comdirect

Du versteifst Dich sehr auf DKIM, aber DKIM ist gar nicht zur Authentifizierung des konkreten Absenders gedacht. Da war S/MIME schon der bessere Vorschlag.

Hallo,

Stimmt. Ja, ich weiss das. Zwischen den Zeilen liest Du bei mir, dass DKIM längst tot ist, bevor man überhaupt im Markt daran kommt.

Meine E-Mails sind auch S/MIME signiert, aber nur mit einer Domainvaildierten Signatur. Dafür ist die 2nd Level Domain kostenpflichtig zertifiziert.

Und wer hat das schon?

Meines Wissen habe ich bisher noch nie eine S/MIME signierte E-Mail erhalten.

Die Technik ist vorhanden - die Kultur leider noch nicht.

Digitale Sicherheit scheint in unserer Gesellschaft noch nicht wirklich angekommen zu sein.

Gruß: KWie2

---

@KWie2  schrieb:

Mit Gerichten kommuniziere ich bisher per De-Mail (nach dem De-Mail Gesetz).

Das müssen die Gerichte akzeptieren, weil es gesetzlich so geregelt und technisch auch so weit nachvollziehbar ist. Schade, dass De-Mail sich nicht weiter verbreitet hat.

---

DE-Mail ist eine konzeptuelle Todgeburt und wird hoffentlich schnell im Technikausguss verschwinden.

Ich sag nur "Ja, das ist Ende-zu-Ende verschlüsselt, aber der Mailserver muss natürlich kurz reingucken können um die Mail evtl zu filtern. Aber das macht er ja nur ganz kurz, daher ist das schon sicher." und "Porto für Email wäre doch mal eine nette Idee"

Hallo,

---

@mySenf.cd  schrieb:

Es ist sehr wohl möglich, per E-Mail Aufträge zu schicken, die mindestens so sicher sind wie eine Authentifzierung am Telefon.

Alles gut und richtig und doch gibt es da noch einen Aspekt:

Wenn ich eine DKIM signierte E-Mail mit S/MIME Zertifikat und einem mit einer qualifizierten elektronischen Signatur versehene *pdf als Attachment zu einem Partner sende, dann wird dieser Partner das wohl akzeptieren (wenn der Partner die qualifizierte Signatur verifizieren kann, was immer noch viele Anwender überfordern könnte.)

Und doch ist all das keine Antwort auf das Problem der Authentizität, denn auch wenn 99% aller Mailserver sicher sein sollten, genügt es doch dem Kater Karlo, wenn er einen mangelhaft geschützten Mailserver irgendwo kennt, von dem aus er eine angeblich von mir stammende E-Mail schreiben kann.

Meine sichere Kommunikation schützt nicht vor Mißbrauch meiner E-Mail Adresse durch dritte.

Die Comdirect möchte aber eben wissen, das der vermeintliche Kunde wirklich der Kunde ist und dafür ist eine erzwungene Authentifizierung erforderlich, z.B. das Kontaktformular im Kundenbereich, nachdem ich mich eingeloggt habe.

Da hat ja schon LusTiger oben etwas zu geschrieben.

In dem Zusammenhang:

Was halten die Experten hier bitte von einer Initiative, die spf-records um den Eintrag einer Selbstverpflichtung zur S/MIME Signatur zu ergänzen? 3 Level müssten mehr als genügen, z.B.:

S/MIME=1 für ein einfaches, domainvalidiertes (oft kostenlos verfügbares) S/MIME Zertifikat

S/MIME=2 für ein domainvalidiertes (oft kostenlos verfügbares) S/MIME Zertifikat für eine über ein Körperschafts-validiertes SSL-Zertifikat nachgewiesene Domain

S/MIME=3 für ein Körperschafts-authentifiziertes S/MIME Zertifikat. Das würde dann sogar mit individuum@provider.TLD gehen.

Kleiner Aufand mit viel Potential?

Gruß: KWie2

Ich sprach nicht von einem signierten PDF, sondern von einer S/MIME-signierten E-Mail. Dabei wird der E-Mail-Absender verifiziert, indem das für das zur Signierung verwendete Zertifikat für eben genau diese E-Mail-Adresse ausgestellt wurde.

Ein Angreifer kann zwar immer noch ganz einfach eine E-Mail mit einem gefälschten Absender senden, aber er kann keine passende Signatur erzeugen, weil er den dazu erforderlich privaten Key nicht besitzt.

Hallo,

---

@mySenf.cd  schrieb:

Ich sprach nicht von einem signierten PDF, sondern von einer S/MIME-signierten E-Mail. Dabei wird der E-Mail-Absender verifiziert, indem das für das zur Signierung verwendete Zertifikat für eben genau diese E-Mail-Adresse ausgestellt wurde.

das ist mir klar.

Ein solches domainvalidiertes S/MIME Zerztifikat verwende ich auch. Meintest Du eventuell ein Körperschaftsauthentifiziertes S/MIME Zertifikat?

Trotzdem muss bei den beiden Authentifizierungswegen (validiertes S/MIME bzw. qualifiziert signiertes Attachment) der Gegenstelle klar sein, dass alle nicht gesicherten Kommunikationsversuche in meinem Namen sicher als gefälscht erkannt werden können.

Sonst könnte wieder Kater Karlo ohne Signatur versuchen, ich bleibe mal bei dem Fall ganz oben, in den Genuss meines Stimmrechtes auf der Aktionärsversammlung zu gelangen.

Die Möglichkeit einer sicheren Kommunikation genügt nicht. Weder die von Dir, noch die von mir als Beispiel genannte.

Authentizität bedeutet hier (das Problem ganz oben) nicht die Möglichkeit einer sicheren Kommunikation (für mich), sondern die Unmöglichkeit einer unsicheren Kommunikation (für Kater Karlo).

Gruß: KWie2

Vielleicht verstehe ich dein Argument nicht. 

Wenn ich mit S/MIME arbeite, dann vertraue ich ja einer Zertifizierungstelle, dass die von ihr ausgestellten Zertifikate korrekt sind, d.h. auch die E-Mail-Adresse geprüft wurde (die verschiedenen Level lassen wir mal beiseite, es geht um das Prinzip). Wenn ich dann nur korrekt signierte E-Mails akzeptiere, kann ich doch sicher davon ausgehen, dass deren Absender authentisch ist.

Nicht signierte E-Mails akezptiere ich dann natürlich nicht.

---

@EU_1  schrieb:

Und noch was.

Es scheint, dass hier im Forum mehr IT-Experten "Wissen" verbreiten wollen, als Börsen- und Aktienexperten, die sich hier, so zumindest meine Meinung, austauschen sollten.

---

Ist schon ärgerlich wenn man eine IT-affine Frage stellt und sich dann lauter Leute melden, die was von IT verstehen....