Dateien signieren



  • Guten Tag miteinander. Ich arbeite mich zurzeit ein wenig in die IT-Sicherheit ein und habe noch ein paar Fragen bezüglich digitaler Signatur.

    Die Idee dahinter ist mir klar aber die praktische Umsetzung nicht. Auch der Unterschied zwischen PGP und S/MIME ist mir noch nicht ganz klar. Angenommen ich habe eine PDF Datei die ich versenden möchte und der Empfänger soll sicher sein, dass diese von mir stammt und unverändert ist.

    Wie würde ich da am besten vorgehen?


  • Mod

    Die ganze Schwierigkeit liegt darin, dass der Empfänger unzweifelhaft wissen muss, dass der Schlüssel, mit dem die Signatur erstellt wurde, auch tatsächlich zu deiner Person gehört. Die optimale Lösung wäre ein vormaliger Schlüsselaustausch über einen sicheren Kanal (d.h. in der Regel persönliches Treffen), aber solche Kanäle stehen nicht immer zur Verfügung oder es wäre wahnsinnig auswendig. Daher sind zwei "Lösungen" entwickelt worden, die das Problem angehen, indem sie die nötige Vertrauenskette von Sender zu Empfänger über jeweils kleine, vertrauenswürdige Zwischenschritte herstellen. "Lösung" in Anführungszeichen, denn beide Techniken haben so ihre Probleme. Die beiden Techniken sind Web of Trust (-> PGP) und Public key infrastructure (S/MIME). Die Kurzfassung ist, dass Web of Trust ein eher dezentrales System ist, bei dem Vertrauen darüber hergestellt wird, dass viele Personen untereinander Vertrauen herstellen. Public key infrastructure ist hingegen ein zentralisiertes System, bei dem man einer Hierarchie von zentralen Zertifizierungsstellen vertraut. Die Langfassung, insbesondere die praktischen Vor- und Nachteile, entnimmst du am besten Wikipedia oder anderen Beschreibungen.

    PS: Zum Vorgehen: Du musst halt entweder dafür sorgen, dass der Zuordnung von deinem Schlüssel zu deiner Person von ausreichend vielen Stellen im Web of Trust Vertrauen entgegen gebracht wird, oder du musst dir von einer zentralen Zertifizierungsstelle bestätigen lassen, dass dein Schlüssel zu deiner Person gehört. Oder, falls dies eine Option ist, du sparst dir das alles und lässt dir vorher vom Empfänger persönlich bestätigen, dass dein Schlüssel zu deiner Person gehört.



  • Vielen Dank. Ich habe mir nun ein Zertifikat von CAcert besorgt (da es kostenlos ist) allerdings habe ich dann gemerkt, dass es nicht in den TrustStore von Adobe, Debian und Windows? geschafft hat. Wenn ich nun eine Bewerbung mit meinem Zertifikat signiert an ein Unternehmen senden möchte, wirkt das dann noch professionell wenn ich eine solche CA verwende? Gibt es vielleicht weitere kostenlose Alternativen zum Signieren von PDF außer CAcert?



  • MrSign schrieb:

    Vielen Dank. Ich habe mir nun ein Zertifikat von CAcert besorgt (da es kostenlos ist) allerdings habe ich dann gemerkt, dass es nicht in den TrustStore von Adobe, Debian und Windows? geschafft hat. Wenn ich nun eine Bewerbung mit meinem Zertifikat signiert an ein Unternehmen senden möchte, wirkt das dann noch professionell wenn ich eine solche CA verwende? Gibt es vielleicht weitere kostenlose Alternativen zum Signieren von PDF außer CAcert?

    Wie haben denn die vom CAcert geprüft, dass du der bist, den du vorgibst zu sein?



  • Ich musste mein Name, Adresse, E-Mail angeben und die E-Mail bestätigen. Mehr nicht. So ich das verstanden habe können die Identitäten durch vertrauenswürdige Benutzer durch persönliche Treffen bestätigt werden wie beim WebOfTrust. Aber das ändert ja nichts daran, dass beim Prüfen meiner Signatur fast überall die Meldung "Gültigkeit der Unterschrift ist unbekannt" erscheint.

    Mich stört halt das so ein Zertifikat mal Eben 90+ Euro im Jahr kostet und die will ich nicht ausgeben für ein paar Bewerbungen zu signieren.



  • Du redest Unsinn. Zuerst arbeitest du dich in IT-Sicherheit ein, nach eigenen Angaben, und nun willst du nur ein paar PDF-Dokumente signieren.
    Für ein paar Bewerbungen reicht die normale Signatur völlig aus, die viele PDF-Reader erstellen können. Adobe-Reader ist nur einer davon.



  • Ich glaube auch dass man kaum einen Vorteil davon hat wenn man signierte Bewerbungs-PDFs ausschickt. Vermutlich werden die meisten das gar nicht checken. Und selbst wenn... ne Bewerbung ist nicht für Angreifer interessant die da irgendwas ändern/fälschen würden. (Und selbst wenn sie geändert würde ist es nicht tragisch, weil es vermutlich beim Bewerbungsgespräch aufkommt.)


  • Mod

    Vielleicht möchte der OP aber mit seiner "awareness of security" aus der Menge herausstechen?

    MfG SideWinder


  • Mod

    SideWinder schrieb:

    Vielleicht möchte der OP aber mit seiner "awareness of security" aus der Menge herausstechen?

    Und der Empfänger in HR schmeißt die Mail dann direkt in den Müll, weil ihm das -----BEGIN PGP SIGNED MESSAGE----- nicht geheuer vorkommt. Offensichtlich ein Computervirus.


  • Mod

    SeppJ schrieb:

    SideWinder schrieb:

    Vielleicht möchte der OP aber mit seiner "awareness of security" aus der Menge herausstechen?

    Und der Empfänger in HR schmeißt die Mail dann direkt in den Müll, weil ihm das -----BEGIN PGP SIGNED MESSAGE----- nicht geheuer vorkommt. Offensichtlich ein Computervirus.

    Das sollte bei S/MIME nicht vorkommen. Außerdem ist hier von signierten PDF-Dateien die Rede.

    MfG SideWinder



  • Die HR achtet in erster Linie auch auf die PDF-Signierung, die haben in der Regel hohes Sicherheitsdenken.


  • Mod

    Bei uns in der Firma liest die Bewerbung nicht HR. Warum hier alle irgendwelche Vorzeichen erahnen wollen und damit die legitime Frage nach PDF-Signierung trollen wollen versteh ich nicht. Hört auf damit, sonst muss ich den Löschpinsel nutzen.

    MfG SideWinder



  • MrSign schrieb:

    Ich musste mein Name, Adresse, E-Mail angeben und die E-Mail bestätigen. Mehr nicht. So ich das verstanden habe können die Identitäten durch vertrauenswürdige Benutzer durch persönliche Treffen bestätigt werden wie beim WebOfTrust. Aber das ändert ja nichts daran, dass beim Prüfen meiner Signatur fast überall die Meldung "Gültigkeit der Unterschrift ist unbekannt" erscheint.

    Wenn das die Methode ist, wie dieser CAcert Austeller die Identität seiner Kunden überprüft, dann würde ich so einen CAcert Anbieter und somit alle davon abgeleiteten Zertifikate auch nicht in wichtige Software, wie Browser oder E-Mailprogramm aufnehmen und somit dem Benutzer der Software folgendes Mitteilen:
    "Gültigkeit der Unterschrift ist unbekannt".

    Da könnte ja jeder kommen und sich als XY ausgeben, für das er dann ein Zertifikat erhält, das aber absolut nichts wert ist, wenn es um sichere Identitäten geht.


  • Mod

    Meistens lauten diese Zertifikate dann aber auch nur auf die E-Mail-Adresse und diese wurde ja verifiziert. Personenbezogene Zertifikate erfordern zumindest den Pass und je nach Sicherheitsstufe zumindest einen Skype-Video-Call mit Pass.

    MfG SideWinder


Log in to reply