sbrunner 10 Geschrieben 29. Mai 2013 Melden Teilen Geschrieben 29. Mai 2013 Hallo Zusammen Ich hab vor kurzem den Auftrag gefasst Direct Access & Signierung von E-Mail zu implementieren. Für beides ist eine eigene Zertifizierungsstelle vorausgesetzt bzw. von Vorteil. Nun meine Frage: Ist es sinnvoll eine Zertifizierungsstelle einzurichten mit einem öffentlichen Root Certificate (VeriSign oder ähnliche) und hat jemand von euch schon Erfahrungen damit? Vor allem in Bezug auf das signieren von E-Mails würde ich persönlich einen Sinn sehen. Gibt es Kontras für eine eigene Zertifizierungsstelle mit einem öffentlichen Wurzelzertifikat? Danke für die Tipps. Gruss stefan Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 29. Mai 2013 Melden Teilen Geschrieben 29. Mai 2013 Hallo, wenn Kosten kein Hindernis darstellen bzw. ein 6 oder gar 7 stelliges Budget für das Projekt zur Verfügung steht, ist ein Root Signing der eigenen CA sicherlich eine schöne Sache. Am Besten schaust mal bei den einschlägigen Anbietern nach, welche Voraussetzungen für ein Root Signing gegeben sein müssen. Eine Alternative wäre vielleicht eine Managed PKI. Die üblichen Verdächtigen bieten relativ preiswerte Modelle für SSL, S/MIME etc. an. Bei einigen gibt es auch die Option einer Active Directory Anbindung. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 29. Mai 2013 Melden Teilen Geschrieben 29. Mai 2013 Ich glaube nicht, dass man derzeit Mails öffentlich sinnvoll und vor allen Dingen für den Empfänger nachprüfbar signieren kann. Technisch sicher kein Problem. Nur muss der Empfänger bei einer öffentlichen "Trusted" CA die Signatur verifizieren können... Das ist gleiche Dilemma wie bei allen anderen Projekten zum Thema "elektronische Signatur". Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 29. Mai 2013 Melden Teilen Geschrieben 29. Mai 2013 Das Problem liegt dabei weniger auf der technischen Seite. S/MIME kann fast jedes Mailprogramm. Ein HSM, Smart Card Reader usw. bekomme ich schon für ein 'paar' Euro. Das Problem liegt meistens in der Organisation. Also wie erfolgt die Identitätsverifizierung (persönliches Vorsprechen bei mehreren Stellen, Ausweiskopie oder nur eine gültige Email Adresse) und wie wird ein Mehr-Augen-Prinzip bei der Ausstellung des Zertifikats erzwungen (HSM, Split Key oder nur 'drei Kreuze auf einem Formular') Man sollte nicht DE-Müll als Referenzmodell für vertrauenswürdige Kommunikation nehmen :cool: Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 29. Mai 2013 Melden Teilen Geschrieben 29. Mai 2013 Wie geschrieben: Technisch kein Problem. Sämtliche Verfahren zur elektronischen Signatur, die ich bisher gesehen habe, sind Insellösungen, bei denen der Kunde vom Anbieter einen SC bekommt und einen Kartenleser braucht. Der Betreiber kann dann natürlich den Kunden verifizieren. Doch das ist für die breite Öffentlichkeit nicht praxistauglich. Ein Beispiel ist e-vergabe vom Bund: http://www.evergabe-online.info/cln_049/nn_248806/DE/Signatur/WichtigeHinweise/node.html?__nnn=true Wer hier mitmachen will muss sich u.U. eine Signatur zulegen. Aber nur von den genannten Anbietern ;) Ein Bürger legt sich kaum das ganze Gedöns zu, nur um mal eine Meldung beim Ordnungsamt zu machen. Im Falle der Mail: Hier ist die Frage zu klären, ob der Empfänger der Mail mit der Signatur was anfangen und auch verifizieren kann. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.