SSL vs. PGP (Mailversand)

...komplette Frage anzeigen

2 Antworten

Wenn Du mit einem Server per SSL kommunizierst, wird dir das SSL-Zertifikat von einer Zertifizierungsstelle bestätigt. Es ist möglich, Zertifizierungsstellen falsche Zertifikate unterzujubeln oder sich gleich den Master-Schlüssel bei den Providern zu besorgen.

Beim Mailprovider sind die Mails dann wieder unverschlüsselt oder können (spätestens zum Weiterversand) wieder entschlüsselt werden.

Bei PGP hingegen wird die Nachricht i.d.R. so verschlüsselt, daß sie nur für Sender und Empfänger mit ihren jeweils selbst erzeugten Schlüsseln lesbar ist. Das hat aber auch Schwachstellen:

  • Wenn man einen manipulieren Client runterläd, ist die Verschlüsselung nicht mehr sicher
  • Wenn einer der Computer kompromittiert wird, ist die Verschlüsselung nicht mehr sicher.
  • Wenn einer der Computer ein Datenbackup (incl. privatem Schlüssel) in einer Cloud macht, ist die Verschlüsselung nicht mehr sicher
  • Wenn Sender und Empfänger ihre Fingerprints nicht vergleichen (z.B. durch gegenseitiges Vorlesen am Telefon) kann man einen falschen Schlüssel untergeschoben bekommen.

Der Mailanbieter kann die Mails noch einsehen, bei PGP kann er das nicht.

Was möchtest Du wissen?