Fragen zu p12 Zertifikaten s/mime Zertifizierungsstellen

LaserDiscDude

Captain
Registriert
Apr. 2007
Beiträge
3.714
Hallo,

es gibt ja im Netz diverse kostenlose Anbieter die einen ein Zertifikat ausstellen wie zum Beispiel Comodo, Aber auch die Bundesdruckerei oder die Sparkassen mit S-Trust bieten auch den Service an, wenn doch für Geld.

So weit ich das verstanden habe, bietet Comodo nur die Klasse 1 und die Bundesdruckerei oder auch S-Trust der Sparkassen die Klasse 2 an, weil hier nicht nur die E-Mailadresse Zertifiziert wird, sondern ich als Person.

In einigen Foren im Netz habe Kommentare gelesen wie, "woher willst Du sicher sein, dass der Schlüssel nicht vom Anbieter weitergegeben wird", "Comodo sitzt in den USA, somit ist auch gleich die Verschlüsselung nicht mehr sicher" oder "Der Schlüssel wird in den Zertifizierungsstellen erstellt, daher ist eine solche Zertifizierung auch nicht sicher, dieser müsste am Client erstellt werden".

Meine Frage ist jetzt, stimmen die Kommentare, leider habe ich über google nicht viel Aussagefähiges gefunden, dass sich auf Quellen bezieht und in diesem Thema bin ich auch ein leie.
 
Vorab eine kurze Erläuterung zu den Zertifikaten/asymmetrischer Kryptographie:

Asymmetrische Kryptographie in a Nutshell:
Es gibt immer ein öffentliches Zertifikat und einen privaten Schlüssel.
Mit dem öffentlichen Zertifikat kann man Informationen VERschlüsseln und mit dem privaten Schlüssel ENTschlüsseln. Der Private Schlüssel darf daher nicht in fremde Hände geraten. Außerdem kann man mit einem privaten Schlüsseln Dokumente, Dateien, Text,... signieren. Der Empfänger kann dann mit dem öffentlichen Zertifikat die Signatur überprüfen.
Bei X509 Zertifikaten ist außerdem (im Gegensatz zu PGP) eine Zertifikathierarchie angedacht.
Dabei werden Zertifikate immer mit einem privaten Schlüssel signiert. Bei selbstsignierten Zertifikaten wird mit dem eigenen privaten Schlüssel signiert, bei beglaubigten Zertifikaten signiert zB Comodo oder GeoTrust den öffentlichen Schlüssel.

Normalerweise erstellt man als "End-User" immer einen privaten Schlüssel und ein sogenanntes CSR (Certificate Signing Request). Diesen CSR ist nichts anderes als ein unsigniertes öffentliches Zertifikat. Den CSR schickt man an den Anbieter, der den CSR dann signiert. Dann bekommst Du dein beglaubigtes öffentliches Zertifikat. Der private Schlüssel verlässt niemals deinen Rechner.

_____________________________

Praktisch bieten aber auch viele Anbieter von email-Zertifikaten eine easy-going Abwicklung an, bei dem das gesamte Zertifikat so wie der Private Key beim Anbieter generiert wird. Damit bist Du natürlich dem Anbieter ausgeliefert. Die Frage ist, wofür Du das Zertifikat verwenden möchtest... Die Sicherheitsvorgaben richten sich immer nach dem Verwendungszweck -und für erhöhtes Vertrauen durch Signierung der Mails in der Geschäftskommunikation (Freigabe von zB kostenintensiven Projekten via email) oder dgl. ist es "akzeptabel" wenn der Key auch bei deinem Zertifikatanbieter liegt. Dort ist er idR sicherer als auf den meisten Smartphones...
Wenn Du allerdings verschlüsseln willst und vertrauliche Informationen austauschen möchtest, ist ein private key in fremden Händen ein no-go.
 
Super danke für die Erklärung :daumen:
 
Zurück
Oben