PGP-Schlüssel einfach und sicher verteilen

lst_hoe02 at kwsoft.de lst_hoe02 at kwsoft.de
Mo Mär 2 09:33:51 CET 2015


Zitat von Christian Boltz <postfix-users at cboltz.de>:

> Hallo Jochen, hallo Leute,
>
> Am Sonntag, 1. März 2015 schrieb J. Fahrner:
>> [S/MIME] Eigentlich perfekt. Einziges Problem: die
>> Zertifikate zu bekommen ist umständlich
>
> Umständlich. War da nicht was? Ach ja, PGP ;-)
>
> Du willst also eine umständliche Software / Verschlüsselungsmethode
> durch eine andere ersetzen.
>
>> und teuer.
>
> Teuer ist S/MIME auch noch?
>
> Ein Mathematiker würde jetzt wohl argumentieren, dass PGP dann wohl
> besser (oder zumindest weniger schlecht) ist, weil es "nur" umständlich
> ist *eg*
>
>> Da sollte man mal was verbessern.
>
> Äh, ja ;-)
>
> *SCNR*
>
> Ich sage nicht, dass die GPG-Schlüsselverteilung per DNS _die_ Lösung
> ist, aber es ist auf jeden Fall ein brauchbarer Ansatz. Sogar ohne
> DNSSEC steigert es die Chancen, den richtigen Schlüssel zu bekommen ;-)
>
>
> Davon abgesehen: wenn jemand so wichtig ist, dass es gefälschte
> Schlüssel (egal ob GPG oder S/MIME) von ihm gibt _und_ gleichzeitig
> Mails an ihn abgefangen werden (nur so richten mit falschem Schlüssel
> verschlüsselte Mails einen Schaden/Datenleck an) _und_ Du sensibles
> Material an denjenigen schicken willst - naja, dann solltest Du
> definitiv auf anderem Weg den Schlüssel validieren.
>
> Bei so einer Zielperson findet sich garantiert auch eine
> Zertifizierungsstelle, die ein falsches S/MIME-Zertifikat für ihn
> ausstellt (und/oder dazu gezwungen wird).
>
>
> Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen
> Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?
>

Durch ein digital signierte E-Mail z.B.
Hat den Vorteil das es sogar in größerem Maßstab problemfrei  
funktioniert und gleichzeitig den Absender und den Inhalt einer Mail  
verifiziert. Keyserver gibt es zwar auch, allerdings selten genutzt  
weil die Verteilung per E-Mail deutlich einfacher ist. Demnächst soll  
mit SMIMEA auch ein DNSSEC basierter Verteildienst standardisiert  
werden...

Gruß

Andi


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5931 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150302/78c5d2f4/attachment.bin>


Mehr Informationen über die Mailingliste postfix-users