Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)

[bluejay]

So, habe nun auch abgestimmt. Auf die vorherige Umfrage bin ich ja leider erst zu spät gestoßen. Schön, daß es die neue hier gibt.
Noch ein paar kurze Hinweise bzw. Fragen. Was bedeutet „… habe zwar installiert … benutze aber nicht …”. Also, bei mir macht Mail das automatisch. Einmal eingerichtet und eingestellt ist der Haken in der Signatur bzw. der Verschlüsselung, sofern der entsprechende öffentliche Schlüssel des Mailempfängers vorliegt. Da muß ich doch nichts mehr „benutzen”.
Für alle, die meinen es wäre zu kompliziert ein Tip. Das Einrichten eines Signaturzertifikats bei TC TrustCenter ist wirklich ein Kinderspiel. Wer erste Erfahrungen damit sammeln will: Hier der Link zur TC Internet ID, dem kostenlosen Angebot - Laufzeit 1 Jahr (E-Mail Benachrichtigung vor Ablauf des Zertifikats), Class-1-Vertrauensstufe, d.h. es wird nur die Richtigkeit der E-Mail Adresse geprüft. Es sind wirklich nur ein paar wenige Mausklicks.
Wer es etwas komplizierter mag - aber wirklich nur etwas - dem sei Thawte ans Herz gelegt. Vorteil hier - das Root Zertifikat ist auf den meisten gängigen Plattformen vorinstalliert.

Ja und auch ich habe schon Re-Mails bekommen: „Wir konnten leider Ihren Anhang nicht öffnen …”. Deshalb steht jetzt generell

Meine E-Mail ist grundsätzlich signiert und, sofern es der Empfänger wünscht/zuläßt, verschlüsselt.
Digitale Signatur ist nicht schwieriger als einen Briefumschlag zu verschließen ohne sich beim Befeuchten des Klebestreifens die Zunge zu zerschneiden.
Nützliche Links: GnuPG, Thawte, TC TrustCenter, CAcert.​

unter meinen Mails.

 

[MaChris]

Ich verwende noch keine Verschlüsselung, weil es das GnuPG-Plugin für Mail unter 10.5.2 noch nicht bzw. nur in einer Beta gibt. Sobald aber das Plugin unter Leo läuft und den Beta-Status verlassen hat, habe ich fest vor eMail-Verschlüsselung einzusetzen und im Familien-/Kollegenkreis missionierend tätig zu werden.

 

[philz]

Wieso verwendest du nicht einfach S/MIME für Mails? Ist meiner Meinung nach einfacher zu integrieren, da viele E-Mail clients entsprechende Funktionalität mitbringen und selbst diverse Webmail-Anbieter dies unterstützen.

 

[pepi]

Das GnuPG 1.4.8 Beta Mail-Plugin läuft bei mir schon recht gut und stabil. Ich habe zwar relativ wenige Kontakte mit denen ich PGP Verschlüsselung einsetze, aber mit denen funktioniert es bisher sehr gut.

@iZap
Es gibt durchaus Gründe um GnuPG vorzuziehen. Dies hängt von den Mailpartnern ab, der gewünschten Verschlüsselungsqualität und auch noch anderen Faktoren.

Ideal wäre es meiner Meinung nach beides zu unterstützen. Wer noch nichts hat ist wahrscheinlich mit einem S/MIME Schlüsselpaar/Zertifikat besser bedient.
Gruß Pepi

 

[philz]

Sicherlich har es seine Gründe, aber da er ja seinen Bekanntenkreis "missionieren" möchte, ist er ja in der Wahl der Methode frei. Deswegen meinte ich, dass es bei S/MIME meiner Meinung nach einfacher ist.

 

[Zeisel]

Eine Bekannte von mir schreibt in einem Schreibbüro - abends - Entlassungsberichte für ein Krankenhaus. Die Bänder bringt ihr ein Bote, die Berichte MIT ALLEN DATEN ZU PERSONEN, KRANKHEITSVERLAUF ETC!!! gehen dann UNVERSCHLÜSSELT!!! an das Krankenhaus zurück, damit die Patienten noch am Abend entlassen werden und ihren Entlassungsbericht gleich mit nehmen können.

Ich wollte es nicht glauben - aber die Systemamins habe diesesm Verfahren genehmigt zugestimmt. Und meine Bekannte hat nichtmal Probleme mit verschlüsselten E-Mails - aber das Krankenhaus. Die EDV-Abteilung hat schlicht keine Zeit, die Arbeitsplätze dort entsprechend einzurichten.

Auch ihren Boten sparen sie demnächst ein, dann kommen auch die Diktate - unverschlüsselt - als E-Mail-Anhang. Ich frage mich wie es da mit dem Datenschutz aussieht - ob das überhaupt erlaubt ist - ich kann mir das nicht vorstellen.

Ich weiß nicht, ob dieser Link schon gepostet wurde, aber mehrmals schadet wohl besonders bei diesem Thema nicht:

PGP for Apple's Mail​

 

[bluejay]

…
Ich wollte es nicht glauben - aber die Systemamins habe dieses Verfahren genehmigt. …

Die Systemadmins haben da eigentich nichts zu genehmigen. Für die Genehmigung ist das jeweilige Regierungspräsidium (früher Gewerbeaufsichtsamt) zuständig. Prinzipiell gibt es von Bundesland zu Bundesland sicher einige Abweichungen in den Genehmigungsverfahren - das hier scheint mir allerdings sehr fragwürdig. (Ob da die zuständige Behörde überhaupt was davon weiß? )
Kann ich mir fast nicht vorstellen, daß das so läuft.

Ich weiß nicht, ob dieser Link schon gepostet wurde, aber mehrmals schadet wohl besonders bei diesem Thema nicht:

PGP for Apple's Mail​

Ich glaube nicht - wie peinlich.

 

[Zeisel]

Ich habe mal eine Frage zu Mail - weil ich mit Nein, ich verwende noch keine digitale Signatur (mit Zertifikat) oder Verschlüsselung. abgestimmt habe, es aber gern ändern möchte.

Ich habe mir im der Schlüsselbundverwaltung mit dem Zertifikatsassistenten ein selbst signiertes Zertifikat erstellt - für meine Haupt-E-Mail-Adresse, das wird auch im Adressbuch mit einem Stern vor selbiger angezeigt.

Nun sagt die Hilfe: "Gehen Sie wie folgt vor, um eine E-Mail zu signieren und zu verschlüsseln:

Wählen Sie "Ablage" > "Neue E-Mail" und wählen Sie im Einblendmenü "Account" den Account aus, für den in Ihrem Schlüsselbund ein persönliches Zertifikat installiert ist.

Das Symbol "Signiert" (ein Häkchen) oben rechts über der E-Mail weist darauf hin, dass die E-Mail beim Senden signiert wird."

Dieses Häkchen ist nicht da - wo liegt der Fehler?

 

[Zeisel]

[...] Ob da die zuständige Behörde überhaupt was davon weiß? [...]

Ich denke nicht.

 

[philz]

Ich habe mal eine Frage zu Mail - weil ich mit Nein, ich verwende noch keine digitale Signatur (mit Zertifikat) oder Verschlüsselung. abgestimmt habe, es aber gern ändern möchte.

Ich habe mir im der Schlüsselbundverwaltung mit dem Zertifikatsassistenten ein selbst signiertes Zertifikat erstellt - für meine Haupt-E-Mail-Adresse, das wird auch im Adressbuch mit einem Stern vor selbiger angezeigt.

Nun sagt die Hilfe: "Gehen Sie wie folgt vor, um eine E-Mail zu signieren und zu verschlüsseln:

Wählen Sie "Ablage" > "Neue E-Mail" und wählen Sie im Einblendmenü "Account" den Account aus, für den in Ihrem Schlüsselbund ein persönliches Zertifikat installiert ist.

Das Symbol "Signiert" (ein Häkchen) oben rechts über der E-Mail weist darauf hin, dass die E-Mail beim Senden signiert wird."

Dieses Häkchen ist nicht da - wo liegt der Fehler?

Vielleicht ist das Feld in Mail.app ausgeblendet?
Zum Anzeigen dieses Felds musst du in Mail.app ein neues E-Mail-Fenster öffnen, "Anpassen" auswählen und schließlich das Häkchen setzen, damit die Optionen für Verschlüsselung und Signatur erscheinen.

Falls das Feld bereits aktiviert ist, kann ich dir auch nicht weiterhelfen, denn ich kenne mich mit selbst erstellten Zertifikaten mittels Schlüsselbundverwaltung nicht aus.
Ich bevorzuge thawte.com für meine Zertifikate, denn dessen Root-Zertifikate sind meist bei allen Programmen bzw. Betriebssystemen enthalten.
Wie das nun mit deinen selbsterstellten Zertifikaten funktioniert, weiss ich nicht. Irgendwie muss ja die Gegenstelle diese verifizieren können.

 

[Zeisel]

Zum Anzeigen dieses Felds musst du in Mail.app ein neues E-Mail-Fenster öffnen, "Anpassen" auswählen und schließlich das Häkchen setzen, damit die Optionen für Verschlüsselung und Signatur erscheinen.

Meinst Du mit Anpassen die Symbolleiste?
Nachdem ich mir gestern Abend das GPGMail-Plugin installiert habe (was Mail nicht wollte, ich musste es zwingen) habe ich folgende Symbole hinzubekommen:

Vorher hatte ich nichts ähnliches. Laut Mail-Hilfe sollte Mail jedoch von sich aus (ohne fremdes Plugin) die Signierung und Verschlüsselung von E-Mails beherrschen.

Wie das nun mit deinen selbsterstellten Zertifikaten funktioniert, weiss ich nicht. Irgendwie muss ja die Gegenstelle diese verifizieren können.

Ehrlich gesagt habe ich das System mit dem Zertifizieren noch nicht so ganz durchschaut. So einfach wie einen Briefumschlag mit einer feuchten Zunge zukleben (ohne sich zu schneiden) ist das jedenfalls nicht, woran mit Sicherheit auch die allgemeine Akzeptanz scheitert. Dass es einen Öffentlichen Schlüssel und einen privaten gibt - klar. Doch ob der öffentliche, den mein Empfänger hat, auch wirklich meiner ist, wie soll der das wissen? Nur, in dem er seinem Programm traut, das ihm sagt, das Zertifikat sei (warum auch immer) OK? Man "sieht" ja nicht, was da passiert.

 

[bluejay]

M… Laut Mail-Hilfe sollte Mail jedoch von sich aus (ohne fremdes Plugin) die Signierung und Verschlüsselung von E-Mails beherrschen.

Tut es auch - wenn Du die „richtigen“ Zertifikate verwendest. Sieh mal im Schlüsselbund nach von welchen Instanzen da schon die Root-Zertifikate vorhanden sind, das ist 'ne ganze Menge.
GPG, das Du jetzt verwendet hast, geht da einen anderen Weg. Das ist etwas umständlicher in der Installation, macht, wenn es einmal am Laufen ist, aber auch keine weitere große Mühe.

Ehrlich gesagt habe ich das System mit dem Zertifizieren noch nicht so ganz durchschaut. So einfach wie einen Briefumschlag mit einer feuchten Zunge zukleben (ohne sich zu schneiden) ist das jedenfalls nicht, …

Ist es schon - folge mal dem Link zum TC TrustCenter, einfacher geht es wirklich kaum.
Ich persönlich bevorzuge allerdings (aus dem schon mehrfach genannten Grund, daß das Root-Zertifikat auf allen gängigen Systemen vorinstalliert ist) Thawte.

 

[philz]

Meinst Du mit Anpassen die Symbolleiste?
Nachdem ich mir gestern Abend das GPGMail-Plugin installiert habe (was Mail nicht wollte, ich musste es zwingen) habe ich folgende Symbole hinzubekommen:

Vorher hatte ich nichts ähnliches. Laut Mail-Hilfe sollte Mail jedoch von sich aus (ohne fremdes Plugin) die Signierung und Verschlüsselung von E-Mails beherrschen.

PGP bzw. GnuPG ist wieder eine andere Sache.

Aber zunächst zurück zu der Methode S/MIME, was du anfangs probiert hast. Mail.app kann dies auch so einfach wie in der Hilfe beschrieben.
Lies dir nochmal meinen vorherigen Beitrag durch. Da habe ich alle Schritte aufgezählt und 2 Screenshots verlinkt. Also zuerst Mail starten, danach eine neue E-Mail erstellen und in diesem Fenster auf das Symbol links oberhalb des Textfelds klicken (wie im Screenshot meines vorherigen Beitrags gezeigt) und "Anpassen" auswählen.

Ehrlich gesagt habe ich das System mit dem Zertifizieren noch nicht so ganz durchschaut. So einfach wie einen Briefumschlag mit einer feuchten Zunge zukleben (ohne sich zu schneiden) ist das jedenfalls nicht, woran mit Sicherheit auch die allgemeine Akzeptanz scheitert. Dass es einen Öffentlichen Schlüssel und einen privaten gibt - klar. Doch ob der öffentliche, den mein Empfänger hat, auch wirklich meiner ist, wie soll der das wissen? Nur, in dem er seinem Programm traut, das ihm sagt, das Zertifikat sei (warum auch immer) OK? Man "sieht" ja nicht, was da passiert.

Also mein Vorschlag wäre:
Gehe auf http://www.thawte.com/secure-email/personal-email-certificates/index.html und erstelle dir ein Zertifikat. Dieses kannst du dann herunterladen, per Doppelklick in deinen Schlüsselbund importieren und schliesslich in Mail das Häkchen zum Signieren oder Verschlüsseln setzen.

Zum besseren Verständnis empfehle ich dir diese Seite anzuschauen:
http://www.apfelwiki.de/Main/E-Mail-ZertifikateInMailVerwenden

(Zum Schluss noch ein Link zu einem Tutorial zum Thema PGP/GnuPG und Mail.app, was aber meiner Meinung nach für Einsteiger ein wenig komplizierter in der Einrichtung ist:
http://www.apfelwiki.de/Main/E-MailsMitGnuPGUndMailVerschlüsseln )

 

[pepi]

[…]Die Bänder bringt ihr ein Bote, die Berichte MIT ALLEN DATEN ZU PERSONEN, KRANKHEITSVERLAUF ETC!!! gehen dann UNVERSCHLÜSSELT!!! an das Krankenhaus zurück[…]dann kommen auch die Diktate - unverschlüsselt - als E-Mail-Anhang. Ich frage mich wie es da mit dem Datenschutz aussieht - ob das überhaupt erlaubt ist - ich kann mir das nicht vorstellen.[…]

Die Systemadmins haben da eigentich nichts zu genehmigen. Für die Genehmigung ist das jeweilige Regierungspräsidium (früher Gewerbeaufsichtsamt) zuständig. […]

In Österreich ist dieses Vorgehen ganz eindeutig nicht legal, da der behandelnde Arzt damit seine gesetzliche Schweigepflicht (grob fahrlässig) verletzt. Hier gilt jedoch auch, wo kein Kläger da kein Richter. Ärzte sind meiner Erfahrung nach in diesen Dingen hochgradig ahnungslos, doch auch Unwissenheit schützt vor Strafe nicht.
Gruß Pepi

 

[bluejay]

In Österreich ist dieses Vorgehen ganz eindeutig nicht legal, …

In Deutschland auch. Die zur, in der Regel anonymisierten oder verschlüsselten, Übertragung von Patientendaten verwendeten Verfahren und Techniken müssen von der jeweiligen Behörde abgenommen und genehmigt werden.

Ärzte sind meiner Erfahrung nach in diesen Dingen hochgradig ahnungslos, …

Ja, vielen Dank dann auch schon mal von mir an dieser Stelle. :-D
Nein, da hast Du vollkommen recht. Die Unwissenheit und, noch viel schlimmer, der Unwille sich entsprechendes Wissen anzueignen, ist schon erschütternd.

 

[Zeisel]

Falls das Feld bereits aktiviert ist, kann ich dir auch nicht weiterhelfen, denn ich kenne mich mit selbst erstellten Zertifikaten mittels Schlüsselbundverwaltung nicht aus.

Tut es auch - wenn Du die „richtigen“ Zertifikate verwendest.

Ich musste mein selbst erstelltes Zertifikat erst selbst als Vertrauenswürdig einstufen
(Admin-Passwort erforderlich)

Jetzt habe ich auch die gesuchten Felder in Mail:

Der Thawte-Server meldet bei der Zertifikatserstellung nach der Nameneingabe zur Zeit immer einen Fehler, das muss ich später noch einmal probieren.

 

[doeme89]

Der Thawte-Server meldet bei der Zertifikatserstellung nach der Nameneingabe zur Zeit immer einen Fehler, das muss ich später noch einmal probieren.

Den Fehler hatte ich auch immer, nach ein paar Mal probieren gings dann...
Mein Problem bei Thawte ist folgendes: nach der Erstellung des Zertifikats ist es noch nicht vertrauenswürdig...

 

[MacAlzenau]

Gehe auf http://www.thawte.com/secure-email/personal-email-certificates/index.html und erstelle dir ein Zertifikat. Dieses kannst du dann herunterladen, per Doppelklick in deinen Schlüsselbund importieren und schliesslich in Mail das Häkchen zum Signieren oder Verschlüsseln setzen.

Klappt bei mir nicht, ich finde nichts, wo ich dieses Häkchen setzen könnte.
Das Zertifikat ist angekommen und im Schlüsselbund, ich habe es auch entsprechend dem Tipp selbst
als vertrauenswürdig markiert. Mail sogar mal neu gestartet, nichts.
MacBook, Leo 10.5.2, neueste Mail-Version.
Was mach ich falsch, was übersehe ich?

 

[Zeisel]

Du musst eine neue E-Mail öffnen (Apfel + N), dann wie im Bild

auf anpassen klicken und dann wie im nächsten Bild

das Häkchen setzen.

Kannst Du kein Häkchen setzen, dann ist kein gültiges Zertifikat installiert, dann weiss ich auch nicht weiter...

 

[MacAlzenau]

Danke, da hatte ich noch gar nicht geschaut.
Allerdings klappt es nicht, ich bekomme das Signaturkästchen nicht angeboten.
Das Zertifikat müsste aber gültig sein, es kam nirgends eine Fehlermeldung, und es wird im Schlüsselbund ja angezeigt.

Edit: Ich weiß nicht wieso, aber nach einiger Zeit mit Mails lesen und schreiben und immer mal in den Schlüsselbund schauen (was sicher alles nicht ursächlich war) habe ich jetzt die zwei Kästchen - allerdings sind sie grau und nicht anklickbar.
Daran, daß ich mit einem Nur-User-Account arbeite, kann es ja wohl nicht liegen (das Zertifikat liegt aber nicht im Schlüsselbund des Users, sondern im Schlüsselbund "Anmeldung").