Sers,
ich würde gerne meinen Mail-Verkehr etwas sicherer machen und bin hier im Forum über thawte und ihr Web of Trust (http://www.thawte.com/secure-email/web-of-trust-wot/index.html) gestolpert - womit ich kostenlos an ein Zertifikat kommen würde, das (soweit ich weiss) auch von den meisten Mail-Clients standardmäßig als vertrauenswürdig eingestuft wird.

Das ganz iVm TLS IMAP sollte einigermaßen zur Uneinsichtbarkeit meines Mail-Verkehrs beitragen, denke ich.

Nun hätte ich aber noch ein paar Fragen zu S/MIME i.A. ... hatte schon Wiki bemüht, aber da sind asymmetrische Schlüssel nur allgemein erklärt, oder S/MIME "sehr speziell".
Also...

1. Wenn ich jemandem eine Mail schreibe und sein Mail-Programm das Zertifikat akzeptiert, ist dann der weitere Mail-Verkehr zwischen uns verschlüsselt?

2. Kann man selbst einstellen, mit was/wie verschlüsselt werden soll, oder hängt das vom Zertifikat und somit der Zertifizierungsstelle ab?

3. Wie sicher ist so ein Zertifikat überhaupt? (Stichwort Man in the Middle - Attacke)

4. Was passiert, wenn das Mail-Programm der Zertifizierungsstelle erstmal nicht vertraut - ist die Mail dann nicht lesbar, oder muss man (wie bei Websites) dem Zertifikat manuell "vertrauen"?

5. ich denke das wars...

Freue mich auch über Links zum Thema!

Alles Gute,
Lipwigzer

Ein paar Fragen kann ich dir wohl beantworten. Aber ich bin auch kein Experte, daher kann ich nicht garantieren, dass es fehlerfrei ist :D.

1. Wenn ich jemandem eine Mail schreibe und sein Mail-Programm das Zertifikat akzeptiert, ist dann der weitere Mail-Verkehr zwischen uns verschlüsselt?


Du kannst üblicherweise in deinem Mail-Programm angeben, ob du die E-Mail verschlüsseln willst, nur signieren willst oder nichts tun willst. Allerdings brauchst du zum Verschlüsseln den öffentlichen Schlüssel des Empfängers. Das heißt normalerweise, dass du dessen Zertifikat bei dir im E-Mail-Programm oder in Windows hinzufügen musst und die Mail an genau die dort eingetragene E-Mail-Adresse gehen muss. Die Nachricht wird dann mit seinem öffentlichen Schlüssel verschlüsselt und nur mit dem privaten Schlüssel den nur er kennt, kann er sie wieder entschlüsseln.

2. Kann man selbst einstellen, mit was/wie verschlüsselt werden soll, oder hängt das vom Zertifikat und somit der Zertifizierungsstelle ab?
Ich glaube das hängt das vom Zertifikat ab. Das enthält ja den öffentlichen Schlüssel um eine verschlüsselte Nachricht an den Empfänger zu senden. Und der legt das Verfahren (zumindest die Schlüssellänge) glaube ich schon fest.

4. Was passiert, wenn das Mail-Programm der Zertifizierungsstelle erstmal nicht vertraut - ist die Mail dann nicht lesbar, oder muss man (wie bei Websites) dem Zertifikat manuell "vertrauen"?
Wenn die Mail nur signiert ist, wird das Mail-Programm sinngemäß sagen: "die Mail ist signiert, aber ich traue dem Aussteller des Zertifikates nicht". Lesen kann man die Mail trotzdem. Wenn die Mail verschlüsselt ist und auch für den entsprechenden Empfänger gedacht war, dann hat man auch dessen Zertifikat benutzt (und nur wer den privaten Schlüssel dazu kennt, kann die E-Mail wieder entschlüsseln). Hier geht es also gar nicht um die Frage, ob dieser deinem Zertifikat vertraut.

Nochmal allgemein. Du hast im Prinzip zwei Möglichkeiten:

Signieren: berechnet im Wesentlichen eine Prüfsumme der Nachricht und verschlüsselt diese mit deinem privaten Schlüssel. Das ist dann die Signatur die einfach mit deiner Mail verschickt wird. Der Empfänger kann diese mit deinem öffentlichen Schlüssel wieder entschlüsseln und anhand der Prüfsumme feststellen, ob die Nachricht verändert wurde oder mit einem ungültigen Schlüssel erzeugt wurde (d.h. nicht von dir kam).

Verschlüsseln: man verschlüsselt die gesamte Nachricht mit dem öffentlichen Schlüssel des Empfängers. Da nur dieser den zugehörigen privaten Schlüssel kennt, kann nur er die Nachricht öffnen. Er weiß aber noch nicht, ob sie wirklich von dir kam oder verändert wurde. Daher kann man Verschlüsseln und Signieren auch kombinieren.