Eine frohe Adventszeit wünscht Apfeltalk
  • Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Unser Dezember-Wettbewerb steht unter dem Thema Zeitreise - Macht mit und beteiligt Euch mit Euren kreativen Fotos! Zum Wettbewerb --> Klick

Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)

Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate?

  • Ja, ich verwende S/MIME Zertifikate/Verschlüsselung. (zB. von Thawte)

    Stimmen: 13 10,9%
  • Ja, ich verwende GnuPG/PGP Zertifikate/Verschlüsselung.

    Stimmen: 18 15,1%
  • Ja, ich verwende S/MIME und GnuPG/PGP Zertifikate/Verschlüsselung.

    Stimmen: 12 10,1%
  • Ja, ich verwende eine andere Methode. (Welche?)

    Stimmen: 0 0,0%
  • Nein, ich verwende noch keine digitale Signatur (mit Zertifikat) oder Verschlüsselung.

    Stimmen: 62 52,1%
  • Ich weiss nicht was damit gemeint ist.

    Stimmen: 14 11,8%

  • Umfrageteilnehmer
    119
  • Umfrage geschlossen .

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Die Verschlüsselung von S/MIME Schlüsseln Zertifikaten und GnuPG Verschlüsselung ist technisch ähnlich gelöst. Bei GnuPG gibt es die Möglichkeit Schlüssel mit bis zu 4096 Bit Länge zu verwenden, bei S/MIME ist momentan bei 2048 Bit Schlüssellänge Schluß. Technisch gelten beide Varianten momentan als sicher.

S/MIME hat den großen Vorteil, daß auf aktuellen Betriebssystemen nichts nachinstalliert werden muß. Vor allem empfängerseitig ist das praktisch, da dort einfach Signiert (emailadresse bzw. Name) im Mailprogramm aufscheint und nicht zwei seltsame Attachments wie bei GnuPG. Die Stammzertifikate von kommerziellen Zertifikatsanbietern wie Thawte, Verisign, etc. sind auf quasi allen Systemen vorinstalliert. Somit wird der Empfänger nicht mit "Kann Zertifikat Blah nicht überprüfen" Dialogen verschreckt. Im Geschäftsverkehr ein großer Vorteil.

GnuPG hat den Vorteil, daß es optional längere Schlüssellängen anbietet die, mathematisch betrachtet, sicherer sind. In Wirklichkeit hängt alles am Passphrase zum privaten Schlüssel. Außerdem kann man GnuPG für mehr Sachen verwenden als dies üblicherweise bei S/MIME Schlüsseln der Fall ist. Wer jedoch auf diese Sachen verzichten kann oder diese schlichtweg nicht braucht ist wohl mit S/MIME besser dran.
Gruß Pepi
 

da_jones

Luxemburger Triumph
Registriert
06.02.06
Beiträge
500
Aha, hab ich wieder was gelernt. Wenn ich kurz nachfragen darf: Wofür kann man den GnuPG noch verwenden, außer zum Mail-Verschlüsseln?
 

nggalai

Roter Stettiner
Registriert
23.05.07
Beiträge
957
Aha, hab ich wieder was gelernt. Wenn ich kurz nachfragen darf: Wofür kann man den GnuPG noch verwenden, außer zum Mail-Verschlüsseln?
Mit der Kommandozeile oder mit dem GPGFileTool z. B. zum signieren oder verschlüsseln von Dateien. Einfach mit Deinem eigenen GnuPG-Schlüssel. :)

Cheers,
-Sascha
 
  • Like
Reaktionen: abstarter

bluejay

Ingol
Registriert
27.12.03
Beiträge
2.097
… Am liebsten wäre mir trotzdem, wenn ich verschlüsselte/signierte Mails am iPhone mit dem nativen Mailclient erstellen/lesen könnte. (Auch wenn dazu mein Private Key natürlich am Gerät drauf sein muß.)
Gruß Pepi

Muß das Thema nochmal aufgreifen. Mittlerweilen gibt es ja das iPhone-Konfigurationsprogramm in dem man in den Konfigurationsprofilen auch eine Verwaltungsfunktion für Zertifikate findet. Leider weiß ich nicht wie und ob das mit E-Mail-Zertifikaten (S/MIME - Thawte, TC, Verisign, u.ä.) funktioniert. Hat hier jemand diesbezüglich schon Erfahrungen gesammelt?
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Mit diesen Zertifikaten kannst Du, so wie ich das verstanden habe, nur VPN bzw. SSL Zertifikate verteilen. Für S/MIME wären zusätzlich ja noch entsprechende Keys notwendig! Das klappt also bisweilen leider noch nicht. Ich hoffe, daß ein kommendes Update hier endlich Abhilfe schafft.
Gruß Pepi
 

bluejay

Ingol
Registriert
27.12.03
Beiträge
2.097
Mit diesen Zertifikaten kannst Du, so wie ich das verstanden habe, nur VPN bzw. SSL Zertifikate verteilen. Für S/MIME wären zusätzlich ja noch entsprechende Keys notwendig! Das klappt also bisweilen leider noch nicht.
Ja, sieht so aus. Ich habe die Zertifikate mal auf das iPhone geladen, geht übrigens ganz einfach per E-Mail (aber nicht verschlüsselt!!! ;)). E-Mails bleiben aber auch weiterhin nicht lesbar.

Ich hoffe, daß ein kommendes Update hier endlich Abhilfe schafft.
Gruß Pepi
Das hoffe ich auch. Ich bekomme mittlerweilen mehr verschlüsselte/signierte E-Post als unverschlüsselte/unsignierte - von Spam mal abgesehen ;). Da ist auf Dauer die iPhone Mail App eigentlich unbrauchbar.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Zertifikate enthalten ja keinerlei Geheimnisse, diese Volltext zu verschlüsseln wäre also wenig notwendig. Abgesehen davon darf man davon ausgehen, daß die Mails in so einem Fall am eigenen Mailserver verbleiben und diesen verwendet man ohnehin nur per SSL, somit sollte das wenig Problem darstellen.

Ich wäre fürs erste schonmal glücklich wenn man signierte Mails als solche gekennzeichnet bekäme und die Signatur überprüft würde. Das wäre schonmal ein Anfang. Wenn Apple aber wirklich so auf "Enterprise" pocht wie die PR Abteilung einen glauben machen möchte, dann sollten sie das mit S/MIME allerdings eher vorgestern implementiert haben.

Wäre mal interessant wie man an die Keychains vom iPhone drankommt. Wenn das vom Framework her wirklich alles da ist, könnte man die Keys vielleicht manuell dort ablegen in der Hoffnung, daß es einfach funktioniert. Ich wünsche mir allerdings, daß ich schon noch ein Passwort eingeben muß um auf diese Keys zugreifen zu können. Sowohl beim Versenden als auch beim Empfangen/Entschlüsseln.

Signierter Spam ist mir auch noch nicht untergekommen (von DKIM enableten Servern mal abgesehen).
Gruß Pepi
 

bluejay

Ingol
Registriert
27.12.03
Beiträge
2.097
… Wenn Apple aber wirklich so auf "Enterprise" pocht wie die PR Abteilung einen glauben machen möchte, dann sollten sie das mit S/MIME allerdings eher vorgestern implementiert haben. …
Ja, sehe ich auch so.

… Wenn das vom Framework her wirklich alles da ist, könnte man die Keys vielleicht manuell dort ablegen in der Hoffnung, daß es einfach funktioniert. …
Ich habe es mal probiert. Mit den Keys ist es genauso wie mit den Zertifikaten: Key/Zertifikat aus dem (Rechner-)Schlüsselbund exportieren, per E-Mail an das iPhone senden und dort den entsprechenden Anhang öffnen. Damit wird der/das Key/Zertifikat als Profil auf dem iPhone installiert. Wobei da grundsätzlich alles unter der Bezeichnung „Identitätszertifikat“ abgelegt wird.
Das Problem, scheint mir, ist, daß iPhone-Mail beim Öffnen einer Mail da gar nicht hinschaut.
Was ich in dem Zusammenhang nicht ganz verstehe ist diese Passage aus dem Handbuch „Einsatz in Unternehmen“:

Zertifikate und Identitäten
iPhone und iPod touch unterstützen X.509-Zertifikate mit RSA-Schlüsseln. Dabei wer-
den die Dateierweiterungen .cer, .crt und .der erkannt. Die Verifzierung von Zertifikats-
ketten erfolgt durch Safari, Mail, VPN und andere Programme.
iPhone und iPod touch unterstützen P12-Dateien (PKCS-Standard #12), die genau eine
Identität enthalten. Dabei werden die Dateierweiterungen .p12 und .pfx erkannt. Wenn
eine Identität installiert ist, wird der Benutzer zur Eingabe des Kennworts aufgefordert,
das als Schutz der Identität dient.
Die für den Aufbau der Zertifikatskette zu einem vertrauenswürdigen Root-Zertifikat
(Stammzertifikat) erforderlichen Zertifikate können manuell oder mithilfe von Konfi-
gurationsprofilen installiert werden. Sie müssen keine Root-Zertifikate hinzufügen,
da diese von Apple auf dem Gerät installiert wurden. Eine Liste der bereits installierten
Root-Zertifikate des Systems finden Sie im folgenden Apple Support-Artikel:
http://support.apple.com/kb/HT2185.

Eine Liste bereits auf dem iPhone installierter Root-Zertifikate findet man übrigens hier.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Ich fürchte, daß das nur für SSL Verschlüsselung gilt, aber leider für S/MIME nicht zur Anwendung kommt. Ich habe leider auch noch keinen Weg gefunden das zum Laufen zu bringen, bin aber auch nicht sicher ob das überhaupt gehen kann. Sobald es offiziell funktioniert werde ich das natürlich sofort implementieren, ich kann es kaum erwarten.
Gruß Pepi
 

da_jones

Luxemburger Triumph
Registriert
06.02.06
Beiträge
500
Ist nicht bald Zeit für die 2009er Umfrage? Nachdem pepi so fleißig aufklärt, muss sich doch etwas tun. Bei mir war er erfolgreich. ;)
(Im übrigen vielen Dank dafür!)
 

bluejay

Ingol
Registriert
27.12.03
Beiträge
2.097
Habe es jetzt nochmal mit dem Konfigurationsprogramm probiert, geht prima. Einfach alle Zertifikate in ein Profil packen, per Mail auf's iPhone und dann installieren.
Funktioniert allerdings nicht mit Mail / S/MIME, wie schon erwartet. iP-Mail müßte sich ja dann auch nach den öffentlichen Schlüsseln der Zusender umsehen und die auf dem iP ablegen.
Da hat der Obsthändler im sonnigen Kalifornien aber noch ein ganzes Stück Arbeit vor sich. Hoffentlich bekommen die das baldigst in den Griff.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
da_jones,
im Februar ist es dann wieder soweit. :) Natürlich werde ich auch heuer wieder eine Umfrage dazu machen und bin schon auf das Ergebnis gespannt.
Gruß Pepi
 

bluejay

Ingol
Registriert
27.12.03
Beiträge
2.097
Soooo, neuer Tag, neue Frage ;):
Wenn ich E-Mail-Zertifikate unterschiedlicher Anbieter besitze (S/MIME), nach welchen Kriterien wählt Mail.app dann aus, welches zur Verschlüsselung/Signatur einer E-Mail verwendet wird?
 

nggalai

Roter Stettiner
Registriert
23.05.07
Beiträge
957
Soooo, neuer Tag, neue Frage ;):
Wenn ich E-Mail-Zertifikate unterschiedlicher Anbieter besitze (S/MIME), nach welchen Kriterien wählt Mail.app dann aus, welches zur Verschlüsselung/Signatur einer E-Mail verwendet wird?
Das war mir auch immer ein Rätsel, aber ich glaube: Er nimmt das älteste noch gültige Zertifikat. So sah’s zumindest unter Tiger bei meinen Experimenten aus.

Bei Thunderbird kann man’s zum Glück auswählen.

Cheers,
-Sascha
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Unter Leopard nimmt er das erste gefundene gültige Zertifikat. Ich habe bisher leider keinen Weg gefunden dies irgendwie zu beeinflussen oder eine explizite Auswahl treffen zu können. Mein Bug diesbezüglich ist seit 10.5 offen. Ich hoffe auf Snow Leopard…
Gruß Pepi
 

Zeisel

Spätblühender Taffetapfe
Registriert
07.08.07
Beiträge
2.809
Ich fürchte, daß das nur für SSL Verschlüsselung gilt, aber leider für S/MIME nicht zur Anwendung kommt. Ich habe leider auch noch keinen Weg gefunden das zum Laufen zu bringen, bin aber auch nicht sicher ob das überhaupt gehen kann. Sobald es offiziell funktioniert werde ich das natürlich sofort implementieren, ich kann es kaum erwarten.
Gruß Pepi

Es ist ja leider so, dass die Firmen (>> iPhone als Business-Handy <<) zwar die Synchronisation mit Outlook ganz toll finden, aber niemand E-Mail-Signierung oder gar Verschlüsselung für wichtig hält.

In meiner Firma hält man dies auch für vollkommen unnötig, bei dem Thema wird man angelächelt und für ein wenig paranoid oder nerd gehalten. Jede Firma sollte ihre E-Mails standardmäßig signieren und ihre öffentlichen Schlüssel auf ihren Web-Seiten zum Download anbieten und so ihren Kunden die Möglichkeit geben, auch verschlüsselt zu kommunizieren und, sofern man eine signierte E-Mail sendet, ihre Antwort standardmäßig verschlüsseln. Die Postbank macht das im übrigen so.

Ich würde die Unterstützung von S/MIME auf dem iPhone sehr begrüßen, mache mir da aber wenig Hoffnung.

Ist nicht bald Zeit für die 2009er Umfrage? Nachdem pepi so fleißig aufklärt, muss sich doch etwas tun. Bei mir war er erfolgreich. ;)
(Im übrigen vielen Dank dafür!)

Dito - dem kann ich mich nur anschließen. Ohne Pepis Hilfe hätte ich das mit dem Zertifikat von Thawte nicht hin bekommen. Und ohne die Umfrage hätte ich mich mit dem Thema nie so intensiv auseinandergesetzt. Bis schon mal gespannt auf die neue Umfrage im Februar und die sich daran anschließende Diskussion :)
 

bluejay

Ingol
Registriert
27.12.03
Beiträge
2.097
Es ist ja leider so, dass die Firmen (>> iPhone als Business-Handy <<) zwar die Synchronisation mit Outlook ganz toll finden, aber niemand E-Mail-Signierung oder gar Verschlüsselung für wichtig hält.

In meiner Firma hält man dies auch für vollkommen unnötig, bei dem Thema wird man angelächelt und für ein wenig paranoid oder nerd gehalten. Jede Firma sollte ihre E-Mails standardmäßig signieren und ihre öffentlichen Schlüssel auf ihren Web-Seiten zum Download anbieten und so ihren Kunden die Möglichkeit geben, auch verschlüsselt zu kommunizieren und, sofern man eine signierte E-Mail sendet, ihre Antwort standardmäßig verschlüsseln. …

Kann ich Dir nur beipflichten. Das ist ein ganz, ganz, ganz trauriges Kapitel. Naja, Hauptsache jeder unterschreibt 2x im Jahr die Datenschutzbelehrung, schön auf ganz viel Papier, das dann möglichst noch zigmal kopiert wird. Gaaaaanz wichtig. Aber ansonsten sieht's ganz mau aus.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Aha, danke.
Und ich hoffe seit 10.5.0, daß mein Adressbuch nicht bei jedem öffnen 3 Pixel kleiner wird - vergeblich. Auch ein Apple bekannter Bug seit Leopard. :(
Hast Du zufällig eine BugID für mich. Ich muß gestehen, daß mir der Bug noch nicht begegnet ist.

Es ist ja leider so, dass die Firmen (>> iPhone als Business-Handy <<) zwar die Synchronisation mit Outlook ganz toll finden, aber niemand E-Mail-Signierung oder gar Verschlüsselung für wichtig hält.

In meiner Firma hält man dies auch für vollkommen unnötig, bei dem Thema wird man angelächelt und für ein wenig paranoid oder nerd gehalten. Jede Firma sollte ihre E-Mails standardmäßig signieren und ihre öffentlichen Schlüssel auf ihren Web-Seiten zum Download anbieten und so ihren Kunden die Möglichkeit geben, auch verschlüsselt zu kommunizieren und, sofern man eine signierte E-Mail sendet, ihre Antwort standardmäßig verschlüsseln. Die Postbank macht das im übrigen so.

Ich würde die Unterstützung von S/MIME auf dem iPhone sehr begrüßen, mache mir da aber wenig Hoffnung.[…]
Dann bin ich sozusagen eine Vorzeigefirma. :cool: Ich signiere nämlich alles was rausgeht. Habe meinen S/MIME Public Key auf meiner Webseite zum Download und auch meine GnuPG Keys sind brav auf den Keyservern verteilt. Verschlüsselung setze ich ein wo ich nur kann.

Ja, auch mich hält man für paranoid, aber nur ich weiß, daß es so ist. :)

Synchronisation mit Outlook ist mir ein Gräuel, IMAP Synchronisation ist viel schicker!

Ich werde wie schon angedroht im Feber wieder eine entsprechende Umfrage starten und hoffe jetzt schon auf die Tatkräftige Unterstützung durch einen Mod, da man das ja nicht mehr alleine machen darf. Wird wohl kein Problem darstellen behaupte ich mal. :) Wars auch letztes Jahr nicht. Dann kann man hoffentlich auch schon ein wenig einen Trend ablesen… Bitte verteilt vorab schon die Kunde, daß es diese Umfrage geben wird, da ich auf eine etwas regere Beteiligung hoffe als letztes Jahr!

Danke
Gruß Pepi