Subject: Deutschsprachige CAcert Support Liste
List archive
- From: Michael Tänzer <NEOatNHNG AT users.sourceforge.net>
- To: cacert-de AT lists.cacert.org
- Subject: Re: Frage zu Client-zertifikaten und pgp-Keys
- Date: Wed, 08 Jul 2009 20:51:47 +0200
- Authentication-results: lists.cacert.org; dkim=pass (1024-bit key) header.i= AT googlemail.com; dkim-asp=none
- Domainkey-signature: a=rsa-sha1; c=nofws; d=googlemail.com; s=gamma; h=sender:message-id:date:from:user-agent:mime-version:to:subject :references:in-reply-to:x-enigmail-version:openpgp:content-type; b=n5u9YcWo/vaMWjF2930Ti4o8gbb6vTUEX2oEBVtEIUQuUI5P7o2l95wDhZxa+jsMwa vW5rv2t0EolAdSsNj22q305qReaMZyF3r2ye6HJXkGemlqsqafDjCl4kxFdVa6A9cI1a alUJWzg2MQeoFr8Te1XT5rkIUUck0132QEg9c=
- Openpgp: id=9940BEF1
Jochen Schmitt schrieb:
> On Wed, 08 Jul 2009 12:02:04 +0200, you wrote:
>> Die Option "Use PGP/MIME" funktioniert nicht wg. "Inkompabilität".
>
> PGP/MIME ist eine Erweiterung des OpenPGP-Formats um
> MIME-Nachrichten mit PGP verschlüsseln zu können.
PGP/MIME hat den angenehmen Nebeneffekt, dass die Signatur nicht direkt
in den Nachrichtentext eingebettet wird und somit auch Empfänger deren
MUA kein PGP beherrscht nicht mit der etwas unschönen Signatur belästigt
werden sondern nur einen Anhang sehen (der meist einfach ignoriert
wird). Leider sind PGP/MIME und S/MIME inkompatibel was aus rein
technischer Sicht meines Erachtens nicht sein müsste aber leider nun mal
so ist und das zu ändern ist wahrscheinlich utopisch (irgend jemand
schon auf IPv6?).
Ich stecke in folgendem Dilemma:
Eigentlich würde am liebsten nur auf PGP setzen weil ich es für das
bessere System halte weil es keine zentralisierte Infrastruktur hat
sondern ein flexibles System ist mit dem sich sowohl zentralisierte
Ansätze (wie CAcert mit der Möglichkeit seinen PGP key von einer CA
unterschreiben zu lassen sehr schön beweist) als auch ein web of trust
realisieren lassen und sogar friedlich nebeneinander koexistieren
können. Außerdem könnte ein Mailprogramm gleich beim ersten Start bei
der Kontoeinrichtung gleich einen PGP key generieren und auf einen
Keyserver hochladen ohne dass der Nutzer viel mehr machen müsste als er
bei der Einrichtung sowieso schon machen muss. Wenn noch solche
Verfahren wie bei Pidgins OTR implementiert werden, bei dem sich zwei
Kommunikationspartner über Shared Secrets MITM-sicher Authentifizieren
können ohne sich gegenseitig lange Hex-Zahlen vormurmeln zu müssen
(obwohl Keysigning-Parties natürlich auch was für sich haben, aber ich
glaube nicht massentauglich sind) dann würde ich durchaus von
Nutzerfreundlichkeit sprechen.
ABER leider haben die meisten MUAs nur S/MIME implementiert. Egal ob
Outlook, Thunderbird, Windows Mail, Outlook Express, die Apple Mail
(keine Ahnung ob das Programm genau so heißt), unterstützen alle von
Haus aus kein PGP (immerhin sind für Thunderbird und Apple Mail Add-ons
verfügbar die das nachrüsten, bei den MS Programmen wüsste ich jetzt
keins das nicht veraltet ist), um also Kryptographie weiträumig
einzusetzen spricht also zumindest die Situation bei den MUAs für
S/MIME. Dagegen spricht die Anfangshürde die ein Nutzer nehmen muss um
sein Zertifikat bekommen. Er hat die Wahl ein selbst signiertes zu
benutzen, was nicht sehr viel Sicherheit bietet (wegen "man in the
middle"-Angriffen) oder den teuren (oder umständlichen, wie bei CAcert
oder ähnlichen WoT-CAs) Weg zu gehen um wirkliche Sicherheit zu
erreichen, weshalb niemand es einfach mal ausprobieren wird, bei PGP
kann man einfach mal ein Zertifikat generieren und nach und nach mehr
Trust (z.B. über den Freundeskreis) aufbauen was bei S/MIME durch die
zentralisierte Struktur nicht möglich ist. S/MIME wird deshalb
allenfalls in Unternehmen eingesetzt, die einfach jeden Mitarbeiter mit
einem eigenen geeigneten Zertifikat ausstatten, für Privatleute ist das
aus den genannten Gründen nichts.
Ich persönlich habe deshalb beschlossen nur auf PGP zu setzen und S/MIME
außen vor zu lassen, auch wenn wohl ein viel größerer Teil meiner
Kontakte S/MIME-Unterschriften zumindest verifizieren könnte (obwohl…
unwahrscheinlich, dass sie das CAcert-Root-Zertifikat installiert
haben). Schließlich wissen die meisten dieser "normalen" Nutzer mit
einer Signatur nicht wirklich etwas anzufangen und die meisten
kryptographiebewussten haben einen PGP-fähigen MUA.
Viele Grüße
Michael
Attachment:
signature.asc
Description: OpenPGP digital signature
- Frage zu Client-zertifikaten und pgp-Keys, Dirk Kutsche, 07/08/2009
- Re: Frage zu Client-zertifikaten und pgp-Keys, Jochen Schmitt, 07/08/2009
- Re: Frage zu Client-zertifikaten und pgp-Keys, Michael Tänzer, 07/08/2009
- Re: Frage zu Client-zertifikaten und pgp-Keys, Jochen Schmitt, 07/08/2009
Archive powered by MHonArc 2.6.16.