So weit, so gut. In den Sourcecode soll wohl noch, was man so hört, Einsicht gewährt werden, was meiner Meinung nach eine Grundvoraussetzung für solch eine Software ist. Der Hals ist mir aber in dem Moment angeschwollen, in dem ich las, das der Betreff der Mails entsprechend um einen Zusatz [signed] bzw. [ciphired] — nicht genug, dass schon unzählige Virenscanner und Spamfilter meinen, ihren Senf dem Betreff hinzufügen zu müssen. Das wird hoffentlich konfigurierbar sein… Gut, gerade letzter Punkt ist sehr subjektiv. Aber ein Produkt einer einzigen Firma, das alle dazugehörigen Dienste wie ein Zertifikatsverzeichnis, und seien sie noch so ausfallsicher verteilt und abgesichert, ist mir gerade im Securitybereich äusserst suspekt. Es bleibt also abzuwarten, wie sich das entwickelt und ob hier noch weitere Firmen mit hineingelassen werden. Auch die Überprüfung der Identität der Zertifikatsinhaber ist ein wichtiger Punkt, und die Erklärungen hierzu sind nicht sehr erleuchtend.

In many public-key cryptography solutions the user is required to blindly trust a thirdparty, like a classical certification authority (CA), that the issued certificate is still valid and has not been tampered with. Other systems, like PGP-based systems, require the user to perform manual verifications of an owner’s identity and integrity of a public key to find out if it is valid or not.

In the Ciphire system a user is not required to perform manual verifications and most importantly he is not required to blindly trust the Ciphire CA.

To achieve this, the Ciphire system uses, in addition to the usual CA certification, an automated fingerprinting system that provides the following:

- Verification, if a certificate for a particular user (email address) has been issued by the CA (non-repudiation of certificate issuance)
- Verification, that a certificate has not been modified after it has been issued by the CA (proof of certificate integrity)

Schreiben kann man das natürlich sehr schön, dass man hier keine Überprüfung machen müsse und Ciphire hier nicht blind vertrauen müsse. Ach ja? Und vielleicht hat Eve sich doch jeweils ein Zertifikat auf den Namen Alice und eines auf Bob ausstellen lassen? Wer versichert mir das, dass der Zertifikatsinhaber wirklich er ist. Denn scheinbar wird das ganze wieder einmal lediglich nur über ein challenge/response-Verfahren abgehandelt:

During this process, you will receive an email informing you about the operations. When these processes have been successfully completed you will receive a final email confirming the certification for your email address.

Nein, ich bleibe da erst einmal skeptisch.

Nachtrag am 2008-03-29: Wie ich gerade beim Herumsurfen gesehen habe, ist Ciphire mittlerweile (vermutlich bereits seits geraumer Zeit) abgekündigt worden. Da war die Skepsis wohl begründet…