ComputerBase Menü
Aktuelles

News De-Mail erhält PGP-Verschlüsselung

F_GXdx schrieb:
Und wenn man PGP nutzt, warum braucht man dann noch DE-Mail?
Zum Vergrößern anklicken....
Bei der De-Mail soll u.a. jederzeit nachweisbar sein, mit wem man da gerade kommuniziert, um so die elektronische Kommunikation mit Behörden zu ermöglichen.
 
makiyt schrieb:
Das hört sich erst mal hervorragend an. Habe mich für DE-Mail registriert, aber nur, um einen guten Namen im Account zu haben und um loslegen zu können, wenn es sich wirklich lohnt. Bin gespannt :)
Zum Vergrößern anklicken....
Dieser Schwachsinn wird sich nie durchsetzen. Solch ein national beschränkter Blödsinn würde sich nur in einem Staat wie China durchsetzten, wo der IT-Markt von der Regierung kontrolliert wird.
 
Gibts n Master Key?

Und wenn ja, wo liegt der?

In Pullach, Washington, oder im Kanzleramt?
 
@MrChiLLouT: Und was verstehst du unter nativ? Das Plugin braucht man ja gerade, damit man den privaten Schlüssel nicht - by Design - auf dem Server des Anbieters speichern muss (wie das dann konkret umgesetzt ist ist wieder eine andere Frage).

@F_GXdx:
Das "besondere" bei de-mail war noch nie primär die Möglichkeit Nachrichten vertraulich zu übermitteln, sondern (theoretisch) eher dass die Authentizität, Integrität und die Nachweisbarkeit des Empfangs erzwungen werden. PGP an sich kann erstmal nur Vertraulichkeit und Integrität sicher stellen. Authentizität (ohne die der Rest ziemlich sinnlos ist) hast du nur, wenn dir dein Kommunikationspartner seinen öffentlichen Schlüssel manuell aushändigt und den Empfang konnte man sowieso nicht nachweisen. Das Hauptproblme ist aber wie schon gesagt, dass PGP bei normalen Emails erstmal optional ist - und hier liegt das Hauptproblem:
PGP und damit die Vertraulichkeit ist auch bei de-mail noch optional!

@Giantursus: einfach nur traurig

Solange sich der Staat weigert DE-mail vernünftig umzusetzen weiger ich mich jedenfalls auch diesen Schwachsinn zu nutzen.
 
Bei den immensen "Porto"-Kosten gibt es für mich immer noch kein Argument für De-Mail. Dann verschicke ich offizielle Dinge lieber per Schnecken-Post und hefte die manuell ab. So viel habe ich ja auch nicht..
 
@exoterrist: Nachweisbarkeit, also dass eine Person A mit einer Person B kommuniziert und beide Personen wirklich diejnigen sind, wofür sie sich ausgeben, kann auch mit zum Beispiel PGp erreicht werden. Nennt sich Authentizität.
Der "Vorteil" einer De-Mail ist, dass eine De-Mail als Dokument (kenne den juristischen Begriff nicht) gilt. Das heißt, du kannst solche De-Mails vor Gericht uneingeschränkt benutzten, wie auch zum Beispiel einen Vertrag.
 
Alos ich werde von solchen Lösungen weiterhin Abstand wahren, Verschlüsselung via z.B. PGP kann ich auch selbst durchführen und habe dadurch eine echte End-to-end Lösung.
Zum Vergrößern anklicken....

Solange bei PGP jeder auf deinen Namen einen Schlüssel ausstellen kann, kommt das nicht in die Tüte ;p
 
Wie schon mal erwähnt wurde gibts noch den mega nachteil , dass ich theoretisch jeden Tag meine Mails checken müsste.
 
Ist es denn so schwer, einmalig vom Amt eingeladen zu werden, um einen persönlichen Schlüsselaustausch durchzuführen? Dazu eine Broschüre, die ausführlich die Nutzung von PGP und Signaturen in verschiedenen Emailprogrammen beschreibt, so daß sie auch ein mittelmäßig PC-Begabter versteht? Damit wäre man unabhängig vom Mailanbieter, und müsste nicht um die Gunst von DE-Mail erschleichen oder ergaunern...
 
derLordselbst schrieb:
Es soll also doch noch eine End-to-End-Verschlüsselung eingeführt werden. Erstaunlich. Spannend ist nur die Frage, ob als Open-Source-Version oder Closed Source (mit BND-Schnittstelle für's Mitlesen).
Zum Vergrößern anklicken....

Das ist nicht spannend. Seit bestimmt 10 Jahren oder länger muss jeder deutsche Mailprovider mit einer gewissen Anzahl an Kunden direkt die Mails für die Behörden bereitstellen. Haben die Behörden die entsprechende Erlaubnis, können sie auf ein System zugreifen wo der Provider die Mails hinterlegt hat.
 
ComPoti schrieb:
Super, alle Nutzer des Internet Explorer werde von dieser Möglichkeit natürlich mal wieder ausgesperrt :freak:
Zum Vergrößern anklicken....

Grundsätzlich ist davon auch jeder private email client ausgeschlossen. Man wird dazu gezwungen über den Webbrowser zu gehen. Das ganze ist nicht mal ein Schritt in die richtige Richtung, sondern nur der Versuch diesen Totalausfall zu retten. Das wird nur leider nicht gelingen.

Ich werde davon weiterhin die Finger lassen. Zum Einen zahle ich kein Geld für eine eMail und zum Anderen ist mir das System zu unsicher. Ebenso ist der Punkt "wann gilt die DeMail als zugestellt" ein kapitaler Auschlußgrund.
Auch die Idee sich erstmal zu registrieren um ja auch seine namentliche Adresse zu haben, ist nicht sonderlich schlau. Da die Behörden sie ab dem Moment nutzen können und mal selbst steht im Regen.

Ich wage mal den Schuß ins Blaue, dass der Dienst allen aufgezwungen wird wenn er sich in den nächsten Monaten/Jahren nicht durchsetzen sollte. Dann bekommt man die Mailadresse auf Basis seiner Perso/Identnummer und kann nicht mehr nein sagen. Und hat keinerlei Vetorecht mehr...
 
Wer ist so blöd und registriert sich bei DE-Mail? Dachte immer, dass es solche Menschen nicht gibt, ok hier scheinbar schon. Bevor ihr das macht, lest euch erst einmal in die juristischen Nachteile ein, die ihr dadurch habt. Ich will hier nicht ausholen weil DE-Mail eine Totgeburt ist, das kann eine Verschlüsselung auch nicht ändern.
 
h3@d1355_h0r53 schrieb:
Das ist nicht spannend. Seit bestimmt 10 Jahren oder länger muss jeder deutsche Mailprovider mit einer gewissen Anzahl an Kunden direkt die Mails für die Behörden bereitstellen. Haben die Behörden die entsprechende Erlaubnis, können sie auf ein System zugreifen wo der Provider die Mails hinterlegt hat.
Zum Vergrößern anklicken....

Genau so siehts aus.
http://de.wikipedia.org/wiki/Gesetz_zur_Beschränkung_des_Brief-,_Post-_und_Fernmeldegeheimnisses

Die meisten haben sowieso nicht den Sinn von De-Mail verstanden. Das der IT-Guru nix mit De-Mail anfangen kann, ist doch schon fast logisch. Dann gibts aber noch Menschen auf der Welt, die mit IT nichts am Hut haben.

De-Mail soll die Kommunikation zwischen Privatpersonen und Firmen/Behörden/usw. vereinfachen. Es ist nicht das Ziel der Anbieter, die Kommunikation zwischen einzelnen Personen durch De-Mail zu ersetzen.

"wann gilt die DeMail als zugestellt" ist auch nix anderes als heute per Brief.
De-Mail hat durchaus potential, nur sieht es kaum einer. Solange die großen Fische nicht am System hängen, ideln die Systeme halt rum.
 
@Silent1337:

Die zugrundliegende Absicht bei DE-Mail ist das Eine, die technisch schlechte Umsetzung ist jedoch etwas Anderes :)

Zum einen, wann eine De-Mail als zugestellt gilt. Bei einem Einschreiben zählt eine Email erst als zugestellt, wenn der Empfänger den Erhalt quittiert und bei De-Mail dann, wenn der Provider, also der Postbote den Erhalt quittiert. Das ist schon ein gravierender Unterschied! Wobei der Nachweis der Zustellung rechtsicher sein soll bei De-Mail und damit einem Einschreiben entspricht.

Genauso die Signierung, die durch den Provider erfolgt und nicht den Verfasser. Das ist genauso Müll! Vor Gericht hätten Schriftstücke die ein annonymer Angestellter der Post unterzeichnet keinerlei Relevanz, könnte ja von jedem Stammen. Bei De-Mail wäre es aber ok?

Dabei hätte es die Möglichkeit gegeben eine halbwegs fundierte Verschlüsselung- und Signierungsfunktionaltät über den ePerso bereit zu stellen. Man hätte das System also so bauen können, dass alle relevanten Sicherheitsmerkmale allein in der Hand des Nutzers sind! Das mit dem Nachweis der Zustellung hätte man sicherlich auch noch geschickter lösen können als "Wenn es in deinem Postfach liegt gehen wir davon aus, dass du es auch gelesen hast, unabhänig von dem Fakt ob du es gelesen hast!"
 
MrChiLLouT schrieb:
Und GENAU dieses Plugin wird der Flaschenhals sein. Hier kann man die Verschlüsselung viel zu leicht aushebeln. De-Mail sollte das mal lieber nativ unterstützen!
Zum Vergrößern anklicken....
Nein, ein Plugin is technisch notwenig. Die Verschlüsselung und Entschlüsselung muss LOKAL stattfinden. Daher muss das Plugin auch Open-Source sein, sonst is die Verschlüsselung wertlos. Das Plugin verschlüsselt auch den privaten Schlüssel. Damit kann man den dann auch auf dem Server ablegen. Damit ist die PGP-Verschlüsselung erstmals brauchbar in einem Webbrowser umgesetzt. Eigentlich eine gute Leistung. Das Problem ist jedoch, dass man fremden Rechnern nicht trauen darf -und genau dort benutzen die meisten Webmail nunmal. Der Schwachpunkt ist damit letztlich wohl nicht die Verschlüsselung selbst... sonder der Anwender, der mal eben auf einem verseuchten Rechner seinen private Key entschlüsselt.

Steffenkrue schrieb:
Man gut das die c't PGP sterben lassen möchte, wieder einmal zu Spät und falsch:
http://www.heise.de/ct/ausgabe/2015-6-Editorial-Lasst-PGP-sterben-2551008.html
http://www.heise.de/ct/ausgabe/2015-6-Gefaelschte-PGP-Keys-im-Umlauf-2549724.html
Zum Vergrößern anklicken....
Danke, dass Du das hier gepostet hast. Der Heise-Autor liegt leider vollkommen richtig. Das Prinzip PGP mag sicher sein, aber so sehr veraltet, dass die Usability einem praktischen Nutzen im Weg steht. Key-Server werden oft blind verwendet. Nicht-Überpüfung des Fingerprints führt aber möglicherweiße zur Verwendung eines falschen Keys. Verschlüsselung mit einem falschen Key führt allerdings die Verschlüsselung ad absurdum. Ein Standard zum Verteilen der öffentlichen Schlüssel fehlt nach wie vor. Die Schlüssel direkt über die Mail-Server zu verteilen, wäre der praktischste Ansatz. Das is aber etwas zu viel verlangt, den in der Hinsicht halten sich alle nur die SMTP/IMAP/... Standards. Nicht weil man Standards so sehr mag, sondern um die eigene Faulheit zu rechtfertigen. Das email-Protokoll is quasi tot-standardisiert. Ähnlich bei PGP. Darum würde ich mir da nichts erwarten. Is so. Bleibt so.
 
Piktogramm schrieb:
...
Zum einen, wann eine De-Mail als zugestellt gilt. Bei einem Einschreiben zählt eine Email erst als zugestellt, wenn der Empfänger den Erhalt quittiert ...
Zum Vergrößern anklicken....
Naja, beim normalen Einschreiben kann aber auch jeder Empfänger sein, der an deiner Haustür aufmaht - genau wie bei der Paketannahme. Um sicherzustellen, dass ich als Empfänger auch wirklich etwas davon mitbekomme, sollte ich schon verlangen, dass das Einschreiben mit der Zusatzoption "Eigenhändig" geschickt wird, das machen Ämter aber bisher auch nicht. Und ich habs schon erlebt, dass Leute Pakete für Nachbarn annehmen, bevor sie in Urlaub fahren - wenn die das mit einem amtlichen Einschreiben machen, das vielleicht noch von einem Richter kommt...
 
Piktogramm schrieb:
@Silent1337:

Die zugrundliegende Absicht bei DE-Mail ist das Eine, die technisch schlechte Umsetzung ist jedoch etwas Anderes :)

Zum einen, wann eine De-Mail als zugestellt gilt. Bei einem Einschreiben zählt eine Email erst als zugestellt, wenn der Empfänger den Erhalt quittiert und bei De-Mail dann, wenn der Provider, also der Postbote den Erhalt quittiert. Das ist schon ein gravierender Unterschied! Wobei der Nachweis der Zustellung rechtsicher sein soll bei De-Mail und damit einem Einschreiben entspricht.

Genauso die Signierung, die durch den Provider erfolgt und nicht den Verfasser. Das ist genauso Müll! Vor Gericht hätten Schriftstücke die ein annonymer Angestellter der Post unterzeichnet keinerlei Relevanz, könnte ja von jedem Stammen. Bei De-Mail wäre es aber ok?

Dabei hätte es die Möglichkeit gegeben eine halbwegs fundierte Verschlüsselung- und Signierungsfunktionaltät über den ePerso bereit zu stellen. Man hätte das System also so bauen können, dass alle relevanten Sicherheitsmerkmale allein in der Hand des Nutzers sind! Das mit dem Nachweis der Zustellung hätte man sicherlich auch noch geschickter lösen können als "Wenn es in deinem Postfach liegt gehen wir davon aus, dass du es auch gelesen hast, unabhänig von dem Fakt ob du es gelesen hast!"
Zum Vergrößern anklicken....

Also ich hab einen De-Mail Account (Web DE) es gibt da mehrere Versandsarten mit verschiedenen Optionen. Hier wird es interessant, wie ein Richter urteilt.
Bei web.de kannst du bei De-Mail Versand eine Option wählen, die Dir als Absender eine Bestätigung gibt, ob der Empfänger (also der Nutzer des Accounts) die De-Mail geöffnet hat. Das hätte dann durchaus Bestand.
Wie die Richter dass sehen, wenn die De-Mail im Postfach landet aber nie geöffnet wird, wird sicherlich ähnlich wie bei ungeöffneten Briefen beachtet -> selbst verantwortlich.

Das De-Mail Einschreiben kann man wie das "Einwurf-Einschreiben" der Post sehen.


Hier mal die Produktbeschreibung bei Web DE (Einschreiben):
Beim Versand eines Einschreibens erhalten Sie eine Versand- und Eingangsbestätigung. So haben Sie einen rechtssicheren Beleg für Ihre Kommunikation.
Sicher
Sofortiger elektronischer Versand
Rechtssichere Belege für Sie.
Zum Vergrößern anklicken....
Normale De-Mail:

0,00 € je Empfänger
De-Mail Standard
Versenden Sie eine De-Mail an eindeutig identifizierte Personen und über eine verschlüsselte Verbindung.
Sicher
Sofortiger elektronischer Versand
Zum Vergrößern anklicken....

Zusatzoptionen
Persönlicher & vertraulicher Versand

Lassen Sie sich offiziell als Absender bestätigen. Seien Sie sicher, dass nur der Empfänger höchstpersönlich die De-Mail öffnen kann.
Zum Vergrößern anklicken....

Man sieht also: De-Mail != De-Mail
 
@Silent1337

Die Produktbeschreibung ist das eine, die technische Umsetzung das Andere.

Die Rechtssicherheit kommt daher, dass das zugehörige Gesetz sagt, dass der Spaß rechtssicher ist, unabhänig vom umstand ob das auch technisch so umgesetzt ist. Damit ist vor Gericht die Sache eindeutig, wenn es Gesetze gibt ist es nicht Sache normaler Gerichte die Richtigkeit von Gesetzen zu bewerten sondern diese anzuwenden. Wie schon geschrieben, die Signierung und damit Feststellung, dass die De-Mail auch von Person X geschrieben wurde stammt nicht von der Person sondern von einer Firma die den Dienst bereitstellt. Das ist eben das Problem, dass die De-Mails nicht vom Verfasser signiert werden. Bei analoger Post unvorstellbar, dass man der beispielsweise der deutschen Post eine solche Vollmacht ausstellt, das die einen den gesamten Schriftverkehr unterzeichnen und man das selbst nicht mehr macht. Das ist absurd egal mit welchem Marketinggewäsch das von den Anbietern und Politikern auch schön geredet wird!

Auch der Spaß mit versicherter Verbindung und "sicher". Die Kritik dass die De-Mails zwischendrin mehrfach unverschlüsselt vorliegen und eine Kontrolle des Inhalts sogar vorgesehen ist... Da schlägt das Bullshitmeter einfach voll aus!

bullshit-meter-2.jpg


Bei deinem letzten Zitat zur Zusatzoption. Das fängt wieder damit an, dass die Signierung durch den Provider erfolgt und eben nicht durch den eigentlichen Absender. Auch durchs wiederholen bleibt das Müll.

Technisch sinnvoll wäre eine Lösung, wo die De-Mail an den ePerso gebunden worden wäre, damit Ende-zu-Ende nicht nur Option und das Signieren in Hand des Verfassers (so wie bei jedem verfluchten Breif auch!). Passende Infrastruktur zum überprüfen der Identität etc. gäbe es in Form von Bürgerämtern schon und muss bei Beantragung von Perso und Pass sowieso gemacht werden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz