PGP-Schlüssel einfach und sicher verteilen

[Christian Boltz]

Hallo Jochen, hallo Leute,

Am Sonntag, 1. März 2015 schrieb J. Fahrner:
> [S/MIME] Eigentlich perfekt. Einziges Problem: die
> Zertifikate zu bekommen ist umständlich 

Umständlich. War da nicht was? Ach ja, PGP ;-)

Du willst also eine umständliche Software / Verschlüsselungsmethode 
durch eine andere ersetzen.

> und teuer. 

Teuer ist S/MIME auch noch?

Ein Mathematiker würde jetzt wohl argumentieren, dass PGP dann wohl 
besser (oder zumindest weniger schlecht) ist, weil es "nur" umständlich 
ist *eg*

> Da sollte man mal was verbessern.

Äh, ja ;-)

*SCNR*

Ich sage nicht, dass die GPG-Schlüsselverteilung per DNS _die_ Lösung 
ist, aber es ist auf jeden Fall ein brauchbarer Ansatz. Sogar ohne 
DNSSEC steigert es die Chancen, den richtigen Schlüssel zu bekommen ;-)


Davon abgesehen: wenn jemand so wichtig ist, dass es gefälschte 
Schlüssel (egal ob GPG oder S/MIME) von ihm gibt _und_ gleichzeitig 
Mails an ihn abgefangen werden (nur so richten mit falschem Schlüssel 
verschlüsselte Mails einen Schaden/Datenleck an) _und_ Du sensibles 
Material an denjenigen schicken willst - naja, dann solltest Du 
definitiv auf anderem Weg den Schlüssel validieren. 

Bei so einer Zielperson findet sich garantiert auch eine 
Zertifizierungsstelle, die ein falsches S/MIME-Zertifikat für ihn 
ausstellt (und/oder dazu gezwungen wird).


Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen 
Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?


Gruß

Christian Boltz
-- 
> I'd like to see systemctl accepting "abbreviated" service names, as
> in without the ".service" which is so very redundant, for starters.
You must love the speed we implement your wishes!
Frederic went ahead and commited your wish like... 6 months ago or so :)
[> Claudio Freire and Dominique Leuenberger in opensuse-packaging]