Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › PGP: Hochsicher, kaum genutzt…

Das Problem ist nicht PGP

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Problem ist nicht PGP

    Autor: PeterBBB 24.06.15 - 12:56

    das Problem heisst Email.
    Sehen wir uns die "positiven" Beispiele Whatsapp, Threema etc. an. Was haben die? Eine zentrale Infrastruktur, die sich auch um den Schlüsselaustausch kümmert.
    Auf den öffentlichen Keyservern kann ich zwar Schlüssel ablegen, aber meist nicht mehr entfernen. Revocation klappt bei so ziemlich keinem Protokoll, was aber seltenst an der Technik liegt.
    Beruflich funktioniert PGP wunderbar. Zentrale Gateways. Abruf der Keys vom Keyserver der Zieldomain etc.
    Auch hier gibt es natuerlich ausnahmen. Personen, die alle 6 Monate aus Sicherheitsgründen neue Keys erstellen, die alten aber weder ablaufen noch widerrufen werden.

    Wenns nicht so traurig wäre könnte man glatt meinen etwas wie DE-Mail wäre die Lösung.

  2. Re: Das Problem ist nicht PGP

    Autor: thomas001le 24.06.15 - 12:59

    Zentrale Dienste haben eigentlich nie die Langlebigkeit und Akzeptanz von Dezentralen...wer setzt seinen eigenen WhatsApp Server auf (Firmen wollen nicht via USA kommunizieren)? Wer erinnert sich noch an ICQ, MSN, und wie die ganzen vergessenen zentralen Messenger des letzten Jahrtausends (immernoch alle jünger als E-Mail!) auch hießen

  3. Re: Das Problem ist nicht PGP

    Autor: AllAgainstAds 24.06.15 - 13:08

    Dann muss das ganze mal von einer anderen Seite angefasst werden. Die Softwaregiganten sollten verpflichtet werden, ein entsprechendes sicheres Protokoll für Mail zu entwickeln und das mit der Priorität auf vorrangig Sicherheit … und dabei sollte man die Belange der Geheimdienste außen vor lassen.
    (Ich weis, das wird wohl niemals passieren, so lange es Geheimdienste, Regierungen und entsprechende Interessen dagegen gibt)

    Alternativ könnte man eines der derzeit favorisierten Verschlüsselungssysteme für alle verbindlich zur Vorschrift machen und sowas wie Threema dahingehend ausbauen, das es Email ersetzen kann. (mit all den Funktionen von Mail, sprich Anhänge in entsprechender Größe, Bilder in entsprechender Qualität, und alles, was man sonst noch mit Mail anstellt.)

    Fakt ist, wenn die Nutzer keinen Druck erzeugen wird das niemals zum Standard erhoben und wir werden immer wieder welche haben, die sich strickt weigern, Verschlüsslung anzuwenden.

  4. Re: Das Problem ist nicht PGP

    Autor: /mecki78 24.06.15 - 13:22

    PeterBBB schrieb:
    --------------------------------------------------------------------------------
    > Sehen wir uns die "positiven" Beispiele Whatsapp, Threema etc. an. Was
    > haben die? Eine zentrale Infrastruktur, die sich auch um den
    > Schlüsselaustausch kümmert.

    Jabber hat keine zentrale Infrastruktur; jeder kann seinen eigenen Jabber Server betreiben. Jabber unterstützt aber auch Verschlüsselung über OTR die der von Threema in nichts nach steht. Viele Jabber nutzen wissen nicht einmal, das sie OTR nutzen, weil im Idealfall bekommen sie nie etwas davon mit, was eher ein Schwachpunkt ist, weil somit das System im Falle der ersten Kontaktaufnahme angreifbar ist. Das Problem hat Whatsapp aber auch (das BTW nach wie vor nur unter Android verschlüsselt). Threema hat das Problem auch, aber da sieht man dann, dass der Nutzer nur einen gelben Möppel bekommt und erst nach einem Keyabgleich mit einem Empfänger ist der grün (so lange ist die Identität des anderen eben nicht gesichert).

    Man könnte PGP Schlüssel (als die öffentlichen) beim Mailanbieter hinterlegen, also dort, wo du auch deine Mailbox hast. Wenn du also eine Mail an hans.wurst@example.net schreibst, dann könnte doch dein Mail Client im DNS System nachschauen, welcher Server der Mail Server (Mail Exchange - MX) für example.net ist (so macht das auch der SMTP Server deines Mailanbieters, denn der muss ja auch wissen wohin mit der Mail) und den dann über ein neues Protokoll fragen "Hey, hast du einen PGP Public Key für den Nutzer hans.wurst?" Kündigst du dein Konto, wird dein Key gelöscht, ansonsten ist dein Mailanbieter verantwortlich dir ein Interface für das Management zu geben (Key hochladen, ausstauschen, zurückziehen, etc.)

    Die meisten Mailanbieter haben ja auch ein Webinterface zum anschauen von Mail, über das könnte man das alles abwickeln. Muss man nicht unbedingt ein neues Protokoll für schaffen, das geht auch über eine SMTP Erweiterung (SMTP lässt sich erweitern und SMTP muss der MX einer Domain sowieso sprechen, da führt kein Weg dran vorbei). Hast du einen Account bei zig Mailanbietern, dann kannst du bei jeden einen Key hinterlegen oder auch bei jeden den gleichen der für alle Adressen gilt (wie auch immer du willst). Für das Hinterlegen könnte man auch ein Protokoll erweitern (z.B. IMAP) und spätestens dann könnten Mail Clients das vollautomatisch machen für Nutzer:

    1. Mailkonto einrichten im Client

    2. Dialog "Es wurde kein Key gefunden .... Jetzt einen erstellen?"

    3. Ja -> Key wird erstellt, privater Schlüssel sicher lokal gespeichert, öffentlicher hochgeladen. Juhuu, du kannst sichere Mails empfangen und signieren. Sicher senden kannst du auch ohne alles das, dazu ist nur wichtig, dass deine Empfänger eine Key haben. Alternativ, wenn du schon einen hast, dann kannst du den auswählen und der öffentliche wird hinterlegt.

    Natürlich ist deine Identität damit nicht bestätigt, nur dass du Inhaber der Adresse hans.wurst@example.net bist (denn du kennst das Passwort um Mails von dieser Adresse abzurufen und das sollte nur der Inhaber kennen, sonst ist eh schon alles zu spät), aber das ist ja kein Beweis, dass du "Hans Wurst" bist. Identitätsprüfung wäre eben ein extra Schritt, so wie in Threema auch (und findet bei Whatsapp z.B. nie statt). Dann musst du dir den Key signieren lassen und dann eben auf den Server tauschen (den bisherigen gegen den signierten). Das wird immer etwas komplexer sein, das lässt sich nun mal nicht vermeiden.

    /Mecki

  5. Re: Das Problem ist nicht PGP

    Autor: zZz 24.06.15 - 13:32

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Dann muss das ganze mal von einer anderen Seite angefasst werden. Die
    > Softwaregiganten sollten verpflichtet werden, ein entsprechendes sicheres
    > Protokoll für Mail zu entwickeln und das mit der Priorität auf vorrangig
    > Sicherheit … und dabei sollte man die Belange der Geheimdienste außen
    > vor lassen.

    Wohin so ein Zwang führen würde, sollte sich jeder denken können. Da kommt der Zwang zu Hintertüre gleich mit. Das ganze Umdenken in der IT-Branche seit den Snowden-Enthüllungen hat einen guten Aspekt des amerikanischen Kapitalismus aufgezeigt: erst wenn es um Geld geht bzw. die Gefahr weniger davon zu verdienen (weil die Kunden weglaufen), tut sich was. Auf einmal überdenken die etablierten Riesen ihr Angebot und überall sprießen Alternativen aus dem Boden. Klar, wir sind noch weit weg von einem optimalen Szenario, aber immerhin hat ein Umdenken hat stattgefunden. Mit Zwang hätte da eher eine Scheinverbesserung stattgefunden.

  6. Re: Das Problem ist nicht PGP

    Autor: ironcold 24.06.15 - 13:38

    Das größte Problem ist wohl eher der private Schlüssel. Die meisten Mails liegen heute auf IMAP-Servern, wo die auch hingehören, wenn man von unterschiedlichen Geräten zugreifen will. Wenn die dort nicht verschlüsselt liegen, dann ist die ganze Verschlüsselung hinfällig. Der private Schlüssel sollte wohl eher nicht dort liegen, sonst ist auch alles hinfällig. Man muss also schon mal wieder manuell die Schlüssel zwischen allen zugreifenden Systemen tauschen. Und mal eben vom Internetcafe über Webinterface zuzugreifen wird auch zur Herausforderung. Und geht der Schlüssel verloren, können alle Mails nicht mehr gelesen werden.

  7. Re: Das Problem ist nicht PGP

    Autor: mauorrizze 24.06.15 - 13:47

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > 3. Ja -> Key wird erstellt, privater Schlüssel sicher lokal gespeichert,

    Hier liegt imo ein Problem, das mit deinem Vorschlag leider auch nicht gelöst wird. Ja, der Prozess ist automatisiert und leicht verwendbar, aber jetzt will ich eine verschlüsselte Mail nicht in diesem Client auf machen, sondern am Handy, oder im Webinterface. Dort hab ich aber im Moment bestenfalls Zugriff auf meinen öffentlichen Schlüssel, den Umgang mit den privaten muss ich selber regeln.

    Bei OTR ist das unproblematisch, Jabber ist wie E-Mail dezentral und multiclient-fähig. OTR verschlüsselt aber immer nur just in dem Moment die Verbindung zwischen den zwei verbundenen Clients. Es ist weder möglich, noch der Bedarf vorhanden, dass ich die Nachricht an einem zweiten Client entschlüssele. Bei E-Mail ist das anders.

    Der dezentrale und auf offenen Standards basierte Aufbau von E-Mail macht es so erfolgreich, aber das zu kombinieren mit Verschlüsselung ist halt ganz was anderes als mit den Direktnachrichten-Programmen. Deswegen halte ich es für ungerechtfertigt, zu sagen PGP und E-Mail sei Schrott, veraltet, benutzerunfreundlich usw. und als Positivbeispiel die Messenger zu nennen, wenn es da solche eklatanten Unterschiede in der Infrastruktur gibt. Ich vermute der einzige Weg da raus zu kommen ist was völlig neues zu schaffen wie mit Darkmail. Aber kompatibel zu E-Mail wird das wohl nicht bleiben und es wird somit schwer, E-Mail mal eben von einem Nachfolger zu verdrängen.

  8. Re: Das Problem ist nicht PGP

    Autor: /mecki78 24.06.15 - 14:06

    mauorrizze schrieb:
    --------------------------------------------------------------------------------
    > Ja, der Prozess ist automatisiert und leicht verwendbar, aber
    > jetzt will ich eine verschlüsselte Mail nicht in diesem Client auf machen,
    > sondern am Handy, oder im Webinterface.

    Dann musst du eben den privaten Schlüssel auf das Handy übertragen. Auch hierfür hätten sich schon lange super einfache, vielleicht größtenteils automatische Prozesse etablieren können. Würde man z.B. PGP Keys Zentral im System hinterlegen, so dass jede App weiß wo die liegen, dann könnte Sync Tools das sogar automatisch machen (z.B. könnte iTunes automatisch dafür sorgen, dass ein iPhone immer über alle privaten Schlüssel verfügt, die auch der Mac kennt, egal welchen Mail Client man am Mac benutzt).

    Webinterface wird immer ein Problem sein. Dazu musst du den privaten Schlüssel aus der Hand geben, was eigentlich ein absolutes No-Go ist. Was ich mir hier noch vorstellen könnte wäre, dass man in Browsern beibringt PGP zu nutzen, d.h. die webseite tagged PGP Inhalt (z.B. mit einem <pgp> HTML tag) und der Browser erledigt dann das entschlüsseln (davon siehst du gar nichts, du siehst immer nur den entschlüsselten Inhalt). Die Keys dafür zieht sich der Browser daher wo auch alle Mail Clients sich die Keys holen.

    Du kommst dann nicht an deine PGP Mails von jedem beliebigen Gerät, sondern eben nur von Rechnern, SmartPhones oder Tablets, die du mal synchronisiert hast, aber das ist eben Teil des Sicherheitskonzeptes. Du kannst ja gerne deine PGP Keys auch über so etwas wie LastPass oder OnePassword synchronisieren. Wenn es für alle Systeme eine zentrale, vom Systemhersteller fest definierte Speicherstelle und -format für PGP Keys gäbe, ich bin mir sicher, dass auch solche Tools das unterstützten wird und wenn du willst, dann werden deine PGP Keys (auch die privaten) über die Cloud gesynced (auf deine Verantwortung).

    /Mecki

  9. Re: Das Problem ist nicht PGP

    Autor: /mecki78 24.06.15 - 14:15

    ironcold schrieb:
    --------------------------------------------------------------------------------
    > Die meisten Mails
    > liegen heute auf IMAP-Servern, wo die auch hingehören, wenn man von
    > unterschiedlichen Geräten zugreifen will.

    Korrekt.

    > Wenn die dort nicht verschlüsselt
    > liegen, dann ist die ganze Verschlüsselung hinfällig.

    Korrekt.

    > Der private Schlüssel
    > sollte wohl eher nicht dort liegen, sonst ist auch alles hinfällig.

    Korrekt.

    > Man
    > muss also schon mal wieder manuell die Schlüssel zwischen allen
    > zugreifenden Systemen tauschen.

    Korrekt. Wobei das viel komfortabler und fast vollständig automatisch gehen könnte, wenn sie hier mal Standards etabliert hätten. Und auf Wunsch auch über Cloud Dienste (auf eigenes Risiko, aber das soll jeder selber entscheiden dürfen), ansonsten eben so wie lokaler Sync über Kabel (so wie man auch ohne Cloud Calendar oder Adressbücher syncen kann) oder über einen USB Stick oder so (jeder so sicher oder komfortabel wie er will). Und das macht man auch nicht wöchentlich, das macht man idealerweise einmal alle paar Jahre oder noch seltener.

    > Und mal eben vom Internetcafe über
    > Webinterface zuzugreifen wird auch zur Herausforderung.

    Wenn du aus einem Internetcafe auf sensible Daten zugreift, dann kannst du dir das alles auch sparen, weil dann hat sich das Thema Sicherheit schon erledigt. Woher weißt du dass dieser Rechner nicht einmal die Sekunde den Bildschirminhalt als Screenshots speichert oder gleich an eine Geheimdienst sendet? Das Teil kann mehr Trojaner als Systemdienste installiert haben. Schon alleine dein IMAP Passwort dort einzutippen (was ja auch das Webinterface Passwort sein dürfte) ist schon eine total bescheuerte Idee. Damit gibst du im Zweifelsfall Gott und der Welt Zugriff auf dein E-Mail Konto. Und jetzt überlegst du dir ernsthaft, wie du da deinen privaten PGP Schlüssel nutzen kannst? Gar nicht! Die Idee ist schon absurd.

    /Mecki

  10. Re: Das Problem ist nicht PGP

    Autor: peter_pan 24.06.15 - 14:44

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > PeterBBB schrieb:
    > ---------------------------------------------------------------------------

    > Jabber unterstützt aber auch Verschlüsselung über OTR die
    > der von Threema in nichts nach steht. Viele Jabber nutzen wissen nicht
    > einmal, das sie OTR nutzen, weil im Idealfall bekommen sie nie etwas davon
    > mit, was eher ein Schwachpunkt ist, weil somit das System im Falle der
    > ersten Kontaktaufnahme angreifbar ist.

    Jabber bzw. XMPP verschlüsselt doch nicht automatisch.
    OTR muss in aller Regel als Messenger-Addon installiert (sofern in lokalem Messenger genutzt) und eingerichtet (Key generieren, Finger-Prints der Anderen akzeptieren) werden.

  11. Re: Das Problem ist nicht PGP

    Autor: mauorrizze 24.06.15 - 15:33

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Schon alleine dein IMAP Passwort dort einzutippen (was ja auch das
    > Webinterface Passwort sein dürfte) ist schon eine total bescheuerte Idee.
    > Damit gibst du im Zweifelsfall Gott und der Welt Zugriff auf dein E-Mail
    > Konto. Und jetzt überlegst du dir ernsthaft, wie du da deinen privaten PGP
    > Schlüssel nutzen kannst? Gar nicht! Die Idee ist schon absurd.

    Protokoll aus der Sachverständigenanhörung zu De-Mail 2013 (ging um S/MIME):
    "BE Manuel Höferlin (FDP): Wenn ich im Urlaub in der Türkei in einen Internetshop gehe und meine De-Mail abrufen möchte, wie geht das? Kann ich mir das praktisch so vorstellen, ich rufe mein Web-De-Postfach oder mein E-Postfach ab, wenn De-Mail zertifiziert sind oder ich rufe sonst irgendjemanden an?"

    Das sind nun mal die Anforderungen an Verschlüsselung. 100% Sicherheit, egal wie man sich anstellt und ja keine Um- oder Eingewöhnung.
    Deshalb finde ich es auch schwer mit E-Mail und PGP eine 1-Click-Lösung zu bekommen die die Mehrheit zufriedenstellt. Dazu fehlt entweder Awareness bei den Nutzern oder dass Firmen sich wirklich zusammensetzen um Standards (weiter) zu entwickeln. Ich sage nicht dass das ich mir das nicht wünsche oder für unmöglich halte, aber schon für ziemlich aussichtslos.

    Es ist ja auch schon ziemlich fahrlässig, Schlüssel auf dem mobilen Gerät zu haben. Handy vergessen oder geklaut, schon müsste man revoken.

    Bei richtiger Handhabung ist PGP extrem sicher. Jetzt aber mit zig Hilfswerkzeugen die Nutzerfreundlichkeit auf Kosten der Sicherheit zu verbessern, finde ich ungeschickt, auch wenn nicht jeder dieses hohe Maß an Sicherheit benötigt und wir als Mittel gegen Massenüberwachung in erster Linie mehr Verschlüsselung, egal wie, wollen.

  12. Re: Das Problem ist nicht PGP

    Autor: der_wahre_hannes 24.06.15 - 15:39

    thomas001le schrieb:
    --------------------------------------------------------------------------------
    > Wer erinnert sich noch an ICQ, MSN, und wie
    > die ganzen vergessenen zentralen Messenger des letzten Jahrtausends
    > (immernoch alle jünger als E-Mail!) auch hießen

    *Hand heb*

    Ich bin sogar noch täglich in ICQ online. :)

    Wobei ich aber sagen muss, dass sich die Anzahl der Leute, mit denen ich regelmäßig über ICQ kommuniziere, von ca. 10 auf gerade mal 2 reduziert hat in den letzten Jahren. ^^

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. 1WorldSync GmbH, Köln
  2. tbs Computer-Systeme GmbH, Waarkirchen Raum Tegernsee
  3. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  4. PUREN Pharma GmbH & Co. KG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. mit TV-, Netzwerk- und Kameraangeboten)
  2. (aktuell u. a. Haushaltsgeräte)
  3. 49,90€ (Bestpreis!)
  4. 87,90€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
Nuki Smart Lock 2.0 im Test
Tolles Aufsatzschloss hat Software-Schwächen

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski


    2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
    2FA mit TOTP-Standard
    GMX sichert Mail und Cloud mit zweitem Faktor

    Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.
    Von Moritz Tremmel


      1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
        Videostreaming
        Netflix und Amazon Prime Video locken mehr Kunden

        Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

      2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
        Huawei
        Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

        Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

      3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
        TV-Serie
        Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

        Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


      1. 12:24

      2. 12:09

      3. 11:54

      4. 11:33

      5. 14:32

      6. 12:00

      7. 11:30

      8. 11:00