sef's Homepage




Valid HTML 4.01 Transitional

eMail-Zertifikate

Einleitung

Eigentlich kann man den Herren Schäuble und Co sowie Frau Zypris nur danken. Durch ihre Politik rücken fortgeschrittene Signaturen zum Signieren und Verschlüsseln von eMails mehr in den Blickpunkt der Öffenlichkeit.
Als willkommener Nebeneffekt könnte auch Spam zurückgedrängt werden.

Es gibt zwei verschiedene Systeme. Sie unterscheiden sich hauptsächlich in der Art, wie die Vertrauensstellungen zustande kommen.
Zum einen gibt es PGP/GPG mit direkter Vertrauensstellung. Es funktioniert nach dem Prinzip: "Ich vertraue X; X vertraut Y; also vertraue ich auch Y". So entsteht ein Netzwerk aus Vertrauensstellungen.
Zum anderen existiert S/MIME mit einer hierarchischen Struktur. Eine RootCA bestätigt die Authentizität der Signatur.
Aber wie immer hat keines der Systeme nur Vorteile.

PGP / GPG

Ursprünglich war PGP frei verfügbar. Der Programmautor hat aber bei einer Aktualisierung das Programm kostenpflichtig gemacht. Darauf hin haben einige Programmierer eine ältere kostenfreie Version zu GPG unter der GPL weiterentwickelt.
Beide Varianten sind zueinander weitgehend kompatibel.
Der Vorteil ist, dass durch das Netzwerk ein kompromittierter Schlüssel durch andere Vertrauenspfade ersetzt wird.
Der Nachteil ist, dass die Unterstützung in vielen weit verbreiteten eMailprogrammen nicht vorhanden ist. Mittlerweile gibt es aber für viele Mailprogramme Plugins.

S/MIME

S/MIME ist hierarchisch aufgebaut. In kommerziellen Programmen ist es allgemein verbreitet, da es gut standardisiert ist.
An die höchste Instanz, die RootCA, werden höchste Sicherheitsanforderungen gestellt. Es gibt verschiedene Anbieter von RootCAs z.B. VeriSign oder AddTrust. Da dies kommerzielle Anbieter sind, sind diese Zertifikate in der Regel nicht kostenfrei.

Eine Ausnahme bildete Thawte diese CA hatte zu ihren Serverzertifikaten auch kostenfreie eMailzertifikate ausgegeben. Dabei nutzten sie ein WoT (Web of Trust) zur Validierung der Nutzer.

CA Cert ist ein Versuch, eine nichtkommerzielle RootCA per WoT zu etablieren. Dabei gibt es aber noch etliche ungelöste Fragen. Das Konzept wird aber stetig weiterentwickelt und die Community ist aktiv.
Unter LINUX ist die Unterstützung mittlerweile auch für Anwender brauchbar.
Neben programmspezifischen Implementierungen ist da gpgsm zu nennen, über das viele eMailprogramme die Verwendung von S/MIME realisieren.

im Detail

PGP / GPG
S/MIME
Thawte
CaCert

zurück

letzte Änderung: 02.05.2014 sef