Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2010)

[bluejay]

Neue - und zumindest für mich unerklärliche - Neuigkeiten zu meinem TC-Signaturproblem:
Ich habe jetzt mal von meinem Nebenrechner eine E-Mail signiert und eine E-Mail signiert UND verschlüsselt gesendet. Ergebnis auf dem Hauptrechner: die signierte E-Mail kommt, wie gewohnt mit der Fehlermeldung bzw. Warnung „Die E-Mail-Signatur konnte nicht überprüft werden.“ an, wohingegen die signierte UND verschlüsselte E-Mail vollkommen normal signiert und entschlüsselbar dort ankommt.
Findet dazu jemand eine Erklärung? Also ich nicht, bin ziemlich ratlos. (Mail.app v4.2 (1077), OSX 10.6.2 (Build 10C540))

 

[Silentgun]

Hallo

bin auch an einer Verschlüsselung interessiert. Habe meinen ersten Apple erst seit kurzer Zeit und würde gerne wissen, welche Verschlüsselungstechnik ich auf dem Apple-System einsetzen kann?

Danke

Silentgun

 

[Hairy]

Hallo

bin auch an einer Verschlüsselung interessiert. Habe meinen ersten Apple erst seit kurzer Zeit und würde gerne wissen, welche Verschlüsselungstechnik ich auf dem Apple-System einsetzen kann?

Danke

Silentgun

Das Apple-Mailprogramm in OS X unterstützt von Haus aus S/MIME.

 

[bluejay]

… welche Verschlüsselungstechnik ich auf dem Apple-System einsetzen kann?

Danke

Silentgun

Für den Verschlüsselungseinstieg auf dem Mac ist momentan (leider) nicht zu GPG/PGP zu raten, da die Unterstützung eher rudimentär und das Handling nicht gerade Apple-like ist.
Wie Hairy schon schreibt, solltest Du Dir für E-Mail-Verschlüsselung S/MIME mal genauer ansehen.
Im Moment bieten sich da in erster Linie zwei (kostenlose) Class-1-Alternativen an:

• TC Trustcenter: TC Internet ID - Gültigkeit 1 Jahr, E-Mail-Information vor Ablauf der Gültigkeit
• CACert: E-Mail-Zertifikat - Gültigkeit 6 Monate bis 2 Jahre, Web of Trust (WoT)

Vorteil TC Trustcenter: Die Rootzertifikate sind auf vielen Systemen bereits vorinstalliert.
Bei CACert mußt Du erst das Rootzertifikat auf dem Mac installieren.

Das Beantragen der Zertifikate ist bei beiden Anbietern eigentlich gut gelöst und schnell und einfach bewerkstelligt. Die heruntergeladenen Zertifikate werden einfach per Doppelklick in den Schlüsselbund (/Programme/Dienstprogramme/Schlüsselbundverwaltung) installiert. Mail.app muß anschließend neu gestartet werden.

 

[Silentgun]

@Hairy
@bluejay

vielen Dank. Werde mich mal damit beschäftigen.


Silentgun

 

[(mac)opf3r]

Ich benutzet schon seit 3 Jahren PGP, leider nur mit einem kleinen TEil meines Bekanntenkreises (die ganzen Linuxleute halt), aber das ist immerhin besser als nichts. Mein S/MIME-Zertifikat ist leider abgelaufen und ich kann es nicht erneuern weil Thawte(ich glaub die hießen so?) das ja leider nicht mehr anbietet.
Sicherheit bei Mails wird leider immernoch völlig vernachlässigt, auch in großen Konzernen, nicht nur beim Privatanwender.

 

[bluejay]

… Mein S/MIME-Zertifikat ist leider abgelaufen und ich kann es nicht erneuern weil Thawte(ich glaub die hießen so?) das ja leider nicht mehr anbietet. …

Dann sieh Dir doch mal die hier schon mehrfach erwähnten Alternativangebote von TC und/oder CACert an. Vielleicht ist ja was für Dich dabei.

 

[(mac)opf3r]

solange es kostenlos ist

 

[stonie10]

Habe auch lange zeit S/MIME von Thawte genutzt, allerdings immer nur zum Signieren - außer mir nutzt in meinem gesamten Adressbuch kein Mensch E-Mail-Verschlüsselung. Nun, da Thawte keine kostenlosen Zertifikate ausstellt, ist die Sache für mich vorerst gestorben.
PGP/GPG ist einfach viel zu kompliziert für den Otto-Normal-User - Zertifikate sind verglichen damit ja noch recht human. Nichtsdestotrotz ist es schwierig, andere davon zu überzeugen, sich eins zu erstellen.

Meiner Meinung nach sollten Firmen wie Apple und Microsoft in ihren E-Mail-Clients standardmäßig beim ersten Start eine Aufforderung anzeigen, sich solch ein Zertifikat zuzulegen; möglichst inklusive komplettem Klicki-Bunti-Assistent, sodass das wirklich jeder in einer Minute schafft.

Aber solange das nicht geschieht, keinem Benutzer direkter spürbarer Schaden durch die Nicht-Benutzung von E-Mail-Verschlüsselung entsteht, denke ich nicht, dass das in naher Zukunft breite Verbreitung finden wird. Leider.

 

[MaChris]

Ich verwende noch immer keine eMail-Verschlüsselung.
Die Gründe dafür sind bei mir ähnlich wie bei dem einen oder anderen Vorredner:

• Just zu dem Zeitpunkt, als ich mich aufraffen wollte, bei Thawte ein Zertifikat zu beantragen, hat man dort das Geschäftsmodell umgestellt und ist seither nichtmehr attraktiv (für mich).
• Wie auch bei Thawte ist aus meiner Sicht eine Zertifikatsaustellung rein auf die eMail-Adresse (kostenfrei bei TC-Trust (--> jetzt zu PGP gehörend) und CA-Cert) preislich interessant, in meinen Augen ist aber ein solches Zertifikat im praktischen Einsatz nicht viel wert, weil eine simple Attestierung, dass eine eMail signiert und unverändert übermittelt wurde, meinem Anspruch nicht genügt. Ich hätte schon auch gerne die Gewissheit, die eMail-Adresse auch wirklich zu dem Kommunikationspartner gehört, der vorgibt, dass es seine wäre.
  So gesehen wäre nur eine Business ID (Class 2 oder 3) in meinen Augen geeignet und die ist mir schlicht zu teuer.
• Wenn ich mit Firmen oder Shops über das Internet in Kontakt trete, finde ich mich mit dem Umstand konfrontiert, dass mein Gegenüber entweder gar keine Verschlüsselung unterstützt (... ausgesprochen hilfreich, falls man technischen Support z. B. beim Provider per Mail einholen möchte ...) oder die Kontaktaufnahme zwingend über ein Webform zu erfolgen hat.
• Ferner überzeugt mich PGP nicht so ganz (ich traue den Brüdern nicht so sehr) und GnuPG läuft aktuell unter Snow Leopard (noch) nicht.

Begeistern könnte ich mich jedoch (wieder) dafür, falls mal eine Bank selbst als Trustcenter auftritt. Die erforderlichen Daten lägen ohnehin vor, um die Person und eMail-Adresse zu überprüfen.

Ideal fände ich es auch, wenn man im Zuge der Beantragung des Personalausweises gleich auch ein Zertifikat erwerben könnte, mit einer analogen Gültigkeit von 6 bzw. 10 Jahren und einem Aufpreis von 5 EUR (für PA 8 EUR mit Zertifikat 5 EUR = 13 EUR).

 

[Zeisel]

Begeistern könnte ich mich jedoch (wieder) dafür, falls mal eine Bank selbst als Trustcenter auftritt. Die erforderlichen Daten lägen ohnehin vor, um die Person und eMail-Adresse zu überprüfen.

Den Banken traue ich das technisch auch eher zu als den Meldeämtern. Die Banken bieten Online-Service an und haben daher auch die Möglichkeit, über diese Seiten Zertifikate anzubieten. Sofern Kunden das nennenswert nachfragen, werden sie das sicher auch anbieten (Kundenwerbung/Kundenbindung).

Wenn ich mit Firmen oder Shops über das Internet in Kontakt trete, finde ich mich mit dem Umstand konfrontiert, dass mein Gegenüber entweder gar keine Verschlüsselung unterstützt (... ausgesprochen hilfreich, falls man technischen Support z. B. beim Provider per Mail einholen möchte ...) oder die Kontaktaufnahme zwingend über ein Webform zu erfolgen hat.

Die einzigen "Firmen", von denen ich signierte E-Mails bekomme, sind die Postbank (S/MIME, auch die Newsletter) und das buerger-cert (PGP SIGNATURE). Vielleicht wäre das mal ein eigenen Thread wert: Von welchen Firmen bekommst Du digital signierte E-Mails? Das werden sicher nicht viele sein.

Unwissenheit schützt vor Fälschung nicht... die digitale Signatur zum Standard zu machen würde das betrügerische Entlocken sensibler Daten (phishing) jedenfalls sehr erschweren. Die Polizei rät: "Vergewissern Sie sich, mit wem Sie es zu tun haben." und "Informieren Sie sich besser einmal mehr als einmal zu wenig über den Absender der E-Mail." Das ist mit einer digitalen Signatur so einfach...

 

[da_jones]

Ich stehe gerade vor einem Rätsel: Bei einem meiner Kontakte ist die Gültigkeit des S/MIME-Zertifikat abgelaufen. Wenn ich jetzt an diesen Kontakt eine Mail (mit Mail 4.2 unter 10.6.2) versende, kann ich diese trotzdem problemlos verschlüsseln (und diese auch entschlüsselt werden) ohne jede Fehlermeldung.

Geht doch irgendwie am Sinne des Erfinders vorbei?

besten Gruß,
jones

 

[bluejay]

… Vielleicht wäre das mal ein eigenen Thread wert: Von welchen Firmen bekommst Du digital signierte E-Mails? ...

Nur so eine Vermutung von mir: Das würde dann sicher ein sehr übersichtlicher Thread.

Ich persönlich kann mich nicht erinnern, jemals von einer Firma eine signierte E-Mail bekommen zu haben. Lediglich der Hinweis, sollte ich nicht der vom Absender beabsichtigte Empfänger der E-Mail sein, diese aus meinem Postfach und deren Inhalt aus meinem Hirn zu löschen, ist mir schon des öfteren untergekommen.

 

[Zeisel]

Ich stehe gerade vor einem Rätsel: Bei einem meiner Kontakte ist die Gültigkeit des S/MIME-Zertifikat abgelaufen. Wenn ich jetzt an diesen Kontakt eine Mail (mit Mail 4.2 unter 10.6.2) versende, kann ich diese trotzdem problemlos verschlüsseln (und diese auch entschlüsselt werden) ohne jede Fehlermeldung.

Warum soll der Schlüssel nicht mehr funktionieren nur weil das Zertifikat abgelaufen ist? Dein Kontakt wird seine E-Mails lediglich nicht mehr digital signieren können, solange er kein gültiges Zertifikat besitzt.

 

[da_jones]

Und ich dachte, diese Funktion würde automatisch gekappt werden. Mmh. Mein Fehler. Hab ich wieder was gelernt. Recht herzlichen Dank!

 

[Hairy]

Nur so eine Vermutung von mir: Das würde dann sicher ein sehr übersichtlicher Thread.

Ich persönlich kann mich nicht erinnern, jemals von einer Firma eine signierte E-Mail bekommen zu haben. Lediglich der Hinweis, sollte ich nicht der vom Absender beabsichtigte Empfänger der E-Mail sein, diese aus meinem Postfach und deren Inhalt aus meinem Hirn zu löschen, ist mir schon des öfteren untergekommen.

Soweit ich weiß kann man sich Online-Rechnungen der Telekom verschlüsselt per eMail schicken lassen.

 

[Zeisel]

Soweit ich weiß kann man sich Online-Rechnungen der Telekom verschlüsselt per eMail schicken lassen.

Nein, nicht die Rechnung, aber den EVN, dafür ist das sogar Bedingung (zumindest bei t-mobile). Dazu musst Du zuvor Deinen öffentlichen PGP-Schlüssel auf den Server der Telekom hoch laden. Meinen GnuPG-Schlüssel haben die allerdings nicht anerkannt, ich hatte auch keine Lust dort zu experimentieren. Ich lade mir meinen EVN immer von der Webseite herunter.

 

[bluejay]

Soweit ich weiß kann man sich Online-Rechnungen der Telekom verschlüsselt per eMail schicken lassen.

Wie Zeisel schon schreibt, es sind die EVN die verschlüsselt geliefert werden und nur die. Die Mail selbst ist weder verschlüsselt, noch signiert. Und GPG hat auch bei mir nicht funktioniert. Also hab ich' auch gelassen. Da halte ich es genauso wie Zeisel.

 

[MacAlzenau]

Wie schon bei etlichen Vorrednern: ich hatte mal ein Thawte-Zertifikat das ich immer seltener benutzt habe, weil viele Empfänger irritiert waren (ich habe halt viele Kontakte, die nicht mal meine Adresse vernünftig speichern können, sondern wenn sie mir was schreiben wollen, eine Uraltmail rauskramen und "beantworten") und das es jetzt ja nicht mehr gibt. Verschlüsselung.... nicht daß ich was dagegen hätte, aber was nützt sie, wenn dann keiner der Empfänger etwas damit anfangen könnte? Wobei bei GPG ja noch dazukommt, daß der Empfänger erst mal GPG einrichten müsste und mir seinen Schlüssel schicken.
Signierte Mails habe ich meines Wissens überhaupt noch nicht bekommen. Anfragen nach Verschlüsselung erst einmal, vor Kurzem - weshalb ich mich überhaupt wieder mal mit dem Thema befasse.
Da gäb's sicher noch viel zu tun.
Was die Vertraulichkeit angeht, hinkt der Vergleich mit der Postkarte schon ein klein bißchen. Wer die nötige Ausstattung hat, kann natürlich eMails in Massen mitlesen und filtern, aber man braucht eben eine gewisse Menge an Fähigkeiten. Die Postkarte liegt dagegen offen in den Händen von Leuten, die mich überwiegend kennen, da ist der Reiz doch viel höher, mal reinzulesen, als wenn vielleicht versehentlich eine wildfremde Mail eintrudelt. Na ja, Interesse mag vielleicht da sein, man kann aber wenig damit anfangen (ich gebe zu, wenn ich früher ziemlich regelmäßig fremde Faxe bekommen habe, weil Absender sich in einer Ziffer vertippt haben, hab ich meistens zumindest mal draufgeschaut).
Man bräuchte einfach einen bequemeren Weg, eine Möglichkeit, auch DAUs eine Verschlüsselung schmackhaft zu machen.

 

[MacAlzenau]

Im Moment bieten sich da in erster Linie zwei (kostenlose) Class-1-Alternativen an:

• TC Trustcenter: TC Internet ID - Gültigkeit 1 Jahr, E-Mail-Information vor Ablauf der Gültigkeit
• CACert: E-Mail-Zertifikat - Gültigkeit 6 Monate bis 2 Jahre, Web of Trust (WoT)

Strahlt diese Meldung wirklich Vertrauen aus? Wenn es um Zertifikate geht?

(Ist das eigentlich normal, daß diese schrottige Forumssoftware-Alphaversion nur Bilder akzeptiert, bei denen man die Extension explizit angibt?)