S/MIME - Encryption (outlook)

[JayJay]

Hallo Leute,

würde gerne einen Thread bezüglich der S/MIME Encryption eröffnen.

Ich möchte S/MIME (in Outlook) nutzen, habe aber ausser dem Wissen, dass es sich um ein Public-Key Verfahren handelt noch nicht sehr viel Ahnung.
Ausserdem hab ich bis jetzt nur leichte theoretische Erfahrungen was das angeht, praktisch konnte ich es noch nicht nutzen.

Ich wollte Fragen ob mir jemand vll ein paar Tipps bzw. Links geben kann mit gutem Lesematerial über S/MIME im Generellen, S/MIME in Outlook
und wie sich das ganze mit den Zertifikaten verhält.
Welche Formate gibt es wie werden die Zertifikate angeandt und Zertifiziert in der CA.

1-2 direkte Fragen vll:

- Benötigt man ein Zertifikat pro Nutzer welches dann den Public_Key herausgibt, aber das ganze Schlüsselpaar beinhaltet
- oder hat man 2 Zertifikate, also jeweils 1 pro Schlüssel?
- das ganze sollte ja auch mit einem selbst-generierten Cert ohne Signierung funktionieren oder? (Ist Sicherheitstechnisch natürlich nicht das Optimum, aber im Moment geht es ja mehr um das Verständniss)


Wäre nett Ihr mir da bisschen helfen könntet, mit Info-Stuff so richtig tolle Tutorials und Artikel habe ich bis jetzt noch nich so richtig gefunden.
Ausserdem würd ich falls ich ma nich weiterkomme dann hier gerne Posten, bzw. Erfahrungsberichte und Ergebnisse... ist ja vll auch für den ein oder anderen ganz interessant.


Habt vielen Dank!

Mit freundlichem Gruß,
Jay

 

[Elderan]

Hallo,
zu deinen Fragen:
Das gänge Format von Zertifikaten ist eigentlich X.509 (kann bei dir anders sein). Natürlich hat man nur 1 Zertifikat und zwar für seinen Public Key, denn den private Key sollte man i.d.R. nicht weitergeben, womit ein Zertifikat sinnlos wird.

Natürlich funktionieren die meisten Dienste auch mit selbstsignierten Zert., allerdings ist der Sicherheitsgewinn relativ gewinn.
Die ganze Public Key Verschlüsselung basiert darauf, dass der Public Key auf einem sicheren Weg zum Empfänger gelangen kann.
Da solche sicheren Kanäle selten vorhanden sind, benötigt man vertrauenswürdige Zertifikate, die dir bestätigen, dass das Zert. auch zur z.B. Postbank gehört.
Hierfür braucht man einen Dritten (CA), dem man vertrauen muss.

Wenn jeder selber (gültige) Zertifikate erstellen kann, kann man sie auch ganz vergessen und statt dessen ganz normal die Public Keys austauschen.

 

[JayJay]

Jo soweit war mir das auch bekannt,
aber wie wo lasse ich dann ein signiertes Zertifikat generieren.
Bzw. wo wie krieg ich den Private Key aus bzw. mit dem ja der Public Key generiert wird bzw. das Zertifikat welches bestenfalls noch signiert dann den Public Key enthält. Man muss ja beides zusammen generieren.

Also die Frage ist jetzt rein praktsich bezogen, theoretsich ist mir das schon mehr oder weniger klar wie das ganze funktioniert mit Austausch, CA.
Bzw. bestenfalls nimmt man dann ja noch ein hybriedes Verfahren wo man Synchron verschlüsselt und der Key via. Public_key verschlüsselter Verbindung übertragen wird oder?

 

[Elderan]

Hallo,

Original von JayJay
aber wie wo lasse ich dann ein signiertes Zertifikat generieren.

Wenn du keine eigene CA aufziehen möchtest, musst du ein Zertifikats-Request z.B. mit OpenSSL erstellen und dieses an die CA deines Vertrauens (z.B. VeriSign) senden.
SSL Zertifikate für HTTPS gibts ab 150 Euro.

Bzw. wo wie krieg ich den Private Key aus bzw. mit dem ja der Public Key generiert wird bzw. das Zertifikat welches bestenfalls noch signiert dann den Public Key enthält.

Bitte formuliere deine Fragen so, dass man dich verstehen kann, denn ganz erhlich, ich weiß nicht was du damit meinst

Man muss ja beides zusammen generieren.

Das ist richtig.
Du erstellt ein Key-Pair, dann ein Zertifikat für dein Public Key und dieses Zertifikat lässt du dann von einer CA o.ä. signieren.
Den Private Key muss man dann gut verfahren