ubuntuusers.de

Moin,

Das Beratungsprotokoll ist für den Versicherungsvertreter, also nicht zwingend Bestandteil des Versicherungsvertrags, sondern nur zur Absicherung des Vertreters, wenn Du Dich falsch beraten fühlst und den Versicherungsvertrag anfechten willst. Wenn Dein Versicherungsvertreter (der üblicherweise selbstständig ist und kein Angestellter der Versicherung) nicht gerade ein IT-affiner, sicherheits-interessierter Zeitgenosse ist, tu ihm den Gefallen und druck' Dein Protokoll aus, unterschreib's und schick' ihm einen Scan, mit was anderem wird der vermutlich nicht klar kommen.

Für signierte Kommunikation mit Leuten, die vorher nicht ihre öffentlichen Schlüssel ausgetauscht haben (und auch keinen Prozess haben, dies zu tun), wäre S/MIME das Mittel der Wahl (eben weil mal bei OpenPGP/GPG vorher Schlüssel austauschen und dann bei sich auch verwalten muss). Auch hier gilt:

1. S/MIME Klasse 1 sind Zertifikate, die zwar einen Namen enthalten, aber niemand hat bis dahin überprüft, ob der Name auch zu der Person passt, die die Mail geschickt haben könnte. Ich kann damit auch ein Zertifikat von Max Mustermann erstellen. Immerhin die Mailadresse ist verifiziert.

2. S/MIME Klasse 3 sind Zertifikate, in denen der Aussteller zertifiziert, dass der Nutzer auch wirklich offiziell diesen Namen trägt. Diese Zertifizierung ist etwas aufwändiger und kostet normalerweise etwas. Die Volksverschlüsselung kann das auch kostenlos (mit nPA), hat aber den entscheidenden Nachteil, dass deren Root-CA nicht wie shiro beschrieben hat "im Vertrauenspfad zu den Standard-Stammzertifikaten liegt" (siehe hier). Der Empfänger muss also erst dieses Stammzertifikat bei sich hinzufügen, was bei einem Versicherungsunternehmen eher unwahrscheinlich ist, sie davon zu überzeugen.

$0.02

Dirk

https://volksverschluesselung.de/

Das ist genau das Problem. Diese Zertifikate sind nicht brauchbar, da es eine Aktion auf Seiten des Empfängers erfordert. Er muss das Root Zertifikat "Volksverschluesselung Root CA G02" runter laden, es in seinen vertrauenswürdigen Stammzertifikatsspeicher packen um den Pfad der Vertrauensstellung zu erreichen.

Personen, die eine Mail erhalten, die mit diesem Zertifikat signiert worden sind, werden hinsichtlich unseriöser Zertifikatsnutzung gewarnt. Diese Zertifikate sind technisch nur vertrauenswürdig, wenn man dem Stammzertifikat vertraut (und die erforderlichen Maßnahmen lokal getroffen hat). Diese Zertifikate sind keinen Deut besser als PGP-Zertifikate oder Self-Signed-SMIME Zertifikate solange die Frauenhofer SIT es nicht schafft, in den Update-Zyklus der vertrauenswürdigen Stammzertifikate (z.B. bei Microsoft u.A) aufgenommen zu werden.

PS: Sorry, dirkolus war schneller in der Antwort.

https://www.actalis.com/s-mime-certificates.aspx#overview

Free version to test the effectiveness of S/MIME Certificates, also for personal emails

To check out the benefits of S/MIME Certificates, all you need is an email address. Free S/MIME Certificates contain just the owner's email address and are valid for 1 year. This kind of certificate can be requested at any time, with no action required by third parties.

https://extrassl.actalis.it/portal/uapub/freemail?lang=en

Welche Vorteile bzw. Nachteile hat dieses Zertifikat gegenüber dem von Volkverschluesselung?

Kann man das actalis.it nach 12 Monaten "einfach" verlängern?

Das gibt es auch ein kostenfreies Zertifikat:

https://www.dgn.de/e-mail-zertifikat-dgncert/

Ich möchte mein Zertifikat verlängern.

Eine Verlängerung Ihres DGNcert Zertifikats ist nicht möglich, da die Gültigkeit auf die Dauer von zwölf Monaten beschränkt ist. Sie können jedoch unter Ihrem Benutzer-Account ein neues Zertifikat abrufen. Dieses stellen wir Ihnen ebenfalls für die Dauer von zwölf Monaten gratis zur Verfügung. Bitte folgen Sie dazu dem Link zur Pflege Ihrer Daten, den Sie von uns per E-Mail erhalten hatten.

Das Zertifikat von Volksverschluesselung ist 36 Monate gültig.

Nur 12 Monate Gültigkeit empfinde ich als lästig.

Ich bin vor einiger Zeit auf die Seite von UnsinnsBasis gestoßen, der eine schöne Übersicht über Pros und Cons der kostenlosen S/Mime Angebote hat. Normalerweise werden die Zertifikate bei den kommerziellen Anbietern nur zu Demo-Zwecken ausgegeben, so dass damit eine Verlängerung eines solchen Zertifikats ausgeschlossen ist. Damit machen die Laufzeiten von 30-Tagen bis 12 Monaten natürlich keinen Sinn. Der zweite Kritikpunkt, dass der Key bei den Betreibern generiert wird (man also nicht sicher sein kann, dass außer einem selbst niemand den private Key gesehen hat), ist mE keine echte Sicherheitslücke und muss jeder mit seinem Gewissen bzw. Vertrauen in den Betreiber vereinbaren.

Insofern halte ich die Volksverschlüsselung für eine schon lange notwendige Maßnahme, um so etwas wie Email weg vom Postkarten-Image zu bringen und offiziell signierte und vertrauenswürdige (private) Kommunikation zu ermöglichen, wie es bei jedem Post-Brief der Fall ist. Durch die Verifikation mit dem elektronischen Personalausweis für ein Class-3 Zertifikat wäre das auch gleich die Killer-Applikation für den verschmähten EPerso. Und das alles scheitert 'nur' am Root-CA, das bislang nicht in die allgemein vertrauenswürdigen Root-CAs aufgenommen wurde - Leider hat sich an der Stelle seit 2016 nichts mehr getan.

Hallo dirkulos,

danke für den super Link:

https://unsinnsbasis.de/mail-verschluesselung-mit-smime-einrichten/

OpenPGP Key

https://pgp.governikus.de/pgp/

Governikus GmbH & Co. KG Hochschulring 4 28359 Bremen, Germany

Tel: +49 421 204 95 – 0 Fax: +49 421 204 95 – 11 E-Mail: kontakt@governikus.de

Wikipedia:

Durch die Verträge „VPS des Bundes“ und „Projekt Pflege Governikus“ steht die Software dem Bund und 15 Bundesländern sowie deren Kommunen zur Verfügung.

Die Gesellschafter der Governikus sind z. B. das Land Bremen und weitere Behörden.

Ist ein beglaubigter OpenPGP von der Wertigkeit als gleich dem von eine s/mime Zertifikat zu sehen?

Das sollte auch ein "Class 3-Zertifikat" sein, oder?

Greetz

undine

undine schrieb:

Ist ein beglaubigter OpenPGP von der Wertigkeit als gleich dem von eine s/mime Zertifikat zu sehen?

Leider nein. Schau dir einfach mal den Inhalt der Zertifikate (PGP - S/MIME) an. Du wirst feststellen, dass bei PGP (oder GPG) deutlich weniger Informationen hinterlegbar sind als bei den S/MIME Zertifikaten.

Einem S/MIME Zertifikat kann man die Zertifizierungsklasse, den Verwendungszweck und vieles mehr entnehmen. Ein PGP/GPG Zertifikat benötigt ein individuelles Netz an Vertrauensstellungen, das nicht gelenkt verwaltbar ist (siehe Revocation-Lists). Aus dem PGP Zertifikat kann nicht erkannt werden, ob es eine Prüfung analog zu Class-3 absolviert hat. Ein PGP Zertifikat lässt sich nicht hinsichtlich der Nutzung kontrollieren (Mail sign/crypt, Client Authentication usw). Es gibt noch eine Reihe weiterer Aspekte, die für den einen wichtig, für den anderen irrelevant sind.

Obwohl PGP und S/MIME beides asymetrische Schlüssel sind, unterscheiden sie sich im Detail doch enorm. Das ist teilweise wie der Vergleich zwischen einem Dreirad und einem Lastwagen. Mit beiden kann man sich von Punkt A zu Punkt B bewegen. Hinsichtlich Zuladung und Geschwindigkeit gibt es dann aber Unterschiede, die ein Dreirad-Fahrer nicht bemerkt, weil sie für ihn nicht von Bedeutung sind.

dirkolus schrieb:

Und das alles scheitert 'nur' am Root-CA, das bislang nicht in die allgemein vertrauenswürdigen Root-CAs aufgenommen wurde - Leider hat sich an der Stelle seit 2016 nichts mehr getan.

Ich habe mich diesbezüglich mit der Frauenhofer SIT (den Ausstellern des Volksverschluesselung Zertifikates) in Verbindung gesetzt.

Hier der Auszug ihrer Antwort:

• ... es ist tatsächlich so, dass der Empfänger den CA-Zertifikaten "Volksverschluesselung Root-CA G02" und "Volksverschluesselung Private-CA G02" einmalig explizit vertrauen muss.

• Wir arbeiten an einer Lösung. Da die Verankerung in den Herstellerlisten aber kostenintensiv ist, können wir dies bei einem kostenlosen Dienst nicht kurzfristig leisten. Dafür bitten wir um Verständnis.

shiro schrieb:

Ich habe mich diesbezüglich mit der Frauenhofer SIT (den Ausstellern des Volksverschluesselung Zertifikates) in Verbindung gesetzt. Hier der Auszug ihrer Antwort: [...]

• Wir arbeiten an einer Lösung. Da die Verankerung in den Herstellerlisten aber kostenintensiv ist, können wir dies bei einem kostenlosen Dienst nicht kurzfristig leisten. Dafür bitten wir um Verständnis.

Zugegebenermaßen bin ich von undines Frage auch mal wieder etwas angefixt und habe nach weiteren Lösungen geschaut - cool, dass das SIT so schnell auf Deine Anfrage geantwortet hat. Dass der Betrieb einer allgemein vertrauenswürdigen Root-CA nicht für den Nulltarif zu bekommen ist, aber als Betreiber des Volksverschlüsselungs-Key-Servers (der zu dem Projekt und dem Service dazugehört) ist eigentlich der größte Aufwand schon getan. Ich sehe in diesem Projekt auch mehr die staatlichen Stellen (BSI, das auch den ePA gesponsort haben dürfte) in der Verantwortung. Und dennoch hat sich die letzten 6 Jahre nichts getan, denn diese Punkte waren zum Start des Projektes auch schon bekannt und öffentlich diskutiert.

Hoffen wir das Beste. Bis dahin ist https://pgp.governikus.de/pgp/ leider nur ein schwacher Ersatz.

Dirk