1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Mail-Client im Test: Thunderbirds…

S/MIME oder OpenPGP oder beides ?

  1. Thema

Neues Thema Ansicht wechseln


  1. S/MIME oder OpenPGP oder beides ?

    Autor: phade 03.07.20 - 14:31

    Hi (habe bis jetzt immer nur S/MIME genutzt),

    - was ist denn mit der Signatur von eMails mit OpenPGP ?

    - muss denn der Schlüssel immer aus einem Verzeichniss kommen ?
    Ich bekomme ja viele Mails, an denen ein PGP-public-key "dranhängt", darf man denen nicht vertrauen ?

    Bei S/MIME-Nutzern sind die eMail signiert und somit kann ich denen verschlüsselte eMail schicken (wenn ich selbst ein S/MIME Zertifikat habe). Ok, bei MITM ist das fragwürdig, aber mir gehts ja um die Verschlüsselung und weniger um die Authentizität.

    Und was macht Thunderbird, wenn beides vorhanden ist ? S/MIME und OpenPGP ?



    1 mal bearbeitet, zuletzt am 03.07.20 14:32 durch phade.

  2. Re: S/MIME oder OpenPGP oder beides ?

    Autor: tatiplut 04.07.20 - 12:01

    > - was ist denn mit der Signatur von eMails mit OpenPGP ?
    Die Funktioniert ähnlich wie bei SMIME auch transparent, enthält aber nicht den Public-Key/das Zertifikat des Signierenden.

    > - muss denn der Schlüssel immer aus einem Verzeichniss kommen ?
    OpenPGP geht hier davon aus, dass du den Public-Key auf anderem Weg bekommst (Keyserver, separate Mail, Website, LDAP-Adressbuch, Web-Key-Discovery, DNS-Einträge, Mail-Anhang, ...).
    Es gibt hier die verschiedensten Wege, die alle Vor- und Nachteile haben, welchen du verwendest, bleibt dir und deinen Kommunikationspartnern überlassen.

    > Ich bekomme ja viele Mails, an denen ein PGP-public-key "dranhängt", darf
    > man denen nicht vertrauen ?
    Das Grundlegende Problem bei PGP (und SMIME) ist, ob man darauf vertrauen kann, dass der Key von der richtigen Person stammt.
    SMIME löst das über eine liste von mehreren hundert (mehr oder weniger) vertrauenswürdigen Organisationen, von denen jede einzelne beliebige Schlüssel bestätigen kann.
    Bei PGP gibt es theoretisch das Web-of-Trust aber praktisch bleibt es dir selbst überlassen, wie du Schlüssel verifizieren willst.
    Das kann von Trust-On-First-Use über Vertrauen in den Verteilungsweg (https-Website, Keyserver mit Email-Verifikation, ...) über einen Telefonanruf bis zu einem persönlichen Treffen gehen.

    > Bei SMIME-Nutzern sind die eMail signiert und somit kann ich denen
    > verschlüsselte eMail schicken (wenn ich selbst ein SMIME Zertifikat habe).
    Das geht auch bei GPG (mittels Autocrypt oder von Hand), allerdings ist der Schlüssel dann noch nicht verifiziert.

    > Ok, bei MITM ist das fragwürdig, aber mir gehts ja um die Verschlüsselung
    > und weniger um die Authentizität.
    Leider kannst du, wenn du von einer aktiven Manipulation der Übertragung ausgehst Verschlüsselung nur zusammen mit Authentizität der Schlüssel erhalten.
    Ein Angreifer könnte ja einfach den Schlüssel im Anhang durch seinen eigenen Austauschen und die Emails dann jeweils umverschlüsseln.

    > Und was macht Thunderbird, wenn beides vorhanden ist ? SMIME und OpenPGP ?
    In der alten Lösung kann man meines Wissens Empfängerregeln festlegen oder in der jeweiligen Mail auswählen, welche Variante gewählt werden soll.
    Man müsste theoretisch auch mit beidem gleichzeitig (bzw. nacheinander) signieren können.




    Der große Unterschied zwischen GPG und SMIME ist eigentlich nur wie die Schlüssel geprüft werden.
    SMIME setzt auf eine Liste von Zertifizierungsstellen und jeder Schlüssel wird von genau einer Zertifizierungsstelle bestätigt.
    GPG unterstütz beliebig viele Bestätigungen für einen Schlüssel.
    Technisch spräche nichts dagegen auch GPG-Schlüssel von Zertifizierungsstellen bestätigen zu lassen, allerdings hat sich das wohl nicht durchgesetzt (ich vermute aus strategischen Gründen der CAs, die wollen, dass sich SMIME durchsetzt).
    Es gibt allerdings Projekte wie pgp.governikus.de (halbstaatliche Stelle), die nach Prüfung (hier über den nPA) eine Bestätigung erteilen.


    PS: leider darf ich keine Schrägstriche posten, daher die ungewöhnliche Schreibweise von SMIME

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Merz Pharma GmbH & Co. KGaA, Frankfurt am Main
  2. über duerenhoff GmbH, Hamburg
  3. Helios IT Service GmbH, Berlin-Buch
  4. Stadt Lingen (Ems), Lingen (Ems)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. ASUS Radeon RX 6900 XT TUF GAMING OC 16GB für 1.729€)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Summit Lite im Test: Auch Montblancs günstige Smartwatch ist zu teuer
Summit Lite im Test
Auch Montblancs "günstige" Smartwatch ist zu teuer

Montblancs Summit Lite ist eine Smartwatch für Fitnessbegeisterte, die nach echter Uhr aussieht. Den Preis halten wir trotz hervorragender Verarbeitung für zu hoch.
Ein Test von Tobias Költzsch

  1. Soziales Netzwerk Bei Facebook entsteht eine Smartwatch im Geheimen
  2. Wearable Amazfit bringt kompakte Smartwatch für 100 Euro
  3. T-Touch Connect Solar Tissots Smartwatch ab 935 Euro in Deutschland verfügbar

Logitech vs. Cherry: Leise klackert es im Büro (oder auch nicht)
Logitech vs. Cherry
Leise klackert es im Büro (oder auch nicht)

Tastaturen für die Büroarbeit brauchen keine Beleuchtung - gut tippen muss man auf ihnen können. Glücklich wird man sowohl mit der Logitech K835 TKL als auch mit der Cherry Stream Desktop.
Ein Test von Tobias Költzsch

  1. SPC Gear Mechanische TKL-Tastatur mit RGB kostet 55 Euro
  2. Launch Neue Details zur Open-Source-Tastatur von System76
  3. Youtube Elektroschock-Tastatur bestraft schlampiges Tippen

AOC Agon AG493UCX im Test: Breit und breit macht ultrabreit
AOC Agon AG493UCX im Test
Breit und breit macht ultrabreit

Der AOC Agon AG493UCX deckt die Fläche zweier 16:9-Monitore in einem Gerät ab. Dafür braucht es allerdings auch ähnlich viel Platz.
Ein Test von Mike Wobker

  1. Agon AG493UCX AOC verkauft 49-Zoll-Ultrawide-Monitor mit USB-C und 120 Hz