Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › "Bau keine eigenen Protokolle…

Es ist Zeit für ein neues Protokoll

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 10:48

    Imho sind addons wie S/MIME & PGP einfach veraltet, unkomfortabel und nervig.
    Alleine schon, das die Header Daten nicht verschlüsselt werden, disqualifiziert es für mich, um als sicher zu gelten. E-Mail 2.0 mit im Protokoll integrierter Verschlüsselung wäre angebracht....
    Auch wenn ich die Lösung von Vaderphone nicht gutheißen kann, da closed source, geht das schon in die richtige Richtung, auch wenn ich nicht glaube, dass die eine End2End verschüsselung haben, die bei E-Mail2.0 pflicht wäre.



    1 mal bearbeitet, zuletzt am 04.12.15 10:50 durch Drag_and_Drop.

  2. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 11:33

    Ein neues Protokoll ist in Arbeit und nennt sich DIME (https://www.darkmail.info/)
    Aber bis du ein bestehendes System durch ein neues abgelöst hast vergeht viel Zeit.
    Daher ist es enorm wichtig bis dahin dennoch so gut es geht zu verschlüsseln und da geht eben am etablierten S/Mime und PGP erstmal kein weg vorbei.

    Ende-zu-Ende-Verschlüsselung für den Inhalt und Transportverschlüsselung bei den Mailservern, besser als das wird es erstmal kaum gehen.

  3. Re: Es ist Zeit für ein neues Protokoll

    Autor: non_sense 04.12.15 - 11:57

  4. Re: Es ist Zeit für ein neues Protokoll

    Autor: ernstl 04.12.15 - 12:05

    Genau darauf habe ich gehofft :)

  5. Re: Es ist Zeit für ein neues Protokoll

    Autor: frostbitten king 04.12.15 - 12:09

    Klar. Slashdots mandatory xkcd reference.

  6. Re: Es ist Zeit für ein neues Protokoll

    Autor: nicoledos 04.12.15 - 12:33

    S/MIME & PGP haben ihre schwächen, nur schlecht sind diese nicht. Es hakt an der Umsetzung. Die aktuellen Mailclients sind als reine E-Mail-Anwendung oder PIM konzipiert. Die Verschlüsselungsprotokolle stehen nicht im Fokus bei der Entwicklung und der Usability und werden nur irgendwie mit ran gehängt oder als AddOn umgesetzt. Als Folge wirkt alles wie ein komplizierter Fremdkörper.

    Würde man die Anwendung um die Sicherheitsfunktionen herum bauen und die Dialoge entsprechend gestalten flexibel gestalten wäre die größte Hürde bereits genommen. Die Schwierigkeit läge "nur noch" in der Aufbewahrung der Schlüssel.

  7. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 12:51

    Imho, alles was nicht die Metadaten mit verschlüsselt, kann ich nicht ernsthaft empfehlen. Es ist besser als nichts, aber bei weitem nicht perfekt, geschweige denn standardisiert. Ich kann keinem meiner Kunden das annähernd schmackhaft machen, allein mit dem Schlüsselaustausch Sind die überfordert.
    Die einzigen Kunden, die effektiv und viel Verschlüsseln, sind meine Datev Kanzleien, die das über DATEVnet machen, da da die Sache mit einem! Mausklick erledigt ist.

  8. Re: Es ist Zeit für ein neues Protokoll

    Autor: negecy 04.12.15 - 12:53

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > S/MIME & PGP haben ihre schwächen, nur schlecht sind diese nicht. Es hakt
    > an der Umsetzung. Die aktuellen Mailclients sind als reine E-Mail-Anwendung
    > oder PIM konzipiert. Die Verschlüsselungsprotokolle stehen nicht im Fokus
    > bei der Entwicklung und der Usability und werden nur irgendwie mit ran
    > gehängt oder als AddOn umgesetzt. Als Folge wirkt alles wie ein
    > komplizierter Fremdkörper.

    Das ist doch Quatsch. S/MIME ist in nahezu jeden Mailclient integriert, das Problem ist die Verbreitung der Zertifikate. PGP ist in der Tat nur als Addon verfügbar, aber auf Grund der fehlenden Validierung auch nur bedingt einsetzbar. Kostenlose Zertifikate bekommt man auch bei S/MIME für die private Nutzung, es besteht daher kein Grund für PGP, auf Grund fehlender dritter Stellen gibt es hier auch keine Garantien auf Mindeststandards, Rückzug oder Ablauf alter Zertifikate usw.

  9. Re: Es ist Zeit für ein neues Protokoll

    Autor: nicoledos 04.12.15 - 13:13

    Klar ist S/MIME in den meisten drin, nur sind die Funktionen zur Zertifikatsverwaltung in Untermenüs versteckt und spartanisch Funktionell gehalten.
    zb beim Thunderbird: Einstellungen > Erweitert > Zertifikate

  10. Re: Es ist Zeit für ein neues Protokoll

    Autor: tsp 04.12.15 - 13:27

    negecy schrieb:
    --------------------------------------------------------------------------------
    > Das ist doch Quatsch. S/MIME ist in nahezu jeden Mailclient integriert, das
    > Problem ist die Verbreitung der Zertifikate. PGP ist in der Tat nur als
    > Addon verfügbar, aber auf Grund der fehlenden Validierung auch nur bedingt
    > einsetzbar. Kostenlose Zertifikate bekommt man auch bei S/MIME für die
    > private Nutzung, es besteht daher kein Grund für PGP, auf Grund fehlender
    > dritter Stellen gibt es hier auch keine Garantien auf Mindeststandards,
    > Rückzug oder Ablauf alter Zertifikate usw.

    Dank der fehlenden dritten Stellen ist es bei PGP allerdings durch das Web of trust um einiges schwerer für beliebige Mailadressen (außer im näheren Umfeld) gefälschte Schlüssel in Umlauf zu bringen (sofern die Unterschriften durch die Personen, denen man selbst vertraut entsprechend verantwortungsbewusst vergeben werden) - im Gegensatz zu S/MIME wo eine einzige kompromittierte CA ausreicht um weltweit beliebige Zertifikate für beliebige Mailadressen auszustellen ...

  11. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 14:50

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > Klar ist S/MIME in den meisten drin, nur sind die Funktionen zur
    > Zertifikatsverwaltung in Untermenüs versteckt und spartanisch Funktionell
    > gehalten.
    > zb beim Thunderbird: Einstellungen > Erweitert > Zertifikate

    und genau das ist und wird immer das Problem sein. Der Anwender wird es nur unter einer Bedingung nutzen und zwar, wenn sich nichts ändert.
    Keiner, auch nicht ein eiziger, will sich mit der technick auseinandersetzen, was heißt, der Zertifikatsaustausch muss vollautomatisch geschehen.

    Gut wäre also was:
    1. Client schreibt Nachricht
    2. Client schaut über den MX-Record beim Mailserver nach, wie der public key des Empfänger ist und läd ihn herunter
    3. verschlüsselt Header, body und anhänge lokal
    4. sendet es per TLS Verbindung an den Empfängerserver.
    5. Empfänger meldet sich beim server an und läd per TLS Verbindung seinen Private key herunter bzw. vergleicht, ob der aktuelle noch gültig ist, oder ob es einen neuen privaten Schlüssel gibt.
    6. Empfänger lädt verschlüsselte Nachricht auf Client und entschlüsselt diese.

    Das wäre ein Protokoll, was man leicht in die bestehende Infrastruktur integrieren könnte, was aber auch so transparent wäre, das keiner bemerken würde, dass das alles im Hintergrund abläuft.

  12. Re: Es ist Zeit für ein neues Protokoll

    Autor: OhYeah 04.12.15 - 15:19

    Wird Zeit für das YOLO-Protokoll - you only login once

    Swag

  13. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 15:22

    Manchmal braucht es wirklich etwas neues.
    DIME mit dem Zwiebelschalenprinzip sieht für Metadaten einfach besser geeignet aus.

    Absender, sieht ZielMailadresse
    Server des Abenders , sieht Absender & Zieldomäne
    Zieldomäne , sieht Empfangendes Postfach und sendenden Server

    Aber beide Server wissen nicht wer an wen genau die Mail schickt.
    Das kannst du momentan im herkömlichen System so nicht sauber lösen, trotzt PGP&S.Mime

  14. Re: Es ist Zeit für ein neues Protokoll

    Autor: tingelchen 04.12.15 - 15:55

    > S/MIME ist in nahezu jeden Mailclient integriert
    >
    Viel Spass mit den Mobile Apps. Da kann man ja schon froh sein wenn sie die Passwörter auch verschlüsselt übermitteln können.

  15. Re: Es ist Zeit für ein neues Protokoll

    Autor: pizuzz 04.12.15 - 16:02

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > > S/MIME ist in nahezu jeden Mailclient integriert
    > >
    > Viel Spass mit den Mobile Apps. Da kann man ja schon froh sein wenn sie die
    > Passwörter auch verschlüsselt übermitteln können.

    Also der Mail-Client von iOS unterstützt S/MIME schon seit einer gefühlten Ewigkeit.

  16. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 16:31

    nicht MX Record,
    SMIMEA /OPENPGPKEY Record, die sind schon als Typ vergeben worden vom zuständigen Gremium und werden auch bald von Posteo ausgerollt.
    Da kann dann dein Mailprogramm nachschauen.

  17. Re: Es ist Zeit für ein neues Protokoll

    Autor: 486dx4-160 04.12.15 - 18:05

    > 5. Empfänger meldet sich beim server an und läd per TLS Verbindung seinen Private key herunter bzw. vergleicht, ob der aktuelle noch gültig ist, oder ob es einen neuen privaten Schlüssel gibt.

    PGP hält sich an deine Liste. Bis auf Punkt 5. Und das muss auch so sein: Der Private Key muss nämlich privat bleiben.

  18. Re: Es ist Zeit für ein neues Protokoll

    Autor: Drag_and_Drop 04.12.15 - 19:12

    Seit wann funktioniert der Keyaustausch bei PGP automatisch? Mal von öffentlichen Keyservern abgesehen, die keiner, den ich kenne nutzt, muss dir Derjenigen erst einmal seine Signatur / Öffentlicher Schlüssel schicken.
    Und wie gesagt, das wird niemals eine breite Masse erreichen, wenn der Enduser irgendwas von den Zertifikaten mitbekommt, denn dann wir es Kompliziert und dann schickt man es doch lieber Platintext...
    Ich hab jetzt mittlerweile bei über 40 Kunden bzw. 200 Usern S/Mime am laufen, davon nutzen es genau 6 Regelmäßig, 30-35 nur für extrem sensible Kommunikation und der Rest gar nicht.

  19. Re: Es ist Zeit für ein neues Protokoll

    Autor: ikhaya 04.12.15 - 19:24

    Du hast in Enigmail die Option deinen öffentlichen Schlüssel an alle ausgehenden Mails anzuhängen und kannst eingehende angehängte Schlüssel importieren.
    Mit einer zukünftigen Version von Enigmail mit eingebauter PrettyEasyPrivacy-Engine musst du noch nicht mal das machen. Nebenbei wird es dann auf dem Keyserver nachschauen ob was passendes vorhanden ist.

  20. Re: Es ist Zeit für ein neues Protokoll

    Autor: maverick1977 05.12.15 - 08:50

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Du hast in Enigmail die Option deinen öffentlichen Schlüssel an alle
    > ausgehenden Mails anzuhängen und kannst eingehende angehängte Schlüssel
    > importieren.

    Der öffentliche Schlüssel dient doch dazu, die ausgehenden Mails beim Empfänger wieder zu entschlüsseln, oder? Warum verschlüsselt man denn dann überhaupt, wenn der Schlüssel zum aufschließen gleich mitverschickt wird?

    Klar, die Antwort darauf, die mit dem öffentlichen Schlüssel verschlüsselt wird, kann nur mit dem privaten Schlüssel entschlüsselt werden. Aber eine wirklich sichere Kommunikation ist das meiner Meinung nach nicht, oder habe ich an dem Prinzip etwas nicht so richtig verstanden?

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. msg DAVID GmbH, Braunschweig
  2. NEVARIS Bausoftware GmbH, deutschlandweit
  3. Lidl Digital, Leingarten
  4. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. 5 Blu-rays für 25€)
  2. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Krypto-Mining AMDs Threadripper schürft effizient Monero
  2. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet
  3. Pinnacle Ridge Asus aktualisiert Mainboard für Ryzen 2000

Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  2. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"
  3. Glasfaser Telekom weitet FTTH-Pilotprojekt auf vier Orte aus

Hightech im Haushalt: Der Bügel-Battle fällt leider aus
Hightech im Haushalt
Der Bügel-Battle fällt leider aus
  1. Smart Home Hardwareteams von Nest und Google werden zusammengeführt
  2. Lingufino Sprachgesteuerter Kobold kuschelt auch mit Datenschützern
  3. Apple Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  1. Microsoft: Windows on ARM ist inkompatibel zu 64-Bit-Programmen
    Microsoft
    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

    Microsoft hat die Dokumentation zu Windows on ARM veröffentlicht. Der zweite Versuch, Windows mit ARM zusammenzubringen, hat deutlich weniger Einschränkungen als Windows RT. Aber an einigen Stellen bleiben Limitierungen.

  2. Fehler bei Zwei-Faktor-Authentifizierung: Facebook will keine Benachrichtigungen per SMS schicken
    Fehler bei Zwei-Faktor-Authentifizierung
    Facebook will keine Benachrichtigungen per SMS schicken

    In den vergangenen Tagen ist Facebook damit aufgefallen, dass das soziale Netzwerk die Telefonnummer für die Zwei-Faktor-Authentifizierung des Nutzers für das Verschicken seiner Benachrichtigungen missbraucht. Mittlerweile bestätigt Facebook dies und gibt einem Fehler im System die Schuld.

  3. Europa-SPD: Milliardenfonds zum Ausbau von Elektrotankstellen gefordert
    Europa-SPD
    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

    Der Ausbreitung der Elektromobilität und Wasserstoffwirtschaft steht eine nur schwach ausgebaute Infrastruktur gegenüber, meinen die europäischen Sozialdemokraten. Sie wollen den Aufbau über einen EU-Fonds fördern. Dafür seien 24 Milliarden Euro nötig.


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39