[Gpg4win-users-de] Sicherheit von S/MIME-Zertifikaten

Dr. Peter Voigt pvoigt at uos.de
Di Jul 23 02:03:26 CEST 2013 

Zur Verschlüsselung von Dateien und E-Mails verwende ich bevorzugt den
OpenPGP-Teil von GnuPG.

Da ich für meinen FreeRadius- und OpenVPN-Server schon seit längerer
Zeit selbst-signierte Zertifikate verwende, habe ich mir vor gut 
einem halben Jahr der Vollständigkeit halber auch ein
S/MIME-Zertifikat mit OpenSSL erstellt. Es funktioniert hervorragend
mit Emacs/Gnus, Thunderbird und Claws-Mail.

Nun erhalte ich als Web.de-Kunde auch jährlich ein neues
S/MIME-Zeritifikat im PKCS#12-Format mit der Dateierweiterung ".p12".
Erst kürzlich habe ich mich gefragt, wie vertrauenswürdig dieses
geschenkte Zertifikat wohl sein mag. Unabhängig davon, dass das
Wurzelzertifikat von Web.de leider MD5 verwendet und in keinem Browser
vorinstalliert ist, habe ich kein rechtes Vertrauen in das Zertifikat,
weil ja mit der p12-Datei sowohl der private Schlüssel als auch das
Zertifikat ausgeliefert wird. Zwar muss ich beim Download eine
Passphrase vergeben, doch es kann doch nicht anders sein, als dass
Web.de meinen privaten Schlüssel erstellt und selbst eine
Passphrase vergeben muss. Auch wenn ich Web.de keine Böswilligkeit 
unterstelle: Web.de müsste doch meinen privaten Schlüssel auch verwenden
können, denn schließlich bleibt der private Schlüssel derselbe, auch
wenn ich später eine eigene Passphrase vergebe. Sind meine Überlegungen
korrekt oder mache ich einen Denkfehler?

Meine eigenen Zertifikate signiere ich mit meiner eigenen CA. Dabei
erstelle ich einen CSR (certificate signing request), bei dem nur das
Zertifikat von meiner CA unterschrieben wird. Den privaten Schlüssel
bekommt meine CA nie zu sehen. Da ich noch nie ein "offizielles"
Zertifikat beantragt habe, vermute ich, dass das gerade beschriebene
Vorgehen so auch bei zugelassenen Zertifizierungsstellen verwendet
werden müsste. Wenn ja, dann hätte ich in ein derart beantragtes
Zertifikat Vertrauen. Sind diese Überlegungen korrekt?

Ich bedanke mich schon jetzt für den Gedankenaustausch mit allen
Lesern der Liste.

Peter

Mehr Informationen über die Mailingliste Gpg4win-users-de