4. Verschlüsselt ihr eure E-Mails?

Verschlüsselt ihr eure E-Mails?

  • J

    rüdiger schrieb:

    Wie verifizierst du, dass der Key wirklich von der Person stammt? Kann ja jeder unter deinem Namen einen Schlüssel ablegen. Also perfekter Man-In-The-Middle-Angriff. Aber generell ist es schlecht, wenn man mehr Leuten vertrauen muss, als einem lieb ist. Würdest du zB als Kunde von Mailanbieter X dem Keyserver von Mailanbieter X vertrauen? Also ich nicht. Dann könnte ich meine E-Mails ja gleich Plaintext ablegen.

    Genau das ist es was ich meine. Du verschlüsselst garnicht, weil es halt momentan keiner benutzt. Aber wenn man etwas tun möchte, dass eben breit verwendbar ist, dann muß die Sicherheit plötzlich 100% sein, bei nur 99,9% ist es völlig unbrauchbar. Auf mich wirkt's kindlich.

    0
  • R

    Jester schrieb:

    Genau das ist es was ich meine. Du verschlüsselst garnicht, weil es halt momentan keiner benutzt. Aber wenn man etwas tun möchte, dass eben breit verwendbar ist, dann muß die Sicherheit plötzlich 100% sein, bei nur 99,9% ist es völlig unbrauchbar. Auf mich wirkt's kindlich.

    Die Frage ist ja, warum man verschlüsseln will. Ein System von Keyservern lies sich zum Beispiel von bestimmten Bösewichten ziemlich leicht manipulieren.

    0
  • J

    und wie genau?

    0
  • S

    ruediger, es wird langsam langweilig.

    Genaue Bildbeschreibungen die einem jeden Click vormachen sind keine Usability. Ich rate dir mal an Krug, Nielsen oder andere Grundlagen darueber durchzulesen. "Don't Make Me Think" ist zB ein super Buch. Oder hier eine kleine Liste: http://www.uidesigns.com/index.php?section=5&subsection=0

    Kommerzielle Studien gibt es zB von der Nielsen Group ( http://www.nngroup.com/reports/ ) - kosten aber eine Menge. Etwas das fuer dich vielleicht interessant ist, ist BetterDesktop.org. Mit den richtigen Anleitungen kann ein User alles machen - der Trick aber ist, dass der User ohne Anleitung alles machen kann.

    Nun zur Sicherheit:
    Erklaer mir mal wie jemand sich ueber einen Keyserver als ich ausgeben kann. Wenn ich meinen public Key raufstelle, wird einfach eine Bestaetigungsmail an mich gesendet die ich wiederum bestaetigen muss. Wie in jedem Forum auch. Nun haben wir die Email Adresse bestaetigt. Natuerlich _kann_ man eine Email abfangen oder den Bestaetigungscode erraten - aber was haben wir davon? Erstmal garnichts. Wir muessen ja jetzt auch noch alle Mails abfangen die der User bekommt. Denn sobald der eine Mail bekommt die fuer ihn ist, er sie aber nicht entschluesseln kann wird er merken dass da etwas faul ist.

    Der Punkt aber ist: ob ich jetzt auf dem Keyserver einbreche oder auf deinem Webserver und dort deinen public Key aendere - da ist der Webserver anfaelliger. Denn dort laufen mehrere Services und wenn da ein Forum oder ein sonstiges Standard Portal laeuft, kann man durchaus schonmal eine Sicherheitsluecke ausnutzen und den public Code aendern.

    Aber wie gesagt: das alleine bringt erstmal rein garnichts. Man muss naemlich auch noch die Mails abfangen. Und in dem Moment in dem ich die Mails abfangen kann, bieten mir unverschluesselte Mails 0 Sicherheit, waehrend die automatische Verschluesselung mehrere Schritte verlangt die der Angreifer nacheinander unentdeckt fertigstellen muss.

    Wenn der Client nun regelmaessig checken wuerde ob sein public Key auf dem Server noch korrekt ist - hast du die angriffe bereits auf Personen reduziert die keinen public Key bekanntgegeben haben. Und damit ist das eigentlich kein Thema mehr. Denn was der Angreifer erreicht hat ist, Mails abzufangen die ohne sein zutun sowieso unverschluesselt geschickt worden waeren.

    Sobald ich einen public Key nicht direkt von der person persoenlich bekomme, ist immer eine kleine Restgefahr da. Aber mal ehrlich: wenn du eine Mail verschluesselst, reicht dir doch der public Key von der Webseite des Empfaengers, oder? Das ist aber laut deiner Aussage komplett unsicher... Du solltest ihn lieber anrufen - wobei telefon wohl das unsicherste Kommunikationsmittel ist, uU per verschluesseltem VoIP? Aber auch da kann eine Man in the Middle Attacke funktionieren. Verdammt, du musst den public Key am besten von der Person wirklich komplett persoenlich abholen damit es sicher ist.

    Ein Keyserver ist bei weitem nicht das idealste. Das idealste waere eine Unterstuetzung im Mail Protokoll. Aber Keyserver sind fuers erste mal eine gute Loesung. Nicht perfekt, aber sie haben 2 enorme Vorteile:

    1. die Infrastruktur ist da
    2. es funktioniert
    3. der Implementierungsaufwand ist gering genug dass jeder Client das unterstuetzen kann.

    Und nochmal:
    Wenn die Daten dann mal wirklich sensibel sind und man garantieren will dass die Niemand anderer liest, kann man immer noch sich den public Key haendisch holen bzw. vergleichen. Dieser Schritt steht dem 1% der User die das wirklich wollen ja durchaus frei.

    Aber worum es bei der verschluesselung ja im Prinzip geht, ist das Briefgeheimnis zu wahren und das tut das System. Wenn du einen Brief schickst, kann trotz Briefgeheimnis auch einem eingeschriebenen Brief etwas passieren. 100% Sicherheit gibt es nicht. Aber wenn man ploetzlich von 0% auf 95% springt ohne dass der User auch nur einen klick machen muss so finde ich das durchaus praktisch.

    0
  • ?

    Hast ja Recht..

    0
  • ?

    Shade Of Mine schrieb:

    Aber wenn man ploetzlich von 0% auf 95% springt ohne dass der User auch nur einen klick machen muss so finde ich das durchaus praktisch.

    ein gutes beispiel dafür ist z.b. WLAN/WPA2 mit radius server. die ganze hochkomplexe technik ist, bei einem maximum an sicherheit, für den user quasi unsichtbar. anders ginge es auch gar nicht.
    🙂

    0
  • M

    im zweifelsfall kommt der bösewicht eh bei euch vorbei und prügelt das passwort aus euch raus. dürfte weniger aufwendig sein 🙂 🤡

    0
  • L

    Ich verschlüssel mit Kryptochef. Leidet nur etwas an Interoperabilität.

    0
  • ?

    LuckyStrike schrieb:

    Ich verschlüssel mit Kryptochef.

    cool. benutzt du auch den vollbit-modus?
    🙂

    0
  • J

    ".

    0
  • ?

    KRYPTOCHEF Detlef Granzow (persönlich)!

    LBV5DG ist fertig programmiert worden von mir und jetzt integriert
    worden in
    KRYPTO 3.1/2007 Professional Multi User

    LBV5DG steht für:
    Linear Block Verschachtelung fünffach Detlef Granzow

    Dabei handelt es sich um ein sehr gutes Hashsummen Verfahren welches
    auf fünffache lineare Block Verschachtelung basiert.
    Ich habe das programmiert um mal wieder zu zeigen, das es geht.
    Ich kann nicht behaupten, das mein Hashsummen Verfahren Kollissions
    sicher ist, aber ich sage mal, ab 5 Byte Dateigröße könnte es sein.

    Ich selbst habe nicht die Zeit und die Möglichkeiten das zu
    überprüfen, da das eine Aufgabe von vernetzten Computern oder
    Großrechnern ist.

    Mein Hashsummen Verfahren hat aber den großen Vorteil,
    das es extrem ausbaufähig ist.
    Das heist, wenn irgendwann fünffach nicht mehr ausreicht ist
    sechsfach oder mehr kein Problem für mich.
    Es stellt sich da aber die Frage ob sechsfach wirklich besser ist als
    fünffach, und wenn in welcher Kategorie.

    Mein Hashsummen Verfahren ist gerade einige Tage alt und damit auch
    zu neu um irgend welche Aussagen darüber treffen zu können.

    Ich kann aber absolut versichern, das es sehr gut funktioniert und
    ich auch schon Kollissionstests damit durchgeführt habe.

    Das neue KRYPTO hat jetzt eine Hash Taste.

    KRYPTOCHEF Detlef Granzow (persönlich)!

    0
  • ?

    der gleiche miese schreibstil wie auf der webseite dieses schwachkopfs^^
    man könnte meinen, du wärst es wirklich.
    🙂

    0
Anmelden zum Antworten