Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[Zeisel]

Du hast es schon genannt. Es stört mich einfach, dass GPG sich nicht genauso integriert wie S/MIME, mir wird das dadurch alles zu voll.
...
Ebenso wie der Start des GPG-Agents, der sich beim Systemstart immer einige Sekunden in die Menüleiste hängt oder auch mal das Herunterfahren verhindert.

Kann ich beides gut nachvollziehen. Dennoch (für mich) die bessere Lösung, als jetzt wieder auf Thunderbird zurückgreifen zu müssen...

Und ich muss pepi zustimmen, der Aufwand bei GPG ist doch um einiges höher (Terminal etc.).

Das Terminal brauchst Du für E-Mail mit GPG nicht. Das übernimmt der GPG Schlüsselbund.

Hätte ich das nötige Fachwissen würde ich mich dranmachen, leider fehlt es mir da massiv an Know-How.

Schade!
Was sich mir übrigens leider! noch überhaupt nicht erschließt ist das Überprüfen von Signaturen bei Software. @Pepi: Kennst Du dafür irgendwo eine deutschsprachige Anleitung? Ich habe bislang keine gefunden, mit der ich es hinbekommen habe.

 

[pepi]

Leider kommt man am Mac tatsächlich um ein wenig Terminal Konfrontation mit GPG nicht herum. Schonmal einen Key signiert? Es ist einfach nicht elegant. Für mich als Techniker ist es ok, aber nicht komfortabel gelöst. Es funktioniert halt, mehr aber auch nicht.

Ich hoffe trotzdem, daß es wieder GPG Support in Mail.app geben wird. Bis dahin, werde ich wohl [tt]mutt[/tt] oder so konfigurieren für die Fälle wo ich mit GPG encrypted Mails konfrontiert bin.
Gruß Pepi

 

[Zeisel]

Wenn ich mit dem GPG Schlüsselbund einen Schlüssel signieren möchte, klicke ich diesen an und öffne das Menü "Schlüssel - Signieren". Dann öffnet sich in der Tat ein Terminal-Fenster, in das ich jedoch nur J oder N eingeben muss... ich habe Thunderbird noch nicht wieder installiert, meine aber zu erinnern, dass es mit Enigmail noch einfacher ging. Man kann die Schlüssel mit Enigmail und GPG Schlüsselbund parallel verwalten, da beides nur grafische Oberflächen sind die auf dieselben Schlüssel zugreifen. Um Thunderbird werde ich jetzt vorerst wohl nicht herum kommen. Schade. Mit meinen IMAP-Konten zum Glück kein Problem.

 

[bluejay]

Ich meinte damit 2 Monate Entwicklungszeit wenn sich jemand findet der sich dieses Projekte annimmt. …

Ach so. Ja, dann hoffen wir mal.

 

[pepi]

Inzwischen gibts einen Fork davon auf github und einen gruseligen Workaround der allerdings kaum erträgliche Praktikabilität hat. Ich nehme fast an, daß das bisherige Projekt nicht mit sinnvollem Aufwand portiert werden kann. Es gibt bereits Überlegungen, für eine komplette Neuentwicklung für Snow Leo. Mal sehen wie das weitergeht.
Gruß Pepi

 

[ZIG-ZAG]

Ach so. Ja, dann hoffen wir mal.

Ich hoffe mit. Als Notlösung habe ich jetzt erstmal das FireGPG Plugin für den Firefox installiert. Da ich GPG nicht täglich benötige, muss das jetzt erstmal so gehen. Auf ein anderes Mail Programm switchen will ich eigentlich nicht. S/MIME stellt für mich leider auch keine Alternative dar.

Hatte ich echt verpennt, dass das GPG Plugin nicht läuft, sonst hätte ich erstmal 10.5.8 gelassen. Nachdem jetzt 10.6.1 erschienen war, hat es mich vorgestern dann doch gejuckt und ich habe kurzentschlossen die SL DVD, die hier schon einige Tage lag installiert. Eigentlich wollte ich ja min. 10.6.2 o. 10.6.3 abwarten - hätte ich mal machen sollen.

Anzumerken bleibt, dass es wirklich "bescheiden" von Apple ist, die API nicht an Entwickler rauszurücken, dann ginge das mit dem Plugin deutlich schneller und einfacher.

 

[stk]

Moin,

das hier hab ich heute morgen in meiner Mailbox gefunden:

Important Thawte® Personal E-mail Certificate Holder Notice
Thawte Personal E-mail Certificates and Web of Trust are being discontinued

Dear …,
Over the past several years, security compliance requirements have become more restrictive, while the technology infrastructure necessary to meet these requirements has expanded greatly. Despite our strong desire to continue providing the Thawte Personal E-mail Certificate and Web of Trust services, the ever-expanding standards and technology requirements will outpace our ability to maintain these services at the high level of quality we require. As a result, Thawte Personal E-Mail Certificates and the Web of Trust will be discontinued on November 16, 2009 and will no longer be available after that date.

Deciding to conclude these services was a difficult decision for us to bear, specifically because of the community that has been built around these products over the years.

To express our gratitude and sincere appreciation for being a part of our Thawte community, we would like to offer you up to $100.00 off the purchase price of our SSL and/or code signing certificates.

If you would like to take advantage of our offer, please forward this email to our sales department. Their contact details are listed at the foot of this message. Please note that this offer expires on November 16, 2009.

To ensure your continued e-mail security, we have made a special arrangement with VeriSign to replace your personal email certificate. VeriSign’s exclusive offer to you is for a FREE 1-year replacement personal email certificate - a $19.95 value. This offer will be open for 2 months after the service is discontinued and will no longer be available after January 16, 2010. Simply follow the appropriate link below to request your certificate: …

Die Schwierigkeiten bei der Verschlüsselung nehmen damit zu, die Hürde wird angesichts von entstehenden Kosten wieder höher.

Gruß Stefan

 

[Hairy]

Moin,

das hier hab ich heute morgen in meiner Mailbox gefunden:


Die Schwierigkeiten bei der Verschlüsselung nehmen damit zu, die Hürde wird angesichts von entstehenden Kosten wieder höher.

Gruß Stefan

Habe ich auch erhalten. Gibt es nicht noch andere Zertifikatanbieter?

 

[Zeisel]

Habe ich auch erhalten. Gibt es nicht noch andere Zertifikatanbieter?

In der unten verlinkten Seminararbeit wird "...für den S/MIME Standard ... der Gebrauch eines (für Privatpersonen) kostenlosen Class 1 Zertifikates des TC TrustCenters beispielhaft erläutert."
Das Zertifikat hat allerdings nur einen geringen Wert, da keine Überprüfung Deiner Identität stattfindet.

Weswegen mir persönlich (obwohl ich standardmäßig S/MIME mit meinem Thawte-Zertifikat nutze) GnuPG trotz aller Schwierigkeiten lieber ist:

Der größte Vorteil von GnuPG gegenüber proprietärer [geschützter] Software ist [...] die Sicherheit, die in der Lizenz, unter die GnuPG fällt, begründet ist. Experten vom Bundesamt für Sicherheit in der Informationstechnik, des Bundesministeriums für Wirtschaft und Technologie sowie des Bundesministeriums des Innern über das Bundeswirtschafts- und Forschungsministerium bis zum Chaos Computer Club (CCC) sind der einhelligen Überzeugung, dass Quelloffenheit einer Software essenzielle Voraussetzung für ihre Sicherheit ist. Bei proprietärer Software muss sich der Anwender auf das Wort des Anbieters verlassen, was grundsätzlich als suspekt angesehen werden sollte. Überprüfbarkeit durch Experten des Vertrauens, somit Quelloffenheit, ist eine Voraussetzung für Vertrauensbildung. [...] Nur permanente, mit laufende Überprüfung durch Nutzer, Gruppen und Behörden bieten die Gewähr, dass weder nachlässig noch gezielt Sicherheitsprobleme eingebaut werden. GnuPG wurde von Anfang an offen entwickelt.

Quelle: Patric Majcherek, Sicherer E-Mail Verkehr - Vergleich von PGP und S/MIME

 

[j@n]

Hab ich (noch) nicht erhalten.

So ein Schei…benkleister. Damit ist Verschlüsselung im privaten Bereich für mich definitiv gelaufen!!
Innerhalb der Familie und bei den engsten Freunden konnte ich mittlerweile (zumindest bei den Mac- und/oder Thunderbird-Usern) das Thawte-S/MIME-System einführen, aber den ungleich höheren Aufwand mit GnuPG …

F***. Hallo Zensursula.

P.S.: Unter Geeks ist es natürlich kein Problem mit GnuPG zu arbeiten. Aber meine Familie ist „normal“.

 

[Zeisel]

E-Mail mit GnuPG verschlüsseln (mit dem Programm Thunderbird) bekommt auch meine Mutter hin, die ist 67 und hat mit dem Rechner außer Internet, E-Mail und Briefe schreiben nichts am Hut. Verschlüsseln mit GnuPG ist, einmal eingerichtet, nicht schwer, und das Einrichten selbst ist nicht schwerer als das Erstellen eines Zertifikates von Thawte.

Der Vorteil bei Thawte ist das Web of Trust. Im privaten E-Mail verkehr mit GnuPG kann man jedoch einfach seine Fingerabdrücke austauschen und die Zertifikate entsprechend als vertrauenswürdig einstufen, so haben Mitleser oder Identitätsschwindler keine Chance.

 

[j@n]

Mensch Du, Danke für den Hinweis.

Ich hab mich ja bisher noch nie mit dem Thema beschäftigt. Und es ist bestimmt ganz einfach, meine Verwandtschaft dazu zu bringen, zu Thunderbird umzusteigen. Warum das mit Apple Mail nicht geht … erklär ich denen mit Links.
Außerdem hatte ich eh schon immer mal Lust, GnuPG auf mehreren Macs und Windows-PCs zu installieren, die sich in allen Ecken Deutschlands befinden.

Mal im Ernst, das ist für mich nicht machbar. Allein die Fahrtkosten übersteigen den Preis für ein kommerzielles Zertifikat. Ich bleibe dabei - Verschlüsselung auf diese Art ist tot.

 

[bluejay]

Moin,

das hier hab ich heute morgen in meiner Mailbox gefunden:


Die Schwierigkeiten bei der Verschlüsselung nehmen damit zu, die Hürde wird angesichts von entstehenden Kosten wieder höher.

Gruß Stefan

F*** (und damit wird dieser Beitrag niemals die Zulassungsprozedur in den Apple App Store überstehen ).
Das ist wirklich keine gute Nachricht. Werde ich wohl dann vorerst mit den TrustCenter Zertifikaten weiterarbeiten müssen. Thunderbird ist auch für mich keine wirkliche Alternative, was jetzt GPG/PGP betrifft. :-c

 

[pepi]

Na fein, das sieht garnicht gut aus. Ich habe das ominöse Mail zwar noch nicht bekommen, rechne aber damit, daß das bald der Fall sein wird.

Falls jemand andere CAs weis, deren Root Zertifikate in den meisten Betriebssystemen enthalten sind die auch kostenlose Mail Zertifikate rausgeben, bitte umgehend hier zu posten! Danke!
Gruß Pepi

 

[pepi]

Bisher habe ich noch keine Nachricht von Thawte erhalten, daß die Free Personal Email Certificates eingestellt würden. (Auch mir bekannte andere Notare die ich gefragt habe, haben bisher noch keine solche Nachricht erhalten.) Bin gespannt wie das weitergeht.

Hier nochmal der Aufruf an alle:

Wenn Dir ein Anbieter bekannt ist, der wie Thawte, kostenlose S/MIME Zertifikate für Mails anbietet, bitte unbedingt hier posten! Gerne auch per PN an mich.
Danke
Gruß Pepi

 

[defi]

schonmal CaCert angeschaut?
http://www.cacert.org/

Gruß defi

 

[pepi]

Ich bin sogar seit Jahren CAcert Notar.
Das Problem ist, daß deren Stammzertifikate in quasi keinem Betriebssystem vorinstalliert, also pre-trusted sind. Das macht es einigermaßen problematisch im Geschäftsverkehr. Jeder Mailpartner müßte zuerst mal die Root-Zertifikate von CAcert runterladen, installieren und als vertrauenswürdig markieren.
Gruß Pepi

 

[defi]

Das ist leider durchaus das Problem.

Eine weitere Alternative ist mir nicht bekannt.

Gruß defi

 

[naich]

Weiß jemand genaueres, ob jetzt die kostenlosen thawte-Zertifikate eingestellt werden?
Ich habe die Mail nicht bekommen, und so wie es ausschaut, kann man immer och Zertifikate anfordern!?

 

[pepi]

Nicht genaues weis man nicht. Im Pressebereich von Thawte ist auch nichts zu finden.

Stefan, könntest Du mir das Mail bitte mal weiterleiten. Falls möglich mit allen Headern, damit ich evt. die Echtheit der Meldung nachvollziehen kann. Danke! Danke für die umgehende Zusendung.

Weder bei Thawte noch beim Mutterkonzern Verisign ist irgendetwas dazu zu sehen, auch nicht in etwaigen Pressemitteilungen. Ich habe nun mal bei Thawte offiziell zum Status des Programms nachgefragt. Ich poste die Antwort selbstverständlich hier.
Gruß Pepi

Edit:
Schon erstaunlich, daß eine CA keine signierten Mails sendet. Wenn ich die SPF records korrekt deute, dann stammt dieses Mail nicht von einem dort legitimierten Mail Exchanger. Außerdem sind in dem HTML Mail einige der FAQ Links disguised. Dargestellt werden sie im HTML als [tt]https://search.thawte.com/foo[/tt] und in Wirklichkeit linken sie auf [tt]http://click.thawte.com/bar[/tt].

Es wäre also durchaus möglich, daß es sich dabei um ein Phishing Mail handelt die einen auf verschlungenen Wegen zum Kauf eines Zertifikates per Kreditkarte bringen soll!

Bitte folgt aus Sicherheitsgründen keinem der in diesen Mails angegebenen Links! Wenns unbedingt sein muß, von Hand eingeben, und die kodierten Teile der URL weglassen um zu schauen was da passiert.

Bis ich eine offizielle Antwort von Thawte bekommen habe besteht momentan, meiner Ansicht nach, kein Grund zur Sorge.
Gruß Pepi