Feature Anleitung: E-Mail verschlüsseln auf Mac und iOS

Ozelot

deaktivierter Benutzer
Registriert
02.09.09
Beiträge
5.744
Was mich noch interessiert.

Kann man der MailApp vertrauen, was wird, unabhängig vom Mail-Dienst-Provider, nach Hause gefunkt?

Es wäre überhaupt mal interessant, was die ganzen Systemdienste wollen, die man bei LittleSnitch nach Hause funken sieht.
 

Mitglied 129448

Gast
Wenn Du Mail nicht trauen kannst bzw. willst, dann kannst Du dem gesamten OS nicht trauen. Das Apple mehr oder weniger Zugriff auf alles hat ist ja bekannt. Was das OS und seine Anwendungen im einzelnen übertragen wird man im Leben nicht selbst herausfiltern können. Selbst wenn Du für Wireshark den "Matrix-Blick" entwickelst. ;)
Spätestens wenn Du angemeldet bist und die Daten on-the-fly ver- und entschlüsselt werden ist die Verschlüsselung hinfällig, sobald jemand Zugriff auf ein Systemkonto hat.

Ohnehin: Passend zu dem Thema wäre eher die Frage "Welchen CA kann man wirklich trauen?"! Aber das führt dann wieder zu weit. ;)
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Ich finde vor allem, dass es nicht nur komplizierter, sondern auch relativ sinnlos wird. Ich hatte eine Zeit lang ein Zertifikat von StartSSL, dessen Root-Zertifikat ja auch nicht überall vorhanden ist.
Ich sage es mal so, nicht falsch verstehen, wer auf Kostenlos setzt, kann solche "Wunder" erleben. Auch das kostenlose E-Mail-Zertifikat von Comodo ist sicher nicht mehr als eine Werbemaßnahme.

Gültige und verlässliche Zertifikate für alle Zwecke gibt es halt nur gegen Kohle. :) Im geschäftlichen Umfeld würde man vermutlich eh auf eine bezahlte Lösung setzen.
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Wenn Du Mail nicht trauen kannst bzw. willst, dann kannst Du dem gesamten OS nicht trauen.

Es gibt Möglichkeiten, ein vertrauensvolles OS zu betreiben, aber das würde hier jeden Rahmen sprengen und hat dann auch nichts mehr mit Benutzfreundlichkeit und einfacher Installation zu tun. ;)
 
  • Like
Reaktionen: Mitglied 129448

Mitglied 129448

Gast
Da hast Du Recht. Sicherheit geht halt auch immer auf Kosten des Komforts bei der Nutzung und irgendwo beginnt der Bereich in dem es für Nicht-Terroristen (sofern es die laut NSA und BKA überhaupt gibt) einfach nicht mehr praktikabel ist. :)

Für Interessierte empfiehlt sich aber auch ein Blick auf folgendes Projekt: https://prism-break.org/de/
 

Ozelot

deaktivierter Benutzer
Registriert
02.09.09
Beiträge
5.744
Die Frage ist noch, was mich interessiert.

Kann man der MailApp vertrauen, was wird, unabhängig vom Mail-Dienst-Provider, nach Hause gefunkt?

Es wäre überhaupt mal interessant, was die ganzen Systemdienste wollen, die man bei LittleSnitch nach Hause funken sieht.
Wenn Du Mail nicht trauen kannst bzw. willst, dann kannst Du dem gesamten OS nicht trauen. Das Apple mehr oder weniger Zugriff auf alles hat ist ja bekannt. Was das OS und seine Anwendungen im einzelnen übertragen wird man im Leben nicht selbst herausfiltern können. Selbst wenn Du für Wireshark den "Matrix-Blick" entwickelst. ;)
Spätestens wenn Du angemeldet bist und die Daten on-the-fly ver- und entschlüsselt werden ist die Verschlüsselung hinfällig, sobald jemand Zugriff auf ein Systemkonto hat.

Ohnehin: Passend zu dem Thema wäre eher die Frage "Welchen CA kann man wirklich trauen?"! Aber das führt dann wieder zu weit. ;)

Ja, das hast du nicht Unrecht mit. Leider ist das wohl so.

Was meinst du mit CA?
 

Mitglied 129448

Gast
CA steht für "certificate authority" also die Zertifizierungsstelle deiner Zertifikate. Wie vertraulich behandelt diese deine Daten bzw. wie sind diese gegen einen Einbruch gesichert.
 

bruni

Boskoop
Registriert
04.11.11
Beiträge
40
So, ich habe mich nochmals etwas dahintergeklemmt.
Ich konnte das Zertifikat nicht nach ".p12" exportieren und auch in "Meine Zertifikate" wurde es nicht angezeigt.
Nach den Screenshots von @Michael Reimann habe ich festgestellt, dass sein Zertifikat im Schlüsselbund "Anmelung" abgelegt wurde, meines aber im "System".
Nach dem manuellen Verschieben in den Schlüsselbund System, ist mein Zertifikat jetzt auch unter "Meine Zertifikate" verfügbar, beim erstellen einer neuen e-Mail kann ich die Signatur auch aktivieren und das exportieren nach ".p12" ist nun auch möglich!
 

rana70

Rheinischer Krummstiel
Registriert
31.07.11
Beiträge
381
Warum wird das Zertifikat von Comodo im iOS als "Nicht Vertrauenswürdig" angezeigt ?
 

bruni

Boskoop
Registriert
04.11.11
Beiträge
40
Das ist bei mir auch so, allerdings nur bei den Einstellungen -> Allgemein -> Profile. Wenn ich unter den Erweiterten E-Mail Einstellungen meines Accounts nachschaue, wird das Zertifikat als vertrauenswürdig eingestuft.
 

ArchiPhil

Wohlschmecker aus Vierlanden
Registriert
11.03.06
Beiträge
239
moin,

den artikel habe ich mit großem interesse gelesen, sehr gut zusammengetragen!
ich habe nun nicht alle kommentare studiert, beim überfliegen habe ich aber zu folgendem aspekt nichts gefunden.

es wird beschrieben das die zertifikate eine laufzeit von üblicherweise einem jahr haben. mit dem neuen zertifikat dann aber die alten mails nicht mehr gelesen werden können. klingt erstmal logisch. aber:
- was ist mit mails im backup? und was mache ich wenn z.b. mein rechner defekt ist oder gestohlen wurde und ich nicht mehr an meine zertifikate rankomme? kann ich die auch sichern und dann auf jedem beliebigen rechner einspielen?
- heißt das auch, dass ich vom ersten tag an alle meine zertifikate die ich jemals hatte aufheben und auf einem neuen rechner auch einspielen muss? ich denke jetzt eher an laufzeiten von z.b. 20 jahren. denn diesen aufwand würde ich ja nur für mails betreiben die auch wirklich wichtig sind und somit auch sehr lange aufgehoben werden (insbesondere im geschäftlichen umfeld).

grüße,
ArchiPhil
 

Oolong

Gala
Registriert
25.09.13
Beiträge
53
Typisch Apple. Kaum verwendet man Umlaute im Kennwort, schon kann man den privaten Schlüssel nicht mehr einlesen. Verwendet man ein Zertifikat für Gmail, das die iCloud-Adresse enthält, wird in iOS-Mail der Absender falsch angezeigt. Es wird aber an den richtigen geantwortet, na wenigstens das.
 

Ragnir

Adams Parmäne
Registriert
18.10.08
Beiträge
1.320
Erst einmal vielen Dank an Michael für die Anleitung. :)

Dass S/MIME und GPG nebeneinander existieren können, ist schön.

ABER: Kann man denn irgendwie S/MIME als Standard einstellen? Momentan wird mir immer nur GPG angeboten und ich muss manuell auf S/MIME umstellen. Leider habe ich keinerlei Option in den Einstellungen gefunden und auf Dauer wird das so schon nervig. :(
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
es wird beschrieben das die zertifikate eine laufzeit von üblicherweise einem jahr haben. mit dem neuen zertifikat dann aber die alten mails nicht mehr gelesen werden können. klingt erstmal logisch. aber:
- was ist mit mails im backup? und was mache ich wenn z.b. mein rechner defekt ist oder gestohlen wurde und ich nicht mehr an meine zertifikate rankomme? kann ich die auch sichern und dann auf jedem beliebigen rechner einspielen?

Ja, das sollte gehen. Ich habe mein Zertifikat auch auf meinem iMac und meinem MBA. Comodo weißt einen sogar explizit darauf hin, dass man die Zertifikate sichern soll. Meines Wissens nach wird das auch bei einem Time Machine-Backup mit gesichert.

- heißt das auch, dass ich vom ersten tag an alle meine zertifikate die ich jemals hatte aufheben und auf einem neuen rechner auch einspielen muss? ich denke jetzt eher an laufzeiten von z.b. 20 jahren. denn diesen aufwand würde ich ja nur für mails betreiben die auch wirklich wichtig sind und somit auch sehr lange aufgehoben werden (insbesondere im geschäftlichen Umfeld).

Ja, das habe ich so verstanden. Also alle, auch die abgelaufenen, Zertifikate aufheben. Wenn Du mal in der Schlüsselbundverwaltung schaust, sind da ganz viele abgelaufene Zertifikate, auch von Apple.
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
So, ich habe mich nochmals etwas dahintergeklemmt.
Ich konnte das Zertifikat nicht nach ".p12" exportieren und auch in "Meine Zertifikate" wurde es nicht angezeigt.
Nach den Screenshots von @Michael Reimann habe ich festgestellt, dass sein Zertifikat im Schlüsselbund "Anmelung" abgelegt wurde, meines aber im "System".
Nach dem manuellen Verschieben in den Schlüsselbund System, ist mein Zertifikat jetzt auch unter "Meine Zertifikate" verfügbar, beim erstellen einer neuen e-Mail kann ich die Signatur auch aktivieren und das exportieren nach ".p12" ist nun auch möglich!

Guter Hinweis, ich habe den Artikel dahingehend angepasst. :)
 

Mitglied 128076

Gast
So, ich habe mich nochmals etwas dahintergeklemmt.
Ich konnte das Zertifikat nicht nach ".p12" exportieren und auch in "Meine Zertifikate" wurde es nicht angezeigt.
Nach den Screenshots von @Michael Reimann habe ich festgestellt, dass sein Zertifikat im Schlüsselbund "Anmelung" abgelegt wurde, meines aber im "System".
Nach dem manuellen Verschieben in den Schlüsselbund System, ist mein Zertifikat jetzt auch unter "Meine Zertifikate" verfügbar, beim erstellen einer neuen e-Mail kann ich die Signatur auch aktivieren und das exportieren nach ".p12" ist nun auch möglich!


Guter Hinweis, ich habe den Artikel dahingehend angepasst. :)
Ja, DAS hatte ich auch nicht probiert, da die Rede von "Anmeldung" war :)
Ein Danke und gefällt mir für den "Mut" das so zu probieren.
 

Reservist

Stahls Winterprinz
Registriert
26.10.10
Beiträge
5.128
Erst einmal vielen Dank an Michael für die Anleitung. :)

Dass S/MIME und GPG nebeneinander existieren können, ist schön.

ABER: Kann man denn irgendwie S/MIME als Standard einstellen? Momentan wird mir immer nur GPG angeboten und ich muss manuell auf S/MIME umstellen. Leider habe ich keinerlei Option in den Einstellungen gefunden und auf Dauer wird das so schon nervig. :(

Geht mit einem Befehl im Terminal. Musst du mal nach googlen
 
  • Like
Reaktionen: Ragnir

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Habe ich auch gedacht, aber nix gefunden! Muss mal in den Defaults zu Mail gucken! Irgendwie muss das gehen. :)

Wer GPG-Tools installiert hat, kann hier nachlesen wie man den Default auf S/MIME setzt! http://support.gpgtools.org/kb/faq-gpgmail/gpgmail-2-hidden-settings

Edit: Konkret ist es dieser Befehl:
Code:
defaults write org.gpgtools.gpgmail DefaultSecurityMethod -int 2
Er funktioniert aber nur, wenn die GPG-Tools installiert wurden. (Eine Installation reicht, es muss nichts weiter eingerichtet werden, wenn man nur S/MIME verwenden will.)

Sent from my iPhone using Apfeltalk mobile app
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Ragnir