Erklärung PGP/GnuPG,
Walter H.
Walter.H at mathemainzel.info
Do Mär 14 19:44:33 CET 2019
On 14.03.2019 16:04, Django wrote:
> On 13.03.19 10:06, Walter H. wrote:
>
>> anders herum, wie sollte bei Verwendung eines selbstsignierten
>> Zertifikates selbiges bei S/MIME denn funktionieren?
> Moment, das ist aber nun die falsche Antwort zu meiner Frage, warum Du
> meintest "... Datenintegrität ist mit PGP gar nicht möglich".
ne ist sie nicht; daher die Gegenfrage: wie willst Du feststellen, ob
der Inhalt verändert wurde,
wenn Du nicht mal sagen kannst, ob die Mail überhaupt vom Absender stammt?
> Also Du kannst Dich z.B. jederzeit davon überzeugen, dass z.B. Pakete
> aus (m)einem Repository integer sind, also vom Maintainer des Paketes
> erstellt wurde. Warum soll das mit PGP nicht möglich sein, die
> Datenintegrität zu prüfen?
unzulässiger Vergleich, Du vertraust hier darauf, dass der Key
dazupasst; sprich es handelt sich hier
strenggenommen nicht um self-sigend äquivalent;
> Auch soll sowas durchaus auch beim Medium eMail funktionieren.
ohne Authentizität keine Integrität ...
> Ich sitze
> hier z.B. vor einem Gateway welches für 2500 Benutzer durchaus in der
> Lage ist, an Hand der hinterlegten Schlüsselmaterials zum einen den
> Absender zweifelsfrei zu identifizieren wie auch die Integrität der
> Daten selbst zu prüfen.
unzulässiger Vergleich; hinterlegtes Schlüsselmaterial heißt ja bereits,
daß es nicht mehr self-signed ist;
daher das klassische Szenario: Du findest einen Webshop - und jetzt
aufpassen, ich hatte irgendwo bewußt geschrieben, daß hier zumindest ein OV
SSL-Zertifikat notwendig ist; wir nehmen aber an, es wird ein Let's
Encrypt verwendetl; daher nur DV
Du gibst dort eine Bestellung ein, und bekommst jetzt eine per PGP
signiertes Mail, mit einem PDF (Vorauskassarechnung) als Anhang;
Du stellst hier fest, daß die IP, welche sich mit Deinem Mailserver
verbunden hat, eine andere ist, als welche zur
Website des Shops gehört; auch stellst Du fest, daß der Absender nichts
mit der Domain des Webshops gemein hat;
PGP ist bei PDFs nicht vorgesehen, also ist diese gar nicht signiert;
an Hand dieses Szenarios sag ich Dir, daß ich die Mail verwerfe und der
Deal geplatzt ist;
eine etwaige Datenintegrität, welche Du hier f. gut befindest ist nur
zweitrangig; oder anders: mit PGP scheiterst am Erstkontakt;
>> sprich: wenn es nicht möglich ist festzustellen, ob eine Mail auch
>> tatsächlich vom besagten Absender kommt, spielt es auch keine Rolle mehr,
>> ob diese Mail verändert wurde oder nicht ...
> Kommt auf den Anwendungsfall und auf die Anforderung des Kunden/Nutzers
> an.
stimmt, es gibt im E-mailverkehr nur keinen, bei dem die Datenintegrität
ohne entsprechender
Authentizität eine Rolle spielt ...
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 3491 bytes
Beschreibung: S/MIME Cryptographic Signature
URL : <https://de.postfix.org/pipermail/postfix-users/attachments/20190314/a24b4756/attachment.bin>
Mehr Informationen über die Mailingliste postfix-users