Hallo Jochen, hallo Leute,
Am Sonntag, 1. März 2015 schrieb J. Fahrner:
[S/MIME] Eigentlich perfekt. Einziges Problem: die Zertifikate zu bekommen ist umständlich
Umständlich. War da nicht was? Ach ja, PGP ;-)
Du willst also eine umständliche Software / Verschlüsselungsmethode durch eine andere ersetzen.
und teuer.
Teuer ist S/MIME auch noch?
Ein Mathematiker würde jetzt wohl argumentieren, dass PGP dann wohl besser (oder zumindest weniger schlecht) ist, weil es "nur" umständlich ist *eg*
Da sollte man mal was verbessern.
Äh, ja ;-)
*SCNR*
Ich sage nicht, dass die GPG-Schlüsselverteilung per DNS _die_ Lösung ist, aber es ist auf jeden Fall ein brauchbarer Ansatz. Sogar ohne DNSSEC steigert es die Chancen, den richtigen Schlüssel zu bekommen ;-)
Davon abgesehen: wenn jemand so wichtig ist, dass es gefälschte Schlüssel (egal ob GPG oder S/MIME) von ihm gibt _und_ gleichzeitig Mails an ihn abgefangen werden (nur so richten mit falschem Schlüssel verschlüsselte Mails einen Schaden/Datenleck an) _und_ Du sensibles Material an denjenigen schicken willst - naja, dann solltest Du definitiv auf anderem Weg den Schlüssel validieren.
Bei so einer Zielperson findet sich garantiert auch eine Zertifizierungsstelle, die ein falsches S/MIME-Zertifikat für ihn ausstellt (und/oder dazu gezwungen wird).
Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?
Gruß
Christian Boltz