Erklärung PGP/GnuPG,

Walter H. Walter.H at mathemainzel.info
Do Mär 14 21:34:48 CET 2019 

On 14.03.2019 20:03, J. Fahrner wrote:
> Am 2019-03-14 19:49, schrieb Walter H.:
>> und müsstest strenggenommen jede Mail, welche einen Key verwendet,
>> welcher nicht hinterlegt ist
>> verwerfen;
>
> Warum denn gleich verwerfen?
Django spricht von einem Gateway - einer Maschine;
> Zunächst mal brauche ich ja nur anzweifeln ob die Mail wirklich von 
> dem Absender stammt, den er vorgibt.
Ja Du, aber was macht eine Maschine?  nebenbei sollen durch derartige 
Mechanismen, nicht die durchgelassenen Mails
sondern die geblockten/verworfenen Mails maximiert werden; oder anders: 
die Mails welche nichts zu suchen haben
auf ein Minimum reduziert werden;
aus heutiger Sicht ist es tatsächlich besser entweder sauberes S/MIME 
zum Signieren verwenden oder es bleiben lassen;
> Wie bei jeder anderen Mail auch. Wenn ich Wert darauf lege, den 
> Absender zu verifizieren, dann tue ich das halt.
hier wieder, Du als Mensch, aber eine Maschine hat hier genau 0 
Möglichkeiten;
> Über einen zweiten unabhängigen und vertrauenswürdigen Kanal. Wo ist 
> das Problem?
rate mal ...
>
>> oder anders der Erstkontakt ist mit PGP unmöglich;
>
> Wieso denn? Keiner zwingt mich die Mail abzuweisen.
>
nein, aber jeder der ein Gateway betreibt ist gut beraten, dies so 
einzustellen,
weil sonst der Sinn von so einem Gateway in Frage zu stellen ist ...
>> dieses Problem hast mit S/MIME gar nicht;
>
> Nur wenn ich den 1000 CAs da drausen wirklich vertraue.
Zusatzfrage: wenn ich Dir eine Mail sende, würdest Du meiner CA 
vertrauen - hier würde ich Dir
den Token meiner CA auf einem sicheren 2ten Kanal übermitteln ...,
und was damit dann alles geht brauche ich Dir wohl nicht sagen, oder?
(vor allem dann, wenn der Certstore vom Mail-client der selbe ist wie 
vom Browser ...)
> Tust du das? Wenn die CA "Türktrust" heisst (gibts wirklich), wäre ich 
> zumindest vorsichtig ;-)
ich weiß was es da so f. CAs gibt; wobei - ich verwende ein Release 
meiner Wahl/meines Vertrauens vom ThunderBird
und da ist die CA-Liste ohnehin etwas kleiner;

wobei zum Thema CAs, letztes Jahr hatte CentOS einen tabu la rasa 
veranstaltet;
vorher hatte der ca-bundle.trust.crt etwa 1064 kBytes, nachher nur noch 
etwa  408 kBytes,
also deutlich weniger als die Hälfte ...


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3491 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20190314/26546ce7/attachment.bin>

Mehr Informationen über die Mailingliste postfix-users