Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[pepi]

Leider ist es gang und gäbe fremde Emails auszuspieonieren und weder große Firmen noch die eigene Regierung macht davor halt. Wie gesagt gibt es bereits gesetzlich vorgeschriebene Abhöreinrichtungen bei sämtlichen ISPs und größeren Mailprovidern (wie beispielsweise GMX). Weder die Provider noch die Betroffenen erfahren davon wenn deren Mails abgehört/mitgelesen werden. Da möchte ich dann schon versuchen selbst ein wenig Sorge für meine Privatsphäre zu tragen solange mir das noch möglich ist.

Bloß weil man selbst etwas nicht tun würde ist das leider keine Garantie dafür, daß andere das nicht tun.
Gruß Pepi

[bluejay]

Da habe ich mich etwas unglücklich und unverständlich ausgedrückt: ich meinte nicht für sie bestimmte, nicht an sie gerichtete E-Mails, die auf einem fremden Server liegen oder irgendwo abgefangen/abgehört werden...

Aaah, ja, dann kapiere ich es auch. Denke ich. …

Ich weiß ja, was ich meine

Dann stimmt ja schon mal das Wesentlichste.

[Irgendein Held]

Da möchte ich dann schon versuchen selbst ein wenig Sorge für meine Privatsphäre zu tragen solange mir das noch möglich ist.i

Und dennoch; selbst im Informatikstudium ist das weitläufigste Argument: "Wozu? So wichtiges steht nicht meinen Emails, mir ist das egal." Das kann man jetzt noch in 20 voneinander verschiedene Formen abwandeln.

[pepi]

Ich kenne die Argumente der Leute leider zur Genüge. Sie verstehen nicht, daß es ums Prinzip geht, daß niemand anderen deren Emails etwas angeht. Technisch und rechtlich ist ein Email eine Postkarte, und die darf von jedem der sie in die Finger bekommt gelesen werden.

Wenn ich eine Nachricht versende die nur für den entsprechenden Empfänger bestimmt ist, dann klebe ich einen Brief zu. Das verhindert, daß jemand anderer einfach so mal diese Nachricht mitlesen kann. Technisch gesehen ist die Vollverschlüsselung einer Email nichts anderes als einen Brief zuzukleben.

Der Punkt dabei ist, daß es genau diesen Leute nicht egal ist, daß sie überwacht werden können und das bereits ganz legal getan wird. Sie trauen sich nur nicht es zuzugeben, oder auch nur einen Handgriff für die Erhaltung der eigenen Freiheit zu tun. So wird ein Rechtsstaat zum Überwachgunsstaat. Das ist genau das was wir momentan in Europa gerade (zum wiederholten Male) erleben.
Gruß Pepi

[nggalai]

So, dann mal mein jährliches Update :

[x] Sowohl S/MIME als auch GnuPG.

Ich halte mich da einfach an den Gegenüber. Rein theoretisch wäre mir S/MIME lieber, da auf kaum einen System / Mailprogramm Zusatzsoftware installiert werden muß. Außerdem gibt’s auch den einen oder anderen Webmailer, der S/MIME unterstützt.

Wenn jemand eine E-Mail-Adresse hat, die entweder auf web.de oder auf eine eigene Domain endet, verschicke ich in der Regel alle meine Nachrichten S/MIME-signiert. Dann, anschließend, verschlüsselt – wenn denn der Gegenüber auch was in die Richtung eingerichtet hat.

Als großes Problem hat sich Outlook Express herausgestellt. Das zeigt bei etwa der Hälfte meiner OE-Kontakte ein großes WARNUNG-Fenster an, wenn eine signierte Mail gelesen werden soll. Da ich schlecht bei gut 50 Leuten Windows sauber aufsetzen kann, nun ja. Gibt es ein Plug-in fürs Adreßbuch, in dem man (wie beim GnuPG-Plugin) angeben kann, ob man dem Empfänger S/MIME zumuten kann? Das wäre wirklich sehr, sehr nützlich.

Cheers,
-Sascha

[Zeisel]

So, ich habe mir heute die Mühe gemacht, Mail bezüglich PGP auf den neuesten Stand zu bringen.

Zuerst habe ich mal den Mac GNU Privacy Guard auf den neuesten Stand (January 13, 2009 | MacGPG2-2.0.10-2) gebracht.
Leider konnte ich zu dieser Version weder ein Prüfsumme noch eine Signatur finden. Weiß hier jemand, wo ich die finden kann?

Danach habe ich das aktuelle Plugin für Mail, GPGMail, installieren lassen (sehr komfortabel).

GPG Schlüsselbund, die grafische Benutzeroberfläche zur Schlüsselverwaltung, hat seit Februar 2005 keine Neuerungen erfahren.

Jetzt mal eine Frage:
Das Image "GPGMail-1.2.0.dmg" kommt mit einer Signatur (GPGMail-1.2.0.dmg.sig) daher, doch wie überprüfe ich diese? Weder aus dem empfohlenen Programm GPGDropThing noch aus der hier gegebenen Anleitung für das Terminal werde ich so recht schlau. Weiß jemand Rat, ein Programm, eine Anleitung (Link) dazu?

[Zeisel]

Als großes Problem hat sich Outlook Express herausgestellt. Das zeigt bei etwa der Hälfte meiner OE-Kontakte ein großes WARNUNG-Fenster an, wenn eine signierte Mail gelesen werden soll. ... Gibt es ein Plug-in fürs Adreßbuch, in dem man (wie beim GnuPG-Plugin) angeben kann, ob man dem Empfänger S/MIME zumuten kann? Das wäre wirklich sehr, sehr nützlich.

Das Problem habe ich ähnlich: bei vielen meiner Outlook-Kontakte (in der eigenen Firma!) kommen meine signierten E-Mails leer (ohne Inhalt) an. Immerhin wissen die dann, dass ich etwas wollte und melden sich, und ich kann ja nicht immer daran denken, bei diesem oder jenem die Signatur wegzunehmen... daher wäre ich an so einem Plugin für das Adressbuch (bzw. für Mail) auch interessiert, kann mir jedoch nicht vorstellen, dass es so etwas gibt.

[j@n]

Hallo pepi,

Ich kenne die Argumente der Leute leider zur Genüge. Sie verstehen nicht, daß es ums Prinzip geht, daß niemand anderen deren Emails etwas angeht. Technisch und rechtlich ist ein Email eine Postkarte, und die darf von jedem der sie in die Finger bekommt gelesen werden.

Das ist mir neu. Kannst Du belegen, dass das rechtlich wirklich so gesehen wird?

Angenommen, es sei wie Du behauptest: jeder, der sie in die Finger bekommt - wer ist das denn, technisch gesprochen, bei meiner E-Mail an Dich? Der Datenstrom fließt doch durch niemandes Kopf, somit wäre „in die Finger bekommen“ aus meiner Sicht synonym mit „sich Zugriff verschaffen“ oder auch metaphorisch: zur Post gehen und den Postsack aufmachen, obwohl es nicht meine Aufgabe ist, die Post zu sortieren oder zuzustellen.

(…) Der Punkt dabei ist, daß es genau diesen Leute nicht egal ist, daß sie überwacht werden können und das bereits ganz legal getan wird. Sie trauen sich nur nicht es zuzugeben, oder auch nur einen Handgriff für die Erhaltung der eigenen Freiheit zu tun. So wird ein Rechtsstaat zum Überwachgunsstaat. Das ist genau das was wir momentan in Europa gerade (zum wiederholten Male) erleben.

Es stimmt, mir ist nicht egal, dass ich überwacht werden kann. Nur, dass ich bereits legal überwacht werde, ist mir neu. Ich bin mit Sicherheit keiner, dem es nichts ausmacht, wenn ein Fremder seine Nase in meine private Kommunikation steckt. Das würde sich auch als zukünftiger Mediziner nicht besonders gut machen. Dennoch sehe ich Deinen Punkt nicht.
Die Tatsache, dass Schnittstellen zum Mitlesen der E-Mail-Kommunikation vorhanden sind, ist natürlich einerseits beunruhigend, andererseits verlasse ich mich gerade deshalb, weil Deutschland ein Rechtsstaat ist darauf, dass diese nicht missbräuchlich genutzt wird. Falls Dir eine andere Praxis bekannt ist, gehe ich damit zum Rechtsanwalt.
Deine Anspielung auf GeStaPo und StaSi („zum wiederholten Male“ interpretiere ich so) finde ich jedenfalls ziemlich überzogen - zumindest vor dem Hintergrund meines bescheidenen Wissens und meines Glaubens an den Rechtsstaat. Aber vielleicht wird Deine Antwort mein Weltbild erschüttern …
Ich bin gespannt!

Gruß j@n

P.S.: Nutzt Du eigentlich ein DECT-Telefon?

[stk]

Moin,

*einmisch*

Angenommen, es sei wie Du behauptest: jeder, der sie in die Finger bekommt - wer ist das denn, technisch gesprochen, bei meiner E-Mail an Dich? Der Datenstrom fließt doch durch niemandes Kopf, somit wäre „in die Finger bekommen“ aus meiner Sicht synonym mit „sich Zugriff verschaffen“ oder auch metaphorisch: zur Post gehen und den Postsack aufmachen, obwohl es nicht meine Aufgabe ist, die Post zu sortieren oder zuzustellen.

Bei der Postkarte ist's der Briefträger, der's seinem Kollegen zeigt und bei eMail eben ein Sysadmins-Gehilfen-Auszubildender, der gerade Langeweile hat. Vorstellbar ist das. Und warum an solchen Stellen nicht auch mal bewußt zupacken, wenn die schon Infos haben. Früher waren's die Kaminkehrer, die überall reingelassen werden mußten, demnächst heuert der Schäuble die Sysadmins an.

… weil Deutschland ein Rechtsstaat ist …

Du hast das »noch« in dem Satz vergessen.

Deine Anspielung auf GeStaPo und StaSi („zum wiederholten Male“ interpretiere ich so) finde ich jedenfalls ziemlich überzogen

Wie das immer so ist mit Interpretationen. Stehen tut's da nicht. Aber Du hast Recht: der Gedanke an Gestapo und Stasi mag einem bei den aktuellen Überlegungen und Gesetzgebungsverfahren zu Fingerabdrücken in Reisepässen und Personalausweisen, Mautdatenzugriff für Strafverfolger, Section-Control, Vorratsdatenspeicherung, Kinderpornosperre, BKA-Gesetz, etc. etc. schon mal aufdrängen. Ach ja: pünktlich zur Bundestagswahl geht die Terroristenbombe in .de hoch - der Schäuble hats schon vorher gesacht - den kann man dann guten Gewissens wiederwählen

P.S.: Nutzt Du eigentlich ein DECT-Telefon?

Ich schon - eines mit Verschlüsselung .

Gruß Stefan

[Zeisel]

Das ist mir neu. Kannst Du belegen, dass das rechtlich wirklich so gesehen wird?

Das ist auch rechtlich nicht so. Selbst wenn ich ein Telegramm entgegen nehme, habe ich laut Gesetz den Inhalt nach der Niederschrift sofort wieder zu vergessen, denn er fällt unter das Postgeheimnis. Ist natürlich graue Theorie, aber ich darf den Inhalt weder an dritte weitergeben noch für mich verwenden.

... andererseits verlasse ich mich gerade deshalb, weil Deutschland ein Rechtsstaat ist darauf, dass diese nicht missbräuchlich genutzt wird.

Das ist sehr naiv.
Edit: Grade weil Deutschland ein Rechtsstaat ist dürfen wir uns darüber freuen, Verschlüsselung benutzen zu dürfen und sollten es daher auch tun und von diesem Recht regen Gebrauch machen sowie alles dafür tun, dass das Recht auf Privatsphäre in diesem Rechtsstaat nicht eingeschränkt wird!

P.S.: Nutzt Du eigentlich ein DECT-Telefon?

DECT ist (noch relativ) sicher, nur setzen die Hersteller nicht alle Möglichkeiten und Optionen von DECT um und übertragen die Daten teilweise unverschlüsselt. Das ist ein Problem der Umsetzung durch die Hersteller und nicht ein Problem von DECT selbst.