Gibt es eine Möglichkeit für mich, mein eigenes Zertifikatspaar zu erstellen? Ich sehe nicht ein, warum ich für E-Mail-Zwecke eine vertrauenswürdige Zertifizierungsstelle benötigen würde. Ich bevorzuge ein Zertifikat gegenüber der Verwendung von GPG oder etwas Ähnlichem.
Antwort1
Ein selbstsigniertes Schlüsselpaar? Ein Zertifikatspaar? Sie möchten lieber ein Zertifikat als GPG verwenden?
Die Art und Weise, wie Sie Ihre Frage gestellt haben, deutet darauf hin, dass Sie nicht genau wissen, wie öffentliche/private Schlüsselpaare und Zertifikate miteinander in Beziehung stehen.
- Im Allgemeinen signieren Sie keine Schlüssel (zumindest keine selbstsignierten), sondern Zertifikate.
- Schlüssel werden paarweise geliefert, Zertifikate nicht.
- Ein selbstsigniertes Zertifikat macht den Vorteil von Zertifikaten gegenüber nicht zertifizierten Schlüsselpaaren zunichte.
Lassen Sie mich das erklären. Wenn Sie ein öffentliches/privates Schlüsselpaar mit E-Mail verwenden möchten, bedeutet das normalerweise, dass Sie eines oder beide dieser Hauptziele haben:
- Sie möchten einige oder alle Ihrer E-Mails mit Ihrem privaten Schlüssel signieren können, damit Ihre Korrespondenten überprüfen können, dass Ihre E-Mails tatsächlich von Ihnen stammen und während der Übertragung nicht verändert wurden.
- Sie möchten, dass Ihre Korrespondenten einige oder alle E-Mails für Sie mit Ihrem öffentlichen Schlüssel verschlüsseln, sodass nur Sie den Inhalt dieser E-Mails lesen können.
Das ist in Ordnung, aber es gibt ein großes Problem. Damit dies funktioniert, müssen Ihre Korrespondenten Ihren öffentlichen Schlüssel erhalten können und sicher sein, dass er wirklichdeinöffentlicher Schlüssel, nicht der eines Betrügers.
Eine Möglichkeit, dieses Problem zu lösen, besteht darin, Ihren öffentlichen Schlüssel über ein vertrauenswürdiges Medium an jeden Ihrer Korrespondenten zu senden und diese dazu zu bringen, diesen öffentlichen Schlüssel in ihrer E-Mail-Sicherheitssoftware zu installieren, damit sie ihn für Nachrichten an/von Ihnen verwenden können. Das könnte funktionieren, erfordert jedoch sowohl von Ihnen als auch von Ihren Korrespondenten viel Einrichtungsarbeit, und diese Einrichtungsarbeit muss im Voraus für jeden Korrespondenten durchgeführt werden, bevor er Ihnen sicher E-Mails senden kann.
Um den Aufwand zu reduzieren, wäre es schön, wenn es eine Möglichkeit gäbe, Ihren öffentlichen Schlüssel so zu veröffentlichen, dass jeder Ihrer potenziellen neuen E-Mail-Korrespondenten ihn automatisch mit seiner Software abrufen kann und trotzdem darauf vertrauen kann, dass er von Ihnen stammt.
Für das Problem der vertrauenswürdigen Veröffentlichung von Schlüsseln gibt es zwei bekannte Lösungen: das PGP/GPG-Web of Trust und die zertifikatsbasierte Public-Key-Infrastruktur (PKI).
Im GPG Web of Trust veröffentlichen Sie Ihren öffentlichen Schlüssel im GPG Web of Trust-System und lassen andere Ihnen bekannte Personen dessen Echtheit bestätigen, indem sie Ihren Schlüssel als vertrauenswürdig markieren (indem sie ihn mit ihren eigenen privaten Schlüsseln signieren). Wenn Ihnen dann jemand sicher eine E-Mail senden möchte, kann er Ihren öffentlichen Schlüssel aus dem Web of Trust-System abrufen, sehen, wer dafür bürgt, entscheiden, ob er ihm vertrauen möchte, und ihn gegebenenfalls zum Verschlüsseln der Nachrichten verwenden, die er Ihnen sendet.
Bei einer zertifikatsbasierten PKI verbürgt eine bekannte Zertifizierungsstelle die Echtheit Ihres öffentlichen Schlüssels, indem sie Ihren öffentlichen Schlüssel mit einigen Identifikationsinformationen über Sie bündelt und dieses Paket dann signiert. Dieses signierte Paket aus Ihren Identitätsinformationen und Ihrem öffentlichen Schlüssel ist Ihr Zertifikat. Sie können dieses Zertifikat weithin veröffentlichen und es sogar an Ihre E-Mails anhängen. Wenn Ihre Korrespondenten dieser Zertifizierungsstelle vertrauen, können sie sich darauf verlassen, dass dieses Zertifikat den wahren öffentlichen Schlüssel für die im Zertifikat aufgeführte Person zeigt.
Wenn Sie also ein selbstsigniertes Zertifikat erstellen, erstellen Sie etwas, das nicht vertrauenswürdiger ist als ein bloßer öffentlicher Schlüssel, weil niemand außer Ihnen dafür bürgt. Weder Ihre Freunde (GPG-Vertrauensnetz) noch eine vertrauenswürdige öffentliche Agentur (CA). Sie und Ihre Korrespondenten müssen selbst sicherstellen, dass Ihr öffentlicher Schlüssel wirklich Ihr öffentlicher Schlüssel ist.
Wenn Sie also durch die Selbstsignierung den Zweck eines Zertifikats zunichte machen, warum sollten Sie sich dann überhaupt die Mühe machen?