Verschlüsselt Ihr Eure eMails?

[Kamikaze]

Und bis heute sind Autos nicht diebstahlsicher. Die Auto-Industrie bekommt also auch nicht hin was du von der E-Mail Kommunikation verlangst.

Falls es dir noch nicht aufgefallen ist, die Bedienung eines Autos ist sehr komplex und das sichere vorankommen im Verkehr musst du alles selbst erledigen. Nur auf Grund eines intensiven Trainings und zahlreichen Regeln, die für halbwegs zuverlässige Umstände sorgen ist das für einen Menschen überhaupt machbar. Wenn sich jemand nicht daran hält gibt es schnell Tote.

E-Mails sind deutlich einfacher zu verwenden und selbst mit Verschlüsselung ist das ganze immer noch viel einfacher als ein Auto.

Abgesehen davon ist der Vergleich E-Mail/Auto ziemlich unpassend und lächerlich. Ich denke der Thread gehört geschlossen.

 

[mapet]

bei einem auto musst du dich aber auch mit den grundlagen (verkehrsregeln und theorie) auskennen. bei thunderbird kannst du enigmail nehmen (als plugin zu installieren). das startet dann bei der ersten verwendung einen assistenten (ich hasse dieses wort), der dich an die hand nimmt und dir nen gpg-schlüssel verpasst. dann kannst du den auf einen keyserver hochladen oder sonstwas damit machen. einfacher gehts fast nicht.

schraubst du dein auto selber oder gehst du damit zur werkstatt, wenn irgendwas nicht funktioniert? aha, was machen die meisten leute mit ihrem computer? und warum ist das so?

 

[bsdagent]

Abend

Abgesehen davon ist der Vergleich E-Mail/Auto ziemlich unpassend und lächerlich. Ich denke der Thread gehört geschlossen.

Sehe ich nicht so . Nur weil einer irgendwelche Autos oder was auch immer unpassende vergleiche anwendet, sollte dieser Thread weiter laufen. Es ist verdammt wichtig, dass die User endlich mal E-Mail Kryptographie anwenden und dazu auch mal ihre probleme schildern können.

Denn laut Statistik wollen viele E-Mail Kryptographie , nur können Sie es entweder nicht einrichten oder Ihre Software unterstützt es nicht .

88.14% Benutzen, versuchen oder möchten E-Mail verschlüsselung.

11.86% Intessiert die eigene Privatsphäre nicht und noch weniger die von anderen und haben auch freude an manipulierten E-Mails.

Stand 14.06.2008 mit 59 Stimmen.

Wenn die Software es nicht unterstützt, dann empfehle ich allen auf eine andere umzusteigen .

Gruss
bsdagent

 

[FreeBSDuser]

Könnten bitte diese grässlichen Vergleiche weggelassen werden ? - Sie helfen nicht nur nicht, sie machen alles zusätzlich hässlich.

Emails zu verschlüsseln könnte einfach sein ! Ist es aber nicht!

z.B. könnte in jeden Mailserver ein Keyserver integriert sein, den der Client abfragt wenn kein Key vorhanden ist. Oder es könnte sich mal endlich auf ein Format geeinigt werden, S/MIME GPG PGP blablabla, ...

Es könnten sich Clients auf eine Einheitliche darstellung und Formulierung einigen bei TLS, SSL, SSL2, GPG, PGP, Ports, mailserver-subdomains für SMTP IMAP POP3 blablabla.

Der Private-Key mit einem Passwort könnte im Mailaccount gespeichert sein, dann könnte man ihn mit dem Client abrufen. Die Public-Keys meiner Kontakte könnten im Account liegen.

Warum ist das nicht so ?
Weil jede hässliche Firma denkt sie is besser als andere oder meint eine Einzelstellung einnehmen zu müssen.

Scheisse ws ist zeit für EMAIL-2.0, schön XML, GPG und alles.

 

[nakal]

Emails zu verschlüsseln könnte einfach sein ! Ist es aber nicht!

Hast Du es ausprobiert? Bei mir ist es im Mail-Client voll integriert. Ich merke davon nichts. Ich habe ein Plugin für GnuPG geladen und habe Signaturen standardmäßig für alle angeschaltet. Wenn ich einen Public Key zu der Adresse habe, dann wird verschlüsselt geschickt. Das einzige was "kompliziert" ist, ist das Passwort womit ich jede Mail signiere.

Da gibt es eine Passwortabfrage! Unglaublich schwierig!

Der Private-Key mit einem Passwort könnte im Mailaccount gespeichert sein,

Nochmal nein. Das wurde schon angesprochen.

Die Public-Keys meiner Kontakte könnten im Account liegen.

Die öffentlichen und privaten Schlüssel sind Account-unabhängig. Die haben da nichts verloren.

 

[FreeBSDuser]

@nakal: Was hast du eigentlich für ein Problem?

Manche würden auch Windowmanager und GUIs verbieten, denn sie vereinfachen ja die so schön unnötig komplexen Vorgänge.

Enigmail? Klick-Klack Passwort Abfrage? Ja, wenn ich Thunderbird, Enigmail installiert habe und es dann noch eingerichtet hab. Dann muss ich aber diesen Kram da haben um zu verschlüsseln.

Warum einfach, wenn es kompliziert geht.

 

[nakal]

Hmm... ich habe jetzt nicht verstanden was Du meinst.

Ich habe mit Verschlüsselung keine Probleme. Ich kann Ports so konfigurieren, dass mir alles gebaut wird, dass ich GnuPG einsatzbereit habe.

 

[jtsn]

Kryptographische Signatur bei E-Mails will man nicht, zusammen mit Klartext schon gar nicht.

 

[indy]

> Kryptographische Signatur bei E-Mails will man nicht, zusammen mit Klartext schon gar nicht.

Warum?

 

[nakal]

Er spricht für sich. Ersetze einfach "man" durch "ich" in seinem Satz.

Man muss nicht alles signieren, so wie ich das tue. Aber einige Sachen schon, wenn man E-Mail als ein überhaupt brauchbares Medium verstehen will. Sonst kann ja jeder behaupten, dass er ich sei. Ist auch schon wahrscheinlich dutzende Male passiert. Da habe ich keinen Zweifel.

 

[Athaba]

Man muss nicht alles signieren, so wie ich das tue. Aber einige Sachen schon, wenn man E-Mail als ein überhaupt brauchbares Medium verstehen will. Sonst kann ja jeder behaupten, dass er ich sei. Ist auch schon wahrscheinlich dutzende Male passiert. Da habe ich keinen Zweifel.

hihi, ja das ist witzig.

Ich hatte mal einen Schulkollegen, der immer meinte, dass er der "ur-uber-leet-haxxor" sei. Er konnte sogar ein bisschen HTML (mit Dreamwaver und Frontpage *g*). Da ich immer lachen musste meinte er "ich kann besser FTP Server hacken, als du". Irgendwie ergab es sich dann jedenfalls, dass ich ihm eine Mail mit einer FBI-Adresse schickte. Der Typ war voll schockiert und begann mich als "ur Haipakrecker" zu vergöttern.
War ziemlich witzig das Ganze. Mit Signaturen wäre es nicht möglich gewesen.

@jtsn:
Ich nehme mal an, dass du deine RL-Unterschrift auch nur unter verschlüsselte Texte setzt, oder wie war das gemeint?

 

[jtsn]

> Kryptographische Signatur bei E-Mails will man nicht, zusammen mit Klartext schon gar nicht.

Warum?

Alles, was man kryptographisch signiert, kann (u. U. Jahre später) auch gegen einen verwendet werden.

 

[Athaba]

Alles, was man kryptographisch signiert, kann (u. U. Jahre später) auch gegen einen verwendet werden.

Nahezu alles kann gegen dich verwendet werden. Egal, ob es eine kryptographische oder nicht kryptographische Unterschrift, eine nicht signierte eMail, ein Foto, ein Fingerabdruck, eine Aussage auf einem Tonband oder sonst etwas ist.

Wenn du irgendwelche blöden Aussagen machst, dann ist es wohl egal, ob signiert oder unsigniert.

Aber, wenn ich Aussage mache, von der niemand (außer der Empfänger) etwas wissen soll, dann muss ich das so und so verschlüsseln. Schau dir mal an, wie viele schon schuldig gesprochen wurden, obwohl nichts signiert war.

 

[Kesar_Neron]

Ich verschlüssele aus Prinzip. Wir sind nicht in einer Zeit, bei der es zu performance Problemen kommt, also warum nicht. Emails sind Postkarten, keine Briefe. Und ebenso behandle ich sie auch.

Schade nur, dass in meinem Umfeld bis auf genau 2 (in Worten "zwei") Ausnahmen NIEMAND mit macht... aus meiner sicht=Traurig.

 

[Endorphine]

Und bis heute sind Autos nicht diebstahlsicher. Die Auto-Industrie bekommt also auch nicht hin was du von der E-Mail Kommunikation verlangst.

Doch, dank solcher Dinge wie einer Wegfahrsperre werden jetzt eher die Autoschlüssel aus der Wohnung geklaut oder die Autoschlüssel werden den Menschen unter einem Vorwand abgenommen.

Es wäre aus meiner Sicht schon sehr viel erreicht, wenn man bei E-Mail die private Keys zur Entschlüsselung und Signierung klauen müsste (Analogie zum schlechten Autobeispiel), um die Mails von jemandem auf dem Server lesen zu können und die Identität desjenigen anzunehmen. Aber die Infrastruktur ist per default bei keinen Durschnittsempfängern vorhanden und damit funktioniert es nicht.

Und genau hier könnten die großen Mail-Anbieter wie Business-Mailserver Entwickler und Internet-Mailprovider anfangen, eine Infrastruktur aufzubauen. Solange das nicht geschehen ist und nur einzelne Geeks S/MIME, PGP oder sonstwas empfangen können, wird sich nichts wesentlich ändern.

 

[Amin]

Doch, dank solcher Dinge wie einer Wegfahrsperre werden jetzt eher die Autoschlüssel aus der Wohnung geklaut oder die Autoschlüssel werden den Menschen unter einem Vorwand abgenommen.

Du scheinst wenigstens informiert zu sein. Autoschlüssel klauen ist aber immer noch zu umständlich. Der BMW X5 ist das meist geklaute Automodell in Deutschland. Obwohl er unknackbar ist! Lösung? Die Diebe fahren dreist mit einem Abschleppdienst-Wagen vor und laden den X5 einfach auf. Und ab damit! Im Ausland wird er dann in Ruhe "entschlüsselt" bzw. demontiert. Achja, Autos werden heute auch garnicht mehr geklaut. Es werden eher Airbags und fest eingebaute Navis geklaut. Eben weil die Autos eine sehr gute Wegfahrsperre haben.

D.h. mit einem Computer wäre das vergleichbar, in dem man einfach die Hardware klaut. Das eigentliche Aufknacken/Entschlüsseln wird dann woanders in aller Ruhe gemacht, wenn man mit der Festplatte über alle Berge ist.

 

[bsdagent]

Morgen

Muss das sein, dass Thema Auto ist doof. Vergisst Autos, Haustüren, Postkarten oder was auch immer.

Hab im Betrag #78 genau geschildert, wie die aktuelle Situation ist.

E-Mail Kryptographie will man!!!

Da aktuell 20 nicht wissen wie und 12 es wegen Software nicht können, muss da was gemacht werden.

Immer lautes gehäule wenn es um überwachung geht, doch wenns dan an die sach geht, ziehen sich alle zurück hrhr. Wo sind den die experten, wenn man sie braucht .

Ich werde demnächst ein Wiki eintrag über E-Mail Kryptographie erfassen, sobald ich mit meiner doku halbwegs vorann komme.

Gruss
bsdagent

P.S. Hoffe Ihr bleibt beim Thema: Verwendet Ihr es, wo sind eure Probleme, welche Software nutzt Ihr, warum nutzt Ihr keine Krypto. Und lasst die vergleiche bitte weg, danke . Ich hoffe dieser Thread wird net geschlossen, den es ist wirklich wichtig darüber zu diskutieren.

 

[nakal]

Zur Zeit häufen sich Fälle, wo Vertrauensmissbrauch bei E-Mails nachgewiesen worden ist. Das zeigt, dass E-Mails nicht vom Briefgeheimnis umfasst sind. Viele Leute meinen außerdem, dass sie Recht hätten, den eigenen Betrieb auszuspionieren. Und alle wundern sich! Oh mann... das ist naiv. Die Annahmen muss sein, dass es kein Vertrauen geben kann und dass alles ausgenutzt wird. Das Gesetz wird Kriminelle nicht stoppen (paradoxerweise wären sie dann ja nicht kriminell).

Das ist auch sehr lukrativ. Durch Informationen, die man aus einfachen Texten gewinnen kann, kann man Werbung optimal platzieren etc. Ich würde mich auch nicht wundern, wenn E-Mails grundsätzlich gespeichert und an irgendwelche zwielichtigen Firmen Terabyte-weise verkauft würden. Früher oder später sickert das alles an die Oberfläche. Dann wird es aber zu spät sein und die alle werden sich über die Offensichtlichkeit mal wieder empören. Zu diesem Thema erwarte ich auch vieles, an das ich eigentlich nie gedacht hätte (ich habe hier also die schlimmsten Annahmen über kriminelles Verhalten; das ist alles noch nicht klar, welche Geschäfte hier gemacht werden).

Und ich werde mir einen ablachen. Die Mittel, um das zu vermeiden existieren seit Jahren und sind einfach zu bedienen. Man muss sich die nur mal angucken, so wie man sich einen Browser angucken muss, um den zu bedienen.

 

[Endorphine]

E-Mail Kryptographie will man!!!

ACK. Mit Signierung.

Da aktuell 20 nicht wissen wie und 12 es wegen Software nicht können, muss da was gemacht werden. [...]Ich werde demnächst ein Wiki eintrag über E-Mail Kryptographie erfassen, sobald ich mit meiner doku halbwegs vorann komme.

Dein Leistungswillen in Ehren, aber ich denke nicht, dass das einen großen Sinn hat. Anleitungen, wie man mit den verschiedensten Mailclients E-Mail Verschlüsselung und Signaturen einsetzt gibt es wie Sand am Meer. Eine weitere wird am gegenwärtigen Zustand auch nichts dran ändern.

Wenn du etwas ändern willst, dann musst du bei Google (Gmail), Microsoft (Outlook, Exchange) oder GMX anfangen und für die Mail-Infrastruktur die dort geschaffen wird eine secure-Email Infrastruktur für den Empfang von sicheren Mails aufbauen. Und zwar so, dass es so einfach ist wie HTTPS, ankommende Mail zu entschlüsseln und die Absendersignatur zu verifizieren.

Secure-Mail Clientanleitungen gibt es bereits wie Sand am Meer. Eine weitere davon ändert gar nichts, solange die großen Mail-Infrastrukturprovider die Funktionalität nicht für jedermann bereitstellen.

 

[bsdagent]

Hi

ACK. Mit Signierung. Dein Leistungswillen in Ehren, aber ich denke nicht, dass das einen großen Sinn hat. Anleitungen, wie man mit den verschiedensten Mailclients E-Mail Verschlüsselung und Signaturen einsetzt gibt es wie Sand am Meer. Eine weitere wird am gegenwärtigen Zustand auch nichts dran ändern.

Wenn du etwas ändern willst, dann musst du bei Google (Gmail), Microsoft (Outlook, Exchange) oder GMX anfangen und für die Mail-Infrastruktur die dort geschaffen wird eine secure-Email Infrastruktur für den Empfang von sicheren Mails aufbauen. Und zwar so, dass es so einfach ist wie HTTPS, ankommende Mail zu entschlüsseln und die Absendersignatur zu verifizieren.

Secure-Mail Clientanleitungen gibt es bereits wie Sand am Meer. Eine weitere davon ändert gar nichts, solange die großen Mail-Infrastrukturprovider die Funktionalität nicht für jedermann bereitstellen.

Dass sehe ich ganz anderst.
Erstens, es wurde schon mehrmals erwähnt, dass wenn E-Mail Krypto an fremde rechner delegiert werden, die Sicherheit schon verloren ist!!!

Beüzligch meinem Wiki eintrag. Es mag sein das es viele davon gibt, doch anscheinend sind diese zu kompliziert oder sie wurden bisher nicht von den user ereicht. Statt dagegen zu sein, solltest eher mal aktiv dafür preventieren. Den genau diese Mentalität die du da vertritst, stärkt die ignoranz auf Privatsphäre.

Ich schreibe diesen Artikel direkt aus meiner Doku mit einiegen konformeren änderungen. Wenn diese dann draussen ist, kannst du mir dann sagen ob diese komplizierter ist als HTTPS .

Gruss
bsdagent

P.S. Ich sehe es als pflicht, user diie probleme haben zu helfen. Den die Mentalität das es sowieso nix bringt oder niemand es nutzt ist das dümmste was ich je gehört habe. Ausserdem bin ich aktiv gegen diese Fragwürdigen ignoranz tätig.

 

[Endorphine]

Ich weiß nicht, ob Deutsch deine Muttersprache ist, aber...

[...] ist das dümmste was ich je gehört habe.

Mit diesen Superlativen wäre ich an deiner Stelle vorsichtiger.

Ausserdem bin ich aktiv gegen diese Fragwürdigen ignoranz tätig.

Ignoranz hat mit "ignorieren" in der klassischen Verkehrsverwendung übrigens wenig zu tun und bezeichnet nur eine Unwissenheit, nicht eine aktive Gleichgültigkeit gegenüber etwas, wo man sich bewusst einer Sache entzieht (das ist meist mit "jmd. ignoriert etwas" gemeint).

Sorry für OT.

 

[nakal]

Wie viele Male muss man Dir erklären, dass die Prinzipien HTTPS und PGP nichts miteinander zu tun haben könnten (eines ist für kommunizierende Partner, die aktiv dabei sind; das andere kommt in den Einsatz, wenn der andere nicht aktiv dabei sein muss und deswegen im Voraus keinerlei Möglichkeit hat festzulegen wie die Nachricht verschlüsselt werden soll).

Der höhere Aufwand wäre beim Prinzip wie HTTPS beim Versenden von E-Mails. Und liegt eben darin, dass man herausfinden muss, wie der öffentliche Schlüssel des anderen lautet, damit man ihm etwas senden kann. Zusätzlich muss man sich selbst (in der realen Welt) davon überzeugen, dass man mit dem richtigen kommuniziert, weil ja jemand einfach so behaupten kann, dass das der richtige Schlüssel ist. Dann jedes Mal manuell die Zertifikate auswählen? Nein danke!

Eine Verwaltung von Schlüsseln bietet Dir HTTPS zum Beispiel nicht, es sei denn Du findest eine Stelle mit ultimativer Vertrauenswürdigkeit (in der Theorie also nicht vorhanden) oder Du holst Dir auch persönlich den Key ab. PGP vereinfacht hier an dieser Stelle die Sache enorm. Es gibt ein "Netz des Vertrauens" und damit hast Du (beim ordentlichen Vorgehen) den ganzen Schritt ersparen.

Ein Prinzip wie HTTPS ist viel aufwändiger beim Versenden von Mails. Da fehlt der Komfort, um Schlüssel einfach verwalten zu können. Prinzipien wie HTTPS sind unbrauchbar in diesem Kontext.

 

[Endorphine]

Wie viele Male muss man Dir erklären, dass die Prinzipien HTTPS und PGP nichts miteinander zu tun haben

Wer ist "man"? Du brauchst auch keine unnötige Schärfe in die Diskussion bringen, hier geht es um Technik, nicht um persönliches.

Leider habe ich dir wohl nicht ausreichend rübergebracht, dass ich HTTPS als Usability-Beispiel heranziehe. Es ist eben einigermaßen verbreitet und die Trust-Infrastruktur dafür ist aufgebaut und funktioniert. Sie ist nicht perfekt, aber es funktioniert und der User hat die Freiheit, die Zertifikate zu prüfen und gesicherte Verbindungen aufzubauen. Er kann es auch lassen und einfach auf die gelbe oder grüne URL-Leiste vertrauen.

HTTPS ist vorhanden und wird auch tatsächlich in größerem Maßstab eingesetzt. Das ist bei E-Mail Sicherungsverfahren nicht der Fall. Und ein wesentlicher Grund ist die fehlende Usability durch Nicht-Unterstützung durch die großen Mail-Softwareimplementierungen in der Wildbahn.

Bei E-Mail müsste der Gebrauch ähnlich einfach wie HTTPS sein, damit es akzeptiert wird. Also Integration per default in Web-Mail, populäre E-Mail-Clients etc. Am besten auch noch mit mitgelieferter PKI.

Schade, dass ich dir diesen Gedanken nicht rüberbringen konnte bis jetzt.

 

[bsdagent]

Morgen

Bei E-Mail müsste der Gebrauch ähnlich einfach wie HTTPS sein, damit es akzeptiert wird. Also Integration per default in Web-Mail ...

Dem BND, SND usw. freut es natürlich. Sobald das dann gemacht wird bzw. ein Trend entsteht solche Dienste zu nutzen, kommt ein neues Gesetzt wo Anbieter verpflichten, die E-Mails und Private Keys für Jahre zu speichern .

... populäre E-Mail-Clients etc. Am besten auch noch mit mitgelieferter PKI.

Das sehe ich auch so, würde die akzeptanz mit sicherheit erhöhen .

Gruss
bsdagent

P.S. Endorphine, entschuldige für mein harschen Beitrag, musste einfach mal gesagt werden .

 

[nakal]

Wer ist "man"? Du brauchst auch keine unnötige Schärfe in die Diskussion bringen, hier geht es um Technik, nicht um persönliches.

Sorry. Ich bin nur etwas ratlos, weil ich das für total simpel und verständlich halte.

Leider habe ich dir wohl nicht ausreichend rübergebracht, dass ich HTTPS als Usability-Beispiel heranziehe. Es ist eben einigermaßen verbreitet und die Trust-Infrastruktur dafür ist aufgebaut und funktioniert. Sie ist nicht perfekt, aber es funktioniert und der User hat die Freiheit, die Zertifikate zu prüfen und gesicherte Verbindungen aufzubauen. Er kann es auch lassen und einfach auf die gelbe oder grüne URL-Leiste vertrauen.

Ich habe schon verstanden, dass Du Verschlüsselung nur "so einfach" haben willst, dass der Benutzer gar keine zusätzlichen Informationen haben muss. Das ist aber nicht praktikabel.

Btw, es ist möglich farbliche Anzeigen zu haben, je nach Trust und Konsistenz der E-Mail mit Hilfe von GnuPG und KMail, z. B.

HTTPS ist vorhanden und wird auch tatsächlich in größerem Maßstab eingesetzt. Das ist bei E-Mail Sicherungsverfahren nicht der Fall.

Das siehst Du falsch. PGP wird von vielen eingesetzt. Sieh Dir mal die Schlüssel-Server an. Sie sind auch oft unter derber Last.

Und ein wesentlicher Grund ist die fehlende Usability durch Nicht-Unterstützung durch die großen Mail-Softwareimplementierungen in der Wildbahn.

Welcher Mail-Client kann kein PGP? Ich sehe das so, dass viele E-Mail-Clients keine E-Mails erstellen können. Es ist ein viel größeres Problem. Aber das ist jetzt etwas off-topic.

Bei E-Mail müsste der Gebrauch ähnlich einfach wie HTTPS sein, damit es akzeptiert wird. Also Integration per default in Web-Mail, populäre E-Mail-Clients etc. Am besten auch noch mit mitgelieferter PKI.

Schade, dass ich dir diesen Gedanken nicht rüberbringen konnte bis jetzt.

Ich finde, es ist einfach und verständlich, wenn man das Prinzip kennt. Es kommt einem nur so schwierig vor, weil eine Volkshochschule das total simple Prinzip einem aus unerklärlichen Gründen nicht beibringt. Vielleicht kann man an den GUIs noch etwas feilen, aber das Prinzip dahinter bleibt fix und damit der Aufwand des Schlüsselmanagements.