Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: Keine Liebe…

Es fehlt einfach nur die "Killer-App"

  1. Thema

Neues Thema Ansicht wechseln


  1. Es fehlt einfach nur die "Killer-App"

    Autor: motzerator 10.08.13 - 18:00

    Sobald es ein Mailprogramm gibt, das völlig automatisch verschlüsseln kann, wird fast jeder darauf zurück greifen. Technisch ist das meiner bescheidenen Meinung nach nicht schwer, man braucht nur die folgenden Funktionen:

    1. Ein Verschlüsselungs-Verfahren, das aus einem öffentichen und einem privaten Schlüssel besteht. Der Absender verschlüsselt die Mail mit dem öffentlichen Schlüssel und nur der Empfänger besitzt den privaten Gegenschlüssel um sie zu dechiffrieren. Gibt's schon, ich glaube PGP nutzt so ein Konzept.

    2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine simple Liste von Mailadressen und deren öffentlichem Schlüssel verwaltet.

    3. Dann braucht es eben noch einen Mail-Client, der das alles automatisiert. Sprich beim Einrichten werden automatisch die Schlüsselpaare erzeugt und dem Server für jede eingerichtete Email Adresse mitgeteilt. Von da an kann man Mails verschlüsselt empfangen. Wenn man selber Mails verschickt, werden die automatisch verschlüsselt und wenn der Empfenger nicht dechiffrieren kann, wird erst gewarnt, bevor es unverschlüsselt raus geht.

    Wenn das alles schön automatisiert wird, wird es sich auch durchsetzen :)

  2. Re: Es fehlt einfach nur die "Killer-App"

    Autor: parameter-remove 10.08.13 - 18:01

    Hab schon den Namen für die App: WhatsCrypt
    Wer schreibt sie jetzt?

  3. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Morpf 10.08.13 - 19:34

    Schau dir mal Enigmail an.

  4. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 10.08.13 - 19:48

    was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel klein genug fürs gedächtnis ist?



    1 mal bearbeitet, zuletzt am 10.08.13 19:52 durch mark g.

  5. Re: Es fehlt einfach nur die "Killer-App"

    Autor: ikhaya 10.08.13 - 19:55

    wollt ich auch grad erwähnen.
    Muss sich nur noch jemand finden der Enigmail und gpg direkt in Thunderbird einbaut.
    Ähnliche Lösungen gibts für Outlook ja auch wenn man das lieber hat:
    http://www.fabiandeitelhoff.de/2013/08/outlook-2013-verschlusseln-mit-outlook-privacy-plugin-2-0/

  6. Re: Es fehlt einfach nur die "Killer-App"

    Autor: TmoWizard 10.08.13 - 23:42

    mark g schrieb:
    --------------------------------------------------------------------------------
    > was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel klein
    > genug fürs gedächtnis ist?

    Wozu? Den merkt sich doch PGP selbst ebenso wie den öffentlichen Schlüssel! Einzig deine Passphrase oder Passwort mußt du dir merken, einen dieser Schlüssel garantiert nicht.

    *** TmoWizard ***

    Kleinigkeiten erledige ich sofort, Wunder dauern etwas länger und ab Mitternacht wird gezaubert! ;)

  7. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Spaghetticode 11.08.13 - 00:13

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > das völlig automatisch verschlüsseln kann,
    Die Schlüsselverifikation kann nicht vollautomatisch erfolgen, ohne Sicherheitsprobleme einzuhandeln. Das heißt, man muss eine Zahlenkolonne vergleichen mit einer, die man vom Gegenüber erhalten hat.

    > 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    > simple Liste von Mailadressen und deren öffentlichem Schlüssel verwaltet.
    Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das Postfach könnte ja auch gehackt worden sein.

  8. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 11.08.13 - 00:41

    > > was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel
    > klein
    > > genug fürs gedächtnis ist?
    >
    > Wozu? Den merkt sich doch PGP selbst ebenso wie den öffentlichen Schlüssel!
    > Einzig deine Passphrase oder Passwort mußt du dir merken, einen dieser
    > Schlüssel garantiert nicht.

    schon klar. aber ich habe mich gefragt, ob es vllt eine implementation gibt, bei das knacken der passwortsicherung des privaten schlüssels genauso rechenaufwändig ist wie das knacken des public key verfahrens (hinreichendes passwort bzw. schlüsselgröße mal vorausgesetzt). dann könnte der private schlüssel eben doch publik gemacht bzw. an jede verschlüsselte nachricht gehängt werden. wäre das denn heutzutage nicht praktisch? weil es doch um das 'killer-app' und bequemlichkeit geht.



    1 mal bearbeitet, zuletzt am 11.08.13 00:43 durch mark g.

  9. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Bigfoo29 11.08.13 - 00:50

    Nicht zu vergessen dass es eben weit mehr als ein Gerät und damit weit mehr als einen Mailclient gibt, auf den man diese Technologie ausrollen müsste. Und sobald man den privaten Schlüssel "automatisch" auf irgendwelche Clients bringt, ist das Verfahren auch schon wieder unsicher.

    Regards.

  10. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Morpf 11.08.13 - 03:25

    Und was sollen andere mit meinem Private-Key? Den eigenen Public-Key kannste bedenkenlos anhängen oder noch besser zum signieren verwenden.

  11. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 11.08.13 - 06:26

    Morpf schrieb:
    --------------------------------------------------------------------------------
    > Und was sollen andere mit meinem Private-Key? Den eigenen Public-Key
    > kannste bedenkenlos anhängen oder noch besser zum signieren verwenden.

    naja, wenn der private key öffentlich bzw. in den mails wäre, bräuchte ich ihn halt nicht auf das gerät kopieren, mit dem ich gerade mailen will, und ich bräuchte mich auch nicht um ein backup des key kümmern. mal angenommen, die passwortsicherung des private key wäre dafür nicht sicher genug, dann dürfte das smartphone ja auch niemals gestohlen werden.

  12. Re: Es fehlt einfach nur die "Killer-App"

    Autor: motzerator 11.08.13 - 14:26

    Spaghetticode schrieb:
    -----------------------------------
    >> 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    >> simple Liste von Mailadressen und deren öffentlichem Schlüssel
    >> verwaltet.
    > Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das
    > Postfach könnte ja auch gehackt worden sein.

    Wenn das Zielpostfach gehackt ist, wird es dem Hacker nicht viel
    nutzen, wenn er nicht auch Zugriff auf das Mailprogramm des
    Empfängers hat. Wird das Mailprogramm selber gehackt, dann
    ist das System natürlich ausgehebelt!

    Wird der Server gehackt, könnte der Angreifer die Schlüssel so
    verändern, das er die Messages lesen kann, das währe der
    worst case. Die Frage ist nur, wie viele Serverzugriffe sind nötig?

    Wenn eine Mailadresse einmal angeschrieben wurde, könnte
    der Schlüssel ja gespeichert werden, das würde auch den Traffic
    zum Server deutlich reduzieren.

    Oder es wird eine Schlüsselliste verteilt, so wie damals die
    Nodeliste beim Fido. Dann braucht man keinen Server, sondern
    nur die offizielle Key List. Die kann dann noch wunderbar mit
    einem Hash versehen werden, Manipulationen sind dann von
    Außen nahezu ausgeschlossen.

    Aber natürlich kommt man um eine vertrauenswürdige zentrale
    Stelle nicht umhin!

    Ausserdem könnte das System einen Kontakt als Rot, Gelb
    oder Grün kennzeichnen. Wobei man Grün nur bekommt,
    wenn man einen Private Key austauscht, den dann auch
    die Key List nicht kennt. Wobei man sich im klaren sein
    muss: Die Schlüsselübermittlung ist ebenfalls ein Schwach-
    punkt. Per Telefon? Abhörbar. Per Brief oder Mail: Abhörbar.

    Also müsste man das im Prinzip auf nen Zettel schreiben
    und sich in die Hand drücken!

  13. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Spaghetticode 11.08.13 - 19:04

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > -----------------------------------
    > >> 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    > >> simple Liste von Mailadressen und deren öffentlichem Schlüssel
    > >> verwaltet.
    > > Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das
    > > Postfach könnte ja auch gehackt worden sein.
    >
    > Wenn das Zielpostfach gehackt ist, wird es dem Hacker nicht viel
    > nutzen, wenn er nicht auch Zugriff auf das Mailprogramm des
    > Empfängers hat.

    Wie stellt der Schlüsselverteilungsserver fest, dass der Schlüssel zu einer E-Mail-Adresse gehört? Er schickt wohl eine Bestätigungsmail. (Ich meine hier den hypothetischen Server, nicht die bereits vorhandenen SKS-Keyserver. Eher so etwas wie keyserver.pgp.com.) Wenn das Postfach gehackt wurde, kann der Angreifer einen Schlüssel an den Server übermitteln und die Bestätigungsmail bestätigen. Somit ist jetzt ein Fake-Schlüssel auf dem Server.

    > Oder es wird eine Schlüsselliste verteilt

    a) Wie kommen die Schlüssel auf die Schlüsselliste?
    b) Wie verifizierst du die Schlüssel auf der Schlüsselliste?
    c) Wie gewährleistest du den Datenschutz der Teilnehmer?

    > Aber natürlich kommt man um eine vertrauenswürdige zentrale
    > Stelle nicht umhin!

    Leider haben sich die „vertrauenswürdigen zentralen Stellen“ als Schwachpunkt erwiesen, sodass es sicherer wäre, wenn der Nutzer beim ersten Mal den Fingerprint vergleicht. Hier könnte man zwei Stufen machen: Gelb = von „vertrauenswürdiger zentraler Stelle“ verifiziert, Grün = Fingerabdruck manuell verglichen.

    > wenn man einen Private Key austauscht

    Genau den sollte man für sich behalten. Was man weitergibt, ist der Public Key.

    > Die Schlüsselübermittlung ist ebenfalls ein Schwach-
    > punkt. Per Telefon? Abhörbar. Per Brief oder Mail: Abhörbar.

    Der Public Key ist aber öffentlich. Das heißt, es ist nicht schlimm, wenn der Public Key in fremde Hände gelangt (dann können die halt auch verschlüsselte Nachrichten an mich schreiben). Solange man den Fingerabdruck vergleicht, ist er sicher.

  14. Re: Es fehlt einfach nur die "Killer-App"

    Autor: katsching 11.08.13 - 22:24

    Für Mac-User ist das vielleicht interessant:

    http://mynigma.org

    Allerdings bleibt das Problem, dass E-Mail-Header einlesbar bleibt, also der Inhalt ist nicht lesbar, dafür weiß "man", zwischen wem kommuniziert wurde.

  15. Re: Es fehlt einfach nur die "Killer-App"

    Autor: JoanTheSpark 12.08.13 - 13:24

    katsching schrieb:
    --------------------------------------------------------------------------------
    > Für Mac-User ist das vielleicht interessant:
    >
    > mynigma.org
    >
    > Allerdings bleibt das Problem, dass E-Mail-Header einlesbar bleibt, also
    > der Inhalt ist nicht lesbar, dafür weiß "man", zwischen wem kommuniziert
    > wurde.

    me = absoluter laie, aber gaebs da keine Moeglichkeit ala Tor fuer Mails?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. NÜRNBERGER Versicherung, Nürnberg
  2. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Ilmenau
  3. DAN Produkte GmbH, Raum Schleswig-Holstein, Niedersachen, Hamburg, Bremen (Home-Office)
  4. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. ab 225€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  2. Automatisierung Roboterhotel entlässt Roboter
  3. Cimon Die ISS bekommt einen sensiblen Kommunikationsroboter

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

  1. Faltbares Smartphone: Samsung sagt Start des Galaxy Fold ab
    Faltbares Smartphone
    Samsung sagt Start des Galaxy Fold ab

    Samsung steht vor einem Foldgate: Der südkoreanische Hersteller hat den Marktstart des faltbaren Smartphones Galaxy Fold vorerst abgesagt. Nachdem die Testgeräte einiger Journalisten auch ohne ihr Zutun kaputt gegangen sind, soll das Gerät noch einmal gründlich untersucht werden.

  2. Joe Armstrong: Der Erlang-Erfinder ist gestorben
    Joe Armstrong
    Der Erlang-Erfinder ist gestorben

    Der Informatiker Joe Armstrong gilt als Erfinder der Programmiersprache Erlang und war Experte für verteilte und fehlertolerante Systeme. Armstrong erlag nun den Folgen einer Lungenerkrankung.

  3. Tchap: Forscher gelingt Anmeldung im Regierungschat Frankreichs
    Tchap
    Forscher gelingt Anmeldung im Regierungschat Frankreichs

    Kurz nach dem Start ist es einem Sicherheitsforscher gelungen, sich unberechtigt bei der Whatsapp-Alternative der französischen Regierung anzumelden. Der Forscher fand weitere vermeintliche Fehler, die laut den Entwicklern der Matrix-Software aber keine sind.


  1. 21:11

  2. 12:06

  3. 11:32

  4. 11:08

  5. 12:55

  6. 11:14

  7. 10:58

  8. 16:00