Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Privatschlüssel durch Zertifizierungsstelle erhalten
2 views
Skip to first unread message
Marco Moock
Oct 19, 2023, 9:32:50 AM10/19/23
to
Hallo zusammen!
Wenn man vom DFN ein Zertifikat bekommt, ist das eine .p12-Datei, die
den privaten Schlüssel enthält, verschlüsselt mit einem Passwort, was
der Nutzer auf der Website selbst festlegt.
Die wird über einen Webserver ausgeliefert.
Ist das nicht schon vom Konzept her ein Sicherheitsrisiko, weil ein
Sicherheitsproblem bei denen dafür sorgen würde, dass massenhaft
Privatschlüssel dem Angreifer zur Verfügung stünden?
--
Gruß
Marco Moock
Wenn man vom DFN ein Zertifikat bekommt, ist das eine .p12-Datei, die
den privaten Schlüssel enthält, verschlüsselt mit einem Passwort, was
der Nutzer auf der Website selbst festlegt.
Die wird über einen Webserver ausgeliefert.
Ist das nicht schon vom Konzept her ein Sicherheitsrisiko, weil ein
Sicherheitsproblem bei denen dafür sorgen würde, dass massenhaft
Privatschlüssel dem Angreifer zur Verfügung stünden?
--
Gruß
Marco Moock
Paul Muster
Oct 19, 2023, 10:02:04 AM10/19/23
to
private key und dazu ein CSR erstellt und nur dieser CSR an die CA geht.
Dieser kommt dann - signiert von der CA - in Form des Zertifikats
zurück. Die CA hat in keiner Form und zu keinem Zeitpunkt Zugriff auf
den private key.
mfG Paul
Marco Moock
Oct 19, 2023, 10:11:34 AM10/19/23
to
Am 19.10.2023 schrieb Paul Muster <exp-3...@news.muster.net>:
> Ja, ist es. Eine bessere Lösung ist, dass der Nutzer auf seinen
> Systemen private key und dazu ein CSR erstellt und nur dieser CSR an
> die CA geht. Dieser kommt dann - signiert von der CA - in Form des
> Zertifikats zurück. Die CA hat in keiner Form und zu keinem Zeitpunkt
> Zugriff auf den private key.
Bei normalen X509-Zertifikaten ist das auch der Fall, nur bei den
> Ja, ist es. Eine bessere Lösung ist, dass der Nutzer auf seinen
> Systemen private key und dazu ein CSR erstellt und nur dieser CSR an
> die CA geht. Dieser kommt dann - signiert von der CA - in Form des
> Zertifikats zurück. Die CA hat in keiner Form und zu keinem Zeitpunkt
> Zugriff auf den private key.
S/MIME-Zertifikaten für die Nutzer beim DFN und jetzt auch bei GEANT
nicht.
Was könnte der Grund dafür sein?
Arno Welzel
Oct 19, 2023, 10:34:04 AM10/19/23
to
Marco Moock, 2023-10-19 16:11:
Dass das DFN in der Vergangenheit die Erfahrung gemacht hat, dass es für
manche Nutzer ein schier unlösbares Problem ist, einen privaten
Schlüssel und ein CSR zu erzeugen und sie das deshalb lieber selber
erledigen. Dann muss man dem Nutzer nur noch erklären, wie er das
importiert und das Passwort beim Import eingibt.
--
Arno Welzel
https://arnowelzel.de
manche Nutzer ein schier unlösbares Problem ist, einen privaten
Schlüssel und ein CSR zu erzeugen und sie das deshalb lieber selber
erledigen. Dann muss man dem Nutzer nur noch erklären, wie er das
importiert und das Passwort beim Import eingibt.
--
Arno Welzel
https://arnowelzel.de
Marcel Mueller
Oct 19, 2023, 12:32:04 PM10/19/23
to
Am 19.10.23 um 16:11 schrieb Marco Moock:
Dass $DAU nicht in der Lage ist, diesen Schlüssel zu erzeugen und vor
allem sicher und redundant zu verwahren. Wenn der weg ist, gehen nämlich
auch alle verschlüsselten Mails auf Nimmerwiedersehen ins Datennirwana.
Marcel
allem sicher und redundant zu verwahren. Wenn der weg ist, gehen nämlich
auch alle verschlüsselten Mails auf Nimmerwiedersehen ins Datennirwana.
Marcel
Marco Moock
Oct 19, 2023, 2:03:05 PM10/19/23
to
Am 19.10.2023 um 18:32:02 Uhr schrieb Marcel Mueller:
> Dass $DAU nicht in der Lage ist, diesen Schlüssel zu erzeugen und vor
> allem sicher und redundant zu verwahren. Wenn der weg ist, gehen
> nämlich auch alle verschlüsselten Mails auf Nimmerwiedersehen ins
> Datennirwana.
Das Problem besteht auch im aktuell Zustand, zumindest sagen die, dass
> Dass $DAU nicht in der Lage ist, diesen Schlüssel zu erzeugen und vor
> allem sicher und redundant zu verwahren. Wenn der weg ist, gehen
> nämlich auch alle verschlüsselten Mails auf Nimmerwiedersehen ins
> Datennirwana.
die den Schlüssel NICHT speichern und der Nutzer das tun muss.
Tut er das nicht, ist der eben futsch mit allen Folgen.
Marco Moock
Oct 19, 2023, 2:03:20 PM10/19/23
to
Am 19.10.2023 um 18:32:02 Uhr schrieb Marcel Mueller:
> Dass $DAU nicht in der Lage ist, diesen Schlüssel zu erzeugen und vor
> allem sicher und redundant zu verwahren. Wenn der weg ist, gehen
> nämlich auch alle verschlüsselten Mails auf Nimmerwiedersehen ins
> Datennirwana.
> allem sicher und redundant zu verwahren. Wenn der weg ist, gehen
> nämlich auch alle verschlüsselten Mails auf Nimmerwiedersehen ins
> Datennirwana.
0 new messages