Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Google will PGP-Verschlüsselung in Gmail vereinfachen
- Ersteller fethomm
- Erstellt am
- Zur News: Google will PGP-Verschlüsselung in Gmail vereinfachen
H
h3@d1355_h0r53
Gast
Irgendwie scheint niemand den Artikel wirklich gelesen zu haben. Google sucht an einer Lösung das Prinzip zu vereinfachen. Dass es momentan eher kompliziert ist für Ottonormalbenutzer mit diversen verschiedenen Endgeräten und womöglich außerhalb der Nerdsphäre auch wechselnden und neuen Kontakten mit PGP Mails zu verschlüsseln, stimmt ja. Die News dreht sich aber darum, genau das irgendwie zu umgehen vermute ich mal stark - jedenfalls wäre das die Bedeutung von "vereinfachen".
Eine - naheliegende - Lösung wäre die Keys direkt bei Google zu speichern. Für den privaten eigentlich ein NoGo wobei es hier auch ggf. eine Möglichkeit gäbe diesen wiederum verschlüsselt zu speichern - eigentlich egal wie er gespeichert wird man muss Google vertrauen. Großteil der User vertraut Google, in der Theorie vielleicht nicht aber in der Praxis laufen die Mails darüber. Andererseits wäre das Verwalten der öffentlichen Keys bei Google ein immenser Vorteil wenn man ständig neue Kontakte hat. Ich kann mir vorstellen, dass Google aber was ganz anderes fabriziert was wir uns vorstellen können - schließlich haben die eine Entwicklungsabteilung, die es nicht besser machen will sondern 1000x besser machen will und das Unvorstellbare perfektioniert werden soll. Das ist Google Logik. Egal wie, wenn es nur ein bisschen mehr Sicherheit bringt ist es doch cool. Meiner Mutter mit ihrem Tablet und Handy hätte weder in ihren jüngeren Jahren 1991 PGP auf dem Rechner einrichten können noch kann sie es heute auf ihren Androiden. Viel abzuhören gibt es nicht bei ihr aber mehr Sicherheit ist immer gut. Und der Großteil der Nutzer würde davon profitieren.
Eine - naheliegende - Lösung wäre die Keys direkt bei Google zu speichern. Für den privaten eigentlich ein NoGo wobei es hier auch ggf. eine Möglichkeit gäbe diesen wiederum verschlüsselt zu speichern - eigentlich egal wie er gespeichert wird man muss Google vertrauen. Großteil der User vertraut Google, in der Theorie vielleicht nicht aber in der Praxis laufen die Mails darüber. Andererseits wäre das Verwalten der öffentlichen Keys bei Google ein immenser Vorteil wenn man ständig neue Kontakte hat. Ich kann mir vorstellen, dass Google aber was ganz anderes fabriziert was wir uns vorstellen können - schließlich haben die eine Entwicklungsabteilung, die es nicht besser machen will sondern 1000x besser machen will und das Unvorstellbare perfektioniert werden soll. Das ist Google Logik. Egal wie, wenn es nur ein bisschen mehr Sicherheit bringt ist es doch cool. Meiner Mutter mit ihrem Tablet und Handy hätte weder in ihren jüngeren Jahren 1991 PGP auf dem Rechner einrichten können noch kann sie es heute auf ihren Androiden. Viel abzuhören gibt es nicht bei ihr aber mehr Sicherheit ist immer gut. Und der Großteil der Nutzer würde davon profitieren.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
Und das ist wie genau "einfacher"? Richtig, ganz und gar nicht. Entweder es muss ein Passwort ausgetauscht werden, oder der Anhang wird asymetrisch verschlüsselt, kommt auf denselben Aufwand raus wie bei der Mail.wazzup schrieb:Wenn ich wichtige vertrauliche informationen per email versenden möchte packe ich diese in einen verschlüsselten Anhang.
Ist doch kein Problem? Du brauchst auch keine Gruppenschlüssel oder sonstwas, einfach nur für jeden Empfänger den öffentlichen Schlüssel. Idealerweise sucht dein Mailprogramm zur Mail Adresse gleich den Schlüssel aus deiner Datenbank und du musst gar nichts extra tun, wenn du die Mail abschickst. Für Mailinglisten geht das auch wunderbar, an den Server verschlüsseln, der entschlüsselt und verschlüsselt für alle Empfänger auf der Liste. Hier ist natürlich ein Man in the Middle Angriff möglich, aber Firmen betreiben den Server für die Mailingliste ja meist selbst, von daher auch alles kontrollierbares Umfeld.schumischumi schrieb:jetzt wo ich ein bisschen überlege, stell ich mir das ganze pgp system bei gruppenmail (gerade bei firmen, wo auch externe auf CC sind) extream unhandlich vor. bräuchte ja für jeden empfängerkreis einen gruppenschlüssel. dh. wenn dann pro projekt oder abteilung einen extra schlüssel. dann noch pro person für personenbezogene mails.... ganz schöner aufwand.
bei notes/domino wird das glaub ich über nen keystore auf dem domino oder iwas proprietäres geregelt. zumindest kann man nur mit notes client darauf zugreifen bzw. entschlüsseln. hat sich dann für externe auch wieder erledigt...
@kane70: wie machens den die großen unternehmen?
edit: @MarcDK: wie macht ihr das mit gruppenmails?
Zudem gibts für den Unternehmensbereich auch noch S/MIME, das ist in Outlook etc. auch besser unterstützt als PGP.
Das einzige Problem das ich bisher habe ist, dass es für Android kein ordentliches Plugin gibt, das sich ins Standardmailprogramm hängt und die Entschlüsselung übernimmt. Ansonsten läuft das bei mir einwandfrei (Thunderbird mit Enigma, Outlook mit Gpg, Gmail im Browser mit einem Mailvelope, für unterwegs PortablePGP aufm USB Stick).
Zuletzt bearbeitet:
A
abulafia
Gast
Für Outlook gibt es eben kein ordentliches, leicht zu benutzendes Plugin o.ä.
Die einzig weiter bekannte Lösung stammt bisher von Norton und wird damit nur von größeren Firmen verwendet. Zumindest zielen sie nicht auf den Markt für Heimanwender.
Die OpenSource Religion, die uns so schöne Dinge wie den OpenSSL-GAU bescherte, hat bisher mit Gpg4win geschlafen und hängt der Entwicklung schon ewig hinterher. Ein Wunder, dass neuerdings wenigstens Outlook ab 2010 unterstützt wird. 64-bit kann man aber immer noch knicken.
Sobald irgendetwas für den Endverbraucher interessant wird, machen sich endlich auch fähige, gut organisierte kommerzielle Entwicklungsfirmen mit straffem QM ans Werk.
Es hängt halt doch nur davon ab, ob Anwender für Sicherheit auch etwas bezahlen wollen, denn auch hier gelten normale Marktmechanismen und nicht die Delusionen der OpenSource Jünger.
Die einzig weiter bekannte Lösung stammt bisher von Norton und wird damit nur von größeren Firmen verwendet. Zumindest zielen sie nicht auf den Markt für Heimanwender.
Die OpenSource Religion, die uns so schöne Dinge wie den OpenSSL-GAU bescherte, hat bisher mit Gpg4win geschlafen und hängt der Entwicklung schon ewig hinterher. Ein Wunder, dass neuerdings wenigstens Outlook ab 2010 unterstützt wird. 64-bit kann man aber immer noch knicken.
Sobald irgendetwas für den Endverbraucher interessant wird, machen sich endlich auch fähige, gut organisierte kommerzielle Entwicklungsfirmen mit straffem QM ans Werk.
Es hängt halt doch nur davon ab, ob Anwender für Sicherheit auch etwas bezahlen wollen, denn auch hier gelten normale Marktmechanismen und nicht die Delusionen der OpenSource Jünger.
Zuletzt bearbeitet von einem Moderator:
schumischumi
Lt. Commander
- Registriert
- Dez. 2011
- Beiträge
- 1.057
ja gut aber wenn ich keinen gruppenschlüssel hab brauch ich für jeden auf der empfängerliste nen eintrag in meinem keystore.
firmenintern geht das ja noch, aber mit 2 externen consultants und nem mitarbeiter vom hersteller hat sich das dann wieder erledigt bzw. müssten auch deren public keys in meinem keystore liegen.
was ich persönlich für relativ unwahrscheinlich halte (entweder keystore nciht gepflegt oder externer account unterstützt keine verschlüsselung). und dann komme ich ja fast nicht drum herum denen die mail unverschlüsselt zu schicken und dann is es auch schon fast wurst dass ich sie überhaupt für einen teil verschlüssle. gerade wenn intern verschlüsselt und nach extern nicht. da ist das ganze dann ziemlich witzlos.
kann mir atm bei google auch nur vorstellen, dass die internen mails, sprich gmail untereinander, verschlüsselt werden. ansonsten müssten alle anderen anbieter/user ihren public key in einen oder mehrere zentrale keystores hinterlegen. halte ich jetzt mal pauschal für relativ unrealistisch.
@abulafia: die allermeisten plugins kann man bei office/outlook 64bit knicken. deswegen empfiehlt MS heute noch Office in 32Bit
firmenintern geht das ja noch, aber mit 2 externen consultants und nem mitarbeiter vom hersteller hat sich das dann wieder erledigt bzw. müssten auch deren public keys in meinem keystore liegen.
was ich persönlich für relativ unwahrscheinlich halte (entweder keystore nciht gepflegt oder externer account unterstützt keine verschlüsselung). und dann komme ich ja fast nicht drum herum denen die mail unverschlüsselt zu schicken und dann is es auch schon fast wurst dass ich sie überhaupt für einen teil verschlüssle. gerade wenn intern verschlüsselt und nach extern nicht. da ist das ganze dann ziemlich witzlos.
kann mir atm bei google auch nur vorstellen, dass die internen mails, sprich gmail untereinander, verschlüsselt werden. ansonsten müssten alle anderen anbieter/user ihren public key in einen oder mehrere zentrale keystores hinterlegen. halte ich jetzt mal pauschal für relativ unrealistisch.
@abulafia: die allermeisten plugins kann man bei office/outlook 64bit knicken. deswegen empfiehlt MS heute noch Office in 32Bit
Zuletzt bearbeitet:
Joshua
Captain
- Registriert
- Juni 2001
- Beiträge
- 3.406
Alles viel zu kompliziert. Am einfachsten wird die Nachricht neben dem Empfängerschlüssel noch mit einem Anbieter-Schlüssel verschlüsselt, und schon kann man mitlesen. Funktioniert auf dem eigenen Rechner doch genauso (mit dem eigenen Key), alleine um versendete Nachrichten auch selber später noch lesen zu können.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
@schumischumi: Für sowas gibts Keyserver. Geeignete Plugins durchsuchen Keyserver sogar automatisch und schlagen entsprechende Treffer vor.
Das ist dein Public Keystore. Gibts seit Jahren und werden auch gut benutzt.
Und mal ganz davon ab: Welchen Aufwand hast du, einen Public Key einzupflegen? Der wird einfach mit der ersten Mail mit den Kontaktdaten mitgeschickt (unverschlüsselt, ist ja nix geheimes), du klickst importieren und fertig. Wenn das im Programm ordentlich implementiert ist, wird beim Speichern der Mail Adresse die Mail gleich noch nach einem Key durchsucht.
Auf Visitenkarten druckt man einfach den Fingerprint mit und kann den Key dann vom Keyserver holen. Sehr überschaubarer Aufwand.
Natürlich gibt es einen gewissen Mehraufwand ggü. Klartext. Das lässt sich aber auf keinen Fall vermeiden, weil man eben nicht mehr blind durch die Gegend feuert, sondern genau guckt an wen es gehen soll und verifizieren muss, dass der Key eben auch zur Person gehört.
Das ist dein Public Keystore. Gibts seit Jahren und werden auch gut benutzt.
Und mal ganz davon ab: Welchen Aufwand hast du, einen Public Key einzupflegen? Der wird einfach mit der ersten Mail mit den Kontaktdaten mitgeschickt (unverschlüsselt, ist ja nix geheimes), du klickst importieren und fertig. Wenn das im Programm ordentlich implementiert ist, wird beim Speichern der Mail Adresse die Mail gleich noch nach einem Key durchsucht.
Auf Visitenkarten druckt man einfach den Fingerprint mit und kann den Key dann vom Keyserver holen. Sehr überschaubarer Aufwand.
Natürlich gibt es einen gewissen Mehraufwand ggü. Klartext. Das lässt sich aber auf keinen Fall vermeiden, weil man eben nicht mehr blind durch die Gegend feuert, sondern genau guckt an wen es gehen soll und verifizieren muss, dass der Key eben auch zur Person gehört.
Zuletzt bearbeitet:
SoilentGruen
Lt. Commander
- Registriert
- Mai 2011
- Beiträge
- 1.786
Allerdings stellt sich die Frage, wie Google Gmail dann weiterhin monetarisieren will, wenn das Unternehmen die E-Mails selbst nicht mehr scannen kann.
Wieso?
Eine sichere Verbindung bedeutet ja nicht, das man es nicht an den Enden entschlüßeln kan...
Rexus
Lt. Commander
- Registriert
- Mai 2006
- Beiträge
- 1.401
schumischumi schrieb:das thema mit den "wo verschlüsseln" bzw. wo liegen die keys ist wirklich der knackpunkt.
klar könnte man es so machen, dass man google vertraut und als keystore nimmt. ist alles andere als optimal, aber besser als nichts.
Besser als nichts?
Wenn Google wirklich den Private Key von seinen PGP-Kunden auf den eigenen Servern liegen hat, dann ist diese Verschlüsselung absolut wertlos. Schließlich ist das dann nicht mehr End-to-End/Client-to-Client-verschlüsselt, sondern Client-to-Google. Am Ende wird Google mit sowas dann noch für "höhere Sicherheit durch PGP!" für sich werben und jeder DAU wird es fressen.
Ich kann nur jedem empfehlen, nehmt euch 'ne halbe Stunde Zeit und richtet euch PGP richtig ein!
Hier steht wie's geht, damit seid ihr selbst Google einen Schritt voraus:
https://securityinabox.org/en/thuderbird_encryption
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
Nein, die Verschlüsselung ist auch dann nicht absolut wertlos, nur geschwächt.
Selbst wenn Google die Private Keys hat, gibt es jetzt nur noch 3 Parteien, die mitlesen können, und nicht mehr jeder Hampel der irgendwo ein bisschen Datenstrom aufgabelt.
Selbst wenn Google die Private Keys hat, gibt es jetzt nur noch 3 Parteien, die mitlesen können, und nicht mehr jeder Hampel der irgendwo ein bisschen Datenstrom aufgabelt.
Rexus
Lt. Commander
- Registriert
- Mai 2006
- Beiträge
- 1.401
Autokiller677 schrieb:gibt es jetzt nur noch 3 Parteien, die mitlesen können, und nicht mehr jeder Hampel der irgendwo ein bisschen Datenstrom aufgabelt.
Das sollte bei funktionierender TLS-Verschlüsselung ohnehin nicht der Fall sein. Und dass Google zu DEN Datenlieferanten der Hampels, die sich hinter den bösen 3 Buchstaben verbergen, sollte unlängst bekannt sein.
Ein Private Key sollte auch nur "privat" bleiben. Auf einem Datenserver eines Unternehmens hat er genauso wenig verloren, wie unter'm Fußabtreter beim Nachbarn.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
Da leider ja immer noch viele Provider untereinander nicht verschlüsseln (siehe Initiative hier in D dazu), wäre das ein Problem das damit gefixt würde - TLS zwischen Client / Server hin oder her.
Geheimdienste hält man damit sicher nicht raus, aber halt andere Neugierige.
Ich empfehle auch sicher niemanden, einen solchen Dienst zu nutzen. Aber besser als gar nichts ist es immer noch.
Geheimdienste hält man damit sicher nicht raus, aber halt andere Neugierige.
Ich empfehle auch sicher niemanden, einen solchen Dienst zu nutzen. Aber besser als gar nichts ist es immer noch.
HighTech-Freak
Rear Admiral
- Registriert
- Juli 2005
- Beiträge
- 5.149
PGP in Ehren, aber in Webmail nicht umsetzbar -esseiden man benutzt eine Browser Extension, die auf einen lokalen oder verschlüsselt servergespeicherten Key zugreift und den Inhalt der email ent/verschlüsselt.Sollte es Google gelingen, PGP in einer Art und Weise in Gmail zu integrieren, die es dem Anwender nach einer einmaligen Konfiguration und einer Menü-gesteuerten Erstellung des privaten und öffentlichen Schlüssels erlaubt, Verschlüsselung per Mausklick zu benutzen, wäre dies ein großer Schritt zu mehr Sicherheit.
BTW: Public-Key-Server sind gut und schön, aber gefährlich. Denn die taugen nur, wenn der Fingerprint auch stimmt. Ohne Überprüfung des FP kann man genausogut unverschlüsselt senden. Hier ist die Software, die Keys von Keyservern lädt dazu angehalten den User zur Überprüfung des FP zu bewegen.
Dass PGP bisher keine Marktdurchdringung erreicht, liegt vorallem daran, dass es unter Windows defacto nicht verwendbar ist. In Outlook gibt's defquasi keinen Support dafür -spätestens bei Exchange ist der Spaß vorbei. Der einzige konkurrenzfähige Mail-Client in Form von TB braucht auch eine Menge nicht massentauglicher Zusatzsoftware (Cleopatra und dgl.)
PGP ist daher unter Windows dzt. kaum praxistauglich.
Auf OSX sieht die Situation unter Apple Mail allerdings ganz anders aus. Das funktionierts super...
Allerdings, und das kann man gerade nach dem Heartbleedbug nicht oft genug betonen, ist asymmetrische Verschlüsselung allein (so wie sie derzeit existiert) nicht der Weisheit letzter Schluss:
Ein Beispiel: Die Bindung an einen einzigen Private-Key, der auf einer Vielzahl Geräten zum Einsatz kommen soll, ist bei genauerer Betrachtung vollkommen schmerzbefreit. Ähnlich PFS bräuchte man hier sowas wie Session-Keys. Da es keine Sessions gibt bei email, so nicht umsetzbar. Laufende Schlüsselerweiterung ist hier die einzige Alternative. Zum Einsatz kommt bsp. ein Master-Key, der nur dazu dient temporäre Schlüssel zu signieren, die Tage, Wochen oder Monate gültig sind. Die temporären öffentlichen Schlüssel werden signiert mit dem Hauptschlüssel (zur sicheren Identifikation), die temporären private keys symmetrisch verschlüsselt und auf Handy, Tablet und Co gepusht.
Warum das Zwangsläufig nötig ist zeigt schon das Beispiel von google hier. Den Private Key auf zig verschiedene Plattformen zu laden und eventuelle auch noch verschlüsselt auf einen Server (zwecks automatischem Download zu einem Webmail-Browser-Plugin) widerspricht dem Grundsatz der sicheren Plattform als Untergrund für sichere Kommunikation. D.h. diesen Key müsste man nach kurzer Zeit als kompromittiert betrachten. Und damit auch die gesamten damit verschlüsselten Daten. Mit temporären Schlüsseln ist das Problem weitaus geringer. Dann wird nur ein Bruchteil vergangener Kommunikation entschlüsselbar -Kommunikation die möglicherweise nicht mehr online gespeichert ist.
Meiner Meinung nach sollte man PGP daher jetzt gleich nochmal grundlegend überarbeiten... Die jetzige Lösung ist defacto bereits veraltet.
Bei Passwörten sagt man ja auch, man solle sie regelmäßig ändern. Zur Übersicht benutzt man dann am vertrauenswürdigen Rechner KeePass oder halt ein klassisches Notizbuch.
@schumischumi: Bzgl KeyStore: Wie gesagt, PGP müsste hier nochmal grundlegend überarbeitet werden. Dazu würde auch ein einheitliches Protokoll zur Public-Key Verteilung gehören. Sinnvollerweise würde das der eigene Mailserver übernehmen. zB sendet der Mail-Client eine Dummy-Mail an den Mailserver (keystore@domain.tld) mit "Keystore-Request" im Betreff und mail-adressen im Body. Der Mailserver schickt daraufhin die aktuellen temporären Schlüssel zurück. Die Mail ist dann natürlich am besten S/MIME signiert mit dem gleichen Zertifikat wie die der TLS-Verbindung um einer MIM-Attacke vorzubeugen. Um einen Schlüssel abzulegen wird der eigene öffentliche Schlüssel an keystore@domain.tld mit "Keystore-Storage" im Betreff und dem Schlüssel im Body geschickt. In dem Fall akzeptiert der Key-Store Server natürlich nur keys der eigenen domain vom jeweilig authentifizierten User. Das ist einfachst zu implementieren. Alles was es dazu braucht ist genau genommen ein modifizierter Mail-Client (eventuell ginge das sogar über ein Thunderbird Plugin). Easy going...
Das is nur das was mir auf die schnelle eingefallen ist. Wenn man bedenkt seit wieviel Jahren es PGP gibt, ist es umso trauriger, wo wir derzeit stehen. Selbiges kann man auch von SMTP und email generell behaupten...
h3@d1355_h0r53 schrieb:Irgendwie scheint niemand den Artikel wirklich gelesen zu haben. Google sucht an einer Lösung das Prinzip zu vereinfachen. Dass es momentan eher kompliziert ist für Ottonormalbenutzer mit diversen verschiedenen Endgeräten und womöglich außerhalb der Nerdsphäre auch wechselnden und neuen Kontakten mit PGP Mails zu verschlüsseln, stimmt ja. Die News dreht sich aber darum, genau das irgendwie zu umgehen vermute ich mal stark - jedenfalls wäre das die Bedeutung von "vereinfachen".
Eine - naheliegende - Lösung wäre die Keys direkt bei Google zu speichern. Für den privaten eigentlich ein NoGo wobei es hier auch ggf. eine Möglichkeit gäbe diesen wiederum verschlüsselt zu speichern - eigentlich egal wie er gespeichert wird man muss Google vertrauen. Großteil der User vertraut Google, in der Theorie vielleicht nicht aber in der Praxis laufen die Mails darüber. Andererseits wäre das Verwalten der öffentlichen Keys bei Google ein immenser Vorteil wenn man ständig neue Kontakte hat. Ich kann mir vorstellen, dass Google aber was ganz anderes fabriziert was wir uns vorstellen können - schließlich haben die eine Entwicklungsabteilung, die es nicht besser machen will sondern 1000x besser machen will und das Unvorstellbare perfektioniert werden soll. Das ist Google Logik. Egal wie, wenn es nur ein bisschen mehr Sicherheit bringt ist es doch cool. Meiner Mutter mit ihrem Tablet und Handy hätte weder in ihren jüngeren Jahren 1991 PGP auf dem Rechner einrichten können noch kann sie es heute auf ihren Androiden. Viel abzuhören gibt es nicht bei ihr aber mehr Sicherheit ist immer gut. Und der Großteil der Nutzer würde davon profitieren.
Private Key in die Google Cloud wiederspricht dem ganzen PGP Konzept.
Wenn du den Schlüssel verschlüsselt in die Cloud legst funzt das höchstens nur noch als Backup für dich, ist aber für das verschicken und empfangen der Mails völlig sinnlos. Ein Verschlüsselter Schlüssel ohne Passwort ist genausoviel wert wie gar kein Schlüssel.
Die Vergangenheit hat gezeigt dass man genau das nicht tun sollte. Sorry aber ich frag mich was der Unfug bringen soll. Wer liest die Mails denn mit? Der Provider und Geheimdienst. Teilt man Google den Schlüssel wäre das NOCH schlimmer als Mails unverschlüsselt zu schicken.Eine - naheliegende - Lösung wäre die Keys direkt bei Google zu speichern. Für den privaten eigentlich ein NoGo wobei es hier auch ggf. eine Möglichkeit gäbe diesen wiederum verschlüsselt zu speichern - eigentlich egal wie er gespeichert wird man muss Google vertrauen
Mal angenommen es gelangen wieder mal, wir kennen es, "persönliche Daten" im Netz, wieso auch immer. Viel Spaß wenn kriminelle euren PrivateKey haben und dann mit eurer IDENTITÄT Mails verschicken können. Auch die NSA kann sich einfach mal die IDENTITÄT von euch dann ausborgen und zumindest Mails in ihrem Namen schicken.
Viel Spaß dann irgendwann mal beim Beweisen dass nicht ihr die Mails verschickt habt, obwohl sie ja von euch mit dem Schlüssel signiert worden sind, offentsichtlich.
Der Kram schadet mehr als er nützt wenn man den Schlüssel aus der Hand gibt.
Die einzig kriminellen die unsere Sachen lesen sitzen in USA und nicht irgendwelche imaginären Hacker die mit nem Notebook bewaffnet vor eurer Haustür lauern und nur drauf warten per WLAN irgendwas abzugreifen.
Was ich damit sagen will ist dass ich denke die Warscheinlichkeit dass der Geheimdienst mitliest größer ist als dass es irgendwelche bösen Hacker tun
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.373
Wir haben es in der Firma vor Jahren versucht und kurze Zeit später wieder abgeschafft weil es einfach total unpraktikabel ist.wazzup schrieb:PGP ist doch eh nur ne lösung für Aluhutträger und paranoide Nerds. Ich kenne niemanden der das jemals eingesetzt hätte, weder privat noch beruflich. Es hat sich nicht durchgesetzt weils einfach nicht handhabbar ist.
PGP versucht ein grundlegendes Design-Problem eines Protokolls zu beheben, welches schlichtweg nicht dafür ausgelegt ist, sicher zu sein.
Juhu, zentrale Server auf denen die Keys liegen. Ideal um den Leuten gefälschte public keys unterzuschieben.Autokiller677 schrieb:@schumischumi: Für sowas gibts Keyserver
Der public key gehört imho eher auf den Server, der die Mail empfangen soll und nicht auf ein System von Dritten.
Weils nutzloses Placebo ist. Wenn du mal ne Stunde Zeit hast:Autokiller677 schrieb:Da leider ja immer noch viele Provider untereinander nicht verschlüsseln
http://media.ccc.de/browse/congress...bullshit_made_in_germany_-_linus_neumann.html
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
Deshalb kann man Keys ja signieren. Eine Firma kann ja alle Keys ihrer Mitarbeiter mit ihrem Zertifikat signieren, so dass klar ist, dass hinter dem Key auch XY aus Firma Z steht.
Und wenn die Übertragung zwischen den Anbietern mit PFS verschlüsselt ist, bringt es sehr wohl was. NSA und co können nicht einfach den Datenverkehr irgendwo abfischen sondern müssen zum Provider um unverschlüsselte Daten zu bekommen.
Und wenn die Übertragung zwischen den Anbietern mit PFS verschlüsselt ist, bringt es sehr wohl was. NSA und co können nicht einfach den Datenverkehr irgendwo abfischen sondern müssen zum Provider um unverschlüsselte Daten zu bekommen.
schumischumi
Lt. Commander
- Registriert
- Dez. 2011
- Beiträge
- 1.057
Ich sehe keinen sinn in mail verschlüsselung (auf unternehmen bezogen) solange es keinen praktikablen standard gibt. zentrale keyserver ala pgp directory halte ich persönlich für den falschen weg. wenn dann müsste es eine feste integration in die gänigen mailserver geben damit sie als keyserver fungieren. und es müsste ein standard geschaffen werden, damit man seinen public key bzw. den knotenpunkt zum keyserver des eigenen unternehmens direkt in jeder mail mit angeben kann und in der externe mailserver automatisch erkennt und mit dem eigenen keystore verbindet.
verschlüsselung macht nur dann sinn, wenn alle empfänger auf der liste diese auch unterstützen. sobald ein empfänger (gerade externe) die mail unverschlüsselt empfängt macht es imho keinen sinn wenn die 10 anderen das ding verschlüsselt bekommen...
verschlüsselung macht nur dann sinn, wenn alle empfänger auf der liste diese auch unterstützen. sobald ein empfänger (gerade externe) die mail unverschlüsselt empfängt macht es imho keinen sinn wenn die 10 anderen das ding verschlüsselt bekommen...
. zentrale keyserver ala pgp directory halte ich persönlich für den falschen weg. wenn dann müsste es eine feste integration in die gänigen mailserver geben damit sie als keyserver fungieren.
So bestünde aber die Möglichkeit für den Anbieter des Mailservers einen Key zu ändern um dann selber Inhalt mitzulesen.
Sehe es daher andersherum: Mailserver und Keyserver sollten nichts miteinander zu tun haben. Gibt es irgendwo ein Leck ist auch nciht sofort beides betroffen.
Firmen könnte ja einen eigenen Keyserver betreiben doch für Privatpersonen finde ich es eher weniger sicher wenn die Keys nun bei T-Online, GMX, und web.de liegen. Sie könnten ihren Kunden dann einfach einen falschen Key unterschieden, die Nachricht entschlüsseln und mit dem richtigen public Key des Empfängers weiter an diesen senden.
Bei einem eigenständigen Keyserver müsste jemand nicht nur den Schlüssel ändern sondern auch die Mail irgendwo erstmal noch abfangen.
PGP mag nicht das Ende der Fahnenstange sein doch die meisten Probleme bestehen doch eher auf Kundenseite. Zum einen wollen sich die meisten net damit auseinandersetzen, zum anderen ist es nicht standardmäßig überall integriert, bzw lässt sich netmal richtig nachrüsten.
Zuletzt bearbeitet:
HighTech-Freak
Rear Admiral
- Registriert
- Juli 2005
- Beiträge
- 5.149
Wo die public Keys liegen is letztlich vollkommen egal. Diese müssen vom User auf Authentizität überprüft werden. PGP = Web of Trust => FingerprintIlsan schrieb:Sehe es daher andersherum: Mailserver und Keyserver sollten nichts miteinander zu tun haben. Gibt es irgendwo ein Leck ist auch nciht sofort beides betroffen.
Allerdings wäre es naheliegend, dass man die Keys wie nicht nur von mir bereits vorgeschlagen über den Mail-Server verteilt. Das muss nicht der einzige Weg der Verteilung sein, wäre aber mMn die einzige sinnvolle Standardisierung zumal email das Haupteinsatzgebiet von PGP ist und PGP-Key sich häufig auf mail-adresse beziehen.
Die Private Keys dürfen NIE für einen Server unverschlüsselt lesbar sein. Deswegen braucht es für Webmail auch eine lokales Plugin, das die Ver- und Entschlüsselung übernimmt. Das Problem dabei ist allerdings, dass in dem Fall der lokale Rechner eigentlich vertrauenswürdig sein sollte -was aber bei Webmail eben nicht immer der Fall ist, was wiederum einer der Gründe ist, warum tempörer Schlüssel zum Einsatz kommen sollten...
Und das bringt aber keinerlei Vorteil.Allerdings wäre es naheliegend, dass man die Keys wie nicht nur von mir bereits vorgeschlagen über den Mail-Server verteilt.
Das muss nicht der einzige Weg der Verteilung sein, wäre aber mMn die einzige sinnvolle Standardisierung zumal email das Haupteinsatzgebiet von PGP ist und PGP-Key sich häufig auf mail-adresse beziehen.
Wenn etwas Standadisiert ist wird es auch die Mehrheit so machen. Wie ich bereits sagte in dem Fall hat der Email Provider Emaildaten + Public Key. Er könnte ihn ganz einfach austauschen, zumindest ein Risiko für die Leute die die Keys nicht auf Echtheit überprüft haben.
Daher sollte er in meinen Augen nicht da oder zumindest nicht nur da gespeichert werden sodass der Email Provider ihn nicht verändern kann und wenn er es macht der Betrug selbst dann auffliegt wenn jemand die Keys nicht überprüft hat.
Sprich es wäre von Vorteil wenn das Email Programm einen Public Key benötigt ihn an mehreren Stellen im Netz abgleichen kann ob es derselbe ist.
Einfach dem Emailprovider da stumpf zu vertrauen ist nicht umbedingt die beste Lösung.
Zuletzt bearbeitet:
Ähnliche Themen
- Antworten
- 18
- Aufrufe
- 8.449
- Antworten
- 3
- Aufrufe
- 1.182
- Antworten
- 4
- Aufrufe
- 1.213
- Antworten
- 40
- Aufrufe
- 7.520