Ja genau, warum sollte man sich die Mühe machen und einen Schlüssel (Digitale ID) selber erstellen anstatt diesen von einem Dienstleister zu kaufen? Über einen Dienstleister (Zertifizierungsstelle) gekaufte Digitale ID hat natürlich den Vorteil, dass man sich nicht erst groß um die Verifizierung kümmern muss, denn der Schlüssel wird von Dienstleister nach Zahlung und einer kurzen Identitätsprüfung als Vertrauensvoll anerkannt.
Im Gegensatz zum frei generierten Schlüssel, wo man mit anderen Web of Trust Mitglieder in Kontakt treten muss um seine Schlüssel signiert zu bekommen.
Aber nur weil man zahlt, heißt das noch nicht dass es sichere oder besser ist. Denn jedes System hat auch seine Nachteile, beispielsweise wenn die Zertifizierungsstelle den Schlüssel erzeugt und man diesen dann fertig übermittelt bekommt. Klingt erst mal bequem für einen selber, aber wer sagt das der Dienstleister nicht eine Kopie vom Privaten Schlüssel besitzt und sei es nur als Backup? Mit diesem Privaten Schlüssel wäre es möglich alle verschlüsselten Daten wieder zu entschlüsseln.
Ein Vorteil ist, dass die Dienstleister Zertifikate in den meisten Browsern, Betriebssystemen und E-Mail Programmen bereits vorinstalliert und als Vertrauenswürdig markiert sind. Leider kann es hier, wie auch bei den selbst generierten vorkommen, dass die Zertifikate ungültig werden. Dann müssen die Root-CA (Stammzertifikate) der Anbieter auch auf den Systemen für ungültig erklärt werden (Durch Update o.ä.).
Hier sind Stichwortartig einige Vor- und Nachteile aus meiner Sicht aufgelistet, ich übernehme keine Garantie auf Vollständigkeit:
Vorteile:
- Dienstleister Zertifikate sind in vielen Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen
- Einfache Einrichtung
- Support vom Dienstleister
- …
Nachteile
- Kostenpflichtig
- Vertrauen wird in die Hände des Dienstleisters gelegt
- Meistens nur 1,2 oder 3 Jahre gültig
- Dienstleister Zertifikat wird ungültig / Vertrauen geht verloren
- Dienstleister könnte eine Kopie vom Privaten Schlüssel besitzen
- Eigener Name wird nicht immer im Zertifikat übernommen
- …
Dem gegenüber stehen die Vor- und Nachteile von OpenPGP:
Vorteile:
- Andere OpenPGP Benutzer können meine Identität bestätigen. Vertrauen liegt im Web of Trust (Evtl. auch ein Nachteil)
- Kostenlos
- Gültigkeit kann selbst bestimmt werden (1,2 Jahre oder unbegrenzt)
- Verschlüsselungsstärke kann selbst bestimmt werden
- …
Nachteile:
- Einrichtung und Verwaltung erfolgt über extra Programme
- Jeder muss sich selbst um die Signierung kümmern (Web of Trust)
- Eigene Zertifikate werden nicht gleich vom Betriebssystem, Browser oder E-Mails Programm anerkannt / vertraut
- Für Laien vielleicht zu kompliziert
- …
Wer sich wie und wofür entscheidet ist jedem selber überlassen. Ich habe mich für die selbst erstellen Schlüssel entschieden, da diese mehr Vorteile und Sicherheit für mich aufweisen.
Kostenpflichtige Dienstleister:
- https://www.symantec.com/de/de/digital-id
- https://www.globalsign.com/de-de/sichere-email/
Kostenlose Dienstleister:
- https://www.dgn.de/dgncert/ (Nur für Heilberufsangehörige und Dienstleister im Gesundheitswesen)
Wiederholt erlebter Nachteil selbst erstellter Schlüssel: Werden insbesondere von den Mailservern größerer Firmen/Behörden gern automatisiert als ungültig abgewiesen. Bleibt nur, entsprechende Mails unsigniert noch einmal zu senden.