emails mit qualifizierter elektronischer Signatur empfangen

Gern, viel Spaß damit.

Die Signatur muss für folgende Zwecke ausgestellt sein:

Garantiert dem Remotecomputer Ihre Identität
Schützt E-Mail-Nachrichten

und natürlich von einer Offiziellen CA unterschrieben sein.

Was genau ist bitte mit "qualifizierter" elektronischer Signatur gemeint?

Es gibt verschiedene Qualitäten der Signatur. Kategorie eins, die nur eine eMail-Abfrage voraussetzt, ist Spielkram. Die etwas gehobene Kategorie 2, die bestätigt dass eine eMail tatsächlich von dem angegebenen Server stammt, ist mit den in David integrierten Mittel realisierbar. Dabei wird einmalig per Postident geprüft, ob der Antragsteller der Signatur auch wirklich existiert. Was danach mit der versendenden Stelle passiert, dass interessiert nicht. Der Server kann samt Signatur-Zertifikat längst in Bangalore oder Hanoi stehen. Das merkt der Empfänger der eMails überhaupt nicht. Zudem wurden etliche Kategorie 2 Zertifikate in den letzten 2 Jahren gehackt und sogar die Zertifizierungsstellen imitiert.

Damit verschlüsseln macht auch wenig Sinn, solange die Verschlüsselung auf S/Mime beruht. Denn diese S/Mime Verschlüsselung wird bei jedem Provider vorübergehend aufgehoben, damit er die Mail auf Viren prüfen kann. Deswegen ist eine auf S/Mime basierende Verschlüsselung praktisch wertlos.

Höherwertige qualifizierte Signaturen (Kategorie 3) setzen Chipkarten-Systeme mit zertifizieren Lesegeräten voraus. Der eMail-Verkehr läuft dabei nicht über das normale eMail Netz. Statt dessen werden dedizierte Kommunikationswege benutzt, zum Beispiel in Intranet-Systemen von Konzernen.
Ein Ansatz zur öffentlichen Nutzung war und ist die DE- Mail der deutschen Post. Ein realisierter Weg ist auch das besondere elektronische Anwaltspostfach (beA), zum dem nur die bei den Anwaltskammern registrierten Änwälte Zugang haben. Die Kommunikation erfolgt dabei mit hoher Verschlüsselung und mit persönlichem Identitätsnachweis.

Kategorie 3 Zertifikate stellt auch die Bundesdruckerei aus. Sie sind als Merkmal zum Beispiel in neue Personalausweise integriert - sowohl optisch als auch elektronisch. Versuche, solche Kategorie 3 Zertifikate nachzubauen gab es daher etliche. Vor allem wer so leichtsinnig war, seinen Personalausweis beidseitig per Scan-Kopie einem "Internet-Dienstleister" zukommen zu lassen, hat schon einiges an Sicherheit aus der Hand gegeben.

??? Wie soll ein Provider die Verschlüsselung aufheben können, das ist doch ohne Private Key nicht möglich, und der sollte im Lokalen Zertifikatsspeicher liegen.

Eine Signatur wird auch nicht für einen Server sondern für eine eMail Adresse ausgestellt, dabei gibt es mehrere Überprüfungsstufen des Inhabers/Antragsstellers.
Daher kann ich die Aussage nicht verstehen wieso eine so Verschlüsselte E-Mail Wertlos sein soll? Vielleicht hab ich da ja was falsch verstanden, dann bitte ich um genauere Infos und Quellen.

Zitat von stylistics

??? Wie soll ein Provider die Verschlüsselung aufheben können, das ist doch ohne Private Key nicht möglich, und der sollte im Lokalen Zertifikatsspeicher liegen.

Eine Signatur wird auch nicht für einen Server sondern für eine eMail Adresse ausgestellt, dabei gibt es mehrere Überprüfungsstufen des Inhabers/Antragsstellers.
Daher kann ich die Aussage nicht verstehen wieso eine so Verschlüsselte E-Mail Wertlos sein soll? Vielleicht hab ich da ja was falsch verstanden, dann bitte ich um genauere Infos und Quellen.

alles gut. so wie ich das sehe hat arno das prinzip noch nicht verstanden.
außerdem scheint er mit signaturen für emails und server zertifikaten durcheinander zukommen. eine technische erklärung dafür wie ein provider eine via S/MIME verschlüsselte email aufbrechen will würde ich ja gerne mal sehen.

Selbst bei Server Zertifikaten ist es nicht möglich den Datenstrom der einmal mit dem Gültigen Zertifikat verschlüsselt wurde zu öffnen. Dann wäre Online NICHTS mehr sicher