Zitat von Christian Boltz postfix-users@cboltz.de:
Hallo Jochen, hallo Leute,
Am Sonntag, 1. März 2015 schrieb J. Fahrner:
[S/MIME] Eigentlich perfekt. Einziges Problem: die Zertifikate zu bekommen ist umständlich
Umständlich. War da nicht was? Ach ja, PGP ;-)
Du willst also eine umständliche Software / Verschlüsselungsmethode durch eine andere ersetzen.
und teuer.
Teuer ist S/MIME auch noch?
Ein Mathematiker würde jetzt wohl argumentieren, dass PGP dann wohl besser (oder zumindest weniger schlecht) ist, weil es "nur" umständlich ist *eg*
Da sollte man mal was verbessern.
Äh, ja ;-)
*SCNR*
Ich sage nicht, dass die GPG-Schlüsselverteilung per DNS _die_ Lösung ist, aber es ist auf jeden Fall ein brauchbarer Ansatz. Sogar ohne DNSSEC steigert es die Chancen, den richtigen Schlüssel zu bekommen ;-)
Davon abgesehen: wenn jemand so wichtig ist, dass es gefälschte Schlüssel (egal ob GPG oder S/MIME) von ihm gibt _und_ gleichzeitig Mails an ihn abgefangen werden (nur so richten mit falschem Schlüssel verschlüsselte Mails einen Schaden/Datenleck an) _und_ Du sensibles Material an denjenigen schicken willst - naja, dann solltest Du definitiv auf anderem Weg den Schlüssel validieren.
Bei so einer Zielperson findet sich garantiert auch eine Zertifizierungsstelle, die ein falsches S/MIME-Zertifikat für ihn ausstellt (und/oder dazu gezwungen wird).
Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?
Durch ein digital signierte E-Mail z.B. Hat den Vorteil das es sogar in größerem Maßstab problemfrei funktioniert und gleichzeitig den Absender und den Inhalt einer Mail verifiziert. Keyserver gibt es zwar auch, allerdings selten genutzt weil die Verteilung per E-Mail deutlich einfacher ist. Demnächst soll mit SMIMEA auch ein DNSSEC basierter Verteildienst standardisiert werden...
Gruß
Andi