OpenKeys öffnen?

[metin]

Hallo zusammen,

die Idee mit OpenKeys finde ich ja toll, denn die Verteilung von Zertifikaten ist bei S/MIME ja immer ein bisschen problematisch.

Mir ist aber nicht ganz klar wie offen OpenKeys eigentlich ist. Kann sich jeder dort veröffentlichen, und wenn nein, warum nicht? Wer ist hier die Zielgruppe?

Vielleicht können wir dieses Forum nutzen, um darüber Ideen auszutauschen?

 

[ffischer]

Hallo,
also ich habe mein eigenes Zertifikat dort veröffentlich und einfach das meines Kunden damals zum Testen auch.

Name der Person und dann Zertifikat auswählen hochladen fertig.
m.E. kann hier jeder sein zertifikat hochladen, sofern es nicht gesperrt ist.

 

[StefanCink]

Grundsätzlich sind die Ausführungen schon richtig, es gibt jedoch die Einschränkung, dass es zwingend Zertifikate von vertrauenswürdigen Trustcentern sein müssen. Zertifikate von selbsterstellten CAs nehmen wir nicht auf.

Mit freundlichen Grüßen
Stefan Cink

---

Und über neue Ideen können wir selbstverständlich auch sprechen! Gibt es bereits konkrete Ideen?

Gruß Stefan Cink

 

[metin]

Es ist ein bisschen schade, dass man die Nützlichkeit von Openkeys gleich wieder einschränkt. Da sind die PGP-Verfechter schon wesentlich flexibler. Auch wenn das zugegebenermaßen wieder eigene Probleme erzeugt. Aber immerhin funktioniert es.

Es gibt dort ja auch interessante Ansätze, den Schlüsseltausch zu automatisieren, wie etwa bei Autocrypt oder pEp. Was das angeht, finde ich die Vorgehensweise bei S/MIME wiederum besser. Schön wäre es, wenn man das beste aus beiden Welten verbinden könnte!

 

[StefanCink]

Die Automatisierung ist die eine Sache, die Vertrauenswürdigkeit des Schlüsselmaterials eine andere. Letzteres sehe ich als den deutlich wichtigeren Punkt an. Wenn ich nicht sicherstellen kann, wem der Schlüssel tatsächlich gehört, ist er im Sinne der Informationssicherheit nicht brauchbar. Daran krankt PGP, neben der mangelhaften Standardisierung, im Wesentlichen.
Um die Vertrauenswürdigkeit der Schlüssel auf einem hohen Niveau zu halten, müssen nach meinem und unserem Verständnis daher S/MIME-Schlüssel von einer vertrauenswürdigen Zertifizierungsstelle stammen. PGP-Schlüssel werden verifiziert, indem eine verschlüsselte E-Mail mit Bestätigungslink an die Adresse im Schlüsselbund geschickt wird. Verschlüsselt wird sie mit dem öffentlichen Schlüssel, der hochgeladen werden soll. So sind zwei Dinge sichergestellt: die E-Mail-Adresse existiert und der private Schlüssel ist im Besitz des Postfachinhabers. Erst wenn der entschlüsselte Bestätigungslink angeklickt wurde, wird der hochgeladene PGP-Schlüssel freigeschaltet.

 

[RalphAndreas]

Hallo Zusammen,

OpenKey ist sicherlich eine gute Idee und das NSP hier nach Smime-Zertifikaten nachfragt und diese dann auch im Zertifikatsspeicher by default hinterlegt ist sehr bequem.
Möchte aber einen Fall hier beschreiben, den man berüchsichtigen sollte:

Eine Absenderdomäne hat alle Ihre Smimezertifikate in Openkey hinterlegt. (War mal eine Anforderung bei einer öffentl. Auschreibungen oder so)
NSP hat sich bei einem Kunden von uns auch brav diese Zertifkate gezogen und gespeichert.
Unser Kunde hat nun auf die Emails geantwortet und NSP hat diese auch verschlüsselt.
Die ursprünglichen Absender haben dann verschlüsselte Emails bekommen, die Sie nicht entschlüsseln konnten.

Ups, es gab gar keine Infrastruktur beim ursprünglichem Absender für das Handling von Smime......

Also "Vorsicht" beim automatischem Import bei NSP. Schmunzeln tun wir immer noch

 

[ffischer]

Hallo,
ja das kenne ich.

Habe ähnlichen Fall, Kontakt mit Behörden. Zertifikate werden beantragt, die sind im Landes PKI natürlich auch.
Per LDAP fragt mein NSP die Infos ab und verschlüsselt fröhlich.
Nur die Gegenseite hat diese Zertifikate nicht installiert (Client/Outlook) - keiner kann Mails lesen

Brauchen nun am besten alle NSP

 

[StefanCink]

Hallo zusammen,
die Zertifikate werden ja nicht gezielt in Open Keys hinterlegt, Open Keys holt sie sich auf Anforderung von der jeweiligen PKI. Zumindest würde ich das in dem von Andreas beschriebenen Fall vermuten. Des Weiteren würde ich stark vermuten, dass Zertifikate der D-Trust oder der Verwaltungs-PKI sind und der Zertifikatsinhaber eine öffentliche Einrichtung.
Ja, das ist superärgerlich und ich kann immer noch nicht glauben, dass so ein Schmuh existiert. :-(

Wer von euch beiden schreibt das Angebot für NoSpamProxy Encryption? ;-)
Gruß Stefan

 

[ffischer]

Moin,
ich bin schon dran mit Angebot.
2 haben schon aber nur encryption für 10 User

Geplant wäre Suite einmal 50 und einmal erwas mehr als 75 User.


Die Verwaltungs-PKI ist nicht im OpenKeys die wird direkt per LDAP verbunden.