News „E-Mail made in Germany“ startet am 31. März

[guillome]

Bei S/MIME ist halt das Zertifikaproblem da. Man muss sich das schon selber erstellen, denn ein per SSL übertragener Private Key kann natürlich auch mitgelesen werden.

Nö, der Privatekey wird bei einem vernünftigen Trustcenter immer lokal auf dem Client erstellt (wie bei PGP). Nur der Anwender kennt diesen.

 

[Tuetensuppe]

Mein nächstes Email-Konto wird sicherlich bei web.de oder gmx sein, allein aus diesem Grund. Nachteile? Nein, trotzdem wird es schlecht geredet. Wir tollen Deutschen!

Bei web.de kann man schon länger E-Mails verschlüsselt senden / empfangen, man muss es nur "per Hand" einstellen, hat bislang noch eine Wahlmöglichkeit.

 

[DeusoftheWired]

Bei web.de kann man schon länger E-Mails verschlüsselt senden / empfangen, man muss es nur "per Hand" einstellen, hat bislang noch eine Wahlmöglichkeit.

Betrifft nur die Übertragung zwischen den web.de-Servern und ist damit auch fast sinnlos, reicht aber, um sich ein tolles Sicherheitssiegel auf die Startseite zu pappen, von dem sich Otto Normalnutzer nur allzu gern blenden läßt.

 

[dermatu]

Ich seh schon dass das nur ein weiterer Versuch wird den Leuten ein 5€ pro Monat E-Mail Postfach aufzuschwatzen.

 

[JuggernautX]

Thunderbird + Enigmail + Tutorial = vernünftige Ende-zu-Ende-Verschlüsselung. Wer noch immer nicht umgestellt hat: Gebt euch einen Ruck und probiert’s aus!

sehr gut, das werde ausprobieren

 

[fi**en32]

ja toll macht noch werbung für so nen schmutz von pseudosicherheit. sowas is keine news wert

 

[lkullerkeks]

Dafür bieten die Deutsche Telekom sowie die zu United Internet gehörenden Anbieter GMX und Web.de bereits entsprechende Anleitungen an.

Freenet ebenso: http://email.freenet.de/sicherheit/SSL

 

[Luxuspur]

knackbar oder nicht knackbar; end to end; alles schön und gut nur nützt dir das alles nix wenn ich per "Hintertür" bereits auf die unverschlüsselten Orginaldaten Zugriff habe. Das es Skriptkiddies und Gelegenheitsschnüffler abhält ist ja gut und recht, aber derer konnte man sich auch vorher schon erwehren und gegen NSA & Co. bringt es rein gar nix ... also doch nur heiße Luft nach dem Motto seht her wir tun was!

Ne Verschlüsselung zu knacken ist doch shice, aufwendig und teuer, wo es doch viel einfacher ist sie einfach auszuhebeln und das kapieren die Leute scheinbar nicht! Verschlüsselt doch bis ihr tot umfallt, wenn die Backdoor in der Firmware mir Zugriff auf die unverschlüsselten Daten gibt, kann man darüber doch allenfalls müde lächeln. Ne Verschlüsselung zu umgehen/auszuhebeln kostet eben nur ein Bruchteil an Geld & Zeit!

Das Lieschen Müller meine Mails abfängt und mitliest, darüber mach ich mir nun wirklich keinen Kopf und genau davor und vor nix anderes schütz diese Aktion!

 

[Boedefeld1990]

Das bringt alles nichts! Die NSA kann alles knacken. "Email made in Germany". Pröddel!

 

[Marco^^]

gut, ich hab vor kurzem Thunderbird einrichten wollen, habe aber das abgebrochen weil der login nicht verschlüsselt war.

 

[Colonel Decker]

Was für ein Marketing-Stuss.

Wer wirklich Sicherheit will, der schaut in die c't und geht zum Beispiel zu einem Anbieter in der Schweiz, bei dem man dann schnell 10€ im Monat los wird, aber dafür auch seine Mails, seine Kontakte, und seinen Kalender sicher verwahrt hat.

Wer das nicht braucht und kein Geld zahlen will, der hat bei Anbietern wie Google sehr gute Sicherheit vor unbefugten Dritten, oder geht zu Microsofts Outlook.com wo man fast genauso sicher vor unbefugten Dritten ist, und dazu auch noch den Anbieter selbst nicht seine Mails zu Werbezwecken analysieren hat.

Ich würde jedem der es sich leisten kann zu ersterer Option raten, auch wenn ich persönlich mir nicht wirklich Sorgen um die NSA mache, da ich mit meinen Ansichten zu Amerika vermutlich in fast allen US-Sendungen Zuspruch ernten würde.

 

[S.Kara]

Wie mir die ganzen "Experten" hier mit ihrem Gebashe auf den Keks gehen.

Natürlich hat das was mit Eigenwerbung zu tun, aber immerhin werden so Sicherheitslücken geschlossen, wo ist also das Problem?
Außerdem bieten sie euch kostenlose Mailadressen an, irgendwie müssen die ja auch zu Geld kommen.

Wer Sicherheit will sollte seine Mails Ende-zu-Ende verschlüsseln, dann kann auch die ach so tolle NSA nicht mitlesen.
Dabei spielt dann auch der Mailanbieter keine Rolle.

 

[DeusoftheWired]

gut, ich hab vor kurzem Thunderbird einrichten wollen, habe aber das abgebrochen weil der login nicht verschlüsselt war.

Thunderbird erkennt für viele E-Mail-Anbieter die Einstellungen schon anhand der Adresse. Um welchen Anbieter ging es denn bei dir, was genau war das Problem bzw. wie lautete die Fehlermeldung?

 

[MurphsValentine]

es ist heute möglich, die e-mails ohne Verschlüsselung in Echtzeit zu lesen, also genau in dem Moment wo der Sendeknopf gedruckt wird, wird die e-mail "erst" gesendet, dann nutzlos entschlüsselt. wer es nicht glaubt, sollte es eben nicht glauben. ich bin ein wenig besser informiert, sagen wir mal so... es wird eine Technologie basiert auf Quantenverschränkung benutzt...

Erst so:
Dann so: Oh warte, der meint das ernst...
Danach so:



Schon interessant wie viele hier wieder irgendwelche MailProvider alá GMX, freenet, GMail, Yahoo oder wie sie alle heißen nieder machen.
Bei manchen habe ich echt das Gefühl, sie haben ein Diplom in IT-Sicherheit.
Klar ist SSL veraltet. Aber ist nunmal besser als garkeine Verschlüsselung.

Dann zum Thema mit der End-to-End Verschlüsselung:
Für mich auch die sinnvollste Variante.
Habe aber neulich mal gelesen, dass die z.B. die NSA oder auch der deutsche Geheimdienst ohne Probleme ein Skript auf den PCs der Bürger installieren kann, der automatisch sämtliche Eingaben in Dokumente, Mails oder Foren oder sonst was mitschreibt und dann übermittelt.
Quasi ein Auslesen des Textes noch bevor er verschlüsselt wird.


Eine 100% sichere Verschlüsselung wird es nie geben.
Für jede Verschlüsselung, egal ob AES oder SSL oder wie sie alle heißen gibt es einen Schlüssel.

 

[Unnu]

Wer mal seinem Provider auf den Zahn fühlen will:
Hier nachgucken.

 

[S.Kara]

Erst so:
Dann so: Oh warte, der meint das ernst...
Danach so:

Haha, habe ich mir auch so gedacht.

Habe aber neulich mal gelesen, dass die z.B. die NSA oder auch der deutsche Geheimdienst ohne Probleme ein Skript auf den PCs der Bürger installieren kann, der automatisch sämtliche Eingaben in Dokumente, Mails oder Foren oder sonst was mitschreibt und dann übermittelt.
Quasi ein Auslesen des Textes noch bevor er verschlüsselt wird.

Die werden sich dann wahrscheinlich den Private Key laden, mehr ist ja nicht nötig.
Hier hilft in jedem Fall aber eine gute Firewall-Software, die die Ausführung unbekannter Programme verhindern kann.

Die beste Verschlüsselung und das sicherste Passwort bringen alles nichts, wenn man sich auf die Finger gucken lässt.

 

[Rexus]

Wenn du mit PGP eine End-to-End Verschlüsselung durchführst, dann kann nämlich keiner zwischendrin deine Mails lesen, auch nicht der Provider. Ein solches System könnte auch providerseitig angeboten werden:

Ich bin mir nicht sicher, ob das funktionieren kann.

Kommt es bei PGP nicht darauf an, dass Empfänger und Absender ein Schlüsselpaar haben und jeder den public key des anderen erst kennen muss, damit die Mail entschlüsselt werden kann?
Wenn du sowas flächendeckend für jeden Email-Account einführen willst, musst du, um 'ne Email von Hans Wurst zu lesen, erstmal seinen Key kennen. Also rufst schreibt er dir vorher erstmal 'nen Brief (sichere Methode)... oder eine nicht-PGP-verschlüsselte Email mit dem Key drinne, aber das ist wohl genauso unsicher.
Wie stellst du dir eine flächendeckende End-to-End-Verschlüsselung also vor?

Und ich sag's nochmal: Leute, eine PGP-Verschlüsselung ist schnell eingerichtet und wenn ihr auch nur eine Person dazu bringt, es auch zu tun, habt ihr schon was gewonnen! Das Problem ist hier nur, dass die meisten Leute einfach zu faul sind, sich da mal reinzulesen. So lassen sie sich ihre Daten zum Preis von Faulheit erkaufen.

 

[HighTech-Freak]

Wie mir die ganzen "Experten" hier mit ihrem Gebashe auf den Keks gehen.
Natürlich hat das was mit Eigenwerbung zu tun, aber immerhin werden so Sicherheitslücken geschlossen, wo ist also das Problem?

Welche Sicherheitslücke wurde denn geschlossen? DE-Mail kann nur eines besser als andere freemail-Provider: forcierte Verschlüssellung zwischen den Servern.

Bei manchen habe ich echt das Gefühl, sie haben ein Diplom in IT-Sicherheit.
Klar ist SSL veraltet. Aber ist nunmal besser als garkeine Verschlüsselung.

Stimmt, sollte aber auch so Standard sein... SSL mag veraltet sein, RC4 allerdings ist als unsicher eingestuft. Man geht davon aus, dass diese Daten eventuell auch in Echtzeit ausgewertet werden können.

Habe aber neulich mal gelesen, dass die z.B. die NSA oder auch der deutsche Geheimdienst ohne Probleme ein Skript auf den PCs der Bürger installieren kann, der automatisch sämtliche Eingaben in Dokumente, Mails oder Foren oder sonst was mitschreibt und dann übermittelt.

Du verwechselst da was ganz grundlegendes:
Ein Keylogger (das Tool, das Du beschreibst) muss man erst am Rechner des Opfers platzieren. Abfangen unverschlüsselter emails findet hingegen pauschal für alle statt, flächig und ohne vorher irgendwas installieren zu müssen.

Bei S/MIME ist halt das Zertifikaproblem da. Man muss sich das schon selber erstellen, denn ein per SSL übertragener Private Key kann natürlich auch mitgelesen werden.

Naja, man muss sich basierend auf seinem key-file ein Certificate Signing Request File generieren (ein unsigniertes Zertifikat), das dann vom Server unterschrieben wird und somit ein gültiges Zertifikat ist. Das Key-File sollte nicht vom Server generiert werden...
Der große Unterschied zwischen PGP und X.509 is praktisch vorallem, dass PGP selbstsigniert ist und S/MIME fremdsigniert. Was davon jetzt besser is, darüber kann man eine lange Diskussion starten...

 

[S.Kara]

@Rexus
Wenn dir jemand eine verschlüsselte E-Mail schicken will, benötigt derjenige ja nur deinen Public Key. Den darf ruhig jeder kennen, das ändert nichts an der Sicherheit.
Man muss also einfach den Public Key per Mail von jemanden anfordern (oder vom Schlüsselserver).

Das mit der Faulheit stimmt aber. Bei Thunderbird braucht man dafür insgesamt nichteinmal 5 Minuten.
Wenn CB mal ein einfaches, kurzes aber verständliches How To erstellen würde (und dies auf der Hauptseite zwischen die News schmuggelt), würden zumindest hier noch einige umsteigen.

Welche Sicherheitslücke wurde denn geschlossen?

Jetzt (oder zum Stichtag) kann nicht mehr jeder kleine Scriptkiddy die Mails durch Sniffer mitlesen.

 

[BlooDFreeZe]

Wie mir die ganzen "Experten" hier mit ihrem Gebashe auf den Keks gehen.

Natürlich hat das was mit Eigenwerbung zu tun, aber immerhin werden so Sicherheitslücken geschlossen, wo ist also das Problem?
Außerdem bieten sie euch kostenlose Mailadressen an, irgendwie müssen die ja auch zu Geld kommen.

Wer Sicherheit will sollte seine Mails Ende-zu-Ende verschlüsseln, dann kann auch die ach so tolle NSA nicht mitlesen.
Dabei spielt dann auch der Mailanbieter keine Rolle.

Fakt ist, dass mit dem Siegel besondere Sicherheit suggeriert wird, was falsch ist. Fakt ist auch, dass das ganze nichts neues, außergewöhntliches oder extra implementiertes ist. Die haben einfach nur für bestimmte Hoster die Übertragung eingeschränkt.

Man hätte hier die tolle Gelegenheit gehabt mit so einer Aktion Ende zu Ende Verschlüsselung zu verbreiten und evtl. sogar massentauglich zu machen.

@Rexus: wie S.Kara beschrieben: Das ist ja das tolle an dem Verfahren. Das Ding heißt ja nicht umsonst Public Key Man hätte hier also wirklich was bewirken können....