1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Mail-Client im Test…

S/MIME oder OpenPGP oder beides ?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. S/MIME oder OpenPGP oder beides ?

    Autor: phade 03.07.20 - 14:31

    Hi (habe bis jetzt immer nur S/MIME genutzt),

    - was ist denn mit der Signatur von eMails mit OpenPGP ?

    - muss denn der Schlüssel immer aus einem Verzeichniss kommen ?
    Ich bekomme ja viele Mails, an denen ein PGP-public-key "dranhängt", darf man denen nicht vertrauen ?

    Bei S/MIME-Nutzern sind die eMail signiert und somit kann ich denen verschlüsselte eMail schicken (wenn ich selbst ein S/MIME Zertifikat habe). Ok, bei MITM ist das fragwürdig, aber mir gehts ja um die Verschlüsselung und weniger um die Authentizität.

    Und was macht Thunderbird, wenn beides vorhanden ist ? S/MIME und OpenPGP ?



    1 mal bearbeitet, zuletzt am 03.07.20 14:32 durch phade.

  2. Re: S/MIME oder OpenPGP oder beides ?

    Autor: tatiplut 04.07.20 - 12:01

    > - was ist denn mit der Signatur von eMails mit OpenPGP ?
    Die Funktioniert ähnlich wie bei SMIME auch transparent, enthält aber nicht den Public-Key/das Zertifikat des Signierenden.

    > - muss denn der Schlüssel immer aus einem Verzeichniss kommen ?
    OpenPGP geht hier davon aus, dass du den Public-Key auf anderem Weg bekommst (Keyserver, separate Mail, Website, LDAP-Adressbuch, Web-Key-Discovery, DNS-Einträge, Mail-Anhang, ...).
    Es gibt hier die verschiedensten Wege, die alle Vor- und Nachteile haben, welchen du verwendest, bleibt dir und deinen Kommunikationspartnern überlassen.

    > Ich bekomme ja viele Mails, an denen ein PGP-public-key "dranhängt", darf
    > man denen nicht vertrauen ?
    Das Grundlegende Problem bei PGP (und SMIME) ist, ob man darauf vertrauen kann, dass der Key von der richtigen Person stammt.
    SMIME löst das über eine liste von mehreren hundert (mehr oder weniger) vertrauenswürdigen Organisationen, von denen jede einzelne beliebige Schlüssel bestätigen kann.
    Bei PGP gibt es theoretisch das Web-of-Trust aber praktisch bleibt es dir selbst überlassen, wie du Schlüssel verifizieren willst.
    Das kann von Trust-On-First-Use über Vertrauen in den Verteilungsweg (https-Website, Keyserver mit Email-Verifikation, ...) über einen Telefonanruf bis zu einem persönlichen Treffen gehen.

    > Bei SMIME-Nutzern sind die eMail signiert und somit kann ich denen
    > verschlüsselte eMail schicken (wenn ich selbst ein SMIME Zertifikat habe).
    Das geht auch bei GPG (mittels Autocrypt oder von Hand), allerdings ist der Schlüssel dann noch nicht verifiziert.

    > Ok, bei MITM ist das fragwürdig, aber mir gehts ja um die Verschlüsselung
    > und weniger um die Authentizität.
    Leider kannst du, wenn du von einer aktiven Manipulation der Übertragung ausgehst Verschlüsselung nur zusammen mit Authentizität der Schlüssel erhalten.
    Ein Angreifer könnte ja einfach den Schlüssel im Anhang durch seinen eigenen Austauschen und die Emails dann jeweils umverschlüsseln.

    > Und was macht Thunderbird, wenn beides vorhanden ist ? SMIME und OpenPGP ?
    In der alten Lösung kann man meines Wissens Empfängerregeln festlegen oder in der jeweiligen Mail auswählen, welche Variante gewählt werden soll.
    Man müsste theoretisch auch mit beidem gleichzeitig (bzw. nacheinander) signieren können.




    Der große Unterschied zwischen GPG und SMIME ist eigentlich nur wie die Schlüssel geprüft werden.
    SMIME setzt auf eine Liste von Zertifizierungsstellen und jeder Schlüssel wird von genau einer Zertifizierungsstelle bestätigt.
    GPG unterstütz beliebig viele Bestätigungen für einen Schlüssel.
    Technisch spräche nichts dagegen auch GPG-Schlüssel von Zertifizierungsstellen bestätigen zu lassen, allerdings hat sich das wohl nicht durchgesetzt (ich vermute aus strategischen Gründen der CAs, die wollen, dass sich SMIME durchsetzt).
    Es gibt allerdings Projekte wie pgp.governikus.de (halbstaatliche Stelle), die nach Prüfung (hier über den nPA) eine Bestätigung erteilen.


    PS: leider darf ich keine Schrägstriche posten, daher die ungewöhnliche Schreibweise von SMIME

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. (Junior) Software Entwickler:in (m/w/d) Druck- und e-Marketing
    DKMS gemeinnützige GmbH, Köln, Tübingen
  2. Chief Information Security Officer (w/m/d)
    Regierungspräsidium Freiburg, Freiburg im Breisgau
  3. Senior Full Stack Java Entwickler (w/m/d)
    ING Deutschland, Frankfurt am Main
  4. Netzwerkarchitekt / -engineer (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Bayreuth

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hobbys und maschinenbasiertes Lernen: 1.000 Bilder - und nur zwei Vögel drauf
Hobbys und maschinenbasiertes Lernen
1.000 Bilder - und nur zwei Vögel drauf

Ein Hobby-Vogelkundler fragt mich nach einem Skript, um Vögel in Bildern zu erkennen. Was einfach klingt, bringt mich an den Rand dessen, was ich über maschinelles Lernen weiß.
Von Marcus Toth


    Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
    Gene Roddenberrys andere Sci-Fi-Stoffe
    Neben Star Trek leider fast vergessen

    Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
    Von Peter Osteried

    1. Star Trek Trailer zur dritten Staffel von Picard zeigt TNG-Crew
    2. Star Trek Playmobil bringt Bird of Prey aus Star Trek III als Spielset
    3. William Shatner "Gene Roddenberry würde sich im Grab umdrehen"

    Solarenergiespeicher Bluetti EP500 Pro: Wie ich versuchte, autark zu werden
    Solarenergiespeicher Bluetti EP500 Pro
    Wie ich versuchte, autark zu werden

    Ich vermesse per Drohne, schleppe Solarpanels und eine 83-kg-Powerstation, drucke Abstandshalter im 3D-Drucker - und spare Stromkosten. Zudem berechne ich, ob und wann sich die Ausgaben für die Anlage amortisieren.
    Ein Erfahrungsbericht von Thomas Ell

    1. Fotovoltaik Solarzellen werden billiger und grüner
    2. Umweltschutz Swiss tankt bald klimaneutrales Kerosin
    3. Saubere Energie Strom aus dem Gewächshaus