Unterschiedliche E-Mail Zertifikate für Verschlüsselung und Signatur

1. offizieller Beitrag

    Hallo zusammen,


    an mich wurde die Frage herangetragen, in wie weit es sinnvoll/sicherer sein könnte, unterschiedliche Zertifikate für die E-Mail Verschlüsselung und die E-Mail Signatur zu verwenden.


    Grundsätzlich besteht die Möglichkeit im Client, das einzustellen, soweit ich das gesehen habe.


    Ich frage mich jedoch, woher genau diese Idee kommt und ob sie sicherheitstechnische Vorteile gegenüber der Standardanwendung, ein Zertifikate für Verschlüsselung und Signatur zu verwenden, ergeben.


    Google hat mir bei dieser Frage leider nicht weitergeholfen. Aber vielleicht habe ich auch nicht nur die richtigen Suchbegriffe verwendet.


    Vielen Dank und viele Grüße
    Harry

    Viele Grüße
    Harry

    • Offizieller Beitrag

    Moin,


    ich gehe mal davon aus, dass das so eingebaut wurde, weil man technisch ein Zertifikat auf einen der beiden Verwendungszwecke begrenzen kann.


    Vorstellen könnte ich mir, dass man bewusst ein Zertifikat nur für Signatur verwendet, bei dem man aber nicht möchte, dass der Gegenüber eine verschlüsselte Mail schickt. Da ist der Verwendungszweck auf "digitale Signatur" beschränkt und man bräuchte für Verschlüsselung ein anderes Zertifikat (falls gewünscht).

    ... ist aber nicht der Austausch von signierten Mails die Voraussetzung für ein folgendes Verschlüsseln ?

    All män sit hier and luck in se sun and no män wörks, sis give it not..

    • Offizieller Beitrag

    Nein. Die Voraussetzung für Verschlüsselung ist ein korrektes Zertifikat, wobei der Absender den Public Key braucht. Damit wird die Mail verschlüsselt (bzw. der "Verschlüsselungsschlüssel" mit dem die Mail selbst verschlüsselt wird). Der Empfänger hat den Private Key mit dem er dann die Mail entschlüsseln kann (bzw. wieder den "Verschlüsselungsschlüssel", der dann die Mail entschlüsselt).


    Wie der Public Key zum Absender kommt, ist egal. Man kann ich in Mails stecken, auf Visitenkarten drucken, per Disketten austauschen. Es gibt sogar öffentliche Verzeichnisse dafür.

    ja, nee, is klar. Ich meine nur, der Weg über eine signierte Mail ist am einfachsten und Voraussetzung ist der Besitz des pubKey der Gegenseite.

    All män sit hier and luck in se sun and no män wörks, sis give it not..