De-Mail - wie könnte die Rede lauten ?

Bummibaer

Registered Schwarzbär
Erwin Schwärzer hält eine Rede zur Entwicklung von De-Mail: Liebe Genossinnen und Genossen, verkündet er lautstark, die Entwicklung und Verbreitung von De-Mail ist nicht aufzuhalten! Schon heute nutzen ein Fünftel aller Deutschen De-Mail und schon bald wird es ein Sechstel, ein Siebtel, ein Achtel, ein Neuntel und ein Zehntel sein!

(Natürlich hat er diese Rede so nie gehalten - is klar)

Gruß Bummibär
 
Hmm, die De-Mail scheint ja schon eine interessante Sache fuer moderne und sichere Kommunikation zu sein. Ich warte ja schon sehnsuechtig auf ein binary-blob unter /usr/ports/mail/de-mail, damit auch die FreeBSD user endlich mal gescheit mit den Behoerden kommunizieren koennen.
 
In jedem Fall ist es der Versuch die kostenlose E-Mail fast so teuer wie ein Standardbrief zu machen.
 
Und natürlich kann der Staat mitlesen. Ende zu Ende Verschlüsselung würde schließlich den legitimen Ansprüchen unserer Sicherheitsbehörden im Weg stehen.
 
Bei Heise habe ich heute gelesen man müsse 3 Administratoren bestechen um illegal Zugang zu bekommen. So wie ich es sehe reicht doch der Zugang zu der einen Verarbeitungsstufe in der die Mails für die Virenprüfung entschlüsselt werden.
 
Hi Kamikaze,
ja, der Zugang zu dieser Stufe reicht völlig aus. Hierfür musst Du nur physikalisch Zugang zu dieser oder remote Zugang zu dieser (direkt oder indirekt) erlangen. Eine Bestechung ist hierfür vermutlich viel zu viel Aufwand. Vermutlich reicht es schon eine Sicherheitslücke zu finden, welche man hierfür ausnutzen kann.
Gruß Bummibär
 
De-Mail ist ganz nuetzlich damit die Regierung einen vollspamt dass man doch bitte seinen 2jahre gueltigen Elektronischen Perso erneuern soll, natuerlich kann man dann (nur) Online bezahlen und das kostet dann einmalig nur 80 euro, dann bitte zum naechsten E-Perso automaten gehen, der spuckt einem dann schon die Karte aus. Fuer all jene die keinen Rechner haben stehen dann ueberall Terminals rum (natuerlich nur bezahlbar mit einem E-Perso, wo dann auch alle noetigen Bankdaten auf dem perso hinterlegt sind..), wie frueher Telefonzellen. Vergisst nicht den Spam zur aufforderung der Steuererklaerung, oder den Spam dass man doch bitte die Musik leiser stellen soll weil Nachbar XY sich beschwer hat... :huth:
 
DE-Mail war auch mal wieder eine perfekte Gelgenheit, ein gewisses ehemaliges Staatsunternehmen zu bereichern. Das Ergebnis ist wie gewohnt bestenfalls Mittelmaß.

Man kehrt mit DE-Mail die Beweispflicht um, das Briefgeheimnis wird aufgeweicht/ausgehebelt und nebenbei können die Betreiber auch noch in unsere Steuerdaten gucken. Von den Versandkosten garnicht erst angefangen. Also perfekt für alle Beteiligten aus Wirtschaft und Politik. Und dann noch das schöne neue Verwaltungsgesetz weil DE-Mail so wie es ist, eigentlich nicht sicher genug für die Behördenkommunikation ist *Facepalm*

Es wäre ja sinnvoll gewesen PGP/MIME zu nutzen und die Zertifikate der Nutzer einfach amtlich zu beglaubigen. Aber nein, das wäre wohl zu einfach, kostengünstig und Sicher gewesen.
 
De-Mail ist aber nicht der Kram wo aktuell die Werbung läuft mit der lächerlichen Aussage(aus dem Gedächtnis):
"Endlich wissen mit wem man kommuniziert".
 
Es wäre ja sinnvoll gewesen PGP/MIME zu nutzen und die Zertifikate der Nutzer einfach amtlich zu beglaubigen.

Wir leben ja in einer Gesellschaft von dummen Leuten, die so etwas einfaches wie PGP nicht verstehen. Ich habe schon oft gefragt was das Problem ist. Sie meinen alle es ist zu schwierig, aber bei der Frage ob sie sich informiert haben wie das funktioniert kommt "Nein.".

Manchmal frage ich mich wie die Leute überhaupt gelernt haben Essen zu sich zu nehmen, wenn sie bei einfachsten Sachen mit 2 bis 3 Funktionalitäten schon aufgeben.

Du kriegst es einfach nicht in die blöden Schädel der Leute rein. Das musst Du alles als Powerpoint auf 2 Folien vorkaufen als Werbung bei DSDS senden. Dann versteht's vielleicht einer oder zwei.
 
Wir leben ja in einer Gesellschaft von dummen Leuten, die so etwas einfaches wie PGP nicht verstehen.

Wir leben in einer Gesellschaft von narzisstischen Leuten, die ihr jeweiliges Anliegen für das wichtigste Anliegen überhaupt halten. :rolleyes:

Ich habe schon oft gefragt was das Problem ist. Sie meinen alle es ist zu schwierig, aber bei der Frage ob sie sich informiert haben wie das funktioniert kommt "Nein.".

Umgekehrt wird ein Schuh daraus: warum sollten sie sich informieren?
Die Anwender haben bisher gut ohne PGP gelebt und du konntest ihnen nicht vermitteln, warum sie sich in ihrer spärlichen Freizeit statt ihrem Hobby/Kind/Partner jetzt mit PGP beschäftigen sollten.

Manchmal frage ich mich wie die Leute überhaupt gelernt haben Essen zu sich zu nehmen, wenn sie bei einfachsten Sachen mit 2 bis 3 Funktionalitäten schon aufgeben.

Für die meisten Anwender ist es eine einfache Kosten/Nutzen-Rechnung: PGP bedeutet einiges an Aufwand und bringt ihnen keinen ersichtlichen Nutzen.
Folglich handeln sie vollkommen rational: sie lassen es bleiben.

Du kriegst es einfach nicht in die blöden Schädel der Leute rein.

Was hätte Otto Normalverbraucher denn von PGP?
  • Bei seinem Webmail-Interface (Gmail, Yahoo etc.) ist es nicht integriert
  • Auf seinem Smartphone ist es praktisch unbenutzbar
  • Er bekommt blöde Nachfragen von Leuten, ob er sich jetzt einen Virus eingefangen hat, weil seine Mails so komisches Zeugs haben
  • Keiner seiner Freunde/Bekannten nutzt PGP, somit verpuffen die etwaigen Vorteile
Er hat ausschließlich Nachteile - warum sollte er also PGP nutzen?
Das musst Du alles als Powerpoint auf 2 Folien vorkaufen als Werbung bei DSDS senden. Dann versteht's vielleicht einer oder zwei.

Willkommen in der Aufmerksamkeitsökonomie. Jeden Tag bekommen die Leute unzählige Male erzählt, warum sie unbedingt dieses und jenes benötigen, ohne dass sie es bisher vermisst hätten.

Im professionellen Umfeld kann man den entsprechenden Aufwand treiben, dort ist aber längst S/MIME der Industriestandard.

Ich habe viele Jahre lang meine Mails mit PGP signiert, aber selbst in meinem IT-affinen Umfeld war die Resonanz praktisch gleich null. Inzwischen lasse ich es ganz bleiben, weil bei meinem Kommunikationsprofil die Nachteile überwiegen.
 
Bei uns in CH gibt's 'was ähnliches.

Zuständig ist dabei die Post und über die geht dieser Service.
Mit der Kompatiblität scheint's mal nicht schlecht auszusehen, wobei für private Anwendung nur populäre Programme (Outlook, Thunderbird, InternetExplorer, Firefox, Safari usw usw) genannt sind.
Ja, das Ding soll genauso per Web wie selbstverständlich auch Client funtkionieren.
Auch mobile Geräte werden unterstützt (sogar Symbian).

Wie sicher dieser Dienst wirklich ist, liegt mir im Verborgenen.
Tatsache ist natürlich, dass man bei solchen Diensten immer auf Vertrauen angewiesen ist.

Wirklich gut finde ich das eigentlich nicht (egal ob DE-Mail oder Inca Mail). Halt einfach, weil das Ganze ja wieder zentral abgewickelt wird und man den Involvierten vertrauen muss.
Dass es auch noch kostenpflichtig ist, fand ich auch keine gute Idee.

Viel vernünftiger wäre es doch einen neuen, eben sicheren Nachfolger des E Mail zu lancieren welche dann ebenso Allgemeingut wäre die das bisherige.
Quasi Mail2.0 :)

Ob es nun weit hergeholt ist oder nicht, aber kann mir vorstellen, dass da mit dem Schlagwort "Sicherheit" sich andere als nur lieb gemeinte Ziele dahinter verbergen. Allen voran nämlich die Möglichkeit von Personaleinsparungen.
 
Wir leben in einer Gesellschaft von narzisstischen Leuten, die ihr jeweiliges Anliegen für das wichtigste Anliegen überhaupt halten. :rolleyes:

Ich habe ja niemanden gezwungen, es zu nutzen. Ich meckere nur über Leute, die "Das ist zu kompliziert!" sagen, bevor sie überhaupt ein paar Sachen dazu durchgelesen haben.

warum sie sich in ihrer spärlichen Freizeit statt ihrem Hobby/Kind/Partner jetzt mit PGP beschäftigen sollten.

Dazu gibt es zahlreiche gute Gründe, die sehr offensichtlich sind.

PGP bedeutet einiges an Aufwand und bringt ihnen keinen ersichtlichen Nutzen.

So wie in die Fahrschule gehen und Auto fahren lernen Aufwand bedeutet. Der Nutzen des Autofahrens ist schon von Vorteil.

Was hätte Otto Normalverbraucher denn von PGP?

Wdh.

  • Bei seinem Webmail-Interface (Gmail, Yahoo etc.) ist es nicht integriert
  • Auf seinem Smartphone ist es praktisch unbenutzbar
  • Er bekommt blöde Nachfragen von Leuten, ob er sich jetzt einen Virus eingefangen hat, weil seine Mails so komisches Zeugs haben
  • Keiner seiner Freunde/Bekannten nutzt PGP, somit verpuffen die etwaigen Vorteile

Das ist immer eine Sache der Verbreitung. Frage ist immer ob die Verbreitung sich lohnt. Und hier lohnt sie sich eindeutig.

Er hat ausschließlich Nachteile - warum sollte er also PGP nutzen?

Also Du unterstellst mir, ich empfehle Sachen, die ausschließlich Nachteile haben?

Willkommen in der Aufmerksamkeitsökonomie. Jeden Tag bekommen die Leute unzählige Male erzählt, warum sie unbedingt dieses und jenes benötigen, ohne dass sie es bisher vermisst hätten.

Im professionellen Umfeld kann man den entsprechenden Aufwand treiben, dort ist aber längst S/MIME der Industriestandard.

Das Problem ist eben, dass PGP die einzig kostenlose, wirklich sichere und deswegen auch praktikable Lösung sein kann. S/MIME scheitert an den ersteren beiden. Das ist eben ein Aufwand, nämlich etwas zuerst kaufen zu müssen! Im Endeffekt ist es also viel einfacher als jede Alternative, deswegen wähle ich es.

Ich habe viele Jahre lang meine Mails mit PGP signiert, aber selbst in meinem IT-affinen Umfeld war die Resonanz praktisch gleich null. Inzwischen lasse ich es ganz bleiben, weil bei meinem Kommunikationsprofil die Nachteile überwiegen.

Ich signiere immer und bekomme eher im professionellen Umfeld durchaus Vorteile. Verschlüsselung ist Pflicht, wenn man Privates oder gar Intimes mit der Familie austauscht.
 
Das Problem ist eben, dass PGP die einzig kostenlose, wirklich sichere und deswegen auch praktikable Lösung sein kann. S/MIME scheitert an den ersteren beiden. Das ist eben ein Aufwand, nämlich etwas zuerst kaufen zu müssen! Im Endeffekt ist es also viel einfacher als jede Alternative, deswegen wähle ich es.
S/MIME ist keineswegs zwingend kostenpflichtig. Klar, Zertifikate selbst erstellen zählt - wenn ich mir die Beiträge so durchlese - nicht zu den trivialen Aufgaben. Dennoch ist es möglich. Dass man dann das Zertifikat der "Ausgabestelle" als Empfänger ebenfalls importieren muss, hat man auch bei kommerziellen Ausgabestellen.
 
Zuletzt bearbeitet:
Dazu gibt es zahlreiche gute Gründe, die sehr offensichtlich sind.

Offensichtlich nicht, sonst hätte der jeweilige Ansprechpartner PGP zwischenzeitlich im Einsatz. ;)

So wie in die Fahrschule gehen und Auto fahren lernen Aufwand bedeutet. Der Nutzen des Autofahrens ist schon von Vorteil.

Der (auch offensichtliche) Nutzen des Autofahrens für das jeweilige Individuum ist aber so gewaltig, dass die dafür notwendigen Anstrengungen und Kosten klein genug sind - so teuer der Führerschein und der Unterhalt bzw. Betrieb eines Autos auch sind.

Das ist immer eine Sache der Verbreitung. Frage ist immer ob die Verbreitung sich lohnt. Und hier lohnt sie sich eindeutig.

Lohnt sich für wen? Für die meisten Anwender würde sich PGP erst lohnen, wenn es
  • einfach einzusetzen
  • überall verbreitet
ist. Bis dahin bedeutet es für die meisten Anwender nur Aufwand, den sie logischerweise scheuen.

Ich würde es auch begrüßen, wenn jeder PGP einsetzen würde. Solange PGP aber nicht eine kritische Masse an Anwendern erreicht, bringt der Einsatz von PGP für die meisten Anwender mehr Nach- als Vorteile.

Also Du unterstellst mir, ich empfehle Sachen, die ausschließlich Nachteile haben?

Das habe ich nicht und will ich auch nicht.
Wenn sich aber für jemanden - wie in diesem Fall unser Anwender - keinerlei Vorteile ergeben, warum sollte er dann den Aufwand treiben?
Welche Motivation sollte er haben?

Solange er keine Motivation hat, setzt er kein PGP ein, und damit erreichen wir nicht die kritische Masse an PGP-Benutzern, die PGP lohnenswert machen würde.

Das klassische Henne-Ei-Problem.

Das Problem ist eben, dass PGP die einzig kostenlose, wirklich sichere und deswegen auch praktikable Lösung sein kann.

Ich bezweifele die Schlussfolgerung. In Sachen Praktikabilität sieht es - vor allem im großflächigen Unternehmenseinsatz - bei PGP sehr bescheiden aus.
Zumal du den Faktor Zeit mit einrechnen musst: die Beschäftigung mit der Thematik und der Einsatz von PGP erledigt sich nicht von alleine. Zeit ist begrenzt.

S/MIME scheitert an den ersteren beiden. Das ist eben ein Aufwand, nämlich etwas zuerst kaufen zu müssen!
Im angesprochenen professionellen Umfeld sind die Zertifikatskosten vernachlässigbar (vgl. der Beitrag von Columbo0815) und S/MIME sicher genug.

Der großflächige Einsatz von PGP (das viele Anforderungen überhaupt nicht abbilden kann) verursacht außerdem an anderer Stelle Kosten, von denen man die Zertifikate für die nächsten 100.000 Jahre bezahlen kann. Bei Bedarf kann ich das gerne erläutern.

Im Endeffekt ist es also viel einfacher als jede Alternative, deswegen wähle ich es.

So trivial, wie du den Einsatz von PGP hier darstellst, ist er nicht. Für das technisch versierte Publikum dieses Forums im individuellen Mailaustausch mag das so sein; wir sind aber nur eine verschwindend kleine Minderheit.

Versteh mich nicht falsch, ich finde PGP auch klasse, aber PGP wird meines Eindrucks nach in absehbarer Zeit weit unterhalb der kritischen Masse an Anwendern bleiben.

Verschlüsselung ist Pflicht, wenn man Privates oder gar Intimes mit der Familie austauscht.

Das muss jeder selbst entscheiden. Meist scheitert es schon an der Praktikabilität, den Thomas Mustermann wird seiner Oma kaum beibringen (wollen), wie sie PGP einsetzt. Dafür ist sein Leben zu kurz.
 
Zuletzt bearbeitet:
Ich weiß überhaupt nicht wo die Probleme für Euch bei PGP sind. Es wird immer gesagt, es sei schwierig, aber nie konkret ein Problem genannt. Was ist denn nun Euer konkretes Problem mit PGP bezüglich der tiefen unglaublichen IT-Experten-Kenntnisse, die man dazu haben muss?

Sicher kann man bei S/MIME selbst eine CA betreiben und das wäre sicherlich eine viel sicherere Variante, als sich von einer wildfremden (und womöglich auch noch kaputten) CA betreuen zu lassen. Aber damit schafft man Zersplitterung in kleine Trust-Gruppen und die Unterstützung des Vertrauensnetzes wie bei PGP gibt es da nicht, welches das PGP-System zu einem ähnlichen System wie einem sozialen Netz macht. Zweitens, nicht eine CA entscheidet wer vertrauenswürdig ist, sondern ich persönlich. Ich muss also logischerweise meine eigene CA sein. S/MIME verleitet dazu das Vertrauensproblem unsicher zu machen, indem es das Problem bagatellisiert. Saugefährlich ist das!

Ich wurde schon früher mal ausgelacht und niemand hat mir damals geglaubt, dass die Zeit kommt, wo CAs nicht vertrauenswürdig sind. Dieser Punkt ist jetzt abgehakt und keiner lacht mehr nach den ganzen CA-Hacks in jüngster Vergangenheit.

Natürlich braucht ihr PGP nicht, wenn ihr nicht E-Mails verschlüsseln wollt. Keiner zwingt Euch dazu (um Gottes Willen!). Das ist meine persönliche Vorsichtsmaßnahme. Ich möchte nicht in 10 Jahren erfahren, dass jemand meine privaten E-Mails von einem Konto abgezwackt hat und irgendwo veröffentlicht hat, um mich bloßzustellen. Es ist rein zur Vorbeugung. Es ist wohl bekannt, dass Behörden auf E-Mails zugreifen und so wie alle in der Kette der Datenübermittlung mit persönlichen Daten umgehen, landen diese E-Mails früher oder später irgendwo in fremden Händen (Naturgesetz!). Da ist man besser bedient, wenn man nicht zu viel Intimes von sich gibt.

Was ihr macht, ist wie gesagt mir persönlich total egal. Ich will ja, dass Ihr auf die Schnauze fliegt, denn aus Fehlern werden am schnellsten richtige Entscheidungen gefasst. Da regelt sich alles von selbst irgendwann.

Was ich nur stets sage ist, dass PGP einfach ist und dabei bleibe ich, bis mir konkrete Probleme aufgezählt werden, die PGP als unbenutzbar schwierig darstellen. Ich wiederhole noch einmal: es hat noch nie jemand dazu etwas konkretes gesagt. Immer nur "Ich habe darüber zwar nicht gelesen, aber ich weiß, dass es schwierig ist". Und so eine Aussage hinterlässt bei mir einen Eindruck, mit Bekloppten zu tun zu haben.
 
Wie wird es denn bei PGP gehandhabt, wenn man eine mail verschluesselt an einen Verteiler schicken will? Beispielsweise in einer Firma an sec-team@domain.tld und die soll verschluesselt sein.
 
Ich sage nur, dass ich kein PGP brauche. Das hat nichts damit zu tun, ob's einfach oder schwierig in der Handhabung ist.

Fakt ist, es bringt ja nicht viel, wenn es kaum bis gar nicht benutzt wird. Natürlich könnte man nun damit anfangen... Aber es wird wohl kaum dazu führen, dass technisch weniger versierte Leute darauf umsteigen.

Selbst heute ist es noch nicht für jeden Anwender selbstverständlich sich unter Windows einen Virenscanner zu installieren, solange das System läuft. Dank eingebauter Firewall, Router und sowas muss das in vielen Fällen auch gar nicht der Fall sein. Aber wenn dann mal was passiert, ist sowas natürlich ganz nett. Vorher wird sich diese Situation nicht ändern.
 
Darf ich da mal mit meinem Halbwissen dazwischengehen und ggf. um Richtigstellung bitten? Also, der einzig wesentliche Unterschied zwischen S/MIME und PGP/MIME ist doch die Frage der Schlüsselweitergabe.
S/MIME verlangt, daß eine dieser offiziellen Certification Authorities (CAs) meinen öffentlichen Schlüssel (i. d. R. kostenpflichtig) signiert, und jeder, der ihn bekommt und besagter CA vertraut, kann sicher sein, daß der Schlüssel auch meiner ist. Nakal findet, daß diese CAs nicht unbedingt vertrauenswürdig seien und mir deshalb jemand einen verkehrten öffentlichen Schlüssel unterjubeln könne. Mag sein, aber das merke ich doch spätestens dann, wenn verschickte E-mails entweder nicht ankommen oder sich nicht entschlüsseln lassen. Also sollte die Sache nach ein paar E-mails auffliegen. Innerhalb eines festen "Biotops", z. B. einer Firma, sollte das die beste Lösung sein, weil die Firma selbst als CA fungieren kann. Noch besser wäre natürlich eine Regierungsstelle als CA. Gibt es so etwas in Deutschland? In Rußland haben sie das interessanterweise; ich hatte unlängst ein von der russischen Regierung signiertes Zertifikat.
PGP/MIME verwendet ein "Web of trust", d. h. einen vertrauenswürdigen Freundeskreis. Hugo hat mir den öffentlichen Schlüssel von Alfred geschickt. Ich vertraue Hugo nur halb, aber Rita vertraut ihm und ich vertraue Rita, auch mein Bruder Erwin vertraut Hugo, also kann ich einigermaßen sicher sein, daß das, was ich von Hugo bekommen habe, glaubhaft ist. Oberhalb einer kritischen Benutzerdichte ist das, wie Azazyel sagt, ja ganz toll, aber die Aussagen bleiben immer ein wenig unscharf, und ein Entscheidungsträger in einer Behörde oder Firma wird sich davon wohl kaum überzeugen lassen.
Das Programm GNUPG unterstützt ja beides. Frage an die, die sich damit auskennen: Kann man beides auch kombinieren? Kann ich CA-signierte Zertifikate in einem Web-of-trust verwenden, um notfalls, wenn selbiges nicht weiterhilft, dann halt zu entscheiden, ob ich der CA vertrauen will?
 
Ich weiß überhaupt nicht wo die Probleme für Euch bei PGP sind. Es wird immer gesagt, es sei schwierig, aber nie konkret ein Problem genannt. Was ist denn nun Euer konkretes Problem mit PGP bezüglich der tiefen unglaublichen IT-Experten-Kenntnisse, die man dazu haben muss?

Wir (d.h. die Forumsteilnehmer) haben kein Problem damit.
Aber Otto Normalverbraucher, der nicht einmal das Verschlüsselungssymbol für HTTPS im Browser interpretieren kann, soll jetzt auf einmal Kryptographie, PKI, Vertrauensnetz und den ganzen Rest verstehen, anwenden und Grenzfälle korrekt beurteilen?
In welchem Paralleluniversum soll das funktionieren?

Sicher kann man bei S/MIME selbst eine CA betreiben und das wäre sicherlich eine viel sicherere Variante, als sich von einer wildfremden (und womöglich auch noch kaputten) CA betreuen zu lassen.

Sicherheit ist keine boolsche Algebra. Die Sicherheit der Vertrauenskette von PGP nimmt mit zunehmender Entfernung rapide ab und landet schnell hinter CAs.

Aber damit schafft man Zersplitterung in kleine Trust-Gruppen und die Unterstützung des Vertrauensnetzes wie bei PGP gibt es da nicht, welches das PGP-System zu einem ähnlichen System wie einem sozialen Netz macht.

Das Vertrauensnetz skaliert nur leider nicht, wie auch Tronar festgestellt hat.
Wenn ich die Wahl habe, einer Vertrauenskette mit 42 Stationen zwischen mir und dem Empfänger meiner Mail zu vertrauen oder einer CA, fällt die Wahl nicht schwer.

Zweitens, nicht eine CA entscheidet wer vertrauenswürdig ist, sondern ich persönlich.

Verlasse mal für einen Augenblick das einfache Problem der verschlüsselten Kommunikation im persönlichen Umfeld, das sich mit PGP noch erschlagen lässt.
Wie wickelst Du mit PGP das Bedürfnis nach verschlüsselter Kommunikation zwischen zwei Konzernen ab?

Ich muss also logischerweise meine eigene CA sein. S/MIME verleitet dazu das Vertrauensproblem unsicher zu machen, indem es das Problem bagatellisiert. Saugefährlich ist das!

S/MIME löst ein Problem - wenn auch nicht perfekt -, das PGP gar nicht löst.

Ich wurde schon früher mal ausgelacht und niemand hat mir damals geglaubt, dass die Zeit kommt, wo CAs nicht vertrauenswürdig sind. Dieser Punkt ist jetzt abgehakt und keiner lacht mehr nach den ganzen CA-Hacks in jüngster Vergangenheit.

Dafür betreibt man Risikomanagement. Außerhalb des unmittelbaren Umfelds sind CAs immer noch sicherer als eine lange Vertrauenskette, wie sie bei PGP unvermeidbar wäre.

Natürlich braucht ihr PGP nicht, wenn ihr nicht E-Mails verschlüsseln wollt.

Bitte keine Unterstellungen. Wir wollen unsere E-Mails verschlüsseln.

Keiner zwingt Euch dazu (um Gottes Willen!). Das ist meine persönliche Vorsichtsmaßnahme. Ich möchte nicht in 10 Jahren erfahren, dass jemand meine privaten E-Mails von einem Konto abgezwackt hat und irgendwo veröffentlicht hat, um mich bloßzustellen.

Leider gehst Du nicht auf das eigentliche Problem ein.
Das Problem ist, dass PGP nur im unmittelbaren, IT-affinen Umfeld funktioniert und im Unternehmenseinsatz praktisch unbekannt ist.

Da ist man besser bedient, wenn man nicht zu viel Intimes von sich gibt.

Das gilt unabhängig von PGP und vom Kommunikationsmedium.

Was ihr macht, ist wie gesagt mir persönlich total egal. Ich will ja, dass Ihr auf die Schnauze fliegt, denn aus Fehlern werden am schnellsten richtige Entscheidungen gefasst. Da regelt sich alles von selbst irgendwann.

Hervorragende Idee! Wir setzen also ab sofort PGP ein.
Morgen früh schicke ich eine Mail an einen Kunden, der leider kein PGP einsetzt und auch nicht einsetzen wird, weil er aus juristischen Gründen alle E-Mails in einem lesbaren Format archivieren muss.
Wie kriege ich jetzt noch gleich mit PGP meine Kommunikation verschlüsselt?

Leider können sich viele von uns nicht der Illusion hingeben, wir könnten PGP in die Welt hinaustragen und würden mit offenen Armen empfangen werden.
Viele von uns müssen uns mit realen Problemen herumschlagen, und wenn sich diese Probleme mit PGP nicht lösen lassen, kommt eben ein anderes Tool zum Einsatz. Man muss S/MIME und CAs nicht lieben, aber es ist eben in vielen Fällen das Mittel der Wahl.

Was ich nur stets sage ist, dass PGP einfach ist und dabei bleibe ich, bis mir konkrete Probleme aufgezählt werden, die PGP als unbenutzbar schwierig darstellen.

Zwischen "einfach" und "unbenutzbar schwierig" gibt es leider noch die Kategorie "für normale Anwender zu kompliziert".

Ich wiederhole noch einmal: es hat noch nie jemand dazu etwas konkretes gesagt. Immer nur "Ich habe darüber zwar nicht gelesen, aber ich weiß, dass es schwierig ist". Und so eine Aussage hinterlässt bei mir einen Eindruck, mit Bekloppten zu tun zu haben.

Nachdem wir hier fast alle der Meinung sind, es ist für normale Anwender zu schwierig, werden die Anwender von der Komplexität der Materie wohl einfach erschlagen und streichen die Segel.

Uns würde nach wie vor interessieren, wie Du mit PGP die angesprochen Aufgaben (z.B. lockdocs Frage) lösen würdest. Diesbezüglich kam von Deiner Seite bisher gar nichts.
 
Zuletzt bearbeitet:
Wie wird es denn bei PGP gehandhabt, wenn man eine mail verschluesselt an einen Verteiler schicken will? Beispielsweise in einer Firma an sec-team@domain.tld und die soll verschluesselt sein.

Dann erstellt man einen öffentlichen schlüssel, der wird veröffentlich und jeder kann Ihn nutzen um Nachrichten an die Liste zu verschlüsseln. Alle Listenteilnehmer erhalten den privaten schlüssel.

Wäre recht umständlich bei fluktuierenden Teilnehmern.

@Azazyel:
Also ich finde auch das man einem Nutzer, der seine Emails verschlüsseln möchte, warum auch immer. Es zumuten sollte sich in PGP oder andere Tools einzuarbeiten. Jedem dem dass zu aufwendig erscheint, dessen Schutzbedürfniss scheint nicht ausreichend groß genug zu sein um den Aufwand zu rechtfertigen.

Was man aber meines erachtens nach nicht braucht, ist ein Tool, dass vom Gesetzt als sicher definiert wird. Da wird doch dem doofen Nutzer etwas vorgegaukelt was nicht den Tatsachen entspricht.

Ich verstehe auch nicht so ganz, was es mir nützen soll wenn der Transportweg zum Amt hin zertifiziert ist und verschlüsselt. Das System auf dem Amt wo meine Daten landen, jedoch offen wie ein Scheunentor ist und der schützenswerte Inhalt der E-Mail,dort 1:1 hineinkopiert wird.

Wenn dem Nutzer dann das Passwort abhanden kommt kann man den Account auch einfach übernehmen und in seinem Namen Zertifizierte E-Mails raus hauen. Das funktioniert ja auch im PGP-Verfahren.

Für mich ist die De-Mail eine reine Subventionierung von gewissen Großkonzernen die eine neue Einnahmequelle benötigen.

Es ist ja nicht so, dass es die Infrastruktur nicht schon in anderen Bereichen geben würde:

https://www.pki.dfn.de/

Dort kann jeder Student über seine Hochschule ein Zertifikat erhalten gegen Vorlage eines Personal-Ausweises und der öffentliche Schlüssel findet sogar, wenn man denn möchte, den Weg auf die Key-Server. Wesentlich günstiger und meines erachtens nach auch sinnvoller als die De-Mail. Derjenige der ein Schutzbedürfnis hat, dem kann man auch zumuten sich einzuarbeiten, alle anderen haben eh kein ausreichendes Interesse oder eben Bedarf.
 
hi

das krasseste an der de-mail ist die beweislast umkehr.
d.h. man muss als empfgaenger nachweisen das die mail nicht bekommen hat.

zz beim behoerdenbrief auf klassischen enschreiben etc weeg muss die behoerde es
nachweisen.

fuer mich ein no go ..........

holger
 
Wir (d.h. die Forumsteilnehmer) haben kein Problem damit.
Aber Otto Normalverbraucher, der nicht einmal das Verschlüsselungssymbol für HTTPS im Browser interpretieren kann, soll jetzt auf einmal Kryptographie, PKI, Vertrauensnetz und den ganzen Rest verstehen, anwenden und Grenzfälle korrekt beurteilen?
In welchem Paralleluniversum soll das funktionieren?

Auch dafür ließe sich, wenn der wille da ist, eine einfach nutzbare Anwendung/Client entwickeln. Tu bitte nicht so, als wäre der Sachverhalt übertrieben kompliziert. Im übrigen kann ich aus Erfahrung sagen, dass der Ottonormalnutzer auch lernfähig ist, wenn es ihm aufgezwungen wird und er es lernen muss.
 
Zurück
Oben