update brauchst du — na, was wohl? — eine win-Kiste

Wichtig ist was in welcher Form auf dem Kartenchip ist und wie das Mailprogramm das umsetzen kann damit das Ergebnis von der Gegenstelle akzeptiert und verstanden wird. Und da fängt der Ärger meistens an weil der Kartenhersteller mit den Specs nicht ‘rüberkommt. Es sei denn man hat den Kartenchip selbst beschrieben.

Wie pcscd aufgerufen wird erfährt man auf der Webseite von pcsc.

Welches Mailprogramm eine Schnittstelle für Plugins hat weiß ich nicht.

[praetor]

Und da fängt der Ärger meistens an weil der Kartenhersteller mit den Specs nicht ‘rüberkommt.

In der Tat, mein CyberJack läuft rund, pcscd ebenfalls. gpg(2) bekommt das Zertifikat trotzdem nicht. Der Linux-Support von Reiner SCT sagt:

Zu dem Zertifikat können wir leider nichts sagen. Wie Sie dies unter Linux einsetzen / auslesen können, sollte Ihnen der Herausgeber mitteilen können (in Ihrem Falle S-Trust).

S-Trust verweist für die Nutzung des Zertifikates auf Sign-it von der OpenLimit SignCubes AG (https://openlimit.com), und die schreiben in ihrem Handbuch:

Die folgenden Betriebssysteme werden von diesem Produkt unterstützt:
- Windows ...
- Windows ... und
- Windows...

In der Smartcardliste des pcscd sind nur zwei der sieben nach dem SigG akkreditierten Anbieter aufgeführt, nämlich

SignTrust (http://www.signtrust.de)
D-Trust Signature Card (http://www.d-trust.net)

Heißt das, daß die mit gnupg können? Hat das schonmal jemand getestet?

... und wäre es nicht möglich, die S-Trust-Karte zu hacken?