Enigmail vs S/MIME

gyn · №1

Господа
Не хотелось бы начинать флеймоопасную тему, но помогите разобраться чем лучше пользоваться для электронной подписи: Enigmail или S/MIME.
Попробывал и то и другое.
Enigmail: если не включать "Использовать для этого сообщения PGP/MIME", то уродуется внешний вид письма. Если включить то письмо кодируется в quote-printable что не есть хорошо (не все его смогут прочитать).
S/MIME. Вроде всё хорошо но при этом письмо "толстеет" на 4K.
Не знаю на чём остановиться.

arab · №2

gyn пишет

...Вроде всё хорошо но при этом письмо "толстеет" на 4K.
Не знаю на чём остановиться.

А что 4 Кб так страшно?

gyn · №3

arab пишет

А что 4 Кб так страшно?

Не страшно, но и не приятно. Особенно в рассылках.

А как насчёт юзабельности обоих методов в разных почтовиках?

arab · №4

Я испокон веков пользовался и до сих пор пользуюсь S/MIME. А PGP только лишь при случае. Скорее всего из-за того что не у всех пользователей имеется PGP, а S/MIME имеется почти во всех почтовых программах. Хотя PGP хорош, ничего плохого о нём сказать не могу.

Отредактировано arab (03-05-2005 12:53:33)

gyn · №5

2 arab

А если не секрет, где брали сертификат? Я для тренировки взял шаровой на http://www.thawte.com/email/ но со временем хотелось бы получить настоящий, но чтобы не очень дорого. :rolleyes:

arab · №6

Сертификат Thawte и есть самый настоящий не игрушка Просто они не могут удостовериться как Вас зовут вот и пишут "Free e-mail member"
А для моих получателей не важно что там написано, для них важно откуда (с какого ящика) пришло письмо, а это сертификат от Thawte отлично подтверждает. Кстати где-то там у них на сайте описан процесс как доказать им своё "Я" и ввести имя в сертификат.

Vlad2000Plus · №7

Здесь можно получить бесплатно сертификат на своё имя.

gyn · №8

Vlad2000Plus пишет

Здесь можно получить бесплатно сертификат на своё имя.

Спасибо, получил. Оказался один маленький подвох. Сертификат подписан "TC TrustCenter Class 1 CA" в то время как в почтовиках прописаны "TC TrustCenter Class 2 CA" и "TC TrustCenter Class 3 CA". Получается что всем кто захочет проверить мою подпись необходимо дополнительно устанавливать "TC TrustCenter Class 1 CA"

StrangerTeam · №9

GPG однозначно лучше, потому, что позволяет самому манипулировать сертификатом, создавать его, подписывать, отзывать.

Все открытые ключи хранятся на внешних key-серверах, так что ни у кого не возникает проблем с проверкой подписи от нового/неизвестного получателя. Поддерживается всеми нормальными почтовиками.

Так же, он более прозрачен, что позволяет использовать его практически везде.

Более того, GPG уже является стандартом дэфакто для шифрования на уровне самой ОС, во многих оболочких, типа KDE, шифровка/дешифровка производиться одной кнопкой мыши.

И наконец - ни разу в жизни не видел ни одного письма подписанного S/MIME, вряд ли его вообще кто-то пользует.

gyn · №10

2 StrangerTeam

А не кинете ссылочку на описание где и как можно подписать GPG ключи? И как это можно сделать через Enigmail?

Vbym · №11

Я думаю всем искренне интересующимся будет полезно сходить сюда: http://www.pgpru.com/

Отредактировано Vbym (07-05-2005 20:04:34)

Stas_S · №12

А не кинете ссылочку на описание где и как можно подписать GPG ключи?

Вы имеете ввиду как обеспечить подтверждение подлинности ключа?
http://pgpru.com/manuals/wot/

ksi · №13

под виндой S/MIME поддерживается любым клиентом в базовой комплектации.
проблем с проверкой сертификата нету, а вероятность подмены практически нулевая, что нельзя сказать о PGP ключах, свободно генерируемых на машине клиента. И еще, если я не ошибаюсь, хранилище ключей не позволяет сделать многоуровневую структуру PKI?

ksi · №14

Оказался один маленький подвох. Сертификат подписан "TC TrustCenter Class 1 CA" в то время как в почтовиках прописаны "TC TrustCenter Class 2 CA" и "TC TrustCenter Class 3 CA". Получается что всем кто захочет проверить мою подпись необходимо дополнительно устанавливать "TC TrustCenter Class 1 CA"

Попробуй на www.thawte.com c ними вроде все ок

Stas_S · №15

ksi

проблем с проверкой сертификата нету, а вероятность подмены практически нулевая,

Это верно при выполнении двух условий:
1) У Вас есть подлинные ключи удостоверяющих центров.
2) Вы доверяете этим удостоверяющим центрам.

свободно генерируемых на машине клиента.

Стоп! А закрытые ключи для X.509 сертификатов разве генерируются центром? Если да, то, получается, что Вы оставляете копию своего закрытого ключа в удостоверяющем центре. Со всеми вытекающими...

Stas_S · №16

И еще, если я не ошибаюсь, хранилище ключей не позволяет сделать многоуровневую структуру PKI?

В OpenPGP используется не иерархическая (многоуровневая) модель, а распределённая (сетевая). Она более общая, и использовать её как иерархическую вполне реально. В корпоративных PKI так и делают.

ksi · №17

Это верно при выполнении двух условий:
1) У Вас есть подлинные ключи удостоверяющих центров.
2) Вы доверяете этим удостоверяющим центрам.

ну речь идет о бесплатных сертификатах от thawte.com или других корневых СЦ. Так что эти условая выполняются по умолчанию.

Стоп! А закрытые ключи для X.509 сертификатов разве генерируются центром? Если да, то, получается, что Вы оставляете копию своего закрытого ключа в удостоверяющем центре. Со всеми вытекающими...

я ничего не говорил о закрытых ключах Просто открытые ключи в сертификате сразу же подписываются СЦ, а вот открытые ключи PGP надо еще передать в хранилище.

FUBAr · №18

А вот я купил сертификат платный и терь хоть снифферы лопнут но меня не склонируют

Stas_S · №19

ksi

Так что эти условая выполняются по умолчанию.

Со вторым условием я бы не торопился. Как проверяется правильность имени и e-mail?

ksi · №20

бесплатный сертификат удостоверяет только e-mail, не имя . ибо у СЦ нет возможности проверить подленность имени. хотя если найдется поручитель - можно и имя
а вот мыло вполне твое, раз ты смог получить на него сертификат. в большинстве случаев достаточно подтверждения подлинности адреса

Отредактировано ksi (08-05-2005 19:20:25)

Stas_S · №21

ksi
Всё, разобрался как Thawte работает.
Аналогичная службы есть для ключей OpenPGP - Robot CA, PGP Global Directory.
Но сертификат и тут подделать можно - письмо может быть перехвачено на промежуточном маршрутизаторе или администратором почтовой службы. После этого зарегистрировать сертификат с Вашим адресом труда не составит.
Поэтому, я бы не полагался на подпись Thawte.

gyn · №22

Кстати, обнаружил на сервере ключей несколько своих старых GPG-ключей, которые естественно у меня не сохранились. Есть какая-либо возможность их удалить оттуда? Сервер ключей penguin.de если это существенно.

Почесал · №23

http://weblog.infoworld.com/udell/2004/03/23.html#a952

Посмотрите, хорошая статейка на тему как подделать S/MIME подпись.

gyn · №24

gass512 пишет

http://weblog.infoworld.com/udell/2004/03/23.html#a952
Посмотрите, хорошая статейка на тему как подделать S/MIME подпись.

Так ведь по картинке http://weblog.infoworld.com/udell/gems/gotchaOutlook2.jpg видно подмену Автор сам признается что обман строится на социальной инженерии.

ksi · №25

письмо может быть перехвачено на промежуточном маршрутизаторе или администратором почтовой службы. После этого зарегистрировать сертификат с Вашим адресом труда не составит.

сертификат удостоверяет лишь то, что письмо было отправлено именно с этого адреса. в этом случае перехваченное письмо ничего не даст. только если я могу отправлять письма с этого ящика. в таком случае это не есть компрометация сертификата, ибо свою цель - удостоверения адреса он выполнит.

или я тебя не понял

Полезная информация

Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Re: Enigmail vs S/MIME

Board footer