Erklärung PGP/GnuPG,

[Walter H.]

On 14.03.2019 16:04, Django wrote:
> On 13.03.19 10:06, Walter H. wrote:
>
>> anders herum, wie sollte bei Verwendung eines selbstsignierten
>> Zertifikates selbiges bei S/MIME denn funktionieren?
> Moment, das ist aber nun die falsche Antwort zu meiner Frage, warum Du
> meintest "... Datenintegrität ist mit PGP gar nicht möglich".
ne ist sie nicht; daher die Gegenfrage: wie willst Du feststellen, ob 
der Inhalt verändert wurde,
wenn Du nicht mal sagen kannst, ob die Mail überhaupt vom Absender stammt?
> Also Du kannst Dich z.B. jederzeit davon überzeugen, dass z.B. Pakete
> aus (m)einem Repository integer sind, also vom Maintainer des Paketes
> erstellt wurde. Warum soll das mit PGP nicht möglich sein, die
> Datenintegrität zu prüfen?
unzulässiger Vergleich, Du vertraust hier darauf, dass der Key 
dazupasst; sprich es handelt sich hier
strenggenommen nicht um self-sigend äquivalent;
> Auch soll sowas durchaus auch beim Medium eMail funktionieren.
ohne Authentizität keine Integrität ...
>   Ich sitze
> hier z.B. vor einem Gateway welches für 2500 Benutzer durchaus in der
> Lage ist, an Hand der hinterlegten Schlüsselmaterials zum einen den
> Absender zweifelsfrei zu identifizieren wie auch die Integrität der
> Daten selbst zu prüfen.
unzulässiger Vergleich; hinterlegtes Schlüsselmaterial heißt ja bereits, 
daß es nicht mehr self-signed ist;

daher das klassische Szenario:  Du findest einen Webshop - und jetzt 
aufpassen, ich hatte irgendwo bewußt geschrieben, daß hier zumindest ein OV
SSL-Zertifikat notwendig ist; wir nehmen aber an, es wird ein Let's 
Encrypt verwendetl; daher nur DV
Du gibst dort eine Bestellung ein, und bekommst jetzt eine per PGP 
signiertes Mail, mit einem PDF (Vorauskassarechnung) als Anhang;
Du stellst hier fest, daß die IP, welche sich mit Deinem Mailserver 
verbunden hat, eine andere ist, als welche zur
Website des Shops gehört; auch stellst Du fest, daß der Absender nichts 
mit der Domain des Webshops gemein hat;
PGP ist bei PDFs nicht vorgesehen, also ist diese gar nicht signiert;
an Hand dieses Szenarios sag ich Dir, daß ich die Mail verwerfe und der 
Deal geplatzt ist;

eine etwaige Datenintegrität, welche Du hier f. gut befindest ist nur 
zweitrangig; oder anders: mit PGP scheiterst am Erstkontakt;

>> sprich: wenn es nicht möglich ist festzustellen, ob eine Mail auch
>> tatsächlich vom besagten Absender kommt, spielt es auch keine Rolle mehr,
>> ob diese Mail verändert wurde oder nicht ...
> Kommt auf den Anwendungsfall und auf die Anforderung des Kunden/Nutzers
>   an.
stimmt, es gibt im E-mailverkehr nur keinen, bei dem die Datenintegrität 
ohne entsprechender
Authentizität eine Rolle spielt ...


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3491 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20190314/a24b4756/attachment.bin>