Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[pepi]

Leider ist es gang und gäbe fremde Emails auszuspieonieren und weder große Firmen noch die eigene Regierung macht davor halt. Wie gesagt gibt es bereits gesetzlich vorgeschriebene Abhöreinrichtungen bei sämtlichen ISPs und größeren Mailprovidern (wie beispielsweise GMX). Weder die Provider noch die Betroffenen erfahren davon wenn deren Mails abgehört/mitgelesen werden. Da möchte ich dann schon versuchen selbst ein wenig Sorge für meine Privatsphäre zu tragen solange mir das noch möglich ist.

Bloß weil man selbst etwas nicht tun würde ist das leider keine Garantie dafür, daß andere das nicht tun.
Gruß Pepi

 

[bluejay]

Da habe ich mich etwas unglücklich und unverständlich ausgedrückt: ich meinte nicht für sie bestimmte, nicht an sie gerichtete E-Mails, die auf einem fremden Server liegen oder irgendwo abgefangen/abgehört werden...

Aaah, ja, dann kapiere ich es auch. Denke ich. …

Ich weiß ja, was ich meine

Dann stimmt ja schon mal das Wesentlichste. :-D

 

[Irgendein Held]

Da möchte ich dann schon versuchen selbst ein wenig Sorge für meine Privatsphäre zu tragen solange mir das noch möglich ist.i

Und dennoch; selbst im Informatikstudium ist das weitläufigste Argument: "Wozu? So wichtiges steht nicht meinen Emails, mir ist das egal." Das kann man jetzt noch in 20 voneinander verschiedene Formen abwandeln.

 

[pepi]

Ich kenne die Argumente der Leute leider zur Genüge. Sie verstehen nicht, daß es ums Prinzip geht, daß niemand anderen deren Emails etwas angeht. Technisch und rechtlich ist ein Email eine Postkarte, und die darf von jedem der sie in die Finger bekommt gelesen werden.

Wenn ich eine Nachricht versende die nur für den entsprechenden Empfänger bestimmt ist, dann klebe ich einen Brief zu. Das verhindert, daß jemand anderer einfach so mal diese Nachricht mitlesen kann. Technisch gesehen ist die Vollverschlüsselung einer Email nichts anderes als einen Brief zuzukleben.

Der Punkt dabei ist, daß es genau diesen Leute nicht egal ist, daß sie überwacht werden können und das bereits ganz legal getan wird. Sie trauen sich nur nicht es zuzugeben, oder auch nur einen Handgriff für die Erhaltung der eigenen Freiheit zu tun. So wird ein Rechtsstaat zum Überwachgunsstaat. Das ist genau das was wir momentan in Europa gerade (zum wiederholten Male) erleben.
Gruß Pepi

 

[nggalai]

So, dann mal mein jährliches Update :

[x] Sowohl S/MIME als auch GnuPG.

Ich halte mich da einfach an den Gegenüber. Rein theoretisch wäre mir S/MIME lieber, da auf kaum einen System / Mailprogramm Zusatzsoftware installiert werden muß. Außerdem gibt’s auch den einen oder anderen Webmailer, der S/MIME unterstützt.

Wenn jemand eine E-Mail-Adresse hat, die entweder auf web.de oder auf eine eigene Domain endet, verschicke ich in der Regel alle meine Nachrichten S/MIME-signiert. Dann, anschließend, verschlüsselt – wenn denn der Gegenüber auch was in die Richtung eingerichtet hat.

Als großes Problem hat sich Outlook Express herausgestellt. Das zeigt bei etwa der Hälfte meiner OE-Kontakte ein großes WARNUNG-Fenster an, wenn eine signierte Mail gelesen werden soll. Da ich schlecht bei gut 50 Leuten Windows sauber aufsetzen kann, nun ja. Gibt es ein Plug-in fürs Adreßbuch, in dem man (wie beim GnuPG-Plugin) angeben kann, ob man dem Empfänger S/MIME zumuten kann? Das wäre wirklich sehr, sehr nützlich.

Cheers,
-Sascha

 

[Zeisel]

So, ich habe mir heute die Mühe gemacht, Mail bezüglich PGP auf den neuesten Stand zu bringen.

Zuerst habe ich mal den Mac GNU Privacy Guard auf den neuesten Stand (January 13, 2009 | MacGPG2-2.0.10-2) gebracht.
Leider konnte ich zu dieser Version weder ein Prüfsumme noch eine Signatur finden. Weiß hier jemand, wo ich die finden kann?​

Danach habe ich das aktuelle Plugin für Mail, GPGMail, installieren lassen (sehr komfortabel).​

GPG Schlüsselbund, die grafische Benutzeroberfläche zur Schlüsselverwaltung, hat seit Februar 2005 keine Neuerungen erfahren.

Jetzt mal eine Frage:
Das Image "GPGMail-1.2.0.dmg" kommt mit einer Signatur (GPGMail-1.2.0.dmg.sig) daher, doch wie überprüfe ich diese? Weder aus dem empfohlenen Programm GPGDropThing noch aus der hier gegebenen Anleitung für das Terminal werde ich so recht schlau. Weiß jemand Rat, ein Programm, eine Anleitung (Link) dazu?

 

[Zeisel]

Als großes Problem hat sich Outlook Express herausgestellt. Das zeigt bei etwa der Hälfte meiner OE-Kontakte ein großes WARNUNG-Fenster an, wenn eine signierte Mail gelesen werden soll. ... Gibt es ein Plug-in fürs Adreßbuch, in dem man (wie beim GnuPG-Plugin) angeben kann, ob man dem Empfänger S/MIME zumuten kann? Das wäre wirklich sehr, sehr nützlich.

Das Problem habe ich ähnlich: bei vielen meiner Outlook-Kontakte (in der eigenen Firma!) kommen meine signierten E-Mails leer (ohne Inhalt) an. Immerhin wissen die dann, dass ich etwas wollte und melden sich, und ich kann ja nicht immer daran denken, bei diesem oder jenem die Signatur wegzunehmen... daher wäre ich an so einem Plugin für das Adressbuch (bzw. für Mail) auch interessiert, kann mir jedoch nicht vorstellen, dass es so etwas gibt.

 

[j@n]

Hallo pepi,

Ich kenne die Argumente der Leute leider zur Genüge. Sie verstehen nicht, daß es ums Prinzip geht, daß niemand anderen deren Emails etwas angeht. Technisch und rechtlich ist ein Email eine Postkarte, und die darf von jedem der sie in die Finger bekommt gelesen werden.

Das ist mir neu. Kannst Du belegen, dass das rechtlich wirklich so gesehen wird?

Angenommen, es sei wie Du behauptest: jeder, der sie in die Finger bekommt - wer ist das denn, technisch gesprochen, bei meiner E-Mail an Dich? Der Datenstrom fließt doch durch niemandes Kopf, somit wäre „in die Finger bekommen“ aus meiner Sicht synonym mit „sich Zugriff verschaffen“ oder auch metaphorisch: zur Post gehen und den Postsack aufmachen, obwohl es nicht meine Aufgabe ist, die Post zu sortieren oder zuzustellen.

(…) Der Punkt dabei ist, daß es genau diesen Leute nicht egal ist, daß sie überwacht werden können und das bereits ganz legal getan wird. Sie trauen sich nur nicht es zuzugeben, oder auch nur einen Handgriff für die Erhaltung der eigenen Freiheit zu tun. So wird ein Rechtsstaat zum Überwachgunsstaat. Das ist genau das was wir momentan in Europa gerade (zum wiederholten Male) erleben.

Es stimmt, mir ist nicht egal, dass ich überwacht werden kann. Nur, dass ich bereits legal überwacht werde, ist mir neu. Ich bin mit Sicherheit keiner, dem es nichts ausmacht, wenn ein Fremder seine Nase in meine private Kommunikation steckt. Das würde sich auch als zukünftiger Mediziner nicht besonders gut machen. Dennoch sehe ich Deinen Punkt nicht.
Die Tatsache, dass Schnittstellen zum Mitlesen der E-Mail-Kommunikation vorhanden sind, ist natürlich einerseits beunruhigend, andererseits verlasse ich mich gerade deshalb, weil Deutschland ein Rechtsstaat ist darauf, dass diese nicht missbräuchlich genutzt wird. Falls Dir eine andere Praxis bekannt ist, gehe ich damit zum Rechtsanwalt.
Deine Anspielung auf GeStaPo und StaSi („zum wiederholten Male“ interpretiere ich so) finde ich jedenfalls ziemlich überzogen - zumindest vor dem Hintergrund meines bescheidenen Wissens und meines Glaubens an den Rechtsstaat. Aber vielleicht wird Deine Antwort mein Weltbild erschüttern …
Ich bin gespannt!

Gruß j@n

P.S.: Nutzt Du eigentlich ein DECT-Telefon?

 

[stk]

Moin,

*einmisch*

Angenommen, es sei wie Du behauptest: jeder, der sie in die Finger bekommt - wer ist das denn, technisch gesprochen, bei meiner E-Mail an Dich? Der Datenstrom fließt doch durch niemandes Kopf, somit wäre „in die Finger bekommen“ aus meiner Sicht synonym mit „sich Zugriff verschaffen“ oder auch metaphorisch: zur Post gehen und den Postsack aufmachen, obwohl es nicht meine Aufgabe ist, die Post zu sortieren oder zuzustellen.

Bei der Postkarte ist's der Briefträger, der's seinem Kollegen zeigt und bei eMail eben ein Sysadmins-Gehilfen-Auszubildender, der gerade Langeweile hat. Vorstellbar ist das. Und warum an solchen Stellen nicht auch mal bewußt zupacken, wenn die schon Infos haben. Früher waren's die Kaminkehrer, die überall reingelassen werden mußten, demnächst heuert der Schäuble die Sysadmins an.

… weil Deutschland ein Rechtsstaat ist …

Du hast das »noch« in dem Satz vergessen.

Deine Anspielung auf GeStaPo und StaSi („zum wiederholten Male“ interpretiere ich so) finde ich jedenfalls ziemlich überzogen

Wie das immer so ist mit Interpretationen. Stehen tut's da nicht. Aber Du hast Recht: der Gedanke an Gestapo und Stasi mag einem bei den aktuellen Überlegungen und Gesetzgebungsverfahren zu Fingerabdrücken in Reisepässen und Personalausweisen, Mautdatenzugriff für Strafverfolger, Section-Control, Vorratsdatenspeicherung, Kinderpornosperre, BKA-Gesetz, etc. etc. schon mal aufdrängen. Ach ja: pünktlich zur Bundestagswahl geht die Terroristenbombe in .de hoch - der Schäuble hats schon vorher gesacht - den kann man dann guten Gewissens wiederwählen

P.S.: Nutzt Du eigentlich ein DECT-Telefon?

Ich schon - eines mit Verschlüsselung .

Gruß Stefan

 

[Zeisel]

Das ist mir neu. Kannst Du belegen, dass das rechtlich wirklich so gesehen wird?

Das ist auch rechtlich nicht so. Selbst wenn ich ein Telegramm entgegen nehme, habe ich laut Gesetz den Inhalt nach der Niederschrift sofort wieder zu vergessen, denn er fällt unter das Postgeheimnis. Ist natürlich graue Theorie, aber ich darf den Inhalt weder an dritte weitergeben noch für mich verwenden.

... andererseits verlasse ich mich gerade deshalb, weil Deutschland ein Rechtsstaat ist darauf, dass diese nicht missbräuchlich genutzt wird.

Das ist sehr naiv.
Edit: Grade weil Deutschland ein Rechtsstaat ist dürfen wir uns darüber freuen, Verschlüsselung benutzen zu dürfen und sollten es daher auch tun und von diesem Recht regen Gebrauch machen sowie alles dafür tun, dass das Recht auf Privatsphäre in diesem Rechtsstaat nicht eingeschränkt wird!

P.S.: Nutzt Du eigentlich ein DECT-Telefon?

DECT ist (noch relativ) sicher, nur setzen die Hersteller nicht alle Möglichkeiten und Optionen von DECT um und übertragen die Daten teilweise unverschlüsselt. Das ist ein Problem der Umsetzung durch die Hersteller und nicht ein Problem von DECT selbst.

 

[pepi]

Die Problematik mit so einem Plug-In ist, daß man nicht weis mit welchem Programm ein Empfänger das Mail ansieht. Das kann sich jederzeit ändern und ein Empfänger verwendet vielleicht auch unterschiedliche Geräte, beispielsweise ein iPhone oder einen Blackberry und ein Mailprogramm auf einem Desktop Rechner und ein anderes, oder eine andere Version des gleichen Programmes auf einem Laptop Rechner.

Man kann das also niemals wirklich genau vorhersagen was der Emfpänger kann oder nicht kann. Ich würde sagen, daß man heutzutage davon ausgehen darf, daß ein Empfänger nicht mehr mit einem 10 Jahre alten Mailprogramm unterwegs ist und ein entsprechendes S/MIME signiertes Mail zumindest anzeigen kann.


Um welche Outlook Express Version handelt es sich bei der es Probleme gibt?

Solche Leute sollte man heutzutage dringend ans Herz legen einen aktuelleren Mailclient einzusetzen! Ich weis, daß das nicht immer ganz einfach ist. Ich sehe es aber nicht für sinnvoll an sich selbst einzuschränken weil eine Firma nicht fähig ist annähernd halbwegs aktuelle Software einzusetzen. S/MIME ist jetzt wirklich keine Neue Sache mehr. Ein Mailclient sollte zumindest in der Lage sein ein signiertes Mail anzuzeigen, da dieses sich durch nichts von einem unsignierten Mail unterscheidet. Den MIME Part den das Mailprogramm nicht versteht sollte es entsprechend ignorieren.


Es genügt wenn jemand einen Laptop oder ein mobiles Gerät verliert und schon bekommt jemand fremde Mails in die Finger, ohne daß es zwangsläufig zu einem vorsätzlichen Verbrechen gekommen ist. Der Kollege geht in der Pause mal eben an einen Rechner von einem anderen Kollegen. Die Konkurrenz zapft das Firmeneigene WLAN an, ein WebMail Zugang ist nur mit einem schlechten Benutzerpasswort geschützt. Irgendeine Malware zweigt Zugangsdaten oder Emails ab. (Kommt ja vor, daß Malware sich mal am Adresssbuch eines PCs bedient, das ist etwas alltägliches.)

Jeder Mailserver hat eine Funktion mit der ich jedes Mail welches über diesen Mailserver läuft einfach mal an eine oder mehrere beliebige Adressen kopieren kann. Es gibt auch andere Schnittstellen die von Firmen zur Industriespionage und vom Staat zur Überwachung verwendet werden. Jeder Provider ist gesetzlich gezwungen solche Schnittstellen zur Verfügung zu stellen. Die Betroffenen erfahren üblicherweise nichts davon, daß sie überwacht werden oder wurden.

Mord ist übrigens nicht nur in Deutschland und Österreich verboten. Trotzdem werden immer wieder Menschen umgebracht.

Die deutsche Regierung hat versprochen, daß die Mautdaten nicht für irgendwelche anderen Zwecke als zur Mautabrechnung verwendet werden oder mit anderen Datenbanken verknüpft werden. Was daraus geworden ist sieht inzwischen jedoch anders aus.

Die Vorratsdatenspeicherung ist bereits eine Form der Generalüberwachung.

Und zur DECT Frage, nein ich verwende kein solches Telefon. Nicht nur weil ich die entsprechende Lecture des 25C3 kenne.
Gruß Pepi

 

[crazy5170]

Ich würde ja gerne meine Mails verschlüsseln/signieren, aber "meine Empfänger" weigern sich ohne Grund, ebenfalls entsprechende Software einsetzen.

Ist doch richtig, dass auch meine Empfänger Verschlüsselung haben müssen, um meine lesen zu können, oder???

 

[nggalai]

Ich würde ja gerne meine Mails verschlüsseln/signieren, aber "meine Empfänger" weigern sich ohne Grund, ebenfalls entsprechende Software einsetzen.

Ist doch richtig, dass auch meine Empfänger Verschlüsselung haben müssen, um meine lesen zu können, oder???

Für Verschlüsselung ja, für Signierung in 90% der Fälle nein. Im Falle von S/MIME. Und die 10%, die zu den 100 fehlen, betreffen vorwiegend mobile Geräte, die meisten Webmail-Applikationen und veraltete Mailprogramme.

pepi, ich weiß nicht, welche OE-Version da im Einsatz ist, wenn's nicht klappt. Wohl eine wirklich alte (bei Vista ist OE ja auch nicht mehr dabei, oder?). Aber: Als Autor kann ich nicht davon ausgehen, daß der Empfänger bei Wettbewerben etc. eben NICHT so eine alte Version hat. Entsprechend checke ich bei Anfragen immer den Mailer im Header, bevor ich nur daran denke, Mails digital zu signieren ...

(Am Rande: Ähnliches Problem beim Dateiformat für die Texte. Mellels RTF-Export z. B. arbeitet nicht gut mit Word99 -- was immer noch erstaunlich viele Leute einsetzen. Oh, und auch nicht in OpenOffice 3 auf Win. Ergo: RTF wird vor dem Versenden immer noch in Nisus konvertiert.)

Cheers,
-Sascha

 

[IceHouse]

Jetzt mal eine Frage:
Das Image "GPGMail-1.2.0.dmg" kommt mit einer Signatur (GPGMail-1.2.0.dmg.sig) daher, doch wie überprüfe ich diese? Weder aus dem empfohlenen Programm GPGDropThing noch aus der hier gegebenen Anleitung für das Terminal werde ich so recht schlau. Weiß jemand Rat, ein Programm, eine Anleitung (Link) dazu?

Um jede Datei zu verifizieren, ist entweder die beigefügte Signatur (auf keinen Fall sollte GNU Privacy Guard von sich selbst verifiziert werden!) oder die bereitgestellte MD5 Prüfsumme zu benutzen. Der einfachste Weg dies zu tun ist, auf der Kommandozeile 'openssl md5 [Dateiname]' einzugeben, wobei [Dateiname] für die Datei steht, die herunter geladen wurde. Es sollte dabei derselbe Wert ausgegeben werden, der auf dieser Seite zu sehen ist. Sollte dem nicht so sein, ist etwas schief gelaufen und das Projektmanagement sollte kontaktiert werden.

Quelle: http://macgpg.sourceforge.net/de/index.html - Absatz: Dateien

Gruss von IceHouse

 

[pepi]

Ich würde ja gerne meine Mails verschlüsseln/signieren, aber "meine Empfänger" weigern sich ohne Grund, ebenfalls entsprechende Software einsetzen.

Ist doch richtig, dass auch meine Empfänger Verschlüsselung haben müssen, um meine lesen zu können, oder???

Es spricht eigentlich nichts dagegen mit gutem Beispiel voran zu gehen und die eigenen Mails mal zu signieren. Das tut auch dem Empfänger nichts, wenn man mal von Outlook Express von 1783 absieht.

Um Verschlüsseln zu können müssen beide Partner jeweils ein Schlüsselpärchen haben (und bei S/MIME ein passendes Zertifikat). Alles ist kostenlos zu haben. Es liegt also wahrscheinlich, so wie meist, an der eigenen Unwissenheit der Leute, oder der eigenen Faulheit der Leute. (Soviel zu grundlos. Gegen die Unwissenheit kann man schließlich was tun, so wie wir das hier auch tun.)

Hol' Dir einfach mal ein Zertifikat und beginne es einzusetzen! Wenn Du Hilfe dabei brauchst, sind wir gerne für Dich da und assistieren beim Einrichten. Hat noch jeder hier hinbekommen.
Gruß Pepi

 

[da_jones]

Seit vergangenem Jahr nutze ich Verschlüsselung via Apple Mail mit S/MIME (v.a. dank Pepi's Hilfe!). Derzeit bin ich fleißig, fleißig am Aufklären und Missionieren. Der berühmte Kampf gegen die Windmühlen. Aber ich bleibe da grundsätzlich Optimist.

 

[crazy5170]

Hol' Dir einfach mal ein Zertifikat und beginne es einzusetzen! Wenn Du Hilfe dabei brauchst, sind wir gerne für Dich da und assistieren beim Einrichten. Hat noch jeder hier hinbekommen.
Gruß Pepi

Darf ich auf dein Hilfsangebot zurückkommen?

Ich erhalte jetzt die Nachricht:

Hello,

This is an automated message to let you know that we have just
issued your personal certificate. You can retrieve it at:

https://www.thawte.com/cgi/personal/cert/deliver.exe?serial=27300815986528820428111xxxxxxx (Nummer anonymisiert)

Remember, you will need your Thawte ID and password to access
the Personal Certification System. You also need to be running
the same browser, on the same machine, logged in as the same
user, as you were when you made the request.


Und jetzt? Jetzt stock ich.....

 

[pepi]

Link anklicken und runterladen! Nicht schrecken, da kommt ein .exe file, weil das bei Thawte etwas doof konfiguriert ist. Du mußt das File komplett runterladen. Dabei wird automatisch Dein Zertifikat auf Deinem Schlüsselbund abgelegt. (Vorausgesetzt Du verwendest Safari.) Du kannst das .exe File nachdem es runtergeladen wurde sofort nehmen und wegwerfen. Du brauchst es nicht. (Warum das so implementiert ist habe ich bis heute nicht rausbekommen.)

Danach einmal das Mailprogramm beenden und wieder starten. Ab dann solltest Du Deine Mails von der angegebenen Mailadresse signieren können.
Gruß Pepi

 

[crazy5170]

Jetzt habe ich das "deliver.exe" geladen. Mail geschlossen, geöffnet. Nix hat sich geändert. Muss ich hier noch etwas eintellen/umstellen? Hmm.

 

[pepi]

Wenn Du das mit Safari getan hast und die Mailadresse im Mailprogramm exakt so geschrieben ist wie im Zertifikat, dann sollten automatisch in einem "Neues Email" Fenster die beiden Knöpfe für Signieren und Verschlüsseln zu sehen sein. Wobei der zum Signieren immer aktiv ist und der fürs Verschlüsseln logischerweise nur dann wenn Du nur Empfänger adressiert hast die ebenfalls über ein gültiges Zertifikat verfügen.
Gruß Pepi