Re: PGP-Schlüssel einfach und sicher verteilen

Michael Ströder michael at stroeder.com
Mo Mär 2 14:13:45 CET 2015


Jochen Fahrner wrote:
> Ich kenne nur 3 Anbieter von kostenlosen Zertifikaten: StartSSL und
> Comodo laufen nur 1 Jahr und lassen sich nicht verlängern, man braucht
> jedes Jahr ein neues. Das macht das entschlüsseln von archivierten Mails
> nicht einfacher.

Hier muss ich noch unbedingt ein weit verbreitetes Missverständnis aufklären:

Mit alten privaten Schlüsseln kann man natürlich unabhängig von der begrenzten
Gültigkeitsdauer des Public-Key-Zertifikats alte S/MIME-verschlüsselte E-Mails
entschlüsseln, solange eben die Key-History in den aktuell genutzten MUA
migriert werden kann.

Meine S/MIME Key History enthält Schlüssel der letzten 16 Jahre,
Zertifikatgültigkeit immer je ein Jahr, und wurde immer brav automagisch
migriert obwohl sich das Format der Key-DB änderte:
Netscape Communicator 4.5 -> Mozilla Suite (div. Versionen) -> Seamonkey
(div. Versionen)

Die begrenzte Gültigkeitsdauer halte ich aber für sinnvoll, da man regelmäßig
gezwungen wird, sich ein neues Schlüsselpaar zu erzeugen. Theoretisch könnte
man auch den alten öfftl. Schlüssel immer wieder neu signieren (lassen). Aber
das machen die Enrollment-Schnittstellen (glücklicherweise) meist nicht.

Lediglich S/MIME-Signaturen werden nach Ablauf der Gültigkeitsdauer des
Public-Key-Zertifikats als nicht mehr gültig angezeigt. Je nach
Betrachtungsweise ist das sinnvoll oder auch nicht.

Ich habe oft genug in Projekten bei normalen Benutzern auch initial
1st-level-Support gemacht. Das Hauptproblem ist, an die Empfängerschlüssel
ausserhalb der eigenen Organisation zu kommen.

Ciao, Michael.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4252 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150302/e896b745/attachment.bin>


Mehr Informationen über die Mailingliste postfix-users