Christian Schmidt:
>
> Du wirfst da zwei verschiedene Dinge in einen Topf.
-- snip Unterschied PGP <-> S/MIME
> (So in etwa habe ich das verstanden, wer es besser erklaeren kann und
> moechte: nur zu!)
Nö, war schon alles richtig. Nur um es auf den Punkt zu bringen: bei
S/MIME wird das Vertrauen zentral delegiert, PGP/GPG ist dezentral.
Kostenlose Signaturen auf einem PGP-Key bekommt man umsonst und von
jedem, der selbst einen (kostenlosen, selbst erstellbaren) Key hat. Eine
Signatur von Thawte, Verisign usw. bekommt man nur gegen Geld. Der Wert
einer PGP-Signatur hängt mit der Einbindung des signierenden Schlüssels
in das Web of Trust zusammen.
Der Vorteil von S/MIME ist, dass eine Signatur von so gut wie jedem "out
of the box" anerkannt wird, weil deren Zertifikate in jedem Client
hinterlegt sind und als vertrauenswürdig eingestuft werden. Hier muss
man sich als mündiger Nutzer aber natürlich fragen, womit sich diese
Zertifizierungsstellen das "out of the box"-Vertrauen verdient haben und
ob sich die Qualität der Arbeit eines grossen Konzerns an einem
einzelnen Schlüssel festmachen läßt.
Verisign hat IIRC mal ein Zertifikat für microsoft.com signiert --
leider nicht für Microsoft selbst. Sowas kann passieren, ist aber bei
dem zentralistischen Ansatz fatal: entweder man vertraut der Instanz,
oder nicht. Beim Web of Trust ist (im Idealfall) jeder Schlüssel von
einer Vielzahl anderer Schlüssel signiert, so dass einer einzelnen
Signatur nicht mehr soviel Bedeutung zukommt.
J.
--
Driving behind lorries carrying hazardous chemicals makes me wish for a
simpler life.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature