Verwendest Du eMail Verschlüsselung oder digitale Signaturen?

[schlingel]

Da muss ich jetzt aber mal ganz vehement widersprechen.

Hast du eine Ahnung mit wie vielen Menschen ich geschäftlich und privat kommuniziere? Ich müsste mich mit 'zig Leuten unterhalten und diese müssten dann ausschließlich mir zuliebe Verschlüsselungstechnologie installieren, auf unterschiedlichen System und das geht eben nicht immer komplikationslos. Eine schnellere Art Kunden mit wenig Zeit auf die Nerven zu gehen, lässt sich heute schwer finden.

Diese Leute sehen, das kannst du mir getrost glauben, keinerlei Handlungsbedarf für eine Verschlüsselung. Ich kann dir die Antwort geben, die man unisono auf ein solches Anliegen bekommt: "Nein, so was Geheimes haben wir hier nicht und ganz wichtige Sachen schicken wir sowieso nicht per E-Mail."

Keiner Muss sich wegen Dir die STW installieren, Du kannst nur Personen verschlüsselte Mails senden, die auch einen Schlüssel haben. Keiner Muss also irgendwas dir zuliebe machen. Bei geschäftspartnern ist das sicherlich etwas viel Overhead, aber Freunde bekannte, etc.

 

[newman]

Keiner Muss sich wegen Dir die STW installieren, Du kannst nur Personen verschlüsselte Mails senden, die auch einen Schlüssel haben. Keiner Muss also irgendwas dir zuliebe machen. Bei geschäftspartnern ist das sicherlich etwas viel Overhead, aber Freunde bekannte, etc.

Aber ausgerechnet für Freunde, Bekannte usw. benötige ich nun wirklich überhaupt keine Verschlüsselung. Alles was ich denen per E-Mail zu sagen habe, erzähle ich denen am Telefon auch nicht hinter vorgehaltener Hand. Wenn ein Sysadmin nichts anderes findet als meine Gedanken zum Besuch in dieser oder jener Ausstellung - viel Spass!

Ich verstehe schon in welche Richtung du diskutierst und das hat natürlich seine Berechtigung. Für mich ist es heute noch ein viel zu großer Aufwand um wenig bis nichts. Je besser Verschlüsselung von vornherein integriert ist, umso mehr Menschen werden diese nutzen, mich eingeschlossen.

 

[schlingel]

Du musst es selbst wissen, ich finde das Argument grundsätzlich zu einfach um es als Begründung zu nutzen.

 

[purzel]

Also an alle "ich nutze kein GPG weil die Akzeptanz fehlt" Ausredensucher:
...
GPG Fingerabdruck: xyxyxyxyx
Mein öffentlicher Schlüssel: http://schlüssel.liegt.auf.de.server.de/datei.name


Ihr zieht euch hier etwas zu einfach aus der Affäre...

Mag sein, daß es nach Ausrede klingt. Aber ich habe bereits eine Verschlüsselungstechnik. Die Post. Ich muß nicht alles per eMail erledigen.
Und eigentlich ist es mir relativ egal ob jemand meine mails liest. Auch wenns einfach klingt. Ich brauche keine Begründung warum ich keine Verschlüsselung benötige, sondern ich bräuchte eine Begründung warum ich meine mails verschlüsseln sollte. Und eben eine solche Begründung habe ich nicht.

 

[Herr Sin]

..., sondern ich bräuchte eine Begründung warum ich meine mails verschlüsseln sollte. Und eben eine solche Begründung habe ich nicht.

Was ist mit dem Recht auf Privatsphäre?

 

[newman]

Was ist mit dem Recht auf Privatsphäre?

Ein Recht bedeutet aber noch keine Pflicht.

 

[purzel]

Was ist mit dem Recht auf Privatsphäre?

Das Recht auf Privatsphäre möchte ich allerdings nicht missen. Allerdings nötigt mich die Qualität meiner mails (noch) nicht dazu dieses Recht auch zu nutzen.

 

[trent]

Die Version 1.4.6 kann man bei Benjamin Donnachie herunterladen.

Danke für den Link, super! :-D

 

[philz]

S/MIME kann so leicht sein...

Ich verstehe schon in welche Richtung du diskutierst und das hat natürlich seine Berechtigung. Für mich ist es heute noch ein viel zu großer Aufwand um wenig bis nichts. Je besser Verschlüsselung von vornherein integriert ist, umso mehr Menschen werden diese nutzen, mich eingeschlossen.

Im Fall von S/MIME-Verschlüsselung wäre der Aufwand folgender:

a) z.B. auf http://www.trustcenter.de ein "My Certificate Express" kostenfrei erstellen und downloaden
b) das Zertifikat per Doppelklick in Schlüsselbund importieren
c) in Mail.app, wenn eine neue E-Mail erstellt wird, einen einzigen Button anklicken und schon wird jede neue E-Mail digital signiert und die Empfänger erhalten automatisch dein öffentliches Zertifikat.
d) Fertig!

Du musst nichts weiter tun. Falls dein Gegenüber auch diese 5 Minuten aufwenden kann, steht der Verschlüsselung nichts mehr im Wege, denn auch er überträgt durch die signierte E-Mail automatisch seinen öffentlichen Schlüssel.

Wenn beide Zertifikate durch ganz normale, signierte E-Mails automatisch ausgetauscht wurden, dann muss man zum Versenden einer verschlüsselten E-Mail nur noch einen komplizierten Linksklick auf das Verschlüsselungssymbol anwenden. Dies wird sogar bei diesem Empfänger gespeichert und somit werden die E-Mails immer verschlüsselt, wenn man wünscht.

Also unter Mac OS X mit Mail.app ist diese Art von Verschlüsselung echt sehr leicht einzurichten und zu nutzen. Und aktuelle Versionen anderer E-Mail Clients (auch auf anderen Plattformen) können in der Regel auch gut und einfach damit umgehen.

Ich weiß, newman, wahrscheinlich kann ich dich nicht davon überzeugen, aber vielleicht habe ich mit diesem Beitrag einen anderen Leser motiviert.

Schönes Wochenende,
zap

 

[schlingel]

Im Fall von S/MIME-Verschlüsselung wäre der Aufwand folgender:

a) z.B. auf http://www.trustcenter.de ein "My Certificate Express" kostenfrei erstellen und downloaden
b) das Zertifikat per Doppelklick in Schlüsselbund importieren
c) in Mail.app, wenn eine neue E-Mail erstellt wird, einen einzigen Button anklicken und schon wird jede neue E-Mail digital signiert und die Empfänger erhalten automatisch dein öffentliches Zertifikat.
d) Fertig!

Du musst nichts weiter tun. Falls dein Gegenüber auch diese 5 Minuten aufwenden kann, steht der Verschlüsselung nichts mehr im Wege, denn auch er überträgt durch die signierte E-Mail automatisch seinen öffentlichen Schlüssel.

Wenn beide Zertifikate durch eine ganz normale, signierte E-mails automatisch ausgetauscht wurden, dann muss man zum Versenden einer verschlüsselten E-Mail nur einen komplizierten Linksklick auf das Verschlüsselungssymbol ausführen. Dies wird sogar bei diesem Empfänger gespeichert und somit werden die E-Mails immer verschlüsselt, wenn man wünscht.

Also unter Mac OS X mit Mail.app ist diese Art von Verschlüsselung echt sehr leicht einzurichten und zu nutzen. Und aktuelle Versionen anderer E-Mail Clients (auch auf anderen Plattformen) können in der Regel auch gut und einfach damit umgehen.

Ich weiß, newman, wahrscheinlich kann ich dich nicht davon überzeugen, aber vielleicht habe ich mit diesem Beitrag einen anderen Leser motiviert.

Schönes Wochenende,
zap

Ha!

Trustcenter kannte ich noch nicht! Cool! Danke. Bei Thawte ist es unangenehm umständlich

 

[newman]

Benutzen denn ALLE User heutzutage S/MIME-Verschlüsselung oder muss man unter Umständen viele verschieden Verschlüsselungstechnologien anwenden?

 

[kasei]

Im Fall von S/MIME-Verschlüsselung wäre der Aufwand folgender:

a) z.B. auf http://www.trustcenter.de ein "My Certificate Express" kostenfrei erstellen und downloaden
b) das Zertifikat per Doppelklick in Schlüsselbund importieren
c) in Mail.app, wenn eine neue E-Mail erstellt wird, einen einzigen Button anklicken und schon wird jede neue E-Mail digital signiert und die Empfänger erhalten automatisch dein öffentliches Zertifikat.
d) Fertig!

Und was ist ein Zertifikat ohne Identitätsprüfung wert?

Kasei

 

[philz]

Ich denke, da es durch verschiedene Software sowie auch bei Webmail verschiedener Freemail-Anbietern unterstützt wird, ist die Akzeptanz von S/MIME höher als GnuPG/PGP, was meist mit Kosten für Software oder abschreckenden, teils komplizierten Softwareinstallationen verbunden ist.

Also ich würde eher auf S/MIME setzen, allerdings kann man S/MIME und PGP parallel nutzen.

 

[kasei]

Ich denke, da es durch verschiedene Software sowie auch bei Webmail verschiedener Freemail-Anbietern unterstützt wird, ist die Akzeptanz von S/MIME höher als GnuPG/PGP, was meist mit Kosten für Software oder abschreckenden, teils komplizierten Softwareinstallationen verbunden ist.

Also ich würde eher auf S/MIME setzen, allerdings kann man S/MIME und PGP parallel nutzen.

Ja, S/MIME ist tatsächlich einfacher zu nutzen… die Zertifikate sind aber wenig wert, wenn der Inhaber nicht persönlich identifiziert wurde. Ohne eine solche Identifikation ist ein Web of Trust à la OpenPGP zu bevorzugen.

Kasei

 

[philz]

Und was ist ein Zertifikat ohne Identitätsprüfung wert?

Kasei

Ist ein class 1 Zertifikat, das ist richtig. Es wird lediglich die E-Mail-Adresse zu diesem Zertifikat überprüft. Für E-Mail-Verschlüsselung finde ich dies ausreichend. Selbsterstellte PGP-Keys sind auch nichts Wert, hier kommt dann Web of trust ins Spiel.
Entsprechende WOT-Zertifikate gibt's bei dem dir bekannten Anbieter thawte.com, wenn man darauf Wert legt.

 

[Peter Maurer]

Keine Verschluesselung. Grund: Ein Lottogewinn ist deutlich wahrscheinlicher, als dass jemand aus meinen E-Mails eine Information extrahiert, die er gegen mich verwenden koennte. Der zeitliche Aufwand zur GPG-Installation ist also fuer mich persoenlich nicht gerechtfertigt.

Und die Zeitverschwendung scheue ich, obwohl ich ungefaehr weiss, wie das geht. Vor Jahren hab' ich das naemlich neugierigerweise mal ausprobiert.

Also an alle "ich nutze kein GPG weil die Akzeptanz fehlt" Ausredensucher:
Natürlich fehlt die Akzeptanz, das fängt doch bei euch schon an. Wie sollen denn die technisch nicht so versierten sich trauen etwas exotischeres zu machen wenn ihr euch schon davor scheut.

[...]

Ihr zieht euch hier etwas zu einfach aus der Affäre...

Das klingt ein bisschen, als sollte ich mich moralisch verpflichtet fuehlen, meine E-Mails zu verschluesseln. Verstehe ich Dich falsch, oder meinst Du das tatsaechlich so?

Ich verschlüssle meine Email, da ich nicht will, dass jeder (Regierung, Provider, etc.) meine Mails lesen kann. [...]

Von sowas wuerde ich eher abraten -- gerade, weil man oft mit Menschen per E-Mail kommuniziert, die einen persoenlich nicht kennen. Und dann laeuft man Gefahr, aus Versehen in die "Tinfoil Hat"-Schublade zu geraten.

 

[schlingel]

Keine Verschluesselung. Grund: Ein Lottogewinn ist deutlich wahrscheinlicher, als dass jemand aus meinen E-Mails eine Information extrahiert, die er gegen mich verwenden koennte. Der zeitliche Aufwand zur GPG-Installation ist also fuer mich persoenlich nicht gerechtfertigt.

Und die Zeitverschwendung scheue ich, obwohl ich ungefaehr weiss, wie das geht. Vor Jahren hab' ich das naemlich neugierigerweise mal ausprobiert.


Das klingt ein bisschen, als sollte ich mich moralisch verpflichtet fuehlen, meine E-Mails zu verschluesseln. Verstehe ich Dich falsch, oder meinst Du das tatsaechlich so?


Von sowas wuerde ich eher abraten -- gerade, weil man oft mit Menschen per E-Mail kommuniziert, die einen persoenlich nicht kennen. Und dann laeuft man Gefahr, aus Versehen in die "Tinfoil Hat"-Schublade zu geraten.

Der zeitliche Aufwand? 5 min? Bitte?

Nein ich sage nicht es gäbe eine moralische Verpflichtung. Wenn sich nur jeder eine komische Ausrede anbringt, welche einfach nicht fundiert ist finde ich das etwas komisch. Ich persönlich finde man sollte sich halt nicht einfach preisgeben, wenn man die einfache möglichkeit hat eine Tür zuzumachen. Im Kontext des aktuell Diskutieren "digitalen Lauschangriffs" finde ich das schon eine Überlegung wert.

Ich bin stolz darauf ein Geek zu sein und meinen virtuellen Tinfoil-Hat hab ich gerne auf...

 

[pepi]

Peter Maurer,
es gibt seit langem ausreichende Technologie um eine 10Gbit/s Glasfaserverbindung wie sie von Providern gerne für Backbones verwendet wird in Echtzeit einer Volldatenanalyse und Verknüpfung zu unterziehen. So kann man problemlos Profile von Nutzern anlegen.

In Italien gab es 2006 einen größeren Vorratsdatenspeicherungsskandal bei dem sogar Menschen getötet wurden. Dort wurden auch die Verbindungsdaten von so ziemlich jedem Italienischen Bürger bezüglich Telefonie und Internetverhalten analysiert. Die verstaatlichte Telefongesellschaft hat mit diesen Daten dann gezielt potentielle Kunden die den Anbieter wechseln könnten angeschrieben um sie abzuwerben. Dort wurden auch die Inhalte sämtlichen eMail-Verkehres gelesen und analysiert. Data Mining vom Feinsten.
Es lassen sich also schneller und einfacher als Dir lieb ist Dinge über Dich herausfinden die irgendwer verwenden kann.

In Griechenland gab es 2004 einen ähnlichen Fall. Ob sowas in Deutschland, der Schweiz oder Österreich auch stattfindet weis man schlicht und ergreifend noch nicht. Wenn man sich die PolitikerInnen ansieht wie sie Propaganda für die Vollüberwachung der Gesamtbevölkerung betreiben kann man sich selbst ausdenken wie Wahrscheinlich es ist, daß das im Hintergrund bereits seit längerem getan wird.


Ich behaupte nicht, daß es eine moralische Verpflichtung wäre eine Möglichkeit zur Datenverschlüsselung zu verwenden. Ich persönlich werde jedoch dem Schutz meiner Daten technisch soweit es mir möglich ist Nachdruck verleihen. Es ist unerheblich ob meine Telefongespräche, meine eMails oder meine Post von Dritten mitgeschnitten wird. Es geht schlicht und ergreifend niemanden etwas an. Das ist für mich Grund genug zu Verschlüsselungen zu greifen die meine Privatsphäre schützen.


@kasei
Die "Free eMail Certificates" (S/MIME Zertifikate) von Thawte basieren ebenfalls auf einem Web-of-Trust bei dem die Personen überprüft werden müssen. Wenn Du in das Zertifikat hineinsiehst kannst Du sehen, daß beim Common Name einer nicht überprüften Person "Thawte Freemail Member" steht. Bei einer überprüften und positiv bewerteten Person wirst Du dort den tatsächlichen Namen finden. (So ist das auch bei meinen Zertifikaten.)

So gesehen ist ein gekauftes SSL Zertifikat für einen Webserver garnichts wert, weil jeder der es bezahlt auch eines bekommt. Eigentlich egal wer er ist. Technisch gesehen kann man sogar das leicht fälschen wenn man beispielsweise das DNS des Opfers manipulieren kann.

CAcert.org baisert sowohl für S/MIME als auch für SSL Zertifikate auf einem Web-of-Trust. Der einzigen Nachteile dabei sind, daß die Root Zertifikate von CAcert leider nur in sehr wenigen Betriebssystemen vorinstalliert sind und, daß es in einigen Regionen relativ wenige Notare gibt die Personen Identitätsüberprüfungen durchführen.

@newman
Es gibt (wie immer) verschiedene konkurrierende Standards. Historisch gesehen ist GnuPG/PGP weit etabliert. Da es früher technisch komplex war das zu benutzen ist es eher bei Entwicklern und technisch versierten Personen verbreitet. GnuPG/PGP ist jedoch heutzutage durchaus als Standard anzusehen und wird von eigentlich jedem Betriebssystem unterstützt. GnuPG ist OpenSource und kostenlos für den Mac verfügbar. PGP ist eine kommerzielle Implementation die es ebenfalls für den Mac gibt.

S/MIME ist gerade im Firmenumfeld mehr verbreitet da es sich gut mit bestehender Sicherheitsinfrastruktur verheiraten läßt. Mail.app unterstützt seit Panther S/MIME Zertifikate. S/MIME Zertifikate sind heutzutage auch kostenlos zu bekommen und haben den Vorteil, daß bei den meisten Systemen heutzutage keinerlei Zusatzsoftware installiert werden muß.


@Schlingel
S/MIME bzw. GnuPG/PGP Verschlüsselung würde ich nicht als virtuellen Tin-Foil-Hat ansehen. Es ist durchaus ein technisch wirksamer Weg Daten/eMails während des Transportes für Dritte (ausreichend lange) unbrauchbar zu machen.
Gruß Pepi

 

[markthenerd]

Ich verschlüssle meine Mails (bisher zumindest) nicht. Allerdings achte ich darauf keine vertraulichen Details per Mail zu übermitteln. Zudem kann ich mir nicht vorstellen, dass irgend ein Geheimdienst an meinem Mailverkehr Interesse haben könnte. Daher behandle ich Mails wie Postkarten, wer "muss" solls doch lesen.

 

[Nomen Nescio]

Was übrigens in der Diskussion meines Erachtens zu kurz kommt:
Die digitale Signatur.

E-Mails sind nicht nur "Postkarten", die jeder mitlesen kann. Sie können zudem auch von jedem unter falscher Identität verfasst werden.

Solange E-Mails nicht qualifiziert signiert werden (meinetwegen auch über das System des Web-of-trust), kann dem Inhalt einer Mail kein 100%iges Vertrauen geschenkt werden.

Und Mails bleiben somit ein unsicheres Medium in der Kommunikation. Jaja, ich kann natürlich auch bei jeder Mail die Kopfzeilen checken, um zu prüfen, dass die Mail nicht über einen offenen Server in Hongkong eingeliefert wurde.

Die Phishing-Problematik in der heutigen Form bestünde nicht, wenn Kommunikation signiert abliefe. Wo ist das Problem, zumindest in geschäftlichen Kontakten (wenn schon nicht im privaten Mail-Verkehr) auf signierte Mails zu setzen?

Wieso bietet mir meine Bank nicht optional an, Korrespondenz per signierter Mail zu führen? (Newsletter oder andere -nicht personengebundene- Kundeninformationen beispielsweise)

Nein, meine Bank verzichtet auf den E-Mail-Versand an Kunden. Weil es n Idioten gibt, die eine Fake-Mail nicht von einer richtigen Mail unterscheiden können. Die nicht erkennen, wie eine verschlüsselte Verbindung zum Bankserver aussehen sollte...

Warum bekomme ich von keinem Online-Händler Rechnungen mit signierter Mail zugestellt?

Tja, liegt wohl daran, dass man mit der Technik zu unbekümmert umgeht. Ist in etwa so, als würde ich jemanden in einen Wagen mit Schaltgetriebe setzen, ohne ihm die Funktion der Kupplung zu erklären. Eine Weile geht das auch gut...

Und so erhalte ich weiter E-Mails, die von jedem abgesendet werden können. Und von jedem gelesen werden können.

Es werden neue Betriebssysteme veröffentlicht, die mit tollen Funktionen wie "Time-Machine" oder der "Aero" GUI ausgestattet werden.

Im Betriebssystem implementierte Schritt-für-Schritt-Anleitungen, wie man Kommunikation sicherer machen könnte, fehlen aber weiterhin.