Frage zu S-MIME oder PGP

[Domi83]

Hallo Leute, ich habe mal eine kleine Frage zum üblichen Thema Verschlüsselung oder Signierung von Emails. Chef hat bei sich den Thunderbird auf dem System, so wie ich bei mir auch. Da ich persönlich noch selbstständig bin, bin ich bei startssl.com registriert und kann für mich persönlich mal eben ein gültiges S/MIME Zertifikat erstellen und im Thunderbird anlegen.

Jetzt ist natürlich erst einmal die Frage, was macht mehr Sinn... S/MIME, oder PGP wofür ich dann im Thunderbird noch Enigmail und auf dem System selbst GnuPG oder so etwas benötige?!?

Die einfachste Variante ist, mit den gegebenen Möglichkeiten vielleicht S/MIME Zertifikate anzulegen. Allerdings kann ich ja mit meinem StartSSL Account keine Zertifikate für andere Personen erstellen, da ich persönlich immer als Owner dort aufgeführt werde. Hat sich schon mal jemand mit der Materie befasst und kann mir sagen ob es überhaupt einen Weg oder eine Möglichkeit gibt, über den ich ein Zertifikat für meinen Chef (meine Chefs) erstellen kann?

Wenn das zu kompliziert oder kosten aufwendig wäre, dann fällt es vom Tisch. Aber die Weg oder die Materie würde mich doch mal interessieren, wie funktioniert das in einer Firma wo mehrere Zertifikate benötigt werden, erstellt sich jeder selbst sein Zertifikat oder gibt es einen Zertifikatgeber für die Angestellten?!

... mehr fällt mir so spontan nicht ein, was ich noch fragen könnte und hoffe das mir mal jemand etwas erzählen kann

Gruß, Domi

p.s. Interessant wäre noch, was muss ich aus dem Thunderbird exportieren um einen öffentlichen Key zu vergeben, damit mich andere Leute verschlüsselt anschreiben können?!

 

[d4nY]

in firmen funktioniert das idR über eine eigene CA die dann die benötigten zertifikate ausstellt. Da die zertifikate ja nur innerhalb der firma genutzt werden, wird auf den clients dann einfach das root-zertifikat installiert und somit sind alle ausgestellten zertifikate der CA vertrauenswürdig. (hört sich in der theorie einfach an, ist aber in der praxis aber deutlich aufwändiger)

sowas nennt man übrigens PKI (public key infrastructure)

erste frage die mir einfällt: wieso erstellt sich dein chef/die firma keinen account bei startssl bzw. bei einem anderen anbieter?
zweite frage wäre: ginge ein selbst-signiertes zertifikat auch? (zB für den firmen-internen verkehr)

 

[Helge01]

Ich vertraue S/MIME mit einer eigenen CA am meisten. Es ist auch nicht schwer eine CA zu erstellen, damit kannst du nach belieben Zertifikate für andere ausstellen. Ich würde zu XCA raten, da diese CA eine gute GUI besitzt und eigentlich selbsterklärend ist.
Damit ein anderer den eigenen öffentlichen Schlüssel bekommt, um dir verschlüsselte Mails zu schreiben, langt eine unverschlüsselte aber signierte Mail. Sobald diese angeklickt wurde, steht der öffentliche Key im Zertifikatsspeicher zur Verfügung.

 

[Domi83]

Hey, schon mal meinen Dank an die schnellen Rückmeldungen
@d4nY, mein Chef arbeitet zwar mit einem PC ist aber in der Hinsicht ein Laie und ich müsste das für ihn anlegen / erstellen, und falls er das toll findet, kann es sein das ich das für andere auch noch erstellen darf. Daher war auch ein wenig die Frage, ob es da eine Möglichkeit gibt und hatte das Beispiel von StartSSL erwähnt

@Helge01, danke für den Hinweis mit dem public-Schlüssel, ich glaube jetzt verstehe ich wieso ich im Thunderbird meine Mails signieren kann

Wie sieht es denn als Alternative (auch wenn man mehr installieren müsste) die Sicherheit mit Enigmail aus? Ich glaube GnuPG muss ich dann noch auf den Clients installieren, aber die Sicherheit müsste doch dann auch gegeben sein oder sind diese Zertifikate und Keys eher schlechter oder weniger vertrauenswürdig?

Persönlich hatte ich mich immer mit Enigmail abgefunden und hatte auch meine Wünsche und Ziele erreicht, aber andere Optionen / Varianten sind ja immer interessant

Gruß, Domi