PGP vs. S/MIME

Verwendete kryptographische Algorithmen:

S/MIME v2 S/MIME v3 OpenPGP (RFC 2440) PGP 5.x
Asymmetrische Algorithmen (Verschlüsselung)RSARSA, Diffie-hellman (X9.42)RSA, ElGamal, noch nicht spezifiziert: Elliptic Curve, Diffie-Hellman (X9.42)RSA, ElGamal („Diffie-Hellman“)
Asymmetrische Algorithmen (Signatur)RSADSA, RSARSA, DSA, noch nicht spezifiziert: ElGamal, ECDSARSA, DSA
Symmetrische AlgorithmenTripleDES, RC2TripleDES, DES, RC2TripleDES, IDEA, CAST5, Blowfish, SAFER-SK128, Twofish, Noch nicht spezifiziert: DES/SK, AESTripleDES, IDEA, CAST5
Hash AlgorithmenMD5, SHA-1MD5, SHA-1MD5, SHA-1, RIPE-MD/160, MD2, Noch nicht spezifiziert: Double-width SHA, TIGER/192, HAVALMD5, SHA-1

Unterschiede zwischen S/MIME und OpenPGP

S/MIME und OpenPGP sind nicht kompatibel, das heißt Anwender der beiden Welten können keine signierten oder verschlüsselten Nachrichten austauschen.

S/MIME OpenPGP
Benutzer-IDeine User IDPrimärer Schlüssel kann mehrere Benutzer-IDs tragen, die mehrere Signaturen (Zertifikate) tragen können
BetriebssystemÜberwiegend WindowsWindows, Unix, Linux, Palm-PDA
eMail-AdresseeMail-Adresse optionale Version-3-ErweiterungenBenutzer-ID hat Format:
Vorname Name name@was-auch-immer.net
Identifierdurch CA zugeteilte SeriennummerKey ID = Teil eines Hash-Wertes über den Schlüssel
MIME-Datenkapselung (Signatur)multipart/signed oder CMS-Formatmultipart/signed ASCII-armor
MIME-Datenkapselung (Verschlüsselung)application/pkcs7-mimemultipart/encrypted
NachrichtenformatBinary, basierend auf CMSBinary, basierend auf PGP
SchlüsselverteilungKeine zu PGP vergleichbare Infrastruktur(HTTP-) Keyserver im pgp.net-Verbund
Schlüsselverwaltungein öffentlichen Schlüsselein primärer und mehrere sekundäre Schlüssel (öffentliche Schlüssel) möglich
Verifizierung öffentlicher Schlüsseleine einzige Unterschriftbeliebig viele Unterschriften;
jeder Schlüssel grundsätzlich „durch sich selbst signiert“ (Eigenzertifikat)
Verifizierung öffentlicher Schlüsselhierarchisches System von CA ausgehendWeb of Trust (streng hierarchischen Zertifizierungskette möglich), der Benutzer bestimmt das Vertrauensverhältnis:
- Unbekannt
- Kein Vertrauen
- Teilweise Vertrauen
- Volles Vertrauen
Widerrufene Schlüsselverwendet „Certificate Revocation Lists“ (CRLs), die alle gesperrten Schlüssel in einer Negativliste speichert
(Clients laden in regelmäßigen Abständen die Liste / ein Listenupdate, um die aktuellen Sperrlisten verfügbar zu haben)
widerrufene Schlüssel wird mit den aktiven Schlüsseln im gleichen Keyserver oder Verzeichnisdienst gespeichert
(Widerruf (Revocation) wird als eine besonders geformte Signatur an den Schlüssel gehängt)
ZertifikatBinary, basierend auf X.509v3Binary, basierend auf PGP

Unterschiede bei der Speicherung / Verteilung der Zertifikate:

S/MIME
X.500-konformen LDAP-Verzeichnisdienste
proprietärer LDAP-PGP-Keyserver von PGP erhältlich (HTTP-) Keyserver
zentralen Platz, um verschiedene Benutzer-„Eigenschaften“ abzulegen
(Benutzergruppen, Passwörter, Telefonnr, Zertifikate, …)
Redundante Datenpflege
(Replikationsmechanismus, Backup, etc.)
Übermittelung Zertifikate an externe Partner problematisch:
- Kopie des LDAP-Servers in einer Sicherheitszone des Firewall-Systems (DMZ) erforderlich
- alle Kommunikationspartner müssen den LDAP-Port auf der Firewall öffnen
- LDAP ist nicht proxy-fähig
Übermittelung Zertifikate an externe Partner unproblematisch:
- HTTP-Keyserver in der DMZ aufsetzen - fertig

Übersicht "Unterstützung kryptographischer Methoden durch eMail-Programme"

E-Mail Programm Betriebssystem PGP/GPG S/MIME1)
Microsoft OutlookWindowsPluginVer 2+3
Microsoft Outlook ExpressWindowsPluginVer 2+3
Qualcomm EudoraWindowsPluginPlugin, Ver 2+3
The Bat!WindowsPluginJa
Pegasus MailWindowsQDPGPPMSMIME
Lotus Notes ClientWindowsPluginJa
Novell GroupWiseWindowsPluginJa
Netscape MailLinux/UNIX, Windows, Mac OSEnigmailVer 3
Mozilla Mail, ThunderbirdLinux/UNIX, Windows, Mac OSEnigmailVer 3
kMailLinux/UNIXJaNein
Ximian EvolutionLinux/UNIXJaNein
PineLinux/UNIXpgp4pineNein
MuttLinux/UNIXJaVer. 1.5
GnusLinux/UNIX,WindowsJaJa
SylpheedLinux/UNIXGPGMENein
Mac OS X MailMac OS XGPGMailJa
Microsoft EntourageMac OS XEntourageGPGNein

Zurück zur Themenübersicht


Navigation
QR-Code
QR-Code PGP vs. S/MIME (erstellt für aktuelle Seite)