Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[Fard Dwalling]

Lass es doch einfach drauf, es stört doch nicht. Das Plugin für Mail (bzw. Add-on für Thunderbird) kannst Du ja löschen (bzw. entfernen), dann siehst Du nichts mehr davon.

Warum sagen das eigentlich immer alle? Was wenn das mit jedem Programm so wäre?
Ich hatte bei GPGMail einfach das Problem, dass das Kennwort nicht gespeichert wurde. Mal blieb es nur solange Mail offen war und manchmal auch bis man sich abgemeldet hat.
Aber anscheinend muss ich mit den Resten wohl leben.

Gruß

 

[Zeisel]

... bin damit allerdings in meinem bekanntenkreis auch allein. kenne eigentlich kaum jemanden, der verschlüsselt ...

Das geht vielen so. Immer dran bleiben und aufklären. Der neue Service De-Mail wird daran leider auch nicht so viel ändern, da er "Porto" kosten wird und so zwar als Alternative zu Fax und Einschreiben interessant werden könnte, jedoch keinen Einzug in den allgemeinen, täglichen, privaten wie geschäftlichen E-Mail Verkehr haben wird (meine Prognose).

Gestern O-Ton bei einem Geschäftspartner: "Was ist das eigentlich immer für ein Anhang, den Du mitschickst? Ach, die komische Schleife neben der Büroklammer ist Dein Zertifikat? Nein, ich sehe doch an Deiner E-Mail Adresse, dass die E-Mail von Dir kommt..."

 

[Zeisel]

GNU Privacy Guard entfernen?

Warum sagen das eigentlich immer alle? Was wenn das mit jedem Programm so wäre?

Die Programme arbeiten ja mit einem simplen Plugin (Mail) bzw. Add-on (Thunderbird), die lassen sich restlos entfernen. Das Gleiche gilt für den GPG Schlüsselbund, einfach die Programmdatei und die dazugehörige GPGKeychain.plist sowie das Programm start-gpg-agent.app löschen (und aus den Startobjekten Deines Benutzers entfernen). Wie weit sich der GNU Privacy Guard in das System eingegraben hat, vermag ich nicht zu sagen, aber Du kannst in diesem Fall lieber ein par unnütze und das System nicht beeinflussende Dateien herumliegen lassen als das System durch versehentliches Löschen wichtiger Dateien zu destabilisieren.
Alle 2 Jahre etwa bekommst Du zum gleichen Preis wie heute die Doppelte Menge an Festplattenspeicher zu kaufen. Die Dateileichen dagegen wachsen nicht mit.
Sie werden im Verhältnis immer kleiner und kleiner und kleiner...
Und wenn Du Dir irgendwann einmal einen neuen Rechner kaufst und geschickt umziehst, dann spätestens sind sie ganz weg.

Ich frage mich nur, warum Du es überhaupt entfernen möchtest - was, wenn einer Deiner Kontakte auf die Idee kommt, dass GPG für ihn viel besser ist? Dann könnt ihr wieder nicht sicher kommunizieren, oder Du installierst Dir alles wieder neu, welch doppelte Arbeit.

 

[Fard Dwalling]

Da ich im Bekanntenkreis der einzige bin, der mit Verschlüsselung anfängt, liegt es ja an mir, wie die anderen verschlüsseln.
Und da GnuPG auf drei Rechner Probleme macht (zweimal wird das Kennwort einfach nicht gespeichert, einmal geht gar keine Verschlüsselung mehr), denke ich, ist S/MIME komfortabler...

Naja spätestens mit Snow Leopard wird ja neu installiert. Und du hast schon recht, auf die paar MB kommt es nicht an.
Aber bei Windows regt sich ja auch jeder über irgendwelche Dateileichen und Reste auf! Nur bei MacOS ist das ganz normal, etc. Natürlich wird MacOS dadurch nicht verlangsamt wie es bei Windows der Fall ist, aber schön ist das trotzdem nicht.

Gruß

 

[Zeisel]

Da ich im Bekanntenkreis der einzige bin, der mit Verschlüsselung anfängt, liegt es ja an mir, wie die anderen verschlüsseln.

Ich wünsche Dir den Erfolg der mir bislang verwährt blieb (ernst gemeint!).

"Aber bei Windows regt sich ja auch jeder über irgendwelche Dateileichen und Reste auf! Nur bei MacOS ist das ganz normal, etc. Natürlich wird MacOS dadurch nicht verlangsamt wie es bei Windows der Fall ist, aber schön ist das trotzdem nicht."​

Windows-Nutzern sage ich das Gleiche und auch dort verhält es sich nicht so dramatisch wie immer geschildert. Und auch dort kenne ich genug Leute, die sich ihr System mit Aufräum-Tools zerschossen haben. Nur hat Windows keine so komfortablen Möglichkeiten der Systemwiederherstellung, dort ist es mit wesentlich mehr Arbeit verbunden.

 

[pepi]

[…]Gestern O-Ton bei einem Geschäftspartner: "Was ist das eigentlich immer für ein Anhang, den Du mitschickst? Ach, die komische Schleife neben der Büroklammer ist Dein Zertifikat? Nein, ich sehe doch an Deiner E-Mail Adresse, dass die E-Mail von Dir kommt..."

Selbstverständlich ein Irrtum Deines Geschäftspartners der auf mangelnder technischer Kenntnis beruht. Wichtig in diesem Fall ist es diese Leute aufzuklären was sie davon haben, daß Du Deine Mails signierst!

In dem Fall funktioniert das Beispiel mit gefälschten Absendern bei Spam wahrscheinlich recht gut. Also gut im Sinne von für den Betroffenen leicht verständlich und nachvollziehbar.

Jeder der eine Mailadresse verwendet hat schon mindestens einmal Spam bekommen. Das nehme ich mal als gegeben an. Es wird auch schon des öfteren vorgekommen sein, daß man ein Mail vom "Mailer-daemon" bekommen hat über ein nicht-zustellbares Email welches man garnicht selbst geschickt hat. Dabei wurde die eigene Mailadresse als gefälschter Absender verwendet. Somit kann man sich also rein durch die Absender Adresse nicht darauf verlassen, daß dieses Mail tatsächlich von der angenommenen Person gesendet wurde.

Generell wäre es wohl einfach Spammer zu erwischen, wenn die Absendeadressen tatsächlich die echten Mailadressen dieser Personen wären. Spätestens hier sollte es bei den meisten Leuten einigermaßen klingeln.

Auch als Erklärung geeignet ist die Verwendung eines Kontaktformulares. Dort muß man üblicherweise auch eine Mailadresse angeben und die kontaktierte Person bekommt ein Email dessen Absender diese Mailadresse enthält, damit man einfach drauf antworten kann. Diese Person hat jedoch nur ein Formular auf einer Webseite ausgefüllt und nicht selbst tatsächlich ein Email gesendet. Ich könnte jede beliebige Mailadresse dort angeben. Vielleicht hat Dein Geschäftspartner sogar selbst so ein Formular auf der eigenen Webseite. In dem Fall sollte der das dann doch problemlos verstehen!


Was man in dem Fall positiv erwähnen muß ist die Tatsache, daß Dein Geschäftspartner nicht nur bemerkt hat, daß da bei Deinen Mails etwas dabei ist was andere nicht haben, sondern auch, daß er danach gefragt hat! Das ist schon ein guter Schritt in Richtung Verständnis.


Die angeführten Beispiele sollen helfen, in ähnlichen Situationen ein wenig hilfreich Argumentieren zu können und Wissen zu vermitteln. Diese Beispiele haben sich bei mir in den letzten Jahren bewährt und waren für die meisten Leute ausreichend anschaulich um zu verstehen worum es dabei geht.

Wie erklärt Ihr Leute die Euch danach fragen wie das mit den Signaturen so ist?
Gruß Pepi
PS: Ich freu mich, daß wir schon fast soviele abgegebene Stimmen haben wie letztes Jahr! Schaffen wir heuer 200? Oder gar mehr? Bitte abstimmen wer noch nicht hat! Danke

 

[Zeisel]

Selbstverständlich ein Irrtum Deines Geschäftspartners der auf mangelnder technischer Kenntnis beruht. Wichtig in diesem Fall ist es diese Leute aufzuklären was sie davon haben, daß Du Deine Mails signierst!

Oh, das habe ich gemacht, und es war sogar ein sehr schönes Beispiel, denn in der E-Mail, um die es ging, hatte ich ihm im Anhang 5 Visitenkarten mit Geschäftskontakten für Outlook geschickt. Da konnte ich ihm natürlich schön klar machen, dass er diese in diesem Fall bedenkenlos öffnen konnte - denn sowohl meine Identität als auch die Authentizität der E-Mail und der Anhänge waren ja gewährleistet. Andernfalls hätte sich auch ein dritter für mich ausgeben können und ihm einen Virus/Wurm/Trojaner unterjubeln können - denn schließlich hat er jede der angehängten Dateien geöffnet/ausgeführt.

Leider hat es - wie so oft - nur eine abwährende Handbewegung ausgelöst, was denn so etwas solle, das [signieren] mache doch keiner, auch wäre ihm das zu aufwendig etc.. Sein Rechner wäre schon sicher.

Viele Leute, die ich kenne, sind ja schon froh wenn sie ihren Rechner einigermaßen benutzen können, sie wissen kaum, wie man ein E-Mail Anhang öffnet und schon gar nicht wo er geblieben ist, nachdem man ihn gespeichert hat. Wie soll man da Aufklärung betreiben? Die ablehnende Haltung kommt aus dem nicht verstehen.

E-Mail, Verschlüsselung/Signatur und überhaupt der Umgang mit den neuen Medien gehört meiner Meinung nach heute genauso in den Schulunterricht wie das Lernen von Maschinenschreiben - und zwar prüfungsrelevant. Genügend junge Lehrer, die sich auskennen, gibt es ja, ich bin allerdings gegen eine zwangsweise Fortbildung, es braucht schließlich Pädagogen, die das Wissen am Ende überzeugend und kompetent rüberbringen.

 

[pepi]

[…]im Anhang 5 Visitenkarten mit Geschäftskontakten für Outlook geschickt. Da konnte ich ihm natürlich schön klar machen, dass er diese in diesem Fall bedenkenlos öffnen konnte - denn sowohl meine Identität als auch die Authentizität der E-Mail und der Anhänge waren ja gewährleistet.[…]

Nicht nur die Authentizität sondern auch die Integrität der Nachricht ist in diesem Fall gewährleistet (vorausgesetzt die Signatur konnte erfolgreich als korrekt überprüft werden).

Integrität bedeutet, daß der Inhalt der Nachricht ident ist mit dem, den der Absender abgesendet hat. Die Nachricht wurde in dem Fall also nachweislich während des Transportes nicht verändert.

Die Integrität ist bei Attachments besonders wichtig, unabhängig davon ob es sich um eine Rechnung, ein Angebot, ein Programm, oder einfach nur ein lustiges Bildchen handelt. Dies trifft natürlich auf den Text Inhalt eines Emails ebenso zu!


Die Reaktion Deines Geschäftspartners habe ich auch schon erlebt. Es ist oft wirklich erschreckend wie ahnungslos und naiv gutgläubig manche Menschen im Leben Internet unterwegs sind.

Man kann nur weiter versuchen diese Leute mit der Realität zu konfrontieren und aufzuklären soviel als möglich. Die Threads hier im Forum haben ja auch schon erfolgreich zum besseren Verständnis beigetragen und Leute dazu animiert sich mit der Thematik zu beschäftigen. Je mehr Leute dann mitmachen umso eher kann man auch völlig ahnungslose ungläubige Personen überzeugen.
Gruß Pepi (Trendsetter)

 

[da_jones]

Tutorial zu S/MIME

Da auch in meinem Freundes-/ Bekanntenkreis das Interesse an Mail-Verschlüsselung wächst und es mir manchmal schwerfällt, die Einrichtung kurz und prägnant in Worte zu fassen, dachte ich mir, ein Screencast würde die Aufgabe wesentlich verständlicher erfüllen.

Wie gut, dass ich gestern einen freien Samstag Nachmittag hatte und *Tadaa!* hier findet sich das Ergebnis:
e-Mails verschlüsseln mit S/MIME on vimeo

Konstruktive Kommentare sind erwünscht. Falls etwas nicht ganz verständlich sein sollte, kann ich das nochmal abändern und erneut online stellen.

BTW: Bietet AT eine Möglichkeit, Videos von vimeo so wie bei YouTube einzubinden?

 

[Zeisel]

BTW: Bietet AT eine Möglichkeit, Videos von vimeo so wie bei YouTube einzubinden?

Einfach die Nummer des Videos nach Klicken auf das Symbol in den BB-Code kopieren:

Zum Beispiel: [noparse][YT]Ou0pJgPQPLk[/YT][/noparse]
Und so sieht das Ergebnis dann aus:

[YT]Ou0pJgPQPLk[/YT]​

 

[j@n]

BTW: Bietet AT eine Möglichkeit, Videos von vimeo so wie bei YouTube einzubinden?

Nein, biete AT nicht.

@Zeisel: Vimeo! Nicht YouTube! Das ist ja fast schon zum Reflex geworden, dass man mit Yt-Tags wirft, sobald jemand „Video“ und „einbetten“ sagt. :-D

 

[nggalai]

Woohoo! Meine GmbH (also die, wo ich Gesellschafter aber nicht angestellt bin) setzt auch endlich S/MIME ein!

Das hat ja gedauert. Ich hab den CEO sicher schon die letzten zwei, drei Jahre deswegen genervt. Und heute kam völlig überraschend ein Bericht rein, und tatsächlich: Signiert.

Also: Laßt Euch bei der Überzeugungsarbeit gerne etwas Zeit. Es kann funktionieren.

Cheers,
-Sascha

 

[gugucom]

Ich habe lange nach einer praktischen email Lösung gesucht, die ich in Vista und OS X einsetzen kann und habe dann von einem befeundeten ITler Thunderbird empfohlen bekommen.

Ich habe mit seiner Hilfe auch gleich GnuPG installiert. Allerdings habe ich bisher nur mit ihm verschlüsselt kommuniziert. Mir gefällt Thunderbird recht gut und ich kann damit alles machen was ich will. Der Import meines Schlüssels von OS X nach Vista war etwas holprig und hat Hilfe benötigt, aber das kann ich beim nächsten Mal auch.

Ich hoffe, dass es keine Schwierigkeiten bei Updates gibt. Ich möchte eine einfache Lösung, die sehr bedienfreundlich ist.

 

[siaccarino]

Da es noch keinen allgemein anerkannten und allseits unterstützten Standard gibt, sehe ich keinen Sinn in der Mail Verschlüsselung und Signatur, ich kann mir ja nie sicher sein, dass mein Gegenüber was damit anfangen kann.
Darum läuft bei mir geschützte Kommunikation nur über andere Kanäle. Mails sind für mich wie Postkarten.

 

[Zeisel]

Da es noch keinen allgemein anerkannten und allseits unterstützten Standard gibt, sehe ich keinen Sinn in der Mail Verschlüsselung und Signatur, ...

Dem kann ich nicht folgen. Der Sinn von E-Mail Signatur und Verschlüsselung hängt doch nicht ab vom Standard und der Implementation in den einzelnen E-Mail Programmen. Das widerspricht also Deiner oben gemachten Aussage, zumindest teilweise. Ich gebe zu, dass es an einigen Stellen noch ein wenig hakt. Am meisten hakt es jedoch an der Unaufgeklärtheit und Gleichgültigkeit (beides resultiert auseinander) der Anwender.

Eher ist es doch so, dass E-Mail Verschlüsselung Sinn macht und daher standardisiert und in die Programme implementiert werden sollte. Daher ist es wichtig, dies anwenderseitig zu fordern und wo immer es möglich ist zu nutzen.

S/MIME ist in den großen Programmen (Outlook, Outlook Express, Thunderbird, Mail, sicher noch einigen anderen) standardmäßig enthalten. Inklusive der wichtigsten Zertifikate.

GnuPG verfolgt einen anderen Ansatz (Open Source) und muss daher als Plugin extra installiert werden. Das hat Vor und Nachteile (auf die ich aus Zeitgründen hier jetzt nicht eingehen kann).

 

[pepi]

Da es noch keinen allgemein anerkannten und allseits unterstützten Standard gibt, sehe ich keinen Sinn in der Mail Verschlüsselung und Signatur, ich kann mir ja nie sicher sein, dass mein Gegenüber was damit anfangen kann.
Darum läuft bei mir geschützte Kommunikation nur über andere Kanäle. Mails sind für mich wie Postkarten.

Nimms bitte nicht persönlich, aber gestatte mir die Frage unter welchem Stein Du die letzten Jahre geschlafen hast? Hast Du die Vorgängerthreads zu diesem hier ansatzweise gelesen? (Sind in meiner Signatur verlinkt.)


S/MIME ist ein IETF Standard der in den RFCs 1847, 3850, 3851 und 3852 definiert ist.

OpenPGP ist ebenfalls ein Standard und wird in RFC 4880 und PGP/MIME wird in RFC 3156. Das OpenPGP Message Format wird in RFC 2440 beschrieben.

Damit dürfte wohl absolut klar sein, daß es allgemein anerkannte und allseits unterstützte Standards für die Verschlüsselung und digitale Signierung von Emails gibt.


S/MIME wird dabei von allen aktuellen Betriebssystemen out-of-the-box unterstützt. Dies betrifft Mac OS X seit 10.3 (Panther), Windows 2000 und höher (also XP, 2003, Vista und Se7en) sowie sämtliche Linux und BSD Versionen wie beispielsweise Ubuntu, Debian, Fedora (RedHat), FreeBSD, OpenBSD oder NetBSD.

Für PGP gibt es für sämtliche Platformen Plug-Ins für quasi jedes Mailprogramm mit dem man auch diesen Standard unterstützen kann. Serienmäßig kommen nur manche Linux Systeme mit PGP unterstützung daher. Dies ist aber durch die simple Installation eines Packets jederzeit völlig problemlos nachrüstbar.

Von Christian Kirsch gibt es einen recht guten Artikel mit dem Titel S/MIME vs. OpenPGP: Eine Entscheidungshilfe. Diesen kann ich Dir durchaus ans Herz legen.


Der Sinn hinter all dem ist, daß unverschlüsselte und unsignierte Emails eben tatsächlich Postkarten sind! Deswegen setzt man diese Techniken ein um aus der Postkarte einen geschützten Brief zu machen. (Auch wenn der Vergleich aus technischer Sicht einigermaßen hinkt.)

@siaccarino
Bitte aktualisiere Deinen Wissensstand zu dem Thema! Dieser Thread hier ist explizit dazu gedacht um Aufzuklären, zu ermutigen und Antworten auf Fragen zu geben die im Zusammenhang mit Verschlüsselung und Signaturen sowie Privatsphäre von Emails auftreten!
Gruß Pepi

 

[drok]

Ich hab da mal eine Frage:

Bei dem Versuch bei einem Freund S/MIME-Verschlüsselung via thawte-Zertifikat unter Windows Vista und Thunderbird einzurichten, scheitere ich immer an der gleichen Stelle. Das fetched certificate ist eine pkcs7-Datei. Sowohl Thunderbird, als auch das Vista-eigene Mailprogramm wollen aber für den Import eine pkcs12-Datei haben.

Wie kriege ich nun das Zertifikat ins Mailprogramm? Mir fehlt echt jeder Anhaltspunkt… (und unter OS X ist es sooo schön einfach )

Ich möchte meine "Aufklärungsarbeit" nicht an solchen Sachen scheitern lassen. Daher schonmal vielen Dank im Voraus für jede Hilfe!

Gruß, da_jones

Ich stehe vor dem selben Problem. Hat jemand eine Lösung ?

 

[Fard Dwalling]

Da hänge ich mich mal mit dran. Habe es nämlich auch nicht geschafft. Ich habe es mit 3 Browsern versucht: IE 7/8, Firefox 3, Safari 3.
Bei mir ging es aber um mein eigenes Zertifikat welches ich unter MacOS X / Safari bei Thawte erstellt hatte.
Letztendlich habe ich mir mein Zertifikat aus dem MacOS X Schlüsselbund exportiert...

Gruß

 

[j@n]

Ein kleines Statement, das vielleicht besser auf eine Thawte-Seite passen würde, möchte ich hier noch verlauten lassen:
Ich werde dem Anbieter Thawte den Rücken kehren, da ich auf KEINE meiner >15 Anfragen an verschiedene Berliner Web-of-Trust-Notare irgendeine Antwort erhalten habe. Das ist wie ein Forum ohne User - wenn keiner mitmacht, ist es ziemlich nutzlos!
Bin bitter enttäuscht von dieser Art Community.

PGP ich komme - oder gibt es andere akzeptable S/MIME-Anbieter? …

 

[da_jones]

Das tut mir Leid für dich, j@n. Ich hatte keinerlei Probleme, Kontakt zu den thawte-Notaren aufzunehmen. Innerhalb von zwei Tagen hatte ich meine Beglaubigung. Es kann halt so und so kommen…