4. Verschlüsselt ihr eure E-Mails?

Verschlüsselt ihr eure E-Mails?

  • S

    scrub schrieb:

    Die Automation solcher Vorgänge widerspricht der Sicherheit. Natürlich sollte man es dem Benutzer überlassen, das selbst zu entscheiden.

    Also im Web funktionieren Zertifikate super... Wenn ich eine HTTPS Seite aufrufe macht sich der Browser alles mit dem Server aus, es sei denn der Browser kann nicht die echtheit des Servers garantieren.

    Wenn ich SFTP verwende, dann ist fuer mich als user zu FTP kein Unterschied da.

    Wenn ich mit IM Clients wie zB Trillian mit einem anderen Trillian Nutzer eine IM Session aufmache, wird automatisch eine verschluesselung gemacht.

    Unser Mailserver in der Firma, FirstClass, schickt alle Mails intern und an andere FirstClass Server nur verschluesselt. Ohne dass ich als User mich darum kuemmern muss.

    Und das geht bei Mails aus welchem Grund nicht?

    Sicherheit ist immer dann am besten garantiert, wenn sie implizit geschieht. Meine Kritikpunkte an Enigmail und Co sind erstmal grundlegend - ich bin sicher was die speziellen Features betrifft wie eben Mail Archivierung, Forwarding, etc. sieht es noch viel duesterer aus.

    Solange Sicherheitsmassnahmen nicht implizit vonstatten gehen, ist es fuer die breite Masse uninteressant. Beispiel FTP/SFTP. Kein User kennt den Unterschied, es ist ihm ja auch egal. Er will nur dumme Files raufladen oder runterladen. Wenn der Client automatisch versucht eine SFTP Verbindung aufzubauen wird der User immer SFTP nuetzen wenn es geht und ansonsten auf FTP zurueck fallen.

    Selbes bei Mails. Aber genau diese Diskussion zeigt genau woran es scheitert. Klar ist es sicherer wenn ich haendisch mir alle Schluessel besorge. Klar gibt es Schwachstellen wenn wenige zentrale Keyring Server habe.

    Aber der Punkt ist: es ist um Dimensionen sicherer als keine Verschluesselung. Und man kann diskutieren soviel man will: Otto Normal User interessiert sich nicht fuer Verschluesselung, er will einfach nur Mails versenden. Wozu ihn mit mehr infos belasten die er eh nicht hoeren will?

    Ich will keine Grundsatzdiskussion vom Zaun brechen, aber ich erlebe es fast taeglich wie schlimm die Usability von diversen Anwendungen ist. Deshalb auch der Ratschlag sich vorzustellen was meine Oma machen wuerde. Wuerde sie das mit den public/private Keys verstehen? Woher bekommt sie den Key von ihrem Nachbarn und wo steht eigentlich ihr Key damit sie den ihrem Nachbarn schicken kann. Und was macht sie nochmal eigentlich mit dem Key? Und wozu braucht sie das ueberhaupt?

    Klar kann man sagen, das erledigt alles ein EDV-Typ. Aber genau diese Argumentation ist eben falsch. Meine Oma hat naemlich keinen EDV Typen der ihr das einrichtet. Woher denn auch? Vielleicht der Nachbarsjunge? Aber ist der Nachbarsjunge wirklich der Typ der ihren private Key kennen sollte...?

    Das ist naemlich wieder ein enormes Problem: der der die Software einrichtet kennt den private Key. Furchtbar wenn ihr mich fragt...

    0
  • S

    Shade Of Mine schrieb:

    Also im Web funktionieren Zertifikate super... Wenn ich eine HTTPS Seite aufrufe macht sich der Browser alles mit dem Server aus, es sei denn der Browser kann nicht die echtheit des Servers garantieren.

    Ja, und wenn ich Mails verschicke, dann macht mein Client auch alles automatisch. Der Einrichtungsaufwand ist ein einmaliger Aufwand. Genau wie die Installation eines SSL-Zertifikats.

    Shade Of Mine schrieb:

    Und das geht bei Mails aus welchem Grund nicht?

    Es geht?!?

    Shade Of Mine schrieb:

    Klar kann man sagen, das erledigt alles ein EDV-Typ. Aber genau diese Argumentation ist eben falsch. Meine Oma hat naemlich keinen EDV Typen der ihr das einrichtet.

    Ja, das Argument wird aber auch erst mit Deiner Oma falsch. Mit meiner Antwort, in der ich das gesagt hatte, ging ich auf ein Szenario ein, in dem jemand in einer Firma arbeitet.

    0
  • ?

    Wenn man nur noch verschlüsselte Mailshaben will, kann man sich dann nur noch mit geeks unterhalten?

    0
  • ?

    Shade Of Mine schrieb:

    Also im Web funktionieren Zertifikate super... Wenn ich eine HTTPS Seite aufrufe macht sich der Browser alles mit dem Server aus, es sei denn der Browser kann nicht die echtheit des Servers garantieren.
    Wenn ich SFTP verwende, dann ist fuer mich als user zu FTP kein Unterschied da.
    Wenn ich mit IM Clients wie zB Trillian mit einem anderen Trillian Nutzer eine IM Session aufmache, wird automatisch eine verschluesselung gemacht.
    Und das geht bei Mails aus welchem Grund nicht?

    Bei HTTPS, SFTP und verschlüsseltem IM sind beide Partner gleichzeitig online, so dass die über das SSL Protokoll eine verschlüsselte Verbindung herstellen können. Bei E-Mail Verkehr sind beide Partner aber für gewöhnlich nicht gleichzeitig online, so dass die Schlüssel für die verschlüsselte Übertragung im Voraus bekannt sein müssen. Das heißt, man muss die Schlüssel des Partners zunächst bekommen. Dies kann nicht automatisch geschehen, da bei weiten nicht jeder diese seltsamen Key-Server benutzen. Und es dauert höchstens eine Minute per Mail nach dem Schlüssel zu fragen und es dauert auch nur eine Minute diesen zu installieren.

    0
  • R

    @Nobuo T.
    Das Problem ist eher, dass die Leute keine Ahnung haben. Schau doch wie die meisten Leute mit dem Thema Sicherheit umgehen.

    @Shade Of Mine.

    Deshalb auch der Ratschlag sich vorzustellen was meine Oma machen wuerde. Wuerde sie das mit den public/private Keys verstehen? Woher bekommt sie den Key von ihrem Nachbarn und wo steht eigentlich ihr Key damit sie den ihrem Nachbarn schicken kann. Und was macht sie nochmal eigentlich mit dem Key? Und wozu braucht sie das ueberhaupt?

    Meine Oma wäre sicher nicht in der Lage E-Mails zu versenden. Dabei ist es ganz egal, ob die E-Mail verschlüsselt sein sollte oder nicht. Software ist nicht intuitiv. Du glaubst nur, dass das was du kennst intuitiv sei. Aber das ist alles nicht intuitiv. Oder setz einmal jemand, der keine Erfahrung im Umgang mit Computern hat, vor einen Computer und bitte ihn diesen auszuschalten...

    Das Problem beim verschlüsseln ist eher, dass man auch ohne auskommt und das ohne auskommen doch ein hauch leichter ist als mit. Wäre Verschlüsselung ein Zwang, dann würdest du das vermutlich genauso intuitiv finden, wie den nicht intuitiven Weg, einen Computer zu beenden.

    Aber im Grunde ist es auch egal, da es hier nicht darum geht, dass deine Oma Verschlüsselung nutzt oder nicht. Es geht hier um die Mitglieder des Forums und hier ist wohl jeder in der Lage seine E-Mails zu verschlüsseln und das ohne nennenswerten Aufwand.

    0
  • ?

    rüdiger schrieb:

    Aber im Grunde ist es auch egal, da es hier nicht darum geht, dass deine Oma Verschlüsselung nutzt oder nicht. Es geht hier um die Mitglieder des Forums und hier ist wohl jeder in der Lage seine E-Mails zu verschlüsseln und das ohne nennenswerten Aufwand.

    also ich nicht

    0
  • ?

    Hallo

    rüdiger schrieb:

    Aber im Grunde ist es auch egal, da es hier nicht darum geht, dass deine Oma Verschlüsselung nutzt oder nicht. Es geht hier um die Mitglieder des Forums und hier ist wohl jeder in der Lage seine E-Mails zu verschlüsseln und das ohne nennenswerten Aufwand.

    Also ich habe bereits mit enigmail gearbeitet und fand es unpraktisch. Einfach zu aufwändig. Gibt es etwas ähnliches für Ootlook?

    chrische

    0
  • S

    rüdiger schrieb:

    Meine Oma wäre sicher nicht in der Lage E-Mails zu versenden.

    Interessant. Warum nicht?

    Das Problem beim verschlüsseln ist eher, dass man auch ohne auskommt und das ohne auskommen doch ein hauch leichter ist als mit. Wäre Verschlüsselung ein Zwang, dann würdest du das vermutlich genauso intuitiv finden, wie den nicht intuitiven Weg, einen Computer zu beenden.

    Und jetzt stell dir mal vor Verschlüsselung würde 100% automatisch laufen. Genauso wie HTTPS im Vergleich zu HTTP.

    Es geht hier um die Mitglieder des Forums und hier ist wohl jeder in der Lage seine E-Mails zu verschlüsseln und das ohne nennenswerten Aufwand.

    Themenverfehlung, IMHO.
    Denn das Problem ist, ich kann meine Mails verschlüsseln - aber das bringt mir nichts. Warum bringt es mir nichts? Weil keiner meiner Kontakte seine Mails verschlüsseln/entschlüsseln kann.

    @Jetzt verstanden?:
    Wozu gibt es diese Keyserver wenn man ihnen nicht vertraut.

    Genau das ist der Punkt. Solange diese Einstellung der Leute existiert, wird meine Oma nie Mails verschlüsseln. Und wenn meine Oma es nicht macht, dann macht es Niemand.

    Ich sehe es täglich in der Firma: den Leuten ist sowas total egal. Die wollen nur Mails verschicken. Dieser komplette Ansatz dass man für Sicherheit etwas tun muss, ist schwachsinn. Sobald ich etwas tun muss, vergesse ich es manchmal oder lass es weg weil ich zu faul bin.

    Ich könnte meinen Mitarbeitern nie und immer ein Plugin wie Enigmail andrehen. Es würde einfach nicht aktzeptiert werden und genauso geht es den meisten Usern. Indem man zentrale Keyserver nimmt und denen vertraut - löst man das Problem des Key-Besorgens. Das ist die größte Hürde. Wenn das automatisch geht - was technisch absolut kein Problem ist, dann kann man es Usern langsam vorsetzen. Wenn ich mehr Sicherheit will kann ich den Schlüssel immer noch händisch überprüfen - oder selbst eintragen. idR reicht aber der Keyserver komplett aus.

    Dann verschicke ich plötzlich alle Mails die ich verschlüsselt verschicken kann, verschlüsselt. Perfekt. Technisch kein Problem. Das Problem liegt in der Mentalität der Programmierer.

    Wie ihr hier ja wunderschön klar legt: der Key-Server ist eine Schwachstelle, eine winzig kleine aber er ist eine. Nur ist es absolut kein Risiko einen Key-Server zu verwenden für normale Mails die ansonsten ja unverschlüsselt übertragen worden wären. Selbst wenn die Mail abgefangen werden würde, wäre nicht mehr passiert als wenn ich sie unverschlüsselt verschickt hätte - es wäre dennoch wesentlich schwerer die Mail abzufangen. Für die Fälle wo man wirklich die Verschlüsselung braucht, kann man immer die Keys händisch checken. Aber in 99% der Fälle schicke ich nicht sensible Daten und da vertraue ich dem Keyserver mir den richtigen Key zu liefern.

    Wenn die Leute das mal begriffen haben, werden die Mail Clients diese funktionalität integrieren und kein User wird mehr unverschlüsselte Mails verschicken - und das ganze ohne die Awareness zu steigern oder den Usern irgendwas erklären zu müssen.

    Technisch das einzig fragliche sind Webmails. Das könnte man uU über Browser Plugins lösen. Hier gebe ich gerne zu, dass es technische Probleme gibt das System umzusetzen. Aber bei echten Mail Clients wäre es technisch kein Problem.

    0
  • ?

    Das komische ist doch, selbst wenn es vollautomatisch geht wie bei https, es wird einfach nicht verwendet. Jeder kann mitverfolgen, was ich bei Amazon in den Einkaufskorb lege. Selbst explizit https einzugeben hilft nicht.

    0
  • S

    Shade Of Mine schrieb:

    Für die Fälle wo man wirklich die Verschlüsselung braucht, kann man immer die Keys händisch checken. Aber in 99% der Fälle schicke ich nicht sensible Daten und da vertraue ich dem Keyserver mir den richtigen Key zu liefern.

    Hä? Wenn er den falschen Key liefert, wird der Empfänger die Mail nicht entschlüsseln können. Authentifizierung ist ein gesondertes Problem.

    0
  • V

    Shade Of Mine schrieb:

    rüdiger schrieb:

    Meine Oma wäre sicher nicht in der Lage E-Mails zu versenden.

    Interessant. Warum nicht?

    Das Problem beim verschlüsseln ist eher, dass man auch ohne auskommt und das ohne auskommen doch ein hauch leichter ist als mit. Wäre Verschlüsselung ein Zwang, dann würdest du das vermutlich genauso intuitiv finden, wie den nicht intuitiven Weg, einen Computer zu beenden.

    Und jetzt stell dir mal vor Verschlüsselung würde 100% automatisch laufen. Genauso wie HTTPS im Vergleich zu HTTP.

    Es geht hier um die Mitglieder des Forums und hier ist wohl jeder in der Lage seine E-Mails zu verschlüsseln und das ohne nennenswerten Aufwand.

    Themenverfehlung, IMHO.
    Denn das Problem ist, ich kann meine Mails verschlüsseln - aber das bringt mir nichts. Warum bringt es mir nichts? Weil keiner meiner Kontakte seine Mails verschlüsseln/entschlüsseln kann.

    @Jetzt verstanden?:
    Wozu gibt es diese Keyserver wenn man ihnen nicht vertraut.

    Genau das ist der Punkt. Solange diese Einstellung der Leute existiert, wird meine Oma nie Mails verschlüsseln. Und wenn meine Oma es nicht macht, dann macht es Niemand.

    Ich sehe es täglich in der Firma: den Leuten ist sowas total egal. Die wollen nur Mails verschicken. Dieser komplette Ansatz dass man für Sicherheit etwas tun muss, ist schwachsinn. Sobald ich etwas tun muss, vergesse ich es manchmal oder lass es weg weil ich zu faul bin.

    Merkwuerdig dass es Bereiche gibt, wo dieser Mehraufwand (Sicherheit ist
    nie kostenlos) niemanden stoert.

    Oder schnallst du dich beim Autofahren nicht an, weil diese Sicherheit einen
    minimalen aufwandt darstellt?

    Den ganzen Stress, den man beim Online-Banking mit den TAN's hat, scheint
    Millionen von Buergen nichts auszumachen. Sie sind bereit, diesen Aufwandt
    fuer die Sicherheit der Transaktion in kauf zu nehmen.

    Aber E-Mails stellen ploetzlich etwas voellig anderes dar, wo jeder minimale
    Aufwandt zuviel ist? Da stimmt irgendwo was nicht.

    gruss
    v R

    0
  • ?

    Hallo

    Naja der Unterschied besteht in der Konsequenz:

    Nicht anschnallen -> Todesgefahr , dazu ist es Pflicht
    OnlineBanking -> großer Geldverlust und es gibt keine Möglichkeit es anders zumachen

    Bei Mails besteht keine Lebensgefahr, es ist keine Pflicht und es gibt die Möglichkeit es ohne zu machen, also machen es fast alle ohne.

    Übrigens war die Anschnallpflicht ja auch nicht unumstritten.

    chrische

    0
  • T

    Beim Anschnallen ist der Gurt (quasi das Plugin) Dafür ja schon da und man muss sich nicht für jedes Auto einen neuen Key holen, bei dem man mitfährt. Außerdem ist es Pflicht.

    Beim OnlineBanking ist es ja quasi auch Pflicht, oder gibts eine PIN/TAN-lose alternative, die einfach zu bedienen ist? Man muss die TAN-Liste zwar immer wieder erneuern, aber ohne gehts eben nicht. Außerdem gehts da um Geld, da ist die Einstellung doch etwas anders.

    0
  • ?

    Shade Of Mine schrieb:

    @Jetzt verstanden?:
    Wozu gibt es diese Keyserver wenn man ihnen nicht vertraut.

    Gute Frage. Eigentlich Stromverschwendung, da man die Keyserver eh nur für Mails verwendet, die man sonst unverschlüsselt übertragen hätte.

    0
  • R

    Shade Of Mine schrieb:

    rüdiger schrieb:

    Meine Oma wäre sicher nicht in der Lage E-Mails zu versenden.

    Interessant. Warum nicht?

    Weil Software nicht intuitiv ist. 🙄

    Und du gehst hier auch die ganze Zeit nur von dem aus, was du kennst und meinst es sei intuitiv...‚

    0
  • J

    @rüdiger: hast du lust deine these mal zu begründen? oder irgendetwas anderes vorzustellen, das in deinem sinne intuitiv ist (sei darauf vorbereitet, dass ich direkt sage: "das ist nicht intuitiv, dir kommt's nur intuitiv vor weil du's kennst).

    0
  • ?

    Atmen ist intuitiv.

    0
  • ?

    Jester schrieb:

    (sei darauf vorbereitet, dass ich direkt sage: "das ist nicht intuitiv, dir kommt's nur intuitiv vor weil du's kennst).

    Jester hat ein " vergessen 😮 😮 😮

    0
  • J

    Das liefere ich dann ganz zum Schluß des Threads noch nach, dann kann ich behaupten ich hätte das alles schon vorher gesagt. 😉

    0
  • S

    rüdiger schrieb:

    Weil Software nicht intuitiv ist. 🙄

    Sie muss nicht intuitiv sein um leicht zu verwenden zu sein. Intuitiv ist so ein schwammiges Wort - was genau ist intuitiv? Viel besser ist der Ansatz: setz 100 User davor und schau nach wieviele auf Anhieb damit klar kommen.

    Der Trick ist den User zu fuehren - er soll sich nicht mit der Software beschaeftigen muessen. Viele Faktoren die frueher ein komplexer Punkt waren sind heute implizit in der Software enthalten.

    Beispiel Updates. Gute Software aktualisiert sich selber bzw. meldet das mit einem klick auf "Updaten" alle updates geladen werden koennen. Frueher waren Updates etwas furchtbares und sind es teilweise immer noch, weil die Programmierer zu faul sind Auto-Updates zu verwenden. Frueher konnte kein Otto Normal User ein Windows Service Pack installieren. Heute macht Windows das selbst. (selbiges gilt natuerlich fuer die meisten anderen Betriebssysteme).

    Beispiel HTML Mails. Frueher war es eine strikte Trennung zwischen HTML mails und plain text mails. Heute kann ein User nichtmal mehr erkennen ob es ein HTML Mail ist oder nicht - es interessiert ihn ja auch garnicht.

    In einem Buch dass ich vor Jahren mal gelesen habe, ging es darum dass Software wie ein Butler ist. Wuerde ich meinen Butler sagen: Ich habe den Public Key von Karl geholt, bitte schicke ihm diesen Brief mit diesem privaten Schluesseln verschluesselt? Oder wuerde ich eher sagen: schicke diesen Brief Karl.

    Ein Butler der diese Aktionen nicht selbststaendig ausfuehren kann, ist kein guter Butler. Das Problem ist naemlich: alle Aktionen werden unendlich komplex. Viele Sachen die wir heute nichtmal mehr Wahrnehmen weil sie einfach in die Software integriert ist waren frueher komplizierte Sachen. Wenn man fuer jede Aktion die die Software einem abnimmt einen klick machen muesste, waere Software heute nicht mehr bedienbar. Verschluesselung von Mails wird in spaetestens ein paar Jahrzehnten einfach nicht mehr wegzudenken sein und niemand wird mehr wissen _dass_ die Mails verschluesselt werden. Weil die Notwendigkeit nicht besteht. Genausowenig ist es interessant ob es eine HTML Mail ist oder ob der Anhang inline ist oder nicht.

    Den normalen User interessiert es einfach nicht. Das ist der Punkt. Software ist ein Butler - wenn ich meinem Butler sage "schicke einen Brief" und der Butler technisch in der lage ist den Brief zu verschluesseln dann soll er es auch machen aber mich bloss nicht nerven.

    virtuell Realisticer schrieb:

    Merkwuerdig dass es Bereiche gibt, wo dieser Mehraufwand (Sicherheit ist
    nie kostenlos) niemanden stoert.

    Sicherheit _kann_ kostenlos sein. Beispiel: Eine Tuer die automatisch schliesst wenn sie zufaellt. Super Sache das. Und ich sehe das ueberall im Einsatz. Weil es einfach sicherer ist als wenn ich immer zusperren muesste - weil das Niemand machen wuerde.

    Kostenlose Sicherheit.

    Andere Beispiele sind zB automatische Logouts/bzw. Bildschirmsperren. Kein Mensch logt sich aus wenn er mal kurz aufsteht, aber automatisch eine super Sache. Generell die ganzen Session Timeouts. Wunderbar. Kostenlose Sicherheit.

    Oder nicht direkt Sicherheit aber zB Papierkoerbe in Computern. Super Sache. 0 Aufwand fuer den User und der Papierkorb kann dynamisch die zu alten Dateien wegwerfen und dennoch eine starke Undo Funktion bieten.

    Sicherheit hat ihren Preis - das mag aus finanzieller Sicht stimmen aber aus zeitlicher Sicht ist es umgekehrt: Sicherheit die Zeit kostet ist keine Sicherheit. Denn frueher oder spaeter vergisst man mal darauf und/oder ist zu faul.

    Oder schnallst du dich beim Autofahren nicht an, weil diese Sicherheit einen
    minimalen aufwandt darstellt?

    Es gibt Leute die das nicht tun weil sie zu faul sind. Deshalb sind Gurte nicht ideal. Es gibt nichts besseres, aber nur weil es nichts besseres gibt, ist das bestehende nicht unbedingt gut.

    Viele Autos warnen deshalb auch wenn der Fahrer nicht angeschnallt ist. Aber schau dich mal um: wieviele Leute, vorallem auf den Ruecksitzen fahren unangeschnallt?

    Viel zu viele. Und warum? Weil sie denken der Gurt ist boese und beisst sie? Nein, sondern weil sie einfach zu faul sind und sich nicht fuer Sicherheit interessieren. (dass sie sich interessieren _sollten_ ist ein komplett anderes thema).

    Ich habe keine Statistik bei der Hand, aber wieviele Unfaelle koennten glimpflicher ausgehen wenn alle Leute angeschnallt waeren?

    Den ganzen Stress, den man beim Online-Banking mit den TAN's hat, scheint
    Millionen von Buergen nichts auszumachen. Sie sind bereit, diesen Aufwandt
    fuer die Sicherheit der Transaktion in kauf zu nehmen.

    Wiederum weil es nichts besseres gibt. Kreditkarten und Paypal sind deshalb auch weitaus beliebter und die Leute zahlen viel viel lieber per Kreditkarte als sich mit TANs rumzuschlagen.

    Manchmal kommt man an TANs nicht vorbei - aber fuer alles andere hat man eine Kreditkarte oder einen Paypal Account.

    Aber E-Mails stellen ploetzlich etwas voellig anderes dar, wo jeder minimale
    Aufwandt zuviel ist? Da stimmt irgendwo was nicht.

    Ich wiederhole es nochmal:

    Sicherheit muss implizit erfolgen. Eine Tuer ist nur dann sicher, wenn sie automatisch verriegelt. Eine Verbindung nur dann sicher wenn sie automatisch verschluesselt.

    Alles was man haendisch machen muss, wird unterlassen. Wenn es nicht anders geht, wie zB mit online banking und TANs, dann muss man es halt machen. Aber frag mal rum wie begeistert die Leute von TANs sind. Also ich kenne Niemanden der sagt "bo ey, mit TANs ist die Sicherheit meiner Banktransaktionen echt hammer maessig". Ich hoere dagegen immer wieder Leute auf TANs fluchen weil sie vergessen haben den letzten durchzustreichen oder weil sie sich vertippt haben.

    Aber erklaer mir mal einer warum Keyserver komplett nutzlos sind? Das schlimmste was passieren kann ist, dass ich einmal eine Mail mit dem falschen public key an die richtige Adresse schicke. Das wuerde voraussetzen dass der Keyserver oder der Empfaenger kompromitiert wurde. Wurde der Empfaenger kompromitiert, ist eh alles egal. Denn dann hilft Verschluesselung ja eh nichts weil der Angreifer entweder den private Key kennt oder aber den Public Key manipulieren kann - was auf das selbe hinauslaeuft.

    Wurde der Keyserver kompromitiert sieht die Sache natuerlich anders aus. Aber da sind hoffentlich faehige Leute am Werk die den einbruch bemerken. Und dagegen kann man sich nicht viel schuetzen - es kann einem ja immer und ueberall passieren dass die Server kompromitiert werden.

    Das ganze setzt natuerlich eine echtheit bestaetigung des Users voraus, was uU aktuell fehlt. In einem solchen Fall waeren die Server natuerlich total nutzlos. Aber das ist ja technisch kein Aufwand die Identitaet einer mail adresse zu verifizieren. Das ganze kann uebrigens auch automatisch ablaufen 😉

    Wir haben also fuer taeglichen Mailverkehr ploetzlich erreicht dass alles verschluesselt ablaeuft ohne dass der User nur einen Finger rueheren hat muessen (OK, den mauszeiger herumbewegen waehrend der private key generiert wird). Wenn ich mir nun nicht sicher sein sollte dass der Public Key von meinem Gespraechspartner echt ist, kann ich immer noch die ganzen schritte haendisch machen. Da spricht nichts dagegen und ist fuer die 1% der leute wo das relevant ist auch durchaus in ordnung. Aber was ist mit den 99% wo es bei der Sicherheit nicht um Leben und Tod geht?

    Wenn ich neue Hardware in der Firma bestelle, dann waere es ansich super wenn das verschluesselt waere, weil es niemanden etwas angeht was wir fuer Hardware kaufen. Aber waere es mir wert mich bei unseren Partnern um einen etwaigen public key umzuhoeren? nein... soviel wert ist mir dieses nice-to-have feature dann doch nicht...

    0
Anmelden zum Antworten