S/MIME Schlüsselerzeugung sicher?

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • Unter "http://www.thunderbird-mail.de/wiki/Mailverschl%C3%BCsselung_mit_S/MIME#Wie_lade_ich_ein_X.509-Zertifikat_herunter.3F" findet man folgende Aussage:
    "Danach wird ein Zertifikatsrequest an den Server des Trustcenters gesandt. Dabei wird der öffentliche Schlüssel zur Signierung und Speicherung an das Trustcenter gesandt. Der geheime Schlüssel verlässt den Browser nicht!"


    Unter "https://www.awxcnx.de/handbuch_32f.htm" findet man eine gegensätzliche Aussage:
    "Man kann die komplette Generierung des privaten und öffentlichen Schlüssels dem Anbieter überlassen und muss darauf vertrauen, dass dieser keine Kopie des privaten Schlüssels inklusive Passwort für den Zugriff speichert."


    Was ist richtig?
    Und wie kann man überprüfen, welche Interaktionen bei welchem Anbieter von Zertifikaten von einem Webinterface ausgeführt werden?


    hubu

  • Hi,
    wo siehst du gegensätzliche Aussagen?

    Zitat

    Man kann die komplette Generierung des privaten und öffentlichen Schlüssels dem Anbieter überlassen und muss darauf vertrauen, dass dieser keine Kopie des privaten Schlüssels inklusive Passwort für den Zugriff speichert


    Man kann, man muss aber nicht, und man sollte auch nicht...

    Zitat

    Und wie kann man überprüfen, welche Interaktionen bei welchem Anbieter von Zertifikaten von einem Webinterface ausgeführt werden?


    Gar nicht, vermutlich.

  • Wenn du auf der Webseite ein Eingabefeld findest in welches der Zertifikat-Request kopiert werden soll/muß dann gilt Aussage 1 (der private Schlüssel verläßt deine Maschine nicht). Wenn du nach Angabe von ein paar Daten eine Datei mit Zertifikat und privatem Schlüssel runterladen kannst weiß nur der Aussteller was alles mit deinem privaten Schlüssel passiert. Falls nach der Angabe der Daten ein Zertifikat/Key Paar in deinem persönlichen Zertifikatspeicher im Browser liegt wurden die Browserfunktionen benutzt und der Schlüssel hat deinen PC auch nicht verlassen solange keine Sicherheitslücke im Browser ausgenutzt wurde.


    Die erste ist die sicherste Methode, die dritte akzeptabel, die zweite sollte man vermeiden.


    Gruß


    Andi