Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › "Bau keine eigenen Protokolle…

Es ist Zeit für ein neues Protokoll

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 10:48

    Imho sind addons wie S/MIME & PGP einfach veraltet, unkomfortabel und nervig.
    Alleine schon, das die Header Daten nicht verschlüsselt werden, disqualifiziert es für mich, um als sicher zu gelten. E-Mail 2.0 mit im Protokoll integrierter Verschlüsselung wäre angebracht....
    Auch wenn ich die Lösung von Vaderphone nicht gutheißen kann, da closed source, geht das schon in die richtige Richtung, auch wenn ich nicht glaube, dass die eine End2End verschüsselung haben, die bei E-Mail2.0 pflicht wäre.



    1 mal bearbeitet, zuletzt am 04.12.15 10:50 durch Drag_and_Drop.

  2. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 11:33

    Ein neues Protokoll ist in Arbeit und nennt sich DIME (https://www.darkmail.info/)
    Aber bis du ein bestehendes System durch ein neues abgelöst hast vergeht viel Zeit.
    Daher ist es enorm wichtig bis dahin dennoch so gut es geht zu verschlüsseln und da geht eben am etablierten S/Mime und PGP erstmal kein weg vorbei.

    Ende-zu-Ende-Verschlüsselung für den Inhalt und Transportverschlüsselung bei den Mailservern, besser als das wird es erstmal kaum gehen.

  3. Re: Es ist Zeit für ein neues Protokoll

    Autor: non_sense 04.12.15 - 11:57

  4. Re: Es ist Zeit für ein neues Protokoll

    Autor: ernstl 04.12.15 - 12:05

    Genau darauf habe ich gehofft :)

  5. Re: Es ist Zeit für ein neues Protokoll

    Autor: frostbitten king 04.12.15 - 12:09

    Klar. Slashdots mandatory xkcd reference.

  6. Re: Es ist Zeit für ein neues Protokoll

    Autor: nicoledos 04.12.15 - 12:33

    S/MIME & PGP haben ihre schwächen, nur schlecht sind diese nicht. Es hakt an der Umsetzung. Die aktuellen Mailclients sind als reine E-Mail-Anwendung oder PIM konzipiert. Die Verschlüsselungsprotokolle stehen nicht im Fokus bei der Entwicklung und der Usability und werden nur irgendwie mit ran gehängt oder als AddOn umgesetzt. Als Folge wirkt alles wie ein komplizierter Fremdkörper.

    Würde man die Anwendung um die Sicherheitsfunktionen herum bauen und die Dialoge entsprechend gestalten flexibel gestalten wäre die größte Hürde bereits genommen. Die Schwierigkeit läge "nur noch" in der Aufbewahrung der Schlüssel.

  7. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 12:51

    Imho, alles was nicht die Metadaten mit verschlüsselt, kann ich nicht ernsthaft empfehlen. Es ist besser als nichts, aber bei weitem nicht perfekt, geschweige denn standardisiert. Ich kann keinem meiner Kunden das annähernd schmackhaft machen, allein mit dem Schlüsselaustausch Sind die überfordert.
    Die einzigen Kunden, die effektiv und viel Verschlüsseln, sind meine Datev Kanzleien, die das über DATEVnet machen, da da die Sache mit einem! Mausklick erledigt ist.

  8. Re: Es ist Zeit für ein neues Protokoll

    Autor: negecy 04.12.15 - 12:53

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > S/MIME & PGP haben ihre schwächen, nur schlecht sind diese nicht. Es hakt
    > an der Umsetzung. Die aktuellen Mailclients sind als reine E-Mail-Anwendung
    > oder PIM konzipiert. Die Verschlüsselungsprotokolle stehen nicht im Fokus
    > bei der Entwicklung und der Usability und werden nur irgendwie mit ran
    > gehängt oder als AddOn umgesetzt. Als Folge wirkt alles wie ein
    > komplizierter Fremdkörper.

    Das ist doch Quatsch. S/MIME ist in nahezu jeden Mailclient integriert, das Problem ist die Verbreitung der Zertifikate. PGP ist in der Tat nur als Addon verfügbar, aber auf Grund der fehlenden Validierung auch nur bedingt einsetzbar. Kostenlose Zertifikate bekommt man auch bei S/MIME für die private Nutzung, es besteht daher kein Grund für PGP, auf Grund fehlender dritter Stellen gibt es hier auch keine Garantien auf Mindeststandards, Rückzug oder Ablauf alter Zertifikate usw.

  9. Re: Es ist Zeit für ein neues Protokoll

    Autor: nicoledos 04.12.15 - 13:13

    Klar ist S/MIME in den meisten drin, nur sind die Funktionen zur Zertifikatsverwaltung in Untermenüs versteckt und spartanisch Funktionell gehalten.
    zb beim Thunderbird: Einstellungen > Erweitert > Zertifikate

  10. Re: Es ist Zeit für ein neues Protokoll

    Autor: tsp 04.12.15 - 13:27

    negecy schrieb:
    --------------------------------------------------------------------------------
    > Das ist doch Quatsch. S/MIME ist in nahezu jeden Mailclient integriert, das
    > Problem ist die Verbreitung der Zertifikate. PGP ist in der Tat nur als
    > Addon verfügbar, aber auf Grund der fehlenden Validierung auch nur bedingt
    > einsetzbar. Kostenlose Zertifikate bekommt man auch bei S/MIME für die
    > private Nutzung, es besteht daher kein Grund für PGP, auf Grund fehlender
    > dritter Stellen gibt es hier auch keine Garantien auf Mindeststandards,
    > Rückzug oder Ablauf alter Zertifikate usw.

    Dank der fehlenden dritten Stellen ist es bei PGP allerdings durch das Web of trust um einiges schwerer für beliebige Mailadressen (außer im näheren Umfeld) gefälschte Schlüssel in Umlauf zu bringen (sofern die Unterschriften durch die Personen, denen man selbst vertraut entsprechend verantwortungsbewusst vergeben werden) - im Gegensatz zu S/MIME wo eine einzige kompromittierte CA ausreicht um weltweit beliebige Zertifikate für beliebige Mailadressen auszustellen ...

  11. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 14:50

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > Klar ist S/MIME in den meisten drin, nur sind die Funktionen zur
    > Zertifikatsverwaltung in Untermenüs versteckt und spartanisch Funktionell
    > gehalten.
    > zb beim Thunderbird: Einstellungen > Erweitert > Zertifikate

    und genau das ist und wird immer das Problem sein. Der Anwender wird es nur unter einer Bedingung nutzen und zwar, wenn sich nichts ändert.
    Keiner, auch nicht ein eiziger, will sich mit der technick auseinandersetzen, was heißt, der Zertifikatsaustausch muss vollautomatisch geschehen.

    Gut wäre also was:
    1. Client schreibt Nachricht
    2. Client schaut über den MX-Record beim Mailserver nach, wie der public key des Empfänger ist und läd ihn herunter
    3. verschlüsselt Header, body und anhänge lokal
    4. sendet es per TLS Verbindung an den Empfängerserver.
    5. Empfänger meldet sich beim server an und läd per TLS Verbindung seinen Private key herunter bzw. vergleicht, ob der aktuelle noch gültig ist, oder ob es einen neuen privaten Schlüssel gibt.
    6. Empfänger lädt verschlüsselte Nachricht auf Client und entschlüsselt diese.

    Das wäre ein Protokoll, was man leicht in die bestehende Infrastruktur integrieren könnte, was aber auch so transparent wäre, das keiner bemerken würde, dass das alles im Hintergrund abläuft.

  12. Re: Es ist Zeit für ein neues Protokoll

    Autor: OhYeah 04.12.15 - 15:19

    Wird Zeit für das YOLO-Protokoll - you only login once

    Swag

  13. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 15:22

    Manchmal braucht es wirklich etwas neues.
    DIME mit dem Zwiebelschalenprinzip sieht für Metadaten einfach besser geeignet aus.

    Absender, sieht ZielMailadresse
    Server des Abenders , sieht Absender & Zieldomäne
    Zieldomäne , sieht Empfangendes Postfach und sendenden Server

    Aber beide Server wissen nicht wer an wen genau die Mail schickt.
    Das kannst du momentan im herkömlichen System so nicht sauber lösen, trotzt PGP&S.Mime

  14. Re: Es ist Zeit für ein neues Protokoll

    Autor: tingelchen 04.12.15 - 15:55

    > S/MIME ist in nahezu jeden Mailclient integriert
    >
    Viel Spass mit den Mobile Apps. Da kann man ja schon froh sein wenn sie die Passwörter auch verschlüsselt übermitteln können.

  15. Re: Es ist Zeit für ein neues Protokoll

    Autor: pizuzz 04.12.15 - 16:02

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > > S/MIME ist in nahezu jeden Mailclient integriert
    > >
    > Viel Spass mit den Mobile Apps. Da kann man ja schon froh sein wenn sie die
    > Passwörter auch verschlüsselt übermitteln können.

    Also der Mail-Client von iOS unterstützt S/MIME schon seit einer gefühlten Ewigkeit.

  16. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 16:31

    nicht MX Record,
    SMIMEA /OPENPGPKEY Record, die sind schon als Typ vergeben worden vom zuständigen Gremium und werden auch bald von Posteo ausgerollt.
    Da kann dann dein Mailprogramm nachschauen.

  17. Re: Es ist Zeit für ein neues Protokoll

    Autor: 486dx4-160 04.12.15 - 18:05

    > 5. Empfänger meldet sich beim server an und läd per TLS Verbindung seinen Private key herunter bzw. vergleicht, ob der aktuelle noch gültig ist, oder ob es einen neuen privaten Schlüssel gibt.

    PGP hält sich an deine Liste. Bis auf Punkt 5. Und das muss auch so sein: Der Private Key muss nämlich privat bleiben.

  18. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 19:12

    Seit wann funktioniert der Keyaustausch bei PGP automatisch? Mal von öffentlichen Keyservern abgesehen, die keiner, den ich kenne nutzt, muss dir Derjenigen erst einmal seine Signatur / Öffentlicher Schlüssel schicken.
    Und wie gesagt, das wird niemals eine breite Masse erreichen, wenn der Enduser irgendwas von den Zertifikaten mitbekommt, denn dann wir es Kompliziert und dann schickt man es doch lieber Platintext...
    Ich hab jetzt mittlerweile bei über 40 Kunden bzw. 200 Usern S/Mime am laufen, davon nutzen es genau 6 Regelmäßig, 30-35 nur für extrem sensible Kommunikation und der Rest gar nicht.

  19. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 19:24

    Du hast in Enigmail die Option deinen öffentlichen Schlüssel an alle ausgehenden Mails anzuhängen und kannst eingehende angehängte Schlüssel importieren.
    Mit einer zukünftigen Version von Enigmail mit eingebauter PrettyEasyPrivacy-Engine musst du noch nicht mal das machen. Nebenbei wird es dann auf dem Keyserver nachschauen ob was passendes vorhanden ist.

  20. Re: Es ist Zeit für ein neues Protokoll

    Autor: maverick1977 05.12.15 - 08:50

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Du hast in Enigmail die Option deinen öffentlichen Schlüssel an alle
    > ausgehenden Mails anzuhängen und kannst eingehende angehängte Schlüssel
    > importieren.

    Der öffentliche Schlüssel dient doch dazu, die ausgehenden Mails beim Empfänger wieder zu entschlüsseln, oder? Warum verschlüsselt man denn dann überhaupt, wenn der Schlüssel zum aufschließen gleich mitverschickt wird?

    Klar, die Antwort darauf, die mit dem öffentlichen Schlüssel verschlüsselt wird, kann nur mit dem privaten Schlüssel entschlüsselt werden. Aber eine wirklich sichere Kommunikation ist das meiner Meinung nach nicht, oder habe ich an dem Prinzip etwas nicht so richtig verstanden?

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. abilex GmbH, Berlin
  2. TQ-Systems GmbH, Gut Delling bei München
  3. Bosch Gruppe, Magdeburg
  4. BWI GmbH, Meckenheim, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Miix 630 Lenovos ARM-Detachable kostet 1.000 Euro
  2. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  3. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  3. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Chang'e 4 China stellt neuen Mondrover vor
  2. Raumfahrt Cubesats sollen unhackbar werden
  3. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an

  1. TS-251B: Qnaps Consumer-NAS hat einen PCIe-Slot
    TS-251B
    Qnaps Consumer-NAS hat einen PCIe-Slot

    Mit dem TS-251B veröffentlicht Qnap ein NAS für zwei 3,5-Zoll-Festplatten, welches einen PCIe-Slot aufweist. Der eignet sich für Erweiterungskarten mit NVMe/Sata-SSDs, mit WLAN, mit USB 3.1 Gen2 oder mit 10-GBit/s-Ethernet.

  2. Vodafone: Zahl der Nutzer der Routerfreiheit hat sich verdoppelt
    Vodafone
    Zahl der Nutzer der Routerfreiheit hat sich verdoppelt

    Nach dem Ende des Routerzwangs hat es etwas gedauert, bis die Nutzer umsteigen. Doch die Tendenz ist nun eindeutig.

  3. Gremium: Merkel sucht unbequeme Digitalexperten
    Gremium
    Merkel sucht unbequeme Digitalexperten

    Für mehr Verve und Antrieb bei der Digitalisierung will Bundeskanzlerin Merkel einen Digitalrat gründen. Als Mitglied sind zehn Experten unterschiedlicher Fachrichtungen gesucht.


  1. 15:02

  2. 14:45

  3. 14:18

  4. 11:33

  5. 11:04

  6. 18:00

  7. 17:30

  8. 17:15