Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › "Bau keine eigenen Protokolle…

Es ist Zeit für ein neues Protokoll

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 10:48

    Imho sind addons wie S/MIME & PGP einfach veraltet, unkomfortabel und nervig.
    Alleine schon, das die Header Daten nicht verschlüsselt werden, disqualifiziert es für mich, um als sicher zu gelten. E-Mail 2.0 mit im Protokoll integrierter Verschlüsselung wäre angebracht....
    Auch wenn ich die Lösung von Vaderphone nicht gutheißen kann, da closed source, geht das schon in die richtige Richtung, auch wenn ich nicht glaube, dass die eine End2End verschüsselung haben, die bei E-Mail2.0 pflicht wäre.



    1 mal bearbeitet, zuletzt am 04.12.15 10:50 durch Drag_and_Drop.

  2. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 11:33

    Ein neues Protokoll ist in Arbeit und nennt sich DIME (https://www.darkmail.info/)
    Aber bis du ein bestehendes System durch ein neues abgelöst hast vergeht viel Zeit.
    Daher ist es enorm wichtig bis dahin dennoch so gut es geht zu verschlüsseln und da geht eben am etablierten S/Mime und PGP erstmal kein weg vorbei.

    Ende-zu-Ende-Verschlüsselung für den Inhalt und Transportverschlüsselung bei den Mailservern, besser als das wird es erstmal kaum gehen.

  3. Re: Es ist Zeit für ein neues Protokoll

    Autor: non_sense 04.12.15 - 11:57

  4. Re: Es ist Zeit für ein neues Protokoll

    Autor: ernstl 04.12.15 - 12:05

    Genau darauf habe ich gehofft :)

  5. Re: Es ist Zeit für ein neues Protokoll

    Autor: frostbitten king 04.12.15 - 12:09

    Klar. Slashdots mandatory xkcd reference.

  6. Re: Es ist Zeit für ein neues Protokoll

    Autor: nicoledos 04.12.15 - 12:33

    S/MIME & PGP haben ihre schwächen, nur schlecht sind diese nicht. Es hakt an der Umsetzung. Die aktuellen Mailclients sind als reine E-Mail-Anwendung oder PIM konzipiert. Die Verschlüsselungsprotokolle stehen nicht im Fokus bei der Entwicklung und der Usability und werden nur irgendwie mit ran gehängt oder als AddOn umgesetzt. Als Folge wirkt alles wie ein komplizierter Fremdkörper.

    Würde man die Anwendung um die Sicherheitsfunktionen herum bauen und die Dialoge entsprechend gestalten flexibel gestalten wäre die größte Hürde bereits genommen. Die Schwierigkeit läge "nur noch" in der Aufbewahrung der Schlüssel.

  7. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 12:51

    Imho, alles was nicht die Metadaten mit verschlüsselt, kann ich nicht ernsthaft empfehlen. Es ist besser als nichts, aber bei weitem nicht perfekt, geschweige denn standardisiert. Ich kann keinem meiner Kunden das annähernd schmackhaft machen, allein mit dem Schlüsselaustausch Sind die überfordert.
    Die einzigen Kunden, die effektiv und viel Verschlüsseln, sind meine Datev Kanzleien, die das über DATEVnet machen, da da die Sache mit einem! Mausklick erledigt ist.

  8. Re: Es ist Zeit für ein neues Protokoll

    Autor: negecy 04.12.15 - 12:53

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > S/MIME & PGP haben ihre schwächen, nur schlecht sind diese nicht. Es hakt
    > an der Umsetzung. Die aktuellen Mailclients sind als reine E-Mail-Anwendung
    > oder PIM konzipiert. Die Verschlüsselungsprotokolle stehen nicht im Fokus
    > bei der Entwicklung und der Usability und werden nur irgendwie mit ran
    > gehängt oder als AddOn umgesetzt. Als Folge wirkt alles wie ein
    > komplizierter Fremdkörper.

    Das ist doch Quatsch. S/MIME ist in nahezu jeden Mailclient integriert, das Problem ist die Verbreitung der Zertifikate. PGP ist in der Tat nur als Addon verfügbar, aber auf Grund der fehlenden Validierung auch nur bedingt einsetzbar. Kostenlose Zertifikate bekommt man auch bei S/MIME für die private Nutzung, es besteht daher kein Grund für PGP, auf Grund fehlender dritter Stellen gibt es hier auch keine Garantien auf Mindeststandards, Rückzug oder Ablauf alter Zertifikate usw.

  9. Re: Es ist Zeit für ein neues Protokoll

    Autor: nicoledos 04.12.15 - 13:13

    Klar ist S/MIME in den meisten drin, nur sind die Funktionen zur Zertifikatsverwaltung in Untermenüs versteckt und spartanisch Funktionell gehalten.
    zb beim Thunderbird: Einstellungen > Erweitert > Zertifikate

  10. Re: Es ist Zeit für ein neues Protokoll

    Autor: tsp 04.12.15 - 13:27

    negecy schrieb:
    --------------------------------------------------------------------------------
    > Das ist doch Quatsch. S/MIME ist in nahezu jeden Mailclient integriert, das
    > Problem ist die Verbreitung der Zertifikate. PGP ist in der Tat nur als
    > Addon verfügbar, aber auf Grund der fehlenden Validierung auch nur bedingt
    > einsetzbar. Kostenlose Zertifikate bekommt man auch bei S/MIME für die
    > private Nutzung, es besteht daher kein Grund für PGP, auf Grund fehlender
    > dritter Stellen gibt es hier auch keine Garantien auf Mindeststandards,
    > Rückzug oder Ablauf alter Zertifikate usw.

    Dank der fehlenden dritten Stellen ist es bei PGP allerdings durch das Web of trust um einiges schwerer für beliebige Mailadressen (außer im näheren Umfeld) gefälschte Schlüssel in Umlauf zu bringen (sofern die Unterschriften durch die Personen, denen man selbst vertraut entsprechend verantwortungsbewusst vergeben werden) - im Gegensatz zu S/MIME wo eine einzige kompromittierte CA ausreicht um weltweit beliebige Zertifikate für beliebige Mailadressen auszustellen ...

  11. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 14:50

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > Klar ist S/MIME in den meisten drin, nur sind die Funktionen zur
    > Zertifikatsverwaltung in Untermenüs versteckt und spartanisch Funktionell
    > gehalten.
    > zb beim Thunderbird: Einstellungen > Erweitert > Zertifikate

    und genau das ist und wird immer das Problem sein. Der Anwender wird es nur unter einer Bedingung nutzen und zwar, wenn sich nichts ändert.
    Keiner, auch nicht ein eiziger, will sich mit der technick auseinandersetzen, was heißt, der Zertifikatsaustausch muss vollautomatisch geschehen.

    Gut wäre also was:
    1. Client schreibt Nachricht
    2. Client schaut über den MX-Record beim Mailserver nach, wie der public key des Empfänger ist und läd ihn herunter
    3. verschlüsselt Header, body und anhänge lokal
    4. sendet es per TLS Verbindung an den Empfängerserver.
    5. Empfänger meldet sich beim server an und läd per TLS Verbindung seinen Private key herunter bzw. vergleicht, ob der aktuelle noch gültig ist, oder ob es einen neuen privaten Schlüssel gibt.
    6. Empfänger lädt verschlüsselte Nachricht auf Client und entschlüsselt diese.

    Das wäre ein Protokoll, was man leicht in die bestehende Infrastruktur integrieren könnte, was aber auch so transparent wäre, das keiner bemerken würde, dass das alles im Hintergrund abläuft.

  12. Re: Es ist Zeit für ein neues Protokoll

    Autor: OhYeah 04.12.15 - 15:19

    Wird Zeit für das YOLO-Protokoll - you only login once

    Swag

  13. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 15:22

    Manchmal braucht es wirklich etwas neues.
    DIME mit dem Zwiebelschalenprinzip sieht für Metadaten einfach besser geeignet aus.

    Absender, sieht ZielMailadresse
    Server des Abenders , sieht Absender & Zieldomäne
    Zieldomäne , sieht Empfangendes Postfach und sendenden Server

    Aber beide Server wissen nicht wer an wen genau die Mail schickt.
    Das kannst du momentan im herkömlichen System so nicht sauber lösen, trotzt PGP&S.Mime

  14. Re: Es ist Zeit für ein neues Protokoll

    Autor: tingelchen 04.12.15 - 15:55

    > S/MIME ist in nahezu jeden Mailclient integriert
    >
    Viel Spass mit den Mobile Apps. Da kann man ja schon froh sein wenn sie die Passwörter auch verschlüsselt übermitteln können.

  15. Re: Es ist Zeit für ein neues Protokoll

    Autor: pizuzz 04.12.15 - 16:02

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > > S/MIME ist in nahezu jeden Mailclient integriert
    > >
    > Viel Spass mit den Mobile Apps. Da kann man ja schon froh sein wenn sie die
    > Passwörter auch verschlüsselt übermitteln können.

    Also der Mail-Client von iOS unterstützt S/MIME schon seit einer gefühlten Ewigkeit.

  16. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 16:31

    nicht MX Record,
    SMIMEA /OPENPGPKEY Record, die sind schon als Typ vergeben worden vom zuständigen Gremium und werden auch bald von Posteo ausgerollt.
    Da kann dann dein Mailprogramm nachschauen.

  17. Re: Es ist Zeit für ein neues Protokoll

    Autor: 486dx4-160 04.12.15 - 18:05

    > 5. Empfänger meldet sich beim server an und läd per TLS Verbindung seinen Private key herunter bzw. vergleicht, ob der aktuelle noch gültig ist, oder ob es einen neuen privaten Schlüssel gibt.

    PGP hält sich an deine Liste. Bis auf Punkt 5. Und das muss auch so sein: Der Private Key muss nämlich privat bleiben.

  18. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 19:12

    Seit wann funktioniert der Keyaustausch bei PGP automatisch? Mal von öffentlichen Keyservern abgesehen, die keiner, den ich kenne nutzt, muss dir Derjenigen erst einmal seine Signatur / Öffentlicher Schlüssel schicken.
    Und wie gesagt, das wird niemals eine breite Masse erreichen, wenn der Enduser irgendwas von den Zertifikaten mitbekommt, denn dann wir es Kompliziert und dann schickt man es doch lieber Platintext...
    Ich hab jetzt mittlerweile bei über 40 Kunden bzw. 200 Usern S/Mime am laufen, davon nutzen es genau 6 Regelmäßig, 30-35 nur für extrem sensible Kommunikation und der Rest gar nicht.

  19. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 19:24

    Du hast in Enigmail die Option deinen öffentlichen Schlüssel an alle ausgehenden Mails anzuhängen und kannst eingehende angehängte Schlüssel importieren.
    Mit einer zukünftigen Version von Enigmail mit eingebauter PrettyEasyPrivacy-Engine musst du noch nicht mal das machen. Nebenbei wird es dann auf dem Keyserver nachschauen ob was passendes vorhanden ist.

  20. Re: Es ist Zeit für ein neues Protokoll

    Autor: maverick1977 05.12.15 - 08:50

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Du hast in Enigmail die Option deinen öffentlichen Schlüssel an alle
    > ausgehenden Mails anzuhängen und kannst eingehende angehängte Schlüssel
    > importieren.

    Der öffentliche Schlüssel dient doch dazu, die ausgehenden Mails beim Empfänger wieder zu entschlüsseln, oder? Warum verschlüsselt man denn dann überhaupt, wenn der Schlüssel zum aufschließen gleich mitverschickt wird?

    Klar, die Antwort darauf, die mit dem öffentlichen Schlüssel verschlüsselt wird, kann nur mit dem privaten Schlüssel entschlüsselt werden. Aber eine wirklich sichere Kommunikation ist das meiner Meinung nach nicht, oder habe ich an dem Prinzip etwas nicht so richtig verstanden?

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Wentronic GmbH, Braunschweig
  2. TUI InfoTec GmbH, Hannover
  3. Hays AG, Raum Nürnberg
  4. Heinle, Wischer und Partner Freie Architekten GbR, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 69,95€ mit Vorbesteller-Preisgarantie
  2. (-68%) 8,99€
  3. 69,99€
  4. 589,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Intellimouse Classic im Test: Microsofts heimliches Bluetrack-Upgrade
Intellimouse Classic im Test
Microsofts heimliches Bluetrack-Upgrade
  1. Kailh KS-Switch im Test Die bessere Alternative zu Cherrys MX Blue
  2. Valve Switch-Pro-Gamepad läuft über Steam mit PC-Spielen
  3. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger

Linux: Mit Ignoranz gegen die GPL
Linux
Mit Ignoranz gegen die GPL
  1. IMHO Ein Lob für Twitter und Github

Elektromobilität: Alstoms E-Bus Aptis trotzt dem Berliner Winter
Elektromobilität
Alstoms E-Bus Aptis trotzt dem Berliner Winter
  1. Sattelschlepper US-Hersteller Peterbilt will ebenfalls Elektro-Lkw bauen
  2. Ujet Faltbare Elektroroller sollen die Stadt platzsparend erobern
  3. Byton Maos Staatslimousine soll zum Elektroauto werden

  1. NFC: Yubikeys arbeiten ab sofort mit dem iPhone zusammen
    NFC
    Yubikeys arbeiten ab sofort mit dem iPhone zusammen

    iPhone-Nutzer können die One-Time-Passwort-Funktion des Yubikey nutzen, um sich bei einer Applikation anzumelden. Als erster Hersteller unterstützt der Passwortmanager Lastpass das neue Software-Development-Kit.

  2. DxO-Test: Neues HTC U12+ hat zweitbeste Smartphone-Kamera
    DxO-Test
    Neues HTC U12+ hat zweitbeste Smartphone-Kamera

    Im bekannten Kameratest von DxO hat HTCs neues U12+ sehr gut abgeschnitten: Das Smartphone schafft es auf den zweiten Platz in der aktuellen Rangliste und übertrumpft damit Geräte von Samsung und Apple. HTC muss sich nur Huawei geschlagen geben.

  3. Pearl: Online-Versand darf Konto im EU-Ausland nicht ablehnen
    Pearl
    Online-Versand darf Konto im EU-Ausland nicht ablehnen

    Ein Auslandskonto in der EU darf für Pearl kein Grund zur Ablehnung einer Bestellung sein. Das hat der Verbraucherzentrale Bundesverband vor Gericht durchgesetzt. Pearl kann nun noch vor den Bundesgerichtshof ziehen.


  1. 17:00

  2. 16:45

  3. 16:31

  4. 16:17

  5. 16:03

  6. 15:36

  7. 15:13

  8. 14:52