4. E-Mail + PGP wird von der Masse nicht angenommen, würde ein neuer Standard helfen?

E-Mail + PGP wird von der Masse nicht angenommen, würde ein neuer Standard helfen?

  • ?

    Ein Standard, in dem die Ende zu Ende Verschlüsselung vorgeschrieben ist und das Protokoll ansonsten nicht funktioniert?

    Im Prinzip könnte man da alles Know How, das man durch die E-Mail und durch GPG erhalten hat da einbauen, nur müsste man das ganze inkompatibel zur klassischen E-Mail machen.

    Für Webmail Anbieter könnte man in HTML 5 einen neuen Textbox type einführen, bei dem der Browser dann die Textnachricht mit dem Privaten Key des Nutzers verschlüsselt, bevor der Browser das abschickt.
    Selbstverständlich müßte der Inhalt vor JS & Co geschützt werden, so das diese nur den verschlüsselten Content sehen können.

    Desweiteren bräuchte man in diesem neuen E-Mail Standard die Möglichkeit, einen Teil der E-Mail auch unverschlüsselt zu belassen.
    Hier könnten dann kostenlose Webmail Anbieter ihre Werbung plazieren und der neue Standard hätte eine Chance, sich durchzusetzen.
    Denn der Mailverkehr sollte kostenlos bleiben.

    Der Fingerprint des Schlüssels dürfte nicht aufgesetzt sein, es müßte also eine Lösung gefunden werden, dass Personen, die miteinander kommunizieren ihre Fingerprints vorher offline austauschen.
    Hier wäre also notwendig, den Menschen zu schulen, also die Nachfrage nach dem Fingerprint geradezu aufzudrücken, so wie z.B. jedes Kind lernt, dass es zum Telefonieren erst eine Nummer kennen und diese dann in den Telefonaparat eintippen muss, bevor das Telefon funktioniert.
    Hat hier jemand Lösungen?

    Und wie könnte so ein neuer Standard eurer Meinung nach am besten noch aussehen?
    Wer hat andere bessere Vorschläge?

    Das fast keiner E-Mail mit PGP oder GnuPG nutzt und sich das auch nach > 10 Jahren nicht mehr durchsetzen wird, dürfte hier ja jedem klar sein.

    0
  • Mod

    deMail 2.0 schrieb:

    Der Fingerprint des Schlüssels dürfte nicht aufgesetzt sein, es müßte also eine Lösung gefunden werden, dass Personen, die miteinander kommunizieren ihre Fingerprints vorher offline austauschen.
    Hier wäre also notwendig, den Menschen zu schulen, also die Nachfrage nach dem Fingerprint geradezu aufzudrücken, so wie z.B. jedes Kind lernt, dass es zum Telefonieren erst eine Nummer kennen und diese dann in den Telefonaparat eintippen muss, bevor das Telefon funktioniert.
    Hat hier jemand Lösungen?

    Hier liegt der Knackpunkt. Vermutlich ist dies unmöglich, da äußerst unbequem, gepaart mit einem Medium, dessen größte Vorteile Schnelligkeit und Bequemlichkeit sind. Das wirst du wohl niemals unter einen Hut bekommen können. Daher benutzt es auch so gut wie keiner. Da sind sogar noch mehr Unbequemlichkeiten, die du gar nicht bedenkst: Jeder muss sich einen individuellen Schlüssel erzeugen. Er muss ihn beschützen. Er darf ihn nicht verlieren. Er muss die Fingerprints seiner Kontakte kennen und verwalten.

    0
  • ?

    Hm, wie wäre es den Schlüssel an HW zu koppeln?

    D.h. der Kunde generiert ihn nicht, sondern kauft ihn einfach in Form einer Plastikkarte.
    Alles was man nun noch braucht ist ein Lesegerät, aber da könnte man dann noch weitere Vorteile in Form von Features und Funktionen mit verbinden/einbauen.

    Das kostet dann zwar einmalig Geld, aber dann hat der User etwas, was er in den Schrank legen kann.
    Bei Verlust muss er sich dann halt einen neuen Key kaufen und seine Leute darauf hinweisen, das er ihn verloren hat.
    Der Key bräuchte natürlich ein PW, dass bei der erstmaligen Benutzung festgelegt wird, so dass im Falle des Verlust oder Diebstahls kein anderer damit Nachrichten entschlüsseln oder verschlüsseln kann.

    0
  • S

    Das Problem ist der Mail Client Support. Die User wollen sich nicht mit Verschlüsselung befassen, das muss automatisch gehen.

    Sieht man ja zB bei HTTP. Man muss HTTPS erzwingen damit die User es nützen. Wenn man das aber tut, dann verursacht das keine Probleme. Der User will auf facebook.com gehen und das tut er über google -> facebook -> link anklicken.

    Ob das dann HTTPS ist oder nicht, interessiert den User nicht.

    Wenn man das ganze bei EMails auch so machen würde, wäre es weiter verbreitet. Der Mail Client müsste Anhand von Standard Informationen wie Passwort, Email Adresse und Name ein Schlüsselpaar generieren dass Anhand dieser Daten wieder 1:1 gleich neu generiert werden kann. Den public part dann automatisch zu irgendeinem key exchange Server hochladen und fertig.

    Technologie Adaption hat nichts mit der qualität der Technologie zu tun, sondern nur mit der Usability der Tools.

    0
  • Y

    Die fehlende Nutzung der vorhandenen Möglichkeiten zeigt doch, dass kein wirkliches Interesse daran besteht, seine Nachrichten zu verschlüsseln. Zudem ist der Gebrauch von Email sowieso am sinken, während soziale Medien übernehmen, und der Trend geht eher in Richtung Offenheit und Transparenz.
    Wer sollte also darin investieren, ein System zu entwickeln und flächendeckend einzuführen, wenn kein wirklicher Bedarf seitens der Endnutzer besteht? Was und wem soll das ganze denn nützen?
    Aber ich stimme schon zu, dass die vorhandenen Möglichkeiten benutzerfreundlicher gestaltet werden sollten, damit sie bei Bedarf eher verwendet werden. Nur, dass das ganze System umgestellt und Verschlüsselung erzwungen wird, daran glaube ich nicht, und sehe auch keinen Sinn darin.

    0
  • Mod

    yanni schrieb:

    Die fehlende Nutzung der vorhandenen Möglichkeiten zeigt doch, dass kein wirkliches Interesse daran besteht, seine Nachrichten zu verschlüsseln.

    Dies ist keine logische Schlussfolgerung.

    Es besteht derzeit, mit den bestehenden Techniken, kein Interesse, den Tausch Bequemlichkeit gegen Verschlüsselung einzugehen. Und ich verstehe 100%, warum. Aber ich wette, wenn die Bequemlichkeit die gleiche wäre wie derzeit (also Passwort merken und dann funktioniert alles einfach so), dann würden es ~100% der Leute benutzen.

    0
  • ?

    Den Schlüssel an HW zu koppeln ist gar keine so schlechte Idee. Man bekommt einen Stick, aus dem der Browser/Mailclient den public key auslesen kann und der Nachrichten mit dem private Key hardwareseitig verschlüsselt/entschlüsselt.

    Den Key selber bekommt man in doppelter Ausführung, einen im Stick und einen, den man im Schrank sicher aufbewahrt. Im Schrank hat man auch einen Master-Key (wieder public/private aber mit enorm grossen Primzahlen), mit dem man den Stick-Key widerrufen kann, sollte man den Stick verloren haben.

    Die Mailanbieter werden gezwungen, nur noch das zu unterstützen.

    Das Web of Trust müsste auch hardwareseitig aufgebaut werden. Verbindet man zwei Sticks miteinander, tauschen die ihren public Key aus und speichern ihn. Dem Mailserver wird das dann mitgeteilt, sobald man Mails abruft (der Client fragt jedesmal den Stick).

    Um zu kommunizieren reicht es an sich aus, wenn sich zwei Leute indirekt vertrauen, also über mehrere Zwischenleute. Inkonsistenzen würden sofort auffallen, man in the middle wäre so praktisch ausgeschlossen, auch von riesigen Organisationen wie dem Staat.

    Das würde den Aufwand auf das Tragen des Sticks reduzieren. Den Stick mit den Mitbewohnern zu syncen sollte schon reichen.

    Man begibt sich nur noch in die Hände von den Stickherstellern, aber wenn das Open Source ist sollte da nicht allzu viel zu befürchten sein.

    0
  • ?

    hallo

    ich habe im zuge der ganzen nsa sache mal darüner nachgedacht, wie ich mein googlemail account sinnvoll mit verschlüsselung nutzen könnte. so richtig ist mir nichts eingefallen. ich will die natürlich auch bequem auf dem smartphone lesen können.

    chrische

    0
  • S

    hawe schrieb:

    Den Schlüssel an HW zu koppeln ist gar keine so schlechte Idee.

    Es ist eine furchtbar schlechte Idee.

    Das sieht man zB an Dongels als Kopierschutzmassnahme.

    Oder daran wie oft Leute ihre Schluessel oder Handy verlieren bzw. kaputtmachen.
    Weiters gibt es die Huerde der Beschaffung.

    Nein, das ist der komplett falsche Weg. Man muss es einfach nur leicht benutzbar machen. Das ist der Schluessel zu JEDER Technologie. Wenn sie leicht verwendbar ist, dann wird sie benutzt, wenn nicht, dann nicht. Das hat nichts mit der Qualitaet der Technologie zu tun.

    0
Anmelden zum Antworten