S/MIME Schlüsselerzeugung sicher?

Hi,
wo siehst du gegensätzliche Aussagen?

Zitat

Man kann die komplette Generierung des privaten und öffentlichen Schlüssels dem Anbieter überlassen und muss darauf vertrauen, dass dieser keine Kopie des privaten Schlüssels inklusive Passwort für den Zugriff speichert

Man kann, man muss aber nicht, und man sollte auch nicht...

Zitat

Und wie kann man überprüfen, welche Interaktionen bei welchem Anbieter von Zertifikaten von einem Webinterface ausgeführt werden?

Gar nicht, vermutlich.

Wenn du auf der Webseite ein Eingabefeld findest in welches der Zertifikat-Request kopiert werden soll/muß dann gilt Aussage 1 (der private Schlüssel verläßt deine Maschine nicht). Wenn du nach Angabe von ein paar Daten eine Datei mit Zertifikat und privatem Schlüssel runterladen kannst weiß nur der Aussteller was alles mit deinem privaten Schlüssel passiert. Falls nach der Angabe der Daten ein Zertifikat/Key Paar in deinem persönlichen Zertifikatspeicher im Browser liegt wurden die Browserfunktionen benutzt und der Schlüssel hat deinen PC auch nicht verlassen solange keine Sicherheitslücke im Browser ausgenutzt wurde.

Die erste ist die sicherste Methode, die dritte akzeptabel, die zweite sollte man vermeiden.

Gruß

Andi