Nur den S/MIME Public Key zertifizieren lassen? (Private Key soll private bleiben!)

[Urlauberliner]

Hallo,

ich habe mir bereits früher erfolgreich bei startssl.com ein S/MIME Zertifikat erstellt. Inzwischen finde ich diese Prozedur aber unsicher, da dann startssl ja somit auch meinen Private Key kennt. Was muss ich mit dem Zertifikatsassistenten der Schlüsselbundverwaltung machen, damit ich ein Zertifikat habe um meine Mail selbst zu verschlüsseln? Nur (!) den Public Key dieses selbst erstellten Zertifikats möchte ich dann von einer Zertifizierungsstelle (wie z. B. startssl.com) bestätigen lassen. Wo und wie kann ich das (kostenlos) machen? Damit bei Personen, denen ich Mails schreibe, nicht immer eine verwirrende Warnung kommt „dieses Zertifikat stammt aus einer nicht vertrauenswürdigen Quelle“ o. ä.

Oder habe ich einen Denkfehler?

Besten Dank, Nils

 

[falkgottschalk]

??
Um den Key zu bestätigen, müsstest Du ja auch Dein Kennwort mitgeben. Also kannst Du das Zertifikat gleich dort erstellen.

Du kannst auch damit Keys erstellen:
https://gpgtools.org

 

[Urlauberliner]

Danke aber PGP wird vom iPhone nicht nativ unterstützt und ist deshalb für mich nicht benutzbar.
Die Zertifizierungsstelle müsste doch nur bestätigen, dass meine Mailadresse zu dem S/MIME Zertifikat gehört, dafür müsste ja der Public Key ausreichen. Etwas anderes hat startssl bis jetzt auch nicht gemacht. Von einem Kennwort ist mir bei S/MIME für Email nichts bekannt, entscheidend ist wer das Zertifikat hat, genau deshalb will ich es selbst erstellen! Also falls die Theorie soweit stimmt, möchte ich gerne wissen, wie ich das machen kann?

 

[falkgottschalk]

Danke aber PGP wird vom iPhone nicht nativ unterstützt und ist deshalb für mich nicht benutzbar.

Von iPhone war ja bisher keine Rede...
ich verwende "igpmail" und damit ist es zumutbar was das Lesen angeht.

Die Zertifizierungsstelle müsste doch nur bestätigen, dass meine Mailadresse zu dem S/MIME Zertifikat gehört, dafür müsste ja der Public Key ausreichen. Etwas anderes hat startssl bis jetzt auch nicht gemacht.

Naja, sie haben das Zertifikat erstellt. In meinen Augen ein großer Unterschied und ich kann mir nicht vorstellen dass DU jemanden finden wirst der Dir ein selbst erstelltes Zertifikat signiert.

Auszug aus Wiki:

Ein X.509-Zertifikat ist ein öffentlicher Schlüssel, der von einer Certification Authority beglaubigt und unterschrieben ist. Ein Zertifikat belegt, dass der Schlüssel wirklich zu derjenigen Person gehört, die in der Benutzerkennung des Schlüssels angegeben ist. Es ist deshalb vergleichbar mit einem elektronischen Ausweis.

 

[ProjectBuilder]

Inzwischen finde ich diese Prozedur aber unsicher, da dann startssl ja somit auch meinen Private Key kennt.

Wenn du ein Zertifikat beantragst, dann generiert dein Browser lokal ein Schlüsselpaar. Nur der Public Key wird zur CA geschickt und von dieser signiert. Das läuft also bereits so, wie du das möchtest.

https://www.startssl.com/?app=25#51

 

[buk]

Wenn man denen seinen private Key geben müsste, wäre das auch grober Unfug.

 

[Urlauberliner]

Tausend Dank! Sehr beruhigend dass mein Browser die Schlüssel lokal generiert.

Weiß irgendjemand etwas bezüglich Certificate Pinning oder Public Key Pinning um eine Man-in-the-Middle Attack in Kombination mit einer kompromittierter Zertifizierungsstelle zu verhindern? Das soll ja ein möglicher Angriffsvektor auf S/MIME Verschlüsselung sein. Wenn man erstmal anfängt mit der Paranoia...