On 14.03.2019 16:04, Django wrote:
On 13.03.19 10:06, Walter H. wrote:
anders herum, wie sollte bei Verwendung eines selbstsignierten Zertifikates selbiges bei S/MIME denn funktionieren?
Moment, das ist aber nun die falsche Antwort zu meiner Frage, warum Du meintest "... Datenintegrität ist mit PGP gar nicht möglich".
ne ist sie nicht; daher die Gegenfrage: wie willst Du feststellen, ob der Inhalt verändert wurde, wenn Du nicht mal sagen kannst, ob die Mail überhaupt vom Absender stammt?
Also Du kannst Dich z.B. jederzeit davon überzeugen, dass z.B. Pakete aus (m)einem Repository integer sind, also vom Maintainer des Paketes erstellt wurde. Warum soll das mit PGP nicht möglich sein, die Datenintegrität zu prüfen?
unzulässiger Vergleich, Du vertraust hier darauf, dass der Key dazupasst; sprich es handelt sich hier strenggenommen nicht um self-sigend äquivalent;
Auch soll sowas durchaus auch beim Medium eMail funktionieren.
ohne Authentizität keine Integrität ...
Ich sitze hier z.B. vor einem Gateway welches für 2500 Benutzer durchaus in der Lage ist, an Hand der hinterlegten Schlüsselmaterials zum einen den Absender zweifelsfrei zu identifizieren wie auch die Integrität der Daten selbst zu prüfen.
unzulässiger Vergleich; hinterlegtes Schlüsselmaterial heißt ja bereits, daß es nicht mehr self-signed ist;
daher das klassische Szenario: Du findest einen Webshop - und jetzt aufpassen, ich hatte irgendwo bewußt geschrieben, daß hier zumindest ein OV SSL-Zertifikat notwendig ist; wir nehmen aber an, es wird ein Let's Encrypt verwendetl; daher nur DV Du gibst dort eine Bestellung ein, und bekommst jetzt eine per PGP signiertes Mail, mit einem PDF (Vorauskassarechnung) als Anhang; Du stellst hier fest, daß die IP, welche sich mit Deinem Mailserver verbunden hat, eine andere ist, als welche zur Website des Shops gehört; auch stellst Du fest, daß der Absender nichts mit der Domain des Webshops gemein hat; PGP ist bei PDFs nicht vorgesehen, also ist diese gar nicht signiert; an Hand dieses Szenarios sag ich Dir, daß ich die Mail verwerfe und der Deal geplatzt ist;
eine etwaige Datenintegrität, welche Du hier f. gut befindest ist nur zweitrangig; oder anders: mit PGP scheiterst am Erstkontakt;
sprich: wenn es nicht möglich ist festzustellen, ob eine Mail auch tatsächlich vom besagten Absender kommt, spielt es auch keine Rolle mehr, ob diese Mail verändert wurde oder nicht ...
Kommt auf den Anwendungsfall und auf die Anforderung des Kunden/Nutzers an.
stimmt, es gibt im E-mailverkehr nur keinen, bei dem die Datenintegrität ohne entsprechender Authentizität eine Rolle spielt ...