Am 11.10.2016 um 13:23 schrieb Jochen Fahrner:
Am 11.10.2016 um 13:09 schrieb Markus Gonzalez:
Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können, wenn diese das wirklich wollen....
Können Sie nicht. http://www.heise.de/security/artikel/SSH-SSL-IPsec-alles-kaputt-kann-das-weg...
Und selbst wenn es Ihnen im Einzelfall gelingen würde, kann man damit immer noch keine Massenüberwachung realisieren.
Ich fahre hier den Ansatz: Lieber mehr verschlüsseln als weniger. Selbst wenn irgendeine Instanz es irgendwie mitlesen könnte, würde es im mindesten Fall Aufwand bedeuten. Und selbst wenn immer von "unbegrenzten Resourcen" die Rede ist - komplett unbegrenzt sind die auch nicht. Also ist etwas mehr Aufwand bei vielen Kleinigkeiten auf einmal großer Aufwand. Die Hoffnung ist "indirekter DDoS" :D Und das einmalige einrichten von TLS ist auf Postfix ja nun wirklich kein Hexenwerk, sei es ein Selfsigned oder ein "vertrauenswürdiges" Zertifikat. Wie vertrauenswürdig die sind haben verschiedene CAs ja die letzten Monate eindrucksvoll bewiesen... Tatsächlich vertraue ich Let's Encrypt mittlerweile deutlich mehr als irgendeinem WoSign/StartCom...
Für mich keinen erkennbaren Unterschied, sehe sogar eher einen Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine Hintertüren einbauen.
Auch bei einem, durch eine CA zertifizierten Zertifikat, verlässt dein private Key niemals deinen eigenen Rechner. Ein CSR enthält nur den public Key. Sicherheitstechnisch bringt ein selbst signieren keinen Vorteil.