Het lijk mij handiger dat u dit meld op Bugzilla.

Waarom? Wat hij schrijft dat klopt en het is de goede werking, hij snapt alleen nog niet wat het doet. Komt nog wel.

Er is niets geheim aan een certificaat. Sterker, het is de bedoeling dat je ze deelt met iedereen die bereid is om versleutelde mails naar jou te sturen {1} en met iedereen waar jij digitaal ondertekende mails naar toe stuurt {2}.

{1} Afhankelijk van hoe betrouwbaar de certificaatuitgever heeft vastgesteld dat het certificaat daadwekelijk van de enige echte waterlelie is, die afzenders enige zekerheid hebben dat als zij een versleutelde mail naar "jou" sturen, alleen jij (en niet een MitM) deze kunt (kan) ontsleutelen. Dit certificaat moet in elk geval een public key bevatten die bedoeld is voor encryptie.

{2} Afhankelijk van hoe betrouwbaar de certificaatuitgever heeft vastgesteld dat het certificaat daadwekelijk van de enige echte waterlelie is, die ontvangers enige zekerheid hebben dat "jij" die mail digitaal hebt ondertekend, en niet iemand die zich voordoet als jou. Dit certificaat moet in elk geval een public key bevatten die bedoeld is voor (het valideren van) signing.

Waarschijnlijk bedoel je een bestand (met bijv. PKCS12 format) dat zowel een private key als een certificaat (met daarin de bijpassende public key) bevat. De reden dat zoveel sukkels dit soort bestanden (d.w.z. inclusief private key) naar anderen sturen, wordt veroorzaakt door mensen zoals jij die simplificeren - of er helemaal niets van snappen.

@Erik van Straten (14:49). Je bent niet erg behulpzaam naar waterlelie. waterlelie is duidelijk bereid wat te leren over crypto en een cypherpunk te worden en jij vergelijkt 'mensen zoals hij' met 'zoveel sukkels'.

Kuis uw taal alstublieft.

Je bent geen sukkel als je PGP niet snapt. 99% van de wereldbevolking snapt PGP niet en dat zijn heus niet allemaal 'sukkels'.

Het siert men als we elkaar niet sukkels noemen het levert ook niet op. Echter een moderator zal moeten beslissen of de post een persoonlijke aanval is of in context van de rest van bericht gedoogd wordt.


Echter het siert ook als de OP niet threads aanmaakt waarin al een conclusie staat als titel terwijl er niks reviewed is. Daarnaast als dit wel een onbekende kwetsbaarheid was (wat het nu dus niet is dit is intended by design) dan had dit gemeldt moeten worden richting de makers onder responsible disclosure en niet in een openbaar forum.

Niemand heeft alle wijsheid in pacht en iedereen heeft wel iets dat ze niet snappen of fout interpreteren maar wees bewust ervan dat je mogelijk ernaast zit. Het staat nu alsof het een feit is wat het niet is en deze mindset helpt niet in IT op geen enkel vlak het veroorzaakt foute diagnose met vaak desastreuze gevolgen van dien als het niet opgemerkt wordt.

De gene met geen kennis lezen dit nu als Thunderbird niet veilig en de mensen met kennis omtrent cryptografie gaan of de post negeren of erger de OP negeren. Als je geluk hebt wijzen ze op de fout (en soms met minder diplomatieke houding helaas) maar de meeste zullen in straatje 1 en 2 zitten.


Bij deze een goede gratis cursus omtrent leren omgaan met cryptografie. In week 6 leer je over public-key concept. Als je deze cursus serieus volgt heb je een goede basis om vanaf verder te werken.
https://www.coursera.org/learn/crypto

Dan Boneh staat hoog aangeschreven op dit leer gebied hieronder zijn portfolio, profiel.
https://profiles.stanford.edu/dan-boneh

In https://security.nl/posting/711372 en https://security.nl/posting/711381 heb ik geprobeerd om constructief bij te dragen door mijn ervaringen met waterlelie te delen, maar als waterlelie mij vervolgens in https://security.nl/posting/711391 kaatst "Het is de bel horen, maar niet weten waar de klepel zit", is zij of hij duidelijk niet bereid om iets van een ervaren oude rot te leren, en dus kan hij of zij de bal verwachten.

Overigens hoort een dikke huid krijgen er ook bij (weet ik uit eigen ervaring).

@21:23, @Erik van Straten: Ik denk dat we als cypherpunks niet de luxe hebben om mensen buiten te kunnen sluiten. Er zijn er nooit veel van ons geweest en dat is met de tijd alleen maar erger geworden.

Ik ben benieuwd wat waterlelie heeft te zeggen. Hij zit wat meer op de 'handhaving' en heeft een voorkeur voor digitale handtekeningen en niet voor encryptie zoals ik. Maar alle discussie over encryptie verwelkom ik. Van wie dan ook. Ongeacht het kennisniveau en de beweegredenen.

Misschien zou waterlelie de volgende twee artikelen kunnen lezen en daarna een tweede poging kunnen wagen om ons uit te leggen waarom certificaten in Thunderbird onveilig zijn?

https://www.security.nl/posting/39614/Security+Tip+van+de+Week%3A+veiliger+downloaden+onder+Windows
https://www.security.nl/posting/39821/Security+Tip+van+de+Week%3A+veiliger+downloaden+onder+Windows+deel+2

Anoniem 17:57