Re: PGP-Schlüssel einfach und sicher verteilen

Michael Ströder michael at stroeder.com
Mo Mär 2 14:56:13 CET 2015


Jochen Fahrner wrote:
> Ich kenne nur 3 Anbieter von kostenlosen Zertifikaten: StartSSL und
> Comodo laufen nur 1 Jahr und lassen sich nicht verlängern, man braucht
> jedes Jahr ein neues. Das macht das entschlüsseln von archivierten Mails
> nicht einfacher.  CaCert gefällt mir da besser, aber die Hersteller von
> Browsern, Maiclients und Betriebssystemen weigern sich beharrlich deren
> Root-Zertifikat mit auszuliefern. Debian hatte es eine Zeit lang drin,
> aber kürzlich wieder entfernt. So taugt das auch wieder nur für Nerds
> die sich das Root-Zertifikat selber installieren.

Hat halt schon auch was mit der mangelnden Auditierbarkeit von CACERT zu tun.
Ich habe mir Details nicht durchgelesen, aber der Auditor war da ziemlich
lange geduldig.

Kennt hier noch jemand das punktesammelnde Thawte WoT? IIRC war das Vorbild
für das Vorgehen bei CACERT. Das wurde leider dichtgemacht als Thawte von
Verisign gekauft wurde. Aber so was brauchen wir mit in Standard-Software
vorinstallierter Root-CA.

> Dann kommt noch erschwerend dazu dass das Nebeneinander von S/MIME und
> PGP/MIME nur schwer zu handeln ist. Wenn man im Thunderbird beides
> aktiviert hat kann man eigentlich nur manuell bei jeder Mail festlegen
> wie sie verschlüsselt werden soll. Nutzt man das Plugin "Encrypt if
> possible" zusammen mit der automatischen Enigmail-Verschlüsselung, dann
> kommen die sich in die Quere wenn man von einem Empfänger beides hat.

Das liegt vor allem an dem Scheiss-UI von enigmail, welches den arroganten
PGP-Dominanzanspruch ganz gut widerspiegelt. enigmail ist komplett unbrauchbar.

> Bevor man anfängt das Problem mit der Key-Verteilung lösen zu wollen,
> sollte man sich erstmal die Mailclients vornehmen und das ganze
> benutzbarer machen.

Das ist schon gar nicht so schlecht. Auch wenn's mir schwerfällt zuzugeben:
Mit die beste PKI- und S/MIME-Unterstützung haben die Windows-Komponenten und
speziell Outlook out-of-the-box (wenn's die Windows-Admins nicht panikmässig
abschalten).

> Wenn ich Thunderbird installiere, dann muss die
> Verschlüsselung out-of-the-box funktionieren (wie bei S/MIME), ich will
> da nicht erst noch Enigmail und gpg4win installieren und konfigurieren
> müssen.

Ja, und das gilt vor allem auch für Outlook, Lotus Notes et al.

Noch mehr persönliche Erfahrungen:
In Projekten bei Grosskonzernen mit eigener PKI bringe ich meinen
Ansprechpartnern erst mal bei, wie man die bereits auf den Workstations
*vorhandene* S/MIME-Funktionalität nutzt. Es ist echt tragisch: Die Benutzer
haben bereits Zertifikate und Client-Software tutti-paletti, wissen es aber
nicht zu nutzen. Meist sind's da nur zwei/drei Clicks bis zur verschlüsselten
E-Mail und auf meiner Seite höchstens der Import eines
Unternehmens-CA-Zertifikats.

> Aber wie ich schon sagte: ich halte S/MIME für die bessere Lösung, weil
> da das meiste schon perfekt funktioniert, der Aufwand bis zum Endziel
> (einfache Verschlüsselung für die Massen) ist da wesentlich geringer.

Jup..

Ciao, Michael.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4252 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150302/f273c5c1/attachment.bin>


Mehr Informationen über die Mailingliste postfix-users