verfaßt von vordprefect, wo karl ruht.., 05.07.2021, 12:52:30
Hallo in die Runde 
mittlerweile werden ja oft auch "heiklere" oder "offizielle" Angelegenheiten per E-mail und übers Internet erledigt, z.B. Kündigungen von Abos oder evtl. auch andere Anliegen.
Mir ist das langsam zu unsicher, zumal kein Mensch weiß, ob die E-mail stimmt, ob sie von demjenigen, den man vermutet, auch kommt. Daher überlege ich mir ein digitales Zertifikat für meine persönlichen Zwecke zu zulegen um hier in gewissem Maße abgesichert zu sein.
Damit kann ich dann signierte (d.h. beglaubigte) E.mails schreiben, die von mir autorisiert und für den Empfänger lesbar sind. Wird die E-mail auf dem Transportweg manipuliert, wird die Signatur gebrochen und ist damit komprimittiert.
Ich kann die E-mail mit einem Zertifikat dann auch verschlüsseln, dann braucht aber der Empfänger ebenfalls das Gegenzertifikat, damit er diese E-mail entschlüsseln kann. Hier ist nicht nur der Transportweg geschützt, sondern auch der Inhalt, da bis auf die Headerdaten (Absender / Empfänger) der Inhalt der E-mail nicht lesbar ist.
Mich interessiert hier Eure Sicht darauf - Schon mal darüber Gedanken gemacht?
Würdet ihr das nutzen - auch wen es was kostet?
Hier noch ein kleiner Exkurs zu der gesamten Thematik:
Es gibt zwei weit verbreitete Technologien zum Signieren / Verschlüsseln von E-mails und Daten: GnuPG / PGP und S/MIME
GnuPG und PGP kennt keine neutrale Zertifizierungsstelle, sondern vertraut darauf, daß sich die Benutzer untereinander vertrauen. Dieser "Ring-of-Trust" - du vertraust mir, dann vertraue ich Dir, dann kann auch der Freund Deines Freundes mir vertrauen ist das Prinzip von GnuPGP / PGP. Die Programme und Utilities dazu sind Freeware und können von jedermann/frau
genutzt werden gpg4win ist ein solches Projekt.
S/MIME
Auch bei S/MIME kann man Zertifikate selbst erstellen (d.h. SelfSigned), allerdings sind diese nicht von einer neutralen Stelle beglaubigt z.B. kann man sowas innerhalb von Windows Domänen aufsetzen, da Windows eine eigene Zertifizierungs-Services mitbringt) D.h. man muß demjenigen, von dem man das Zertifikat bekommt, vertrauen. Das geht, wenn ich weiß, daß mein Partner mir eine E-mail mit seinem Zertifikat schickt und andersherum.
Von einer zentralen und zertifizierten Stelle herausgegebene S/MIME Zertifikate kosten meistens etwas Geld (20- 60 EUR/Jahr).
Die Stammzertifikate dieser Trustcenter sind z.B. in den Browsern hinterlegt, somit kommt hier keine Abfrage, wenn man mit einem Zertifikat eines Trustcenters eine E-mail öffnet. Bei unbekannten Zertifizierungsstellen (z.B. selbstausgestellten Zertifikaten) kommt hier eine Abfrage, ob man dem Zertifikat wirklich vertrauen will, erst dann kann man die E-mail öffnen.
Für S/MIME Zertifikate gibt es verschiedene Trustlevel.
Der einfachste Level ist auch am günstigsten. Hier wird allerdings nur die E-mail-Adresse verifiziert, aber niemand weiß, welche Identität dahinter steckt. D.h. jeder der das Zertifikat hat, kann auch eine E-mail mit diesem Absender schicken.
Ein weiterer Level ist die Zertifizierung mit E-mail-Adresse und der Person (Identität). Hier wird die E-mail-Adresse und die Person mittels Ausweis (etc.) überprüft. D.h. Adresse und Person stimmen mit der E-mail-Adresse über ein.
Es gib hier dann auch noch andere Abstufungen, z.B. ob das Zertifikat mit Smartcard-Readern genutzt werden kann usw.
und für Unternehmen sieht es nochmals anders aus, die können dann je nach Art des Zertifikats der Zertifizierungsstelle selbst Zertifikate für Benutzer ausstellen.
Komplett ist das Vertrauen eigentlich nur, wenn sich die Person an einem dedizierten Rechner mit einem fest verbauten Kartenleser mit dem Zertifikat anmelden muß, um an diesem Rechner dann eine signierte oder verschlüsselte E-mail zu schreiben.
Kompliziert? Eigentlich nicht so..
--
lg,
volker
so long and thank you for the fish >~°>
Meine Fotos
gesamter Thread: