4. Verschlüsselt ihr eure E-Mails?

Verschlüsselt ihr eure E-Mails?

  • ?

    Wie bereits mehrmals gesagt wurde, muss es ins Protokoll mit rein. Und ob das irgendwelche Linux Mailclients können sit völlig unerheblich, denn die spielen in der normalen Berufswelt keine Rolle. Da benutzt man nahezu ausschließlich Outlook und Notes.

    0
  • R

    Teebeutel schrieb:

    Wie bereits mehrmals gesagt wurde, muss es ins Protokoll mit rein. Und ob das irgendwelche Linux Mailclients können sit völlig unerheblich, denn die spielen in der normalen Berufswelt keine Rolle. Da benutzt man nahezu ausschließlich Outlook und Notes.

    Was ist schon "normale Berufswelt" 🙄 und was hat das mit dem Thema zu tun? Und warum sollte es ins Protokoll rein? Würde ja reichen, wenn mehr Mailclients so etwas anbieten würden.

    0
  • ?

    rüdiger schrieb:

    Und warum sollte es ins Protokoll rein? Würde ja reichen, wenn mehr Mailclients so etwas anbieten würden.

    Die Frage ist auch, was daran ins Protokoll rein soll. Den Privaten Schlüssel sollte eh nur der haben, der die Mails liest. Also muss der Inhalt entschlüsselt werden, wenn er angekommen ist. Das hat nichts mit Protokollen zu tun. Das Protokoll ist für die Dateiübertragung verantwortlich.

    Wenn, dann könnte man eine standard kodierung für Mails einfürhren. Das hat man schon versucht. Und jetzt gibt es S/MIME und PGP/GPG und die Situation ist die selbe.

    0
  • ?

    Ich verschlüssele > 95% der Mails nicht.

    Wenn doch sensible Daten zu versenden sind, dann pack ich diese in ein verschlüsseltes Archiv (das AES unterstützt; z.B. 7z, RAR und glaube auch ZIP) und übermittle den Schlüssel auf einem anderen Kommunikationsweg wie z.B. Telefon oder persönlich.

    0
  • ?

    hansile schrieb:

    Wenn doch sensible Daten zu versenden sind, dann pack ich diese in ein verschlüsseltes Archiv (das AES unterstützt; z.B. 7z, RAR und glaube auch ZIP) und übermittle den Schlüssel auf einem anderen Kommunikationsweg wie z.B. Telefon oder persönlich.

    Gut, dass Telefone nicht überwacht werden... nicht 🙄 😉

    Die einzige Möglichkeit, die es im Moment noch gibt, ist, einen Brief zu versenden. Da gilt noch das Briefgeheimnis.

    0
  • V

    ProgChild schrieb:

    hansile schrieb:

    Wenn doch sensible Daten zu versenden sind, dann pack ich diese in ein verschlüsseltes Archiv (das AES unterstützt; z.B. 7z, RAR und glaube auch ZIP) und übermittle den Schlüssel auf einem anderen Kommunikationsweg wie z.B. Telefon oder persönlich.

    Gut, dass Telefone nicht überwacht werden... nicht 🙄 😉

    Die einzige Möglichkeit, die es im Moment noch gibt, ist, einen Brief zu versenden. Da gilt noch das Briefgeheimnis.

    Auf das man sich natuerlich 100%ig verlassen kann 😉

    gruss
    v R

    0
  • ?

    ProgChild schrieb:

    Gut, dass Telefone nicht überwacht werden... nicht 🙄 😉

    Die Wahrscheinlichkeit, dass genau der Bösewicht, der mit den Daten was anfangen könnte die Daten der Mail und das Passwort per Telefon gleichzeitig abfängt geht gegen null. Natürlich ist das auch nicht 100,0%ig. Aber was ist schon 100,0%ig? Dann dürfte ich auch kein AES verwenden, sondern nur Einwegschlüssel, weil die die einzigen sind, von denen man nachweisen kann, dass sie 100%ig sicher sind (abgesehen vom Abfang des Schlüssels, wie sich von selbst versteht). Also der Grad der Sicherheit dieser Methode ist für die meisten Zwecke durchaus hinreichend. Besser ist es natürlich, wenn man den Schlüssel persönlich übermitteln kann.

    0
  • D

    rüdiger schrieb:

    Zumindest für Outlook gibt es ein Plugin. Aber wenn es sich durchsetzen sollte, dann sollte es wohl eher in die ganzen Webmailer - wie GMail oder GMX - integriert werden.

    Du kennst FireGPG?
    http://firegpg.tuxfamily.org

    Allerdings halte ich es für nur begrenzt sinnvoll eine Mail, die ich über das Google-Webinterface schreibe zu verschlüsseln - schon allein die nette Meldung dass die Mail unverschlüsselt zwischengespeichert wurde auf den Servern von Google 😃

    0
  • S

    scrub schrieb:

    Shade Of Mine schrieb:

    Die Software muss Anhand der Email Adresse des empfaengers automatisch erkennen ob die mail verschluesselt werden soll.

    Das tut sie. Aufwand = 1 Klick pro neuem Schlüssel.

    Aha? Er durchsucht automatisch alle Keyring Server wenn ich eine Mail verschicke? In der Doku stand das aber etwas anders...

    Man muss erstmal den public Key des Empfaengers finden - die 2. mail geht dann vermutlich automatisch - aber bei der 1. muss man laut Doku erstmal den Key selber finden.

    Shade Of Mine schrieb:

    es ist ja schoen und gut wenn man nur ein paar klicks braucht - aber zB alleine das schluessel generieren und online stellen - dann den passenden keyring server suchen wo mein gegenueber seinen schluessel haben koennte -> furchtbar. Solange das nicht out-of-the-box funktioniert, wird es sich nicht durchsetzen.

    Dann macht der EDV-Mensch das auch noch vorher. Aber an der Stelle muß ich micht echt fragen, wie einfach es noch werden soll. Man muß keine Rückfragen beantworten, einfach nur klickklickklick fertig.

    was furchtbar unpraktisch ist wenn die Leute das auch zuhause verwenden sollen...

    Shade Of Mine schrieb:

    Und wenn man ihn zwingt, wird er darueber nur schimpfen. durchboxen kann man es - aber wenn man aktzeptanz erwartet muss man es anders machen.

    Sobald der Benutzer sich dran gewöhnt hat, ist die Akzeptanz wurscht. Es ist wie jede andere Umgewöhnung auch, aber ich gebe gerne zu: Eventuell verbraucht der Mitarbeiter 10 Klicks mehr am Tag. Wenn Sicherheit Dir das nicht wert ist, bitteschön.

    Es geht nicht um Sicherheit, es geht um Usability.
    Die Leute benutzen es einfach nicht wenn es mehraufwand ist. Vorallem total unnötiger mehraufwand. Es gibt keinen vernünftigen Grund warum der Mail Client mir nicht die Arbeit abnehmen kann.

    Der Grund warum es sich nicht durchsetzt sollte dir langsam klar sein. Oder siehst du eine breite aktzeptanz? Nein. Weil die Software die sowas anbietet schrott ist.

    Ja, ich gebe zu, man muß wenige Sachen noch manuell machen. Die könnte man automatisieren. Könnte ich gut genug programmieren, ich würds glatt tun.
    Unabhängig davon bin ich der Meinung, daß es bereits jetzt ausreichend einfach ist.

    es setzt sich nicht durch, ergo muss mehr getan werden. so einfach ist das.

    zB dass mails nicht in klartext gespeichert werden können zeigt schon wie praxisfern die entwicklung verläuft. denn die verschlüsselung der mails hat nur den sinn die übertragung sicher zu machen. lokal sind meine emails sowieso geschützt - denn ich schütze ja alle mails auch die nicht verschlüsselten.

    interessant wird das ganze dann inwieweit man verschlüsselte mails forwarden kann, usw. da gibt es noch eine Menge Sachen die die Software können muss bevor sie einsatzbereit ist...

    0
  • ?

    Shade Of Mine schrieb:

    Man muss erstmal den public Key des Empfaengers finden - die 2. mail geht dann vermutlich automatisch - aber bei der 1. muss man laut Doku erstmal den Key selber finden.

    Natürlich. Nicht jeder lädt seinen Key auf diese ominösen Server hoch.

    0
  • V

    Hallo,

    Shade Of Mine schrieb:

    scrub schrieb:

    Shade Of Mine schrieb:

    Die Software muss Anhand der Email Adresse des empfaengers automatisch erkennen ob die mail verschluesselt werden soll.

    Das tut sie. Aufwand = 1 Klick pro neuem Schlüssel.

    Aha? Er durchsucht automatisch alle Keyring Server wenn ich eine Mail verschicke? In der Doku stand das aber etwas anders...

    Man muss erstmal den public Key des Empfaengers finden - die 2. mail geht dann vermutlich automatisch - aber bei der 1. muss man laut Doku erstmal den Key selber finden.

    Es gibt zwar nur 4 Keyserver, aber du hast natuerlich recht, man muss die Frage
    "Existiert ein Public Key zu dieser E-Mailadresse?" explizit stellen und ja,
    das koennte man vermutlich automatisieren.

    U. U. ist der Gedanke dahinter, es nicht zu automatisieren der, dass man die
    Auswahl des Schluessels nicht dem Prozess der Automatisierung unterwerfen
    moechte, sondern dass die explizite Einsicht des Senders erwuenscht ist.

    Letztlich kann man darueber aber nur spekulieren. Desweiteren steht es dir
    natuerlich frei, entsprechende Verbesserungswuensche an die Entwickler
    weiterzureichen.

    Shade Of Mine schrieb:

    es ist ja schoen und gut wenn man nur ein paar klicks braucht - aber zB alleine das schluessel generieren und online stellen - dann den passenden keyring server suchen wo mein gegenueber seinen schluessel haben koennte -> furchtbar. Solange das nicht out-of-the-box funktioniert, wird es sich nicht durchsetzen.

    Dann macht der EDV-Mensch das auch noch vorher. Aber an der Stelle muß ich micht echt fragen, wie einfach es noch werden soll. Man muß keine Rückfragen beantworten, einfach nur klickklickklick fertig.

    was furchtbar unpraktisch ist wenn die Leute das auch zuhause verwenden sollen...

    Naja es gibt bereits Gesamtpakete, die einem viel Arbeit abnehmen. Bis zu
    welchem Grad weiss ich grad gar nicht mehr, ich hab schon lange keins mehr
    installieren muessen. Sicherlich, den Keyserver wird man noch angeben muessen,
    das ist sicher etwas, was man noch automatisieren koennte.

    Shade Of Mine schrieb:

    Und wenn man ihn zwingt, wird er darueber nur schimpfen. durchboxen kann man es - aber wenn man aktzeptanz erwartet muss man es anders machen.

    Sobald der Benutzer sich dran gewöhnt hat, ist die Akzeptanz wurscht. Es ist wie jede andere Umgewöhnung auch, aber ich gebe gerne zu: Eventuell verbraucht der Mitarbeiter 10 Klicks mehr am Tag. Wenn Sicherheit Dir das nicht wert ist, bitteschön.

    Es geht nicht um Sicherheit, es geht um Usability.
    Die Leute benutzen es einfach nicht wenn es mehraufwand ist. Vorallem total unnötiger mehraufwand. Es gibt keinen vernünftigen Grund warum der Mail Client mir nicht die Arbeit abnehmen kann.

    Der Grund warum es sich nicht durchsetzt sollte dir langsam klar sein. Oder siehst du eine breite aktzeptanz? Nein. Weil die Software die sowas anbietet schrott ist.

    Und ich koennte jetzt mit Beispielen aus meinem Bekanntenkreis kommen, die
    alle samt als Otto-Normaluser einzustufen sind und trotzdem damit zurecht
    kommen. Aber lassen wir die Haarspickerei:

    Ein Grund warum die Software nicht eingesetzt ist und ich mutemasse mir an,
    diesen als Hauptgrund zu titulieren, ist, dass die Leute schlicht nicht wissen,
    dass es diese Software gibt!

    Ja, ich gebe zu, man muß wenige Sachen noch manuell machen. Die könnte man automatisieren. Könnte ich gut genug programmieren, ich würds glatt tun.
    Unabhängig davon bin ich der Meinung, daß es bereits jetzt ausreichend einfach ist.

    es setzt sich nicht durch, ergo muss mehr getan werden. so einfach ist das.

    zB dass mails nicht in klartext gespeichert werden können zeigt schon wie praxisfern die entwicklung verläuft. denn die verschlüsselung der mails hat nur den sinn die übertragung sicher zu machen. lokal sind meine emails sowieso geschützt - denn ich schütze ja alle mails auch die nicht verschlüsselten.

    interessant wird das ganze dann inwieweit man verschlüsselte mails forwarden kann, usw. da gibt es noch eine Menge Sachen die die Software können muss bevor sie einsatzbereit ist...

    Ja, dem stimme ich voll und ganz zu.

    gruss
    v R

    0
  • ?

    Das mit dem automatischen Download der Keys von Key-Servern ist doch Unsinn!
    Es gibt ja auch keine E-Mail-Adressen-Server, die einem die E-Mail-Adresse zu einem Namen verrät. Genauso wie man eine Person zunächst nach der E-Mail-Adresse fragt, muss man sie auch nach den Public Key fragen. Ist doch ganz normal.
    Alles andere ist Unsinn!

    0
  • N

    Kann gut sein, dass einer der Hauptgruende fuer die mangelnde Verbreitung die Unbekanntheit der Software ist. Ich wusste auch nicht, was es da im Einzelnen gibt.
    Allerdings muss man dann auch mal schauen, warum die Software unbekannt ist. Da sind die Gruende IMHO vor allem neben mangelnder Werbung und usability aber zB. auch in fehlender Nachfrage zu sehen. Ich bin bisher auch noch nie ueberhaupt auf die Idee gekommen, meine Mails zu verschluesseln, bzw. meine Kontakte damit zu belaestigen.
    Wenn "der Staat" in seiner jetzigen, noch halbwegs demokratischen Form tatsaechlich meinen webmail-account durchforsten wollte, waere mir das an sich auch ziemlich egal. Ausser vielleicht ab und an einigen Kennwoertern von shops und Foren existiert da auch einfach nichts, was den Aufwand einer Verschluesselung irgendwie rechtfertigen wuerde. 🙄
    Haette jetzt irgendwer eine Erweiterung fuer Mail-Clients hergebastelt, die das mit der Verschluesselung DAU-sicher mit vielleicht 1, hoechstens 2 Klicks ohne zusaetzlichen Einrichtungs- und Einarbeitungsaufwand und sonstige noetigen Schritte (wie zB. Kennwoerter eingeben oder mails an sich selbst weiterleiten oder so ein Unsinn) bereitstellt, wuerde ich sowas wie Verschluesselung vielleicht nutzen, aber so nicht.

    0
  • S

    Die Automation solcher Vorgänge widerspricht der Sicherheit. Natürlich sollte man es dem Benutzer überlassen, das selbst zu entscheiden.

    Wenn man im Browser eine Warnung vor einem unsicheren Zertifikat "automatisch" wegklickt, ist das auch schlecht. Insofern sollte man sich die Frage stellen, ob man Sicherheit überhaupt will. Wenn ich hier so manches lese, habe ich den Eindruck, Mails werden nicht verschlüsselt, es sei denn, dies geschieht automatisch von drei Atemzügen des Benutzers gesteuert.

    0
  • N

    Genau richtig erkannt. Ansonsten wuesste ich auch wirklich nicht so recht, wozu ich die "Sicherheit" brauchen sollte.
    Ich kaufe mir doch auch keinen Zerhacker fuer das Telefon, nur weil die prinzipielle Moeglichkeit besteht, dass der boese Staat es abhoeren koennte. 🙄

    0
  • S

    scrub schrieb:

    Die Automation solcher Vorgänge widerspricht der Sicherheit. Natürlich sollte man es dem Benutzer überlassen, das selbst zu entscheiden.

    Also im Web funktionieren Zertifikate super... Wenn ich eine HTTPS Seite aufrufe macht sich der Browser alles mit dem Server aus, es sei denn der Browser kann nicht die echtheit des Servers garantieren.

    Wenn ich SFTP verwende, dann ist fuer mich als user zu FTP kein Unterschied da.

    Wenn ich mit IM Clients wie zB Trillian mit einem anderen Trillian Nutzer eine IM Session aufmache, wird automatisch eine verschluesselung gemacht.

    Unser Mailserver in der Firma, FirstClass, schickt alle Mails intern und an andere FirstClass Server nur verschluesselt. Ohne dass ich als User mich darum kuemmern muss.

    Und das geht bei Mails aus welchem Grund nicht?

    Sicherheit ist immer dann am besten garantiert, wenn sie implizit geschieht. Meine Kritikpunkte an Enigmail und Co sind erstmal grundlegend - ich bin sicher was die speziellen Features betrifft wie eben Mail Archivierung, Forwarding, etc. sieht es noch viel duesterer aus.

    Solange Sicherheitsmassnahmen nicht implizit vonstatten gehen, ist es fuer die breite Masse uninteressant. Beispiel FTP/SFTP. Kein User kennt den Unterschied, es ist ihm ja auch egal. Er will nur dumme Files raufladen oder runterladen. Wenn der Client automatisch versucht eine SFTP Verbindung aufzubauen wird der User immer SFTP nuetzen wenn es geht und ansonsten auf FTP zurueck fallen.

    Selbes bei Mails. Aber genau diese Diskussion zeigt genau woran es scheitert. Klar ist es sicherer wenn ich haendisch mir alle Schluessel besorge. Klar gibt es Schwachstellen wenn wenige zentrale Keyring Server habe.

    Aber der Punkt ist: es ist um Dimensionen sicherer als keine Verschluesselung. Und man kann diskutieren soviel man will: Otto Normal User interessiert sich nicht fuer Verschluesselung, er will einfach nur Mails versenden. Wozu ihn mit mehr infos belasten die er eh nicht hoeren will?

    Ich will keine Grundsatzdiskussion vom Zaun brechen, aber ich erlebe es fast taeglich wie schlimm die Usability von diversen Anwendungen ist. Deshalb auch der Ratschlag sich vorzustellen was meine Oma machen wuerde. Wuerde sie das mit den public/private Keys verstehen? Woher bekommt sie den Key von ihrem Nachbarn und wo steht eigentlich ihr Key damit sie den ihrem Nachbarn schicken kann. Und was macht sie nochmal eigentlich mit dem Key? Und wozu braucht sie das ueberhaupt?

    Klar kann man sagen, das erledigt alles ein EDV-Typ. Aber genau diese Argumentation ist eben falsch. Meine Oma hat naemlich keinen EDV Typen der ihr das einrichtet. Woher denn auch? Vielleicht der Nachbarsjunge? Aber ist der Nachbarsjunge wirklich der Typ der ihren private Key kennen sollte...?

    Das ist naemlich wieder ein enormes Problem: der der die Software einrichtet kennt den private Key. Furchtbar wenn ihr mich fragt...

    0
  • S

    Shade Of Mine schrieb:

    Also im Web funktionieren Zertifikate super... Wenn ich eine HTTPS Seite aufrufe macht sich der Browser alles mit dem Server aus, es sei denn der Browser kann nicht die echtheit des Servers garantieren.

    Ja, und wenn ich Mails verschicke, dann macht mein Client auch alles automatisch. Der Einrichtungsaufwand ist ein einmaliger Aufwand. Genau wie die Installation eines SSL-Zertifikats.

    Shade Of Mine schrieb:

    Und das geht bei Mails aus welchem Grund nicht?

    Es geht?!?

    Shade Of Mine schrieb:

    Klar kann man sagen, das erledigt alles ein EDV-Typ. Aber genau diese Argumentation ist eben falsch. Meine Oma hat naemlich keinen EDV Typen der ihr das einrichtet.

    Ja, das Argument wird aber auch erst mit Deiner Oma falsch. Mit meiner Antwort, in der ich das gesagt hatte, ging ich auf ein Szenario ein, in dem jemand in einer Firma arbeitet.

    0
  • ?

    Wenn man nur noch verschlüsselte Mailshaben will, kann man sich dann nur noch mit geeks unterhalten?

    0
  • ?

    Shade Of Mine schrieb:

    Also im Web funktionieren Zertifikate super... Wenn ich eine HTTPS Seite aufrufe macht sich der Browser alles mit dem Server aus, es sei denn der Browser kann nicht die echtheit des Servers garantieren.
    Wenn ich SFTP verwende, dann ist fuer mich als user zu FTP kein Unterschied da.
    Wenn ich mit IM Clients wie zB Trillian mit einem anderen Trillian Nutzer eine IM Session aufmache, wird automatisch eine verschluesselung gemacht.
    Und das geht bei Mails aus welchem Grund nicht?

    Bei HTTPS, SFTP und verschlüsseltem IM sind beide Partner gleichzeitig online, so dass die über das SSL Protokoll eine verschlüsselte Verbindung herstellen können. Bei E-Mail Verkehr sind beide Partner aber für gewöhnlich nicht gleichzeitig online, so dass die Schlüssel für die verschlüsselte Übertragung im Voraus bekannt sein müssen. Das heißt, man muss die Schlüssel des Partners zunächst bekommen. Dies kann nicht automatisch geschehen, da bei weiten nicht jeder diese seltsamen Key-Server benutzen. Und es dauert höchstens eine Minute per Mail nach dem Schlüssel zu fragen und es dauert auch nur eine Minute diesen zu installieren.

    0
  • R

    @Nobuo T.
    Das Problem ist eher, dass die Leute keine Ahnung haben. Schau doch wie die meisten Leute mit dem Thema Sicherheit umgehen.

    @Shade Of Mine.

    Deshalb auch der Ratschlag sich vorzustellen was meine Oma machen wuerde. Wuerde sie das mit den public/private Keys verstehen? Woher bekommt sie den Key von ihrem Nachbarn und wo steht eigentlich ihr Key damit sie den ihrem Nachbarn schicken kann. Und was macht sie nochmal eigentlich mit dem Key? Und wozu braucht sie das ueberhaupt?

    Meine Oma wäre sicher nicht in der Lage E-Mails zu versenden. Dabei ist es ganz egal, ob die E-Mail verschlüsselt sein sollte oder nicht. Software ist nicht intuitiv. Du glaubst nur, dass das was du kennst intuitiv sei. Aber das ist alles nicht intuitiv. Oder setz einmal jemand, der keine Erfahrung im Umgang mit Computern hat, vor einen Computer und bitte ihn diesen auszuschalten...

    Das Problem beim verschlüsseln ist eher, dass man auch ohne auskommt und das ohne auskommen doch ein hauch leichter ist als mit. Wäre Verschlüsselung ein Zwang, dann würdest du das vermutlich genauso intuitiv finden, wie den nicht intuitiven Weg, einen Computer zu beenden.

    Aber im Grunde ist es auch egal, da es hier nicht darum geht, dass deine Oma Verschlüsselung nutzt oder nicht. Es geht hier um die Mitglieder des Forums und hier ist wohl jeder in der Lage seine E-Mails zu verschlüsseln und das ohne nennenswerten Aufwand.

    0
Anmelden zum Antworten