Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)

[Zeisel]

Der einzige mir bekannte Web-Mailer, welcher S/MIME unterstützt, ist web.de. Dort bekommst Du automatisch ein Zertifikat, welches Du auch herunter laden und in E-Mail-Programmen verwenden kannst. Ein eigenes Zertifikat (z.B. von Thawte) kannst Du im Web-Mailer nicht verwenden, dann musst Du mit einem lokalen E-Mail-Programm arbeiten.

Zum iPhone kann ich nichts sagen (da ich auch keines habe), würde mich jedoch interessieren, ob das geht.

 

[pfannengyros]

(...)

Zum iPhone kann ich nichts sagen (da ich auch keines habe), würde mich jedoch interessieren, ob das geht.

nein, leider nicht

grüsse aus z.zt. ms
pg

 

[philz]

Mensch pepi,

so langsam solltest du dich mal an eine FAQ wagen.

 

[pepi]

philz, danke daß Du Dich dafür freiwillig gemeldet hast! Ich freu mich schon drauf!
Gruß Pepi

 

[philz]

Naja, ich weiß ja nicht, ob deine Beiträge bereits eine gewisse sog. Schöpfungshöhe haben, um daraus nach deutschem Recht Urheberrechte ableiten zu können.
Es wäre auf jeden Fall eine gute Sache und ich würde mitarbeiten. Man könnte auch eine entsprechende IG Datenschutz gründen und somit vielleicht weitere FAQ-Bots gewinnen.

 

[pepi]

Als Autor habe ich auf alle Fälle das nicht veräußerbare Autorenrecht. Und das deutsche Urheberrecht ist für mich als Österreicher relativ unerheblich. Ich übertrage Dir aber gerne das nichtexklusive Recht meine Wortschöpfungen in diesem Thread für die Erstellung einer FAQ zu dem in diesem Thread behandelten Thema unter der Creative Commons Lizenz Namensnennung-Weitergabe unter gleichen Bedingungen 3.0 Österreich zu nutzen.
Gruß Pepi

 

[User 12794]

Hi,

Der einzige mir bekannte Web-Mailer, welcher S/MIME unterstützt, ist web.de. Dort bekommst Du automatisch ein Zertifikat, welches Du auch herunter laden und in E-Mail-Programmen verwenden kannst. Ein eigenes Zertifikat (z.B. von Thawte) kannst Du im Web-Mailer nicht verwenden, dann musst Du mit einem lokalen E-Mail-Programm arbeiten.

Naja,
es gibt schon noch andere Anbieter; alle, die auf das Horde-Projekt für ihren Webmailer aufsetzen könnten es anbieten, Spamcop z. B. macht das. Dort kann man seinen privaten PGP-Schlüssel und/oder seinen S/MIME-Kram ablegen. Du könntest Dir also Deinen eigenen Server/Server-Space besorgen und Dir Deinen eigenen Horde-Webmailer einrichten. Viel Spaß dabei. :-D

Aber wie wohl fühlt man sich eigentlich, wenn man geheimzuhaltende Informationen auf einem Server ablegt, von dem man nicht weiß, wer da alles was anstellt?

Das Zertifikat von Web.de ist wertlos, da keine Authentifizierung des Inhaber stattfindet. Früher musste man bei Web.de eine Postanschrift angeben und bekam Briefpost mit Freischaltcode - heutzutage kann sich jeder registrieren und bekommt sofort ein Zertifikat. Nicht sonderlich vertauens erweckend. Auch kein PostIdent-Verfahren wird verwendet.


Insgesamt ist das ganze System noch nicht harmonisch.

• Was bringt mir eine umfangreiche Verschlüsselung auf dem Desktop, wenn das entschlüsselte Dokument anschließend über IMAP auf dem Mail-Server abgelegt wird? Nichts.
• Das Chiffrat mittels POP3 abrufen hilft mir unterwegs nicht, es sei denn, man synchronisiert lokale Postfächer und Handheld (doppelte Datenhaltung).
• Was bringen mir verschlüsselte Mails, die auf dem IMAP-Server liegen, ich aber von unterwegs (Webmailer, iPhone) nicht ran kann, weil mir meine Schlüssel und die Software fehlen? Nichts.

Solange Verschlüsselung nicht in allen Bereichen für alle Anwender transparent zur Verfügung steht, sind Verschlüsseler mehr oder weniger "Geeks".

 

[pepi]

[…]die auf das Horde-Projekt für ihren Webmailer aufsetzen[…]

Das Zertifikat von Web.de ist wertlos, da keine Authentifizierung des Inhaber stattfindet.[…]

Was bringt mir eine umfangreiche Verschlüsselung auf dem Desktop, wenn das entschlüsselte Dokument anschließend über IMAP auf dem Mail-Server abgelegt wird? Nichts.[…]

Was bringen mir verschlüsselte Mails, die auf dem IMAP-Server liegen, ich aber von unterwegs (Webmailer, iPhone) nicht ran kann, weil mir meine Schlüssel und die Software fehlen? Nichts.

Solange Verschlüsselung nicht in allen Bereichen für alle Anwender transparent zur Verfügung steht, sind Verschlüsseler mehr oder weniger "Geeks".

Danke für den Tip mit dem Horde Projekt. Ich wußte nicht, daß das damit geht, da schau ich mir doch glatt mal an. Auf meinem eigenen Server weis ich wer was macht.


Deiner Aussage zur Wertlosigkeit des Web.de Zertifikates muß ich widersprechen. So ein Zertifikat trifft zwar keine Aussage über den Eigentümer des Zertifikates, bzw. über die reale Identität der Person ist aber durchaus dafür geeignet festzustellen ob ein Mail vom selben Absender kommt wie ein andere Mail, und auch um diese eMails zu verschlüsseln und zu signieren. Eine Signatur gewährleistet ja auch, daß ich feststellen kann ob ein eMail unterwegs manipuliert wurde. Das ist definitv nicht wertlos, ganz im Gegenteil.

Ich weis nicht inwiefern man bei Web.de auch mit einem Web-of-Trust seine Identität überprüfen lassen kann um somit das Zertifikat noch zusätzlich über den technischen Wert hinaus aufzuwerten. (Bei Thawte ist dies beispielsweise möglich und Teil des Konzeptes.) Es kommt eben drauf an was man machen möchte bzw. braucht.

Web-of-Trust Zertifikate sind meiner Ansicht übrigens wertvoller als gekaufte Zertifikate, da ich bei ersteren sicher sein kann, daß die betreffende Person in Realität von mindestens zwei Personen überprüft wurde. Bei gekauften Zertifikaten habe ich lediglich die Sicherheit, daß jemand Geld bezahlt hat da bei diesen keinerlei Überprüfungen stattfinden.

Emails bleiben im Verschlüsselten Quelltext am Server (und auch lokal auf er Platte) gespeichert und müssen bei jedem Öffnen neu entschlüsselt werden. So gesehen sind diese auch am Mailserver sicher vor neugierigen Augen.
Mit der Einschränkung, daß ich diese Mails (momentan noch) am iPhone oder in einem Webmailer nicht lesen kann muß ich momentan leben. Mir ist die Sicherheit, daß die Inhalte dieser Mails privat bleiben wichtiger, als sie jederzeit und überall lesen zu können.
Gruß Pepi

 

[User 12794]

Emails bleiben im Verschlüsselten Quelltext am Server (und auch lokal auf er Platte) gespeichert und müssen bei jedem Öffnen neu entschlüsselt werden. So gesehen sind diese auch am Mailserver sicher vor neugierigen Augen.
Mit der Einschränkung, daß ich diese Mails (momentan noch) am iPhone oder in einem Webmailer nicht lesen kann muß ich momentan leben. Mir ist die Sicherheit, daß die Inhalte dieser Mails privat bleiben wichtiger, als sie jederzeit und überall lesen zu können.
Gruß Pepi

Das ist in der Tat die einzige logische Konsequenz. Aber mit einem PGP-/S/MIME-tauglichen Webmailer hätte man schon fast alles eingefangen. Man nutzt dann eben nicht den iPhone-Client, sondern den mobilen Browser. Das ganze noch über eine https-Verbindung und schon sollte das ganze relativ integer sein. Absolut sicher kannst Du aber nur sein, wenn Dein Mail-Server in Deinen Räumen steht. Ansonsten bleibt immer das Restrisiko, dass $GELANGWEILTER_ADMIN bei $PROVIDER durch die Server schnüffelt.

 

[pepi]

Deswegen sollte man $PRIVATE_KEY auch nicht unverschlüsselt rumliegen lassen. (Ob das mit Webmailern momentan realisiert ist weis ich nicht.) Am liebsten wäre mir trotzdem, wenn ich verschlüsselte/signierte Mails am iPhone mit dem nativen Mailclient erstellen/lesen könnte. (Auch wenn dazu mein Private Key natürlich am Gerät drauf sein muß.)
Gruß Pepi

 

[bluejay]

… Ansonsten bleibt immer das Restrisiko, …

Birgt nicht das ganze Leben ein gewisses Restrisiko?

… Am liebsten wäre mir trotzdem, wenn ich verschlüsselte/signierte Mails am iPhone mit dem nativen Mailclient erstellen/lesen könnte. …

Mir auch. Das ist im Moment ein echtes, nicht ganz unerhebliches Manko. Allerdings handhabe ich es genau so, wie Du geschrieben hast. Mir genügt im Moment die Info: Verschlüsselte Mail erhalten. Ich muß nicht immer alles in Echtzeit konsumieren.

 

[atomfried]

habe es mal installiert und auch eben mit nem kumpel verschlüsselte mails hin- und her geschickt.
funktioniert auch alles ganz prima!
das einzige was mich ein wenig stutzig macht ist das meine mails auch korrekt signiert werden, also auch mit dem grünen häkchen, aber ich mich nie irgendwo mit meinen daten angemeldet habe. liegt das vielleicht an meinem gmail konto?

dann würde mich auch noch interessieren wie ich dieses nervige:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

vor jeder mail ausschalten kann. das sieht ja nur hässlich aus. nicht das die leute noch denken ich sein ein geek

und noch eine frage gleich hinterher...
kann ich beruhigt den privatekey auf meinen server legen und in meiner mail darauf verlinken, so dass jeder diesen key runterladen kann? oder birgt das auch wieder ein sichertsrisiko?

 

[User 12794]

das einzige was mich ein wenig stutzig macht ist das meine mails auch korrekt signiert werden, also auch mit dem grünen häkchen, aber ich mich nie irgendwo mit meinen daten angemeldet habe. liegt das vielleicht an meinem gmail konto?

PGP kann die Passphrase im Schlüsselbund abspeichern. Soweit Du mit einem E-Mail-Programm Deine Mails bearbeitest wirst Du nie wieder danach gefragt. Hat nichts mit GMail an sich zu tun.

dann würde mich auch noch interessieren wie ich dieses nervige:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

vor jeder mail ausschalten kann. das sieht ja nur hässlich aus. nicht das die leute noch denken ich sein ein geek

Gar nicht. Woher soll der E-Mail Client (engl. mail user agent = MUA) wissen, dass eine verschlüsselte/signierte Nachricht kommt, wenn ihm das nicht bekannt gegeben wird. Ein guter MUA schafft es vielleicht die Zeilen auszublenden, wobei ich nicht weiß, ob es das schon gibt. Ansonsten stört mich dieser Text nicht.

und noch eine frage gleich hinterher...
kann ich beruhigt den privatekey auf meinen server legen und in meiner mail darauf verlinken, so dass jeder diesen key runterladen kann? oder birgt das auch wieder ein sichertsrisiko?

Deinen *privaten* Schlüssel willst Du gar nicht verlinken und erst recht nicht zum Herunterladen anbieten. Der private Schlüssel gehört nur Dir und sollte gehütet werden wie Dein Augapfel. Den öffentlichen Schlüssel kannst Du natürlich überall anbieten.

Ansonsten gerade in so einem komplizierten Bereich unbedingt alles an Informationen verschlingen, was das Web hergibt. Die Wikipedia ist ein gute Anfang: http://de.wikipedia.org/wiki/Pretty_Good_Privacy

 

[nggalai]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

vor jeder mail ausschalten kann. das sieht ja nur hässlich aus. nicht das die leute noch denken ich sein ein geek

Geh mal in die GPGMail-Einstellungen und setze da einen Haken unter „Composing“ bei „By default, use OpenPGP/MIME“. Das sollte helfen.

Cheers,
-Sascha

Edith sagt: Aber Achtung, nicht alle Mail-Clients / PGP-Implementationen kommen damit klar. Aber praktisch alle üblichen Clients, immerhin.

 

[nggalai]

Noch eine Frage zu Thawte und Thunderbird. Kann es sein, daß im aktuellen Thunderbird eine Freemail-CA fehlt?

Etwas ausführlicher:

Ich probiere gerade Thunderbird als neuen Mail-Client aus. Funktioniert auch alles prächtig, ich konnte mein Thawte-Zertifikat vom März 2008 problemlos installieren. Aber: Thunderbird maulte rum, er könne das Zertifikat nicht verifizieren, und beim Versuch, eine E-Mail zu signieren kam „not trusted“.

Ich habe dann etwas gesucht, und bemerkt, daß mein Zertifikat von „Thawte Personal Freemail Issuing CA“ signiert wurde.

Aber: Bei Thunderbird war bei den CAs nur „Thawte Personal Freemail CA“ mit dabei.

Als ich dann das „Issuing“-Zertifikat aus dem Schlüsselbund in Thunderbird installierte, klappte es auch mit dem Signieren und Verschlüsseln der E-Mails.

Daher meine Frage: Ging bei mir bei der Thunderbird 2-Installation etwas schief, oder fehlt Thunderbird tatsächlich das „Issuing“-CA von Thawte, per Default?

[Edit: Ich habe gerade verschiedene Postings gefunden, daß dem aktuellen Thunderbird 2.x tatsächlich das „Issuing“-Zertifikat fehlt, anders als noch bei früheren Versionen. Damit dürfte Thawte massiv an Popularität verlieren – der Hauptgrund für mich zumindest, Thawte einzusetzen, war eben, daß fast jeder Mail-Reader die CAs dabei hat …]

Cheers,
-Sascha

 

[Zeisel]

Ich kann mich nicht erinnern, ein Zertifikat für Thawte nachinstalliert zu haben. Allerdings fehlte auch mir ein Zertifikat (von TC Trust Center) um das Rundschreiben meiner Bank zu prüfen. Das musst ich mir von den Seiten von TC Trust Center holen, was gar nicht so einfach war - erst einmal das richtige finden! Der Support meiner Bank hatte mir netterweise dabei geholfen

 

[nggalai]

Huhu Zeisel,

war das mit einer älteren Version von Thunderbird, oder mit der aktuellen Version?

Eventuell liegt’s daran, daß es bei mir nicht funktioniert, ohne das „Issuing“-Zertifikat in Thunderbird zu importieren:

VeriSign strongly recommends that applications trust the root CA and not the intermediate CA when performing client authentication.

Und in Thunderbird wird eine Kaskade angezeigt, in deren Mitte eben das Issuing-Zertifikat sitzt. Vielleicht hat Thunderbird da etwas an den S/MIME-Einstellungen geändert, bei den letzten Updates? Also, daß es NICHT mehr dem Root-Zertifikat folgt, sondern das Mittler-Zertifikat haben will?

Cheers,
-Sascha

 

[nggalai]

Ich hab’s gerade noch mit dem 60-Tage-Gratis-Zertifikat von VeriSign ausprobiert: Dasselbe Problem. die Intermediate CA fehlt, das Zertifikat kann nicht verifiziert und eingesetzt werden.

Bäh! Dabei mag ich Thunderbird eigentlich … Heißt das auch, daß andere Thunderbird-Benutzer eine Fehlermeldung bekommen, wenn sie eine signierte Mail von mir empfangen? Wenn ja, dann kann ich sowohl Thawte als auch VeriSign vergessen.

Cheers,
-Sascha

 

[nggalai]

Okay, noch etwas experimentiert:

Thunderbird 1.5 (war noch auf dem PC meiner Frau installiert – nein, sie verwendet nur Webmail, keine Bange ) hatte das Thawte-„Issuing“-Zertifikat nicht installiert.

Aber:

Wenn ich eine Mail, die mit meinem Thawte-Zertifikat unterschrieben wurde, an die Frau schicke, wird die Signatur als gültig angezeigt – und plötzlich ist die Issuing-CA auch in Thunderbird installiert.

Also alles nicht so wild? Scheint so, als würde Thunderbird beim Empfänger das entsprechende Issuing-Cert automatisch runterladen und installieren.

Cheers,
-Sascha

P. S. Dasselbe Spielchen beim Gratis-Cert von VeriSign: Die Intermediate-CA ist nicht in Thunderbird installiert; man klickt die signierte Mail an, boom, Cert ist da, Signatur gültig.

 

[atomfried]

Geh mal in die GPGMail-Einstellungen und setze da einen Haken unter „Composing“ bei „By default, use OpenPGP/MIME“. Das sollte helfen.

habe ich gemacht. aber dann schickt er die sig als anhang. das möchte ich aus verschiedenen gründen nicht. dann schon lieber mit dem schmuh über der mail. das problem ist nun das ich es nicht mehr rückgängig machen kann. zu manchen wird es ohne anhang geschickt und zu anderen wiederum mit anhang. würde das gerne wieder so haben wie vorher. den haken habe ich schon lange raus gemacht.

danke!