[Gpg4win-users-de] Sicherheit von S/MIME-Zertifikaten

Dr. Peter Voigt pvoigt at uos.de
Do Jul 25 17:39:17 CEST 2013


Am Thu, 25 Jul 2013 16:44:52 +0200
schrieb Werner Koch <wk at gnupg.org>:

> On Tue, 23 Jul 2013 11:16, pvoigt at uos.de said:
> 
> > Ich vermute, dass die CAs, die den privaten Schlüssel selbst
> > erzeugen, dies auch deshalb machen, weil vermutlich viele bei der
> > Erstellung eines CSR überfordert wären.
> 
> Das kann nicht sein.  Die Erstellung eines privaten Schlüssels und des
> CSR ist Teil eines jeden Browsers.  Die CA weist den Browser lediglich
> an, eine privaten Schlüssel zu erzeugen.  Da gibt es ein besonderes
> Tag zu. Ich habe mich da seit Ewigkeiten nicht mehr mit befasst,
> deswegen habe ich die Details gerade nicht parat.
> 
Hhm, ich bin davon ausgegangen, dass ein Antragsteller CSR und privaten
Schlüssel selbst z.B. mit OpenSSL, GnuTLS oder gpgsm erstellt und dann
an eine Zertifizierungsstelle schickt. Und das könnte viele
überfordern. Ich selbst habe bislang für die Erstellung aller meiner
S/MIME-Zertifikate OpenSSL verwendet. Mir wäre neu, dass man mit einem
Web-Browser CSR und zugehörigen privaten Schlüssel erstellen kann. Kann
es sein, dass wir uns missverstehen? Was meinst du mit "Browser"?

> Ein Problem löst eine zentrale Speicherung der privaten Schlüssel
> allerdings: Man muss sich nicht um das Backup kümmern.
> 
Stimmt, daran habe ich noch gar nicht gedacht :-).

> > Kleiner Exkurs: Kann man mit Kleopatra einen CSR erstellen. Ich
> > kenne
> 
> Ja.  Einfach S/MIME statt OpenPGP auswahlen und ein CSR wird erstellt.
>
Werde ich mal testen. Bislang beschränken sich meine Erfahrungen bei
der Zertifikatserstellung auf OpenSSL.

> 
> Shalom-Salam,
> 
>    Werner
> 
> 
Gruß
Peter



Mehr Informationen über die Mailingliste Gpg4win-users-de