GPG4Win und email Signaturen

[lithograf]

Ich würde gerne die Vorteile von PGP Signatur der Firma näherbringen.

Verstehe ich das richtig?
Eine email wird geschrieben, und davon wird eine Signatur angefertigt und angehängt.

Wird die Signatur mittels des Private Key erstellt?
Wird die Signatur ausschließlich mittels des Public Key überprüft auf Korrektheit? (Also nicht mit dem Private Key)
Kann jede Person, die Echtheit der Signatur ermitteln?
Wird die email verändert stimmt die Signatur nicht mehr?

Ich habe derzeit gpg4Win mit Outlook Privacy Plugin bei Outlook 2010.
Wie kann ich hier unter Windows die Signatur auf Echtheit überprüfen? (Mit einfachen Mitteln)


Ein (fiktives) Beispiel:
Zwischen Firma A und Firma B gibt es email Verkehr. Ein Projekt geht schief und es kommt zu einem Prozess (nicht unbedingt vor Gericht - evtl. Firmenintern).
Irgendjemand hat nun eine email dahingehend verändert, dass es kompromittierend für jemanden ist.
Kann eine Veränderung einer email mittels einer pgp email Signatur festgestellt werden?
Beispielsweise, dass die Kompromittierende email eben verändert wurde?


Danke

 

[Helios]

Hi,

es wird ein asymmetrisches Schlüsselpaar erzeugt... eben der "Private Key" und der "Public Key". Der private Schlüssel darf dein System nie verlassen, im Gegensatz zum öffentlichen Schlüssel. Dieser wird gebraucht, damit deine Kollegen die EMails signieren und verschlüsseln können. Erhältst du eine solche EMail, wird GPG4Win mittels deines privaten Schlüssels entschlüsselt und auf Korrektheit überprüft. Somit wird also sichergestellt, dass deine erhaltene EMail nicht komprimiert wurde.

LG Uwe

 

[lithograf]

Es geht mir nicht um Verschlüsselung. Das bring ich nicht durch.
Es geht mir nur um Signaturen.
Unverschlüsselte, aber signierte emails.

 

[Helios]

Die EMail lässt sich vom Absender jeweils auch nur signieren. Der Empfänger ist sich somit sicher, dass die Email von diesem stammt.

In Deutschland wird die Mindestanforderungen an die Kryptografiealgorithmen durch das Signaturgesetz und die Signaturverordnung von der Bundesnetzagentur jeweils neu ausgestellt und angepasst.
Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung. (Übersicht über geeignete Algorithmen).

 

[lithograf]

Verstehe ich das richtig, dass damit die email nur von diesem signiert wird, um die Echtheit zu bestätigen?
Nicht, dass die email nachträglich verändert wird?
Also nicht so eine Art MD5 über den email Text?

 

[Arminius]

Ja, richtig.
Die Signatur setzt sich aus deinem Namen, deiner Mailadresse und einem von dir zu wählenden Passwort zusammen und ist eine Art Absenderstempel.

http://www.gnupg.org/documentation/howtos.de.html

 

[Helios]

Doch. Die Signatur bestätigt, dass die EMail erstens von dem betreffenden Sender stammt und zweitens, dass diese nicht verändert wurde, also die Echtheit garantiert.

 

[Mike320]

Die EMail lässt sich vom Absender jeweils auch nur signieren. Der Empfänger ist sich somit sicher, dass die Email von diesem stammt.

... ist leider nicht ganz zutreffend, Du ignorierst das Schlüsselaustauschproblem dabei, so daß nur sicher ist, das die Mail von jemandem stammt, der vorgibt der Absender zu sein.

Das war z.B. eine der erheblichen Schwächen von DeMail, da anfangs keine vollständige Ende-zu-Ende Verschlüsselung möglich war und alle DeMail-Adressen nach einem identischen Schema aufgebaut und nur wenige Server der Infrastruktur als kompromittierbare Ziele vorhanden waren.

Zur Sicherstellung der Authenticity (Identität des Absenders) ist daher ein sicherer und vertraulicher Schlüsselaustausch, z.B. über ein anderes Medium, durch persönliche Übergabe oder über Mechanismen, wie sie unter dem Stichwort "Web-of-trust" zu finden sind, unverzichtbar. Zentrale PKI-Infrakstrukturen (wie auch bei DeMail) sind, das haben diverse Vorfälle gezeigt, eben auch angreifbar, EMail-Adressen keine Garantie für eine Identität.

Gruß,

Mike

- - - Beitrag zusammengeführt - - -

Es geht mir nicht um Verschlüsselung. Das bring ich nicht durch.
Es geht mir nur um Signaturen.
Unverschlüsselte, aber signierte emails.

Wenn Du dir ja offenbar bereits GPG4win angesehen/installiert hast, befasse dich auch mit Kleopatra, du wirst für deine Anforderungen auch in Bezug auf meine Anmerkungen im vorherigen Post nicht umhinkommen, das mit zu verwenden.

Für viele Anwender scheitert es dann aber aufgrund der relativ geringen, aber vorhandenen Komplexität dann an der konsequenten Nutzung/Umsetzung. Ob es dennoch erfolgreich einzuführen wäre hängt sicher auch davon ab, um welche Regressforderungen es ggf. später geht.

 

[Helios]

Ja, der Schlüsselaustausch muss natürlich garantiert sein, ansonsten hat man echt ein riesiges Problem. Habe GPG4Win derzeit nicht (mehr) auf meinem Rechner installiert. Aber es gibt doch dort extra Zertifikatsserver, mit welchen der Schlüsselaustausch auch garantiert wird, also die Authentizität des Absenders gewahrt wird.

LG Uwe

 

[lithograf]

So ganz ist es noch nicht bei mir angekommen

Garantier eine PGP Signatur, dass eine email nachträglich nicht geändert wurde?

Also im Jahr X wurde gesendet:
emailtext1, signatur1

Dann verändert jemand etwas im Jahr X+Y:
emailtext2, signatur1

Ist erkennbar, dass signatur1 nicht zu emailtext2 passt?

 

[Helios]

Ja, absolut. Das ist ja der Sinn und Zweck einer digitalen Signatur.

 

[lithograf]

Danke

Welche anderen Signatursysteme gibt es denn noch?
Welches ist das bekannteste, welches ist das am weitesten verbreitete?

 

[SandManTR]

S/Mime funktioniert ohne zusätzliche Tools mit Outlook und ist daher auch ganz interessant -> https://de.wikipedia.org/wiki/S/MIME