Hallo alle zusammen,
habe ein paar Fragen:
Ich möchte gerne meine E-Mail-Inhalt verschlüsseln oder zumindest signieren um sicherzustellen, ob die E-Mail so ankommt wie von mir beabsichtigt.
Nur welche Methode soll ich verwenden? Es gibt ja 2 Große Formate, nämlich S/MIME oder OpenPGP/GPG. Welches ist denn besser geeignet?
Und kann man S/MIME in jedem Programm benutzen? Wäre zum Beispiel von Vorteil für Leute die kein Plugin istallieren wollen.
Also danke für eure Hilfe.
Gruß
Juka1991
Hallo,
Nur welche Methode soll ich verwenden? Es gibt ja 2 Große
Formate, nämlich S/MIME oder OpenPGP/GPG. Welches ist denn
besser geeignet?
Beide sind gleich gut geeignet.
Und kann man S/MIME in jedem Programm benutzen? Wäre zum
Beispiel von Vorteil für Leute die kein Plugin istallieren
wollen.
Plugins braucht man so oder so. Für S/MIME brauchst Du aber ein X.509 Zertifikat, dass es in sinnvoller Form nur gegen Geld gibt.
PGP/GnuPG ist flexibler bei der Schlüsselverwaltung, erlaubt sekundärschlüssel und mehrere IDs pro Schlüssel.
Genauer wird es unter
http://www.kes.info/archiv/online/01-01-60-SMIMEvsOp…
erklärt.
Gruß
Fritze
Hy,
Und kann man S/MIME in jedem Programm benutzen? Wäre zum
Beispiel von Vorteil für Leute die kein Plugin istallieren
wollen.Plugins braucht man so oder so.
Das ist so nicht richtig. die gängigen E-Mail Clients wie Microsoft Outlook oder Mozilla Thunderbird haben dies integriert.
Für GnuPG / PGP braucht man allerdings fast immer zusatztools oder Plugins.
Für S/MIME brauchst Du aber
ein X.509 Zertifikat, dass es in sinnvoller Form nur gegen
Geld gibt.
Auch nicht ganz richtig. CAcert Zertifikate sind vollkommen kostenlos, aber mit der Einschränkung, das das Rootzertifikat einmal zu importieren ist benutzbar. Thawte ist auch kostenlos und man braucht auch das Root Zertifikat zu importieren. Dann gibt es noch startcom.com bei denen es die Class1 Zertifikate umsonst gibt. Inwieweit man in dem Zusammenhang „sinnvoll gegen Geld“ definieren möchte lasse ich besser mal aussen vor 
Gruß
h.
Hallo,
Auch nicht ganz richtig. CAcert Zertifikate sind vollkommen
kostenlos, aber mit der Einschränkung, das das Rootzertifikat
einmal zu importieren ist benutzbar.
Naja. Jeder, der mit Dir verschlüsselt kommunizieren möchte, muss zunächst einmal das Root-Zertifikat von CACert importieren. Um dem wenigstens rudimentär vertrauen zu können, muss er sich mit Class3 und Class1 Zertifikaten und Fingerprints auseinandersetzen. Nicht wirklich gut. Die in den Anwendungen bereits vorinstallierten CAs sind allesamt von der kostenpflichtigen Art.
Thawte ist auch kostenlos
Aber nur in einer „wir prüfen gar nichts“ Variante ohne Authentifizierung. Da kann sich jeder mit jeder Adresse anmelden.
Zugegeben, Schlüsselaustausch gehört auch bei GnuPG dazu. Aber das macht man i.d.R. direkt.
Und die Tatsache, dass man bei GnuPG/PGP eine erheblich flexiblere Schlüsselverwaltung hat gilt unabhängig vom X.509 Zertifikatsproblem.
Schau halt mal in den von mir angegebenen Link. Ist wirklich nicht schlecht.
Gruß
Fritze
Hallo,
ich bedanke mich jetzt schon recht herzlich für die Antworten.
Jetzt aber noch eine Frage:
Wenn man jetzt ganz paranoid denkt, könnte jetzt nicht Cacert oder andere CA’s zum Beispiel die Zertifikate einfach weitergeben (was sie wahrscheilich nicht machen werden, gehen wir aber mal vom schlimmsten fall aus) und dadurch meine E-Mails oder sonst was wieder entschlüsseln, oder brauchen sie dazu ein Passwort oder ähnliches?
Danke für die Antworten.
Gruß
Juka1991
Hy,
Thawte ist auch kostenlos
Aber nur in einer „wir prüfen gar nichts“ Variante ohne
Authentifizierung. Da kann sich jeder mit jeder Adresse
anmelden.
Nein, Class3 ist hier ebenso kostenlos. man muss sich nur bei ca. 2 Thawte Notarys „vorstellen“ und ist genauso geprüft. Bin selbst nemen CAcert Assurer auch Thawte Notary.
Es kommt bei allen Verschlüsselungstechniken immer auf das Einsatzgebiet und das dahinterstehende Konzept an wie man etwas umsetzen will.
Gruß
h.
Hallo,
Wenn man jetzt ganz paranoid denkt, könnte jetzt nicht Cacert
oder andere CA’s zum Beispiel die Zertifikate einfach
weitergeben (was sie wahrscheilich nicht machen werden, gehen
wir aber mal vom schlimmsten fall aus) und dadurch meine
E-Mails oder sonst was wieder entschlüsseln, oder brauchen sie
dazu ein Passwort oder ähnliches?
Nein nein. Das Prinzip ist bei PGP und S/MIME das selbe: Es gibt einen privaten und einen öffentlichen Schlüssel. Deinen privaten Schlüssel gibst Du natürlich weder an die CA noch irgendwen sonst weiter. D.h. sie haben gar nichts zum weitergeben.
Die CA dient nur dazu, den öffentlichen Teil zu verifizieren und zu bestätigen: Ja, der Schlüssel XYZ gehört wirklich zu Person/Unternehmen ABC.
Bei PGP gibt es keine zentrale hierarchische Infrastruktur dafür, sondern das berühmte „Netz des Vertrauens“ oder „Web of Trust“.
Gruß
Fritze
Guten Tag,
Also wenn das stimmen sollte, dann ist ja was bei cacert was verkehrt oder? weil ich lade da meinen kompletten schlüssel herunter und die erstellen ich auch. oder habe ich was an der funktion speziell bei dieser webseite nicht verstanden?
Hallo,
Also wenn das stimmen sollte, dann ist ja was bei cacert was
verkehrt oder? weil ich lade da meinen kompletten schlüssel
herunter und die erstellen ich auch. oder habe ich was an der
funktion speziell bei dieser webseite nicht verstanden?
Auch bei der Prozedur wird meines Wissens ein Schlüsselpaar auf *deinem* Rechner erzeugt, der öffentliche Teil übertragen und das zugehörige Zertifikat Erzeugt. Du kannst bei „show advanced options“ auch gerne per cut & paste ein selbst erzeugtes CSR (z.B. per OpenSSL) einfügen und dafür ein Zertifikat bekommen. Da bist Du dann auf jeden Fall sauber.
Gruß
Fritze
Hy,
weil ich lade da meinen kompletten schlüssel
herunter und die erstellen ich auch. oder habe ich was an der
funktion speziell bei dieser webseite nicht verstanden?
Das hast Du in der tat etwas falsch verstanden. Bei CAcert erstellst DU Dir währen einer SSL verschlüsselten Websitzung DEIN Schlüsselpaar innerhalb des Browsers an dem Du gerade sitzt. Auf dem Server wird nichts erstellt oder abgelegt. Der CAcert Server dient lediglich als eine Art Benutzerverwaltung. Das eigentliche Zertifikat ist und bleibt auf Deiner Seite des Rwechners Insofern hast Du hier eine bessere Kontrolle über Deine Zertifikate (Du kannst soviele Zertifikate erstellen wie Du willst, kannst diese selbst wiederufen, kannst Zertifikate für all deine Mailadressen oder nur für bestimmte anlegen, etc.).
Wie gesagt: CAcert erstellt die Zertifikate genauso wie alle anderen auch. Es ist Opensource und baut auf OpenCA auf.
gruß
h.