Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: Keine Liebe…

Es fehlt einfach nur die "Killer-App"

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Es fehlt einfach nur die "Killer-App"

    Autor: motzerator 10.08.13 - 18:00

    Sobald es ein Mailprogramm gibt, das völlig automatisch verschlüsseln kann, wird fast jeder darauf zurück greifen. Technisch ist das meiner bescheidenen Meinung nach nicht schwer, man braucht nur die folgenden Funktionen:

    1. Ein Verschlüsselungs-Verfahren, das aus einem öffentichen und einem privaten Schlüssel besteht. Der Absender verschlüsselt die Mail mit dem öffentlichen Schlüssel und nur der Empfänger besitzt den privaten Gegenschlüssel um sie zu dechiffrieren. Gibt's schon, ich glaube PGP nutzt so ein Konzept.

    2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine simple Liste von Mailadressen und deren öffentlichem Schlüssel verwaltet.

    3. Dann braucht es eben noch einen Mail-Client, der das alles automatisiert. Sprich beim Einrichten werden automatisch die Schlüsselpaare erzeugt und dem Server für jede eingerichtete Email Adresse mitgeteilt. Von da an kann man Mails verschlüsselt empfangen. Wenn man selber Mails verschickt, werden die automatisch verschlüsselt und wenn der Empfenger nicht dechiffrieren kann, wird erst gewarnt, bevor es unverschlüsselt raus geht.

    Wenn das alles schön automatisiert wird, wird es sich auch durchsetzen :)

  2. Re: Es fehlt einfach nur die "Killer-App"

    Autor: parameter-remove 10.08.13 - 18:01

    Hab schon den Namen für die App: WhatsCrypt
    Wer schreibt sie jetzt?

  3. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Morpf 10.08.13 - 19:34

    Schau dir mal Enigmail an.

  4. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 10.08.13 - 19:48

    was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel klein genug fürs gedächtnis ist?



    1 mal bearbeitet, zuletzt am 10.08.13 19:52 durch mark g.

  5. Re: Es fehlt einfach nur die "Killer-App"

    Autor: ikhaya 10.08.13 - 19:55

    wollt ich auch grad erwähnen.
    Muss sich nur noch jemand finden der Enigmail und gpg direkt in Thunderbird einbaut.
    Ähnliche Lösungen gibts für Outlook ja auch wenn man das lieber hat:
    http://www.fabiandeitelhoff.de/2013/08/outlook-2013-verschlusseln-mit-outlook-privacy-plugin-2-0/

  6. Re: Es fehlt einfach nur die "Killer-App"

    Autor: TmoWizard 10.08.13 - 23:42

    mark g schrieb:
    --------------------------------------------------------------------------------
    > was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel klein
    > genug fürs gedächtnis ist?

    Wozu? Den merkt sich doch PGP selbst ebenso wie den öffentlichen Schlüssel! Einzig deine Passphrase oder Passwort mußt du dir merken, einen dieser Schlüssel garantiert nicht.

    *** TmoWizard ***

    Kleinigkeiten erledige ich sofort, Wunder dauern etwas länger und ab Mitternacht wird gezaubert! ;)

  7. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Spaghetticode 11.08.13 - 00:13

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > das völlig automatisch verschlüsseln kann,
    Die Schlüsselverifikation kann nicht vollautomatisch erfolgen, ohne Sicherheitsprobleme einzuhandeln. Das heißt, man muss eine Zahlenkolonne vergleichen mit einer, die man vom Gegenüber erhalten hat.

    > 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    > simple Liste von Mailadressen und deren öffentlichem Schlüssel verwaltet.
    Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das Postfach könnte ja auch gehackt worden sein.

  8. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 11.08.13 - 00:41

    > > was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel
    > klein
    > > genug fürs gedächtnis ist?
    >
    > Wozu? Den merkt sich doch PGP selbst ebenso wie den öffentlichen Schlüssel!
    > Einzig deine Passphrase oder Passwort mußt du dir merken, einen dieser
    > Schlüssel garantiert nicht.

    schon klar. aber ich habe mich gefragt, ob es vllt eine implementation gibt, bei das knacken der passwortsicherung des privaten schlüssels genauso rechenaufwändig ist wie das knacken des public key verfahrens (hinreichendes passwort bzw. schlüsselgröße mal vorausgesetzt). dann könnte der private schlüssel eben doch publik gemacht bzw. an jede verschlüsselte nachricht gehängt werden. wäre das denn heutzutage nicht praktisch? weil es doch um das 'killer-app' und bequemlichkeit geht.



    1 mal bearbeitet, zuletzt am 11.08.13 00:43 durch mark g.

  9. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Bigfoo29 11.08.13 - 00:50

    Nicht zu vergessen dass es eben weit mehr als ein Gerät und damit weit mehr als einen Mailclient gibt, auf den man diese Technologie ausrollen müsste. Und sobald man den privaten Schlüssel "automatisch" auf irgendwelche Clients bringt, ist das Verfahren auch schon wieder unsicher.

    Regards.

  10. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Morpf 11.08.13 - 03:25

    Und was sollen andere mit meinem Private-Key? Den eigenen Public-Key kannste bedenkenlos anhängen oder noch besser zum signieren verwenden.

  11. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 11.08.13 - 06:26

    Morpf schrieb:
    --------------------------------------------------------------------------------
    > Und was sollen andere mit meinem Private-Key? Den eigenen Public-Key
    > kannste bedenkenlos anhängen oder noch besser zum signieren verwenden.

    naja, wenn der private key öffentlich bzw. in den mails wäre, bräuchte ich ihn halt nicht auf das gerät kopieren, mit dem ich gerade mailen will, und ich bräuchte mich auch nicht um ein backup des key kümmern. mal angenommen, die passwortsicherung des private key wäre dafür nicht sicher genug, dann dürfte das smartphone ja auch niemals gestohlen werden.

  12. Re: Es fehlt einfach nur die "Killer-App"

    Autor: motzerator 11.08.13 - 14:26

    Spaghetticode schrieb:
    -----------------------------------
    >> 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    >> simple Liste von Mailadressen und deren öffentlichem Schlüssel
    >> verwaltet.
    > Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das
    > Postfach könnte ja auch gehackt worden sein.

    Wenn das Zielpostfach gehackt ist, wird es dem Hacker nicht viel
    nutzen, wenn er nicht auch Zugriff auf das Mailprogramm des
    Empfängers hat. Wird das Mailprogramm selber gehackt, dann
    ist das System natürlich ausgehebelt!

    Wird der Server gehackt, könnte der Angreifer die Schlüssel so
    verändern, das er die Messages lesen kann, das währe der
    worst case. Die Frage ist nur, wie viele Serverzugriffe sind nötig?

    Wenn eine Mailadresse einmal angeschrieben wurde, könnte
    der Schlüssel ja gespeichert werden, das würde auch den Traffic
    zum Server deutlich reduzieren.

    Oder es wird eine Schlüsselliste verteilt, so wie damals die
    Nodeliste beim Fido. Dann braucht man keinen Server, sondern
    nur die offizielle Key List. Die kann dann noch wunderbar mit
    einem Hash versehen werden, Manipulationen sind dann von
    Außen nahezu ausgeschlossen.

    Aber natürlich kommt man um eine vertrauenswürdige zentrale
    Stelle nicht umhin!

    Ausserdem könnte das System einen Kontakt als Rot, Gelb
    oder Grün kennzeichnen. Wobei man Grün nur bekommt,
    wenn man einen Private Key austauscht, den dann auch
    die Key List nicht kennt. Wobei man sich im klaren sein
    muss: Die Schlüsselübermittlung ist ebenfalls ein Schwach-
    punkt. Per Telefon? Abhörbar. Per Brief oder Mail: Abhörbar.

    Also müsste man das im Prinzip auf nen Zettel schreiben
    und sich in die Hand drücken!

  13. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Spaghetticode 11.08.13 - 19:04

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > -----------------------------------
    > >> 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    > >> simple Liste von Mailadressen und deren öffentlichem Schlüssel
    > >> verwaltet.
    > > Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das
    > > Postfach könnte ja auch gehackt worden sein.
    >
    > Wenn das Zielpostfach gehackt ist, wird es dem Hacker nicht viel
    > nutzen, wenn er nicht auch Zugriff auf das Mailprogramm des
    > Empfängers hat.

    Wie stellt der Schlüsselverteilungsserver fest, dass der Schlüssel zu einer E-Mail-Adresse gehört? Er schickt wohl eine Bestätigungsmail. (Ich meine hier den hypothetischen Server, nicht die bereits vorhandenen SKS-Keyserver. Eher so etwas wie keyserver.pgp.com.) Wenn das Postfach gehackt wurde, kann der Angreifer einen Schlüssel an den Server übermitteln und die Bestätigungsmail bestätigen. Somit ist jetzt ein Fake-Schlüssel auf dem Server.

    > Oder es wird eine Schlüsselliste verteilt

    a) Wie kommen die Schlüssel auf die Schlüsselliste?
    b) Wie verifizierst du die Schlüssel auf der Schlüsselliste?
    c) Wie gewährleistest du den Datenschutz der Teilnehmer?

    > Aber natürlich kommt man um eine vertrauenswürdige zentrale
    > Stelle nicht umhin!

    Leider haben sich die „vertrauenswürdigen zentralen Stellen“ als Schwachpunkt erwiesen, sodass es sicherer wäre, wenn der Nutzer beim ersten Mal den Fingerprint vergleicht. Hier könnte man zwei Stufen machen: Gelb = von „vertrauenswürdiger zentraler Stelle“ verifiziert, Grün = Fingerabdruck manuell verglichen.

    > wenn man einen Private Key austauscht

    Genau den sollte man für sich behalten. Was man weitergibt, ist der Public Key.

    > Die Schlüsselübermittlung ist ebenfalls ein Schwach-
    > punkt. Per Telefon? Abhörbar. Per Brief oder Mail: Abhörbar.

    Der Public Key ist aber öffentlich. Das heißt, es ist nicht schlimm, wenn der Public Key in fremde Hände gelangt (dann können die halt auch verschlüsselte Nachrichten an mich schreiben). Solange man den Fingerabdruck vergleicht, ist er sicher.

  14. Re: Es fehlt einfach nur die "Killer-App"

    Autor: katsching 11.08.13 - 22:24

    Für Mac-User ist das vielleicht interessant:

    http://mynigma.org

    Allerdings bleibt das Problem, dass E-Mail-Header einlesbar bleibt, also der Inhalt ist nicht lesbar, dafür weiß "man", zwischen wem kommuniziert wurde.

  15. Re: Es fehlt einfach nur die "Killer-App"

    Autor: JoanTheSpark 12.08.13 - 13:24

    katsching schrieb:
    --------------------------------------------------------------------------------
    > Für Mac-User ist das vielleicht interessant:
    >
    > mynigma.org
    >
    > Allerdings bleibt das Problem, dass E-Mail-Header einlesbar bleibt, also
    > der Inhalt ist nicht lesbar, dafür weiß "man", zwischen wem kommuniziert
    > wurde.

    me = absoluter laie, aber gaebs da keine Moeglichkeit ala Tor fuer Mails?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. INTENSE AG, Würzburg, Köln (Home-Office)
  2. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart
  3. Basler AG, Ahrensburg
  4. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Fahrdienst: London stoppt Uber, Protest wächst
    Fahrdienst
    London stoppt Uber, Protest wächst

    London hat die Lizenz von Uber nicht verlängert - dem Fahrdienst droht am 30. September 2017 die Einstellung. Dagegen will sich nicht nur das Unternehmen selbst wehren: Auch in der Bevölkerung regt sich Unmut gegen die Entscheidung.

  2. Facebook: Mark Zuckerberg lenkt im Streit mit Investoren ein
    Facebook
    Mark Zuckerberg lenkt im Streit mit Investoren ein

    Bei Facebook-Aktien wird es künftig keine neue Anteilsklasse ohne Stimmrechte geben: Mark Zuckerberg hat entsprechende Pläne aufgegeben. Eigentlich wollte sich der Facebook-Gründer so trotz Aktienverkäufen seinen Einfluss im Unternehmen sichern. Die Begründung für den Sinneswandel ist pragmatisch.

  3. Merged-Reality-Headset: Intel stellt Project Alloy ein
    Merged-Reality-Headset
    Intel stellt Project Alloy ein

    Im ersten Hands on machte Intels Project-Alloy-Headset einen guten Eindruck - offenbar hat dieser aber bei möglichen Vertriebspartnern nicht gereicht. Intel soll das kabellose Merged-Reality-Headset jetzt mangels Interesse einstellen.


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25