1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: Keine Liebe…

Es fehlt einfach nur die "Killer-App"

  1. Thema

Neues Thema Ansicht wechseln


  1. Es fehlt einfach nur die "Killer-App"

    Autor: motzerator 10.08.13 - 18:00

    Sobald es ein Mailprogramm gibt, das völlig automatisch verschlüsseln kann, wird fast jeder darauf zurück greifen. Technisch ist das meiner bescheidenen Meinung nach nicht schwer, man braucht nur die folgenden Funktionen:

    1. Ein Verschlüsselungs-Verfahren, das aus einem öffentichen und einem privaten Schlüssel besteht. Der Absender verschlüsselt die Mail mit dem öffentlichen Schlüssel und nur der Empfänger besitzt den privaten Gegenschlüssel um sie zu dechiffrieren. Gibt's schon, ich glaube PGP nutzt so ein Konzept.

    2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine simple Liste von Mailadressen und deren öffentlichem Schlüssel verwaltet.

    3. Dann braucht es eben noch einen Mail-Client, der das alles automatisiert. Sprich beim Einrichten werden automatisch die Schlüsselpaare erzeugt und dem Server für jede eingerichtete Email Adresse mitgeteilt. Von da an kann man Mails verschlüsselt empfangen. Wenn man selber Mails verschickt, werden die automatisch verschlüsselt und wenn der Empfenger nicht dechiffrieren kann, wird erst gewarnt, bevor es unverschlüsselt raus geht.

    Wenn das alles schön automatisiert wird, wird es sich auch durchsetzen :)

  2. Re: Es fehlt einfach nur die "Killer-App"

    Autor: parameter-remove 10.08.13 - 18:01

    Hab schon den Namen für die App: WhatsCrypt
    Wer schreibt sie jetzt?

  3. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Morpf 10.08.13 - 19:34

    Schau dir mal Enigmail an.

  4. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 10.08.13 - 19:48

    was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel klein genug fürs gedächtnis ist?



    1 mal bearbeitet, zuletzt am 10.08.13 19:52 durch mark g.

  5. Re: Es fehlt einfach nur die "Killer-App"

    Autor: ikhaya 10.08.13 - 19:55

    wollt ich auch grad erwähnen.
    Muss sich nur noch jemand finden der Enigmail und gpg direkt in Thunderbird einbaut.
    Ähnliche Lösungen gibts für Outlook ja auch wenn man das lieber hat:
    http://www.fabiandeitelhoff.de/2013/08/outlook-2013-verschlusseln-mit-outlook-privacy-plugin-2-0/

  6. Re: Es fehlt einfach nur die "Killer-App"

    Autor: TmoWizard 10.08.13 - 23:42

    mark g schrieb:
    --------------------------------------------------------------------------------
    > was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel klein
    > genug fürs gedächtnis ist?

    Wozu? Den merkt sich doch PGP selbst ebenso wie den öffentlichen Schlüssel! Einzig deine Passphrase oder Passwort mußt du dir merken, einen dieser Schlüssel garantiert nicht.

    *** TmoWizard ***

    Kleinigkeiten erledige ich sofort, Wunder dauern etwas länger und ab Mitternacht wird gezaubert! ;)

  7. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Spaghetticode 11.08.13 - 00:13

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > das völlig automatisch verschlüsseln kann,
    Die Schlüsselverifikation kann nicht vollautomatisch erfolgen, ohne Sicherheitsprobleme einzuhandeln. Das heißt, man muss eine Zahlenkolonne vergleichen mit einer, die man vom Gegenüber erhalten hat.

    > 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    > simple Liste von Mailadressen und deren öffentlichem Schlüssel verwaltet.
    Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das Postfach könnte ja auch gehackt worden sein.

  8. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 11.08.13 - 00:41

    > > was vllt auch fehlt ist ein verfahren, bei dem der private schlüssel
    > klein
    > > genug fürs gedächtnis ist?
    >
    > Wozu? Den merkt sich doch PGP selbst ebenso wie den öffentlichen Schlüssel!
    > Einzig deine Passphrase oder Passwort mußt du dir merken, einen dieser
    > Schlüssel garantiert nicht.

    schon klar. aber ich habe mich gefragt, ob es vllt eine implementation gibt, bei das knacken der passwortsicherung des privaten schlüssels genauso rechenaufwändig ist wie das knacken des public key verfahrens (hinreichendes passwort bzw. schlüsselgröße mal vorausgesetzt). dann könnte der private schlüssel eben doch publik gemacht bzw. an jede verschlüsselte nachricht gehängt werden. wäre das denn heutzutage nicht praktisch? weil es doch um das 'killer-app' und bequemlichkeit geht.



    1 mal bearbeitet, zuletzt am 11.08.13 00:43 durch mark g.

  9. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Bigfoo29 11.08.13 - 00:50

    Nicht zu vergessen dass es eben weit mehr als ein Gerät und damit weit mehr als einen Mailclient gibt, auf den man diese Technologie ausrollen müsste. Und sobald man den privaten Schlüssel "automatisch" auf irgendwelche Clients bringt, ist das Verfahren auch schon wieder unsicher.

    Regards.

  10. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Morpf 11.08.13 - 03:25

    Und was sollen andere mit meinem Private-Key? Den eigenen Public-Key kannste bedenkenlos anhängen oder noch besser zum signieren verwenden.

  11. Re: Es fehlt einfach nur die "Killer-App"

    Autor: mark g 11.08.13 - 06:26

    Morpf schrieb:
    --------------------------------------------------------------------------------
    > Und was sollen andere mit meinem Private-Key? Den eigenen Public-Key
    > kannste bedenkenlos anhängen oder noch besser zum signieren verwenden.

    naja, wenn der private key öffentlich bzw. in den mails wäre, bräuchte ich ihn halt nicht auf das gerät kopieren, mit dem ich gerade mailen will, und ich bräuchte mich auch nicht um ein backup des key kümmern. mal angenommen, die passwortsicherung des private key wäre dafür nicht sicher genug, dann dürfte das smartphone ja auch niemals gestohlen werden.

  12. Re: Es fehlt einfach nur die "Killer-App"

    Autor: motzerator 11.08.13 - 14:26

    Spaghetticode schrieb:
    -----------------------------------
    >> 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    >> simple Liste von Mailadressen und deren öffentlichem Schlüssel
    >> verwaltet.
    > Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das
    > Postfach könnte ja auch gehackt worden sein.

    Wenn das Zielpostfach gehackt ist, wird es dem Hacker nicht viel
    nutzen, wenn er nicht auch Zugriff auf das Mailprogramm des
    Empfängers hat. Wird das Mailprogramm selber gehackt, dann
    ist das System natürlich ausgehebelt!

    Wird der Server gehackt, könnte der Angreifer die Schlüssel so
    verändern, das er die Messages lesen kann, das währe der
    worst case. Die Frage ist nur, wie viele Serverzugriffe sind nötig?

    Wenn eine Mailadresse einmal angeschrieben wurde, könnte
    der Schlüssel ja gespeichert werden, das würde auch den Traffic
    zum Server deutlich reduzieren.

    Oder es wird eine Schlüsselliste verteilt, so wie damals die
    Nodeliste beim Fido. Dann braucht man keinen Server, sondern
    nur die offizielle Key List. Die kann dann noch wunderbar mit
    einem Hash versehen werden, Manipulationen sind dann von
    Außen nahezu ausgeschlossen.

    Aber natürlich kommt man um eine vertrauenswürdige zentrale
    Stelle nicht umhin!

    Ausserdem könnte das System einen Kontakt als Rot, Gelb
    oder Grün kennzeichnen. Wobei man Grün nur bekommt,
    wenn man einen Private Key austauscht, den dann auch
    die Key List nicht kennt. Wobei man sich im klaren sein
    muss: Die Schlüsselübermittlung ist ebenfalls ein Schwach-
    punkt. Per Telefon? Abhörbar. Per Brief oder Mail: Abhörbar.

    Also müsste man das im Prinzip auf nen Zettel schreiben
    und sich in die Hand drücken!

  13. Re: Es fehlt einfach nur die "Killer-App"

    Autor: Spaghetticode 11.08.13 - 19:04

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > -----------------------------------
    > >> 2. Jetzt wird's automatisiert. Man braucht einen Server, der nur eine
    > >> simple Liste von Mailadressen und deren öffentlichem Schlüssel
    > >> verwaltet.
    > > Und hier müssen die Schlüssel verifiziert werden. Der Server bzw. das
    > > Postfach könnte ja auch gehackt worden sein.
    >
    > Wenn das Zielpostfach gehackt ist, wird es dem Hacker nicht viel
    > nutzen, wenn er nicht auch Zugriff auf das Mailprogramm des
    > Empfängers hat.

    Wie stellt der Schlüsselverteilungsserver fest, dass der Schlüssel zu einer E-Mail-Adresse gehört? Er schickt wohl eine Bestätigungsmail. (Ich meine hier den hypothetischen Server, nicht die bereits vorhandenen SKS-Keyserver. Eher so etwas wie keyserver.pgp.com.) Wenn das Postfach gehackt wurde, kann der Angreifer einen Schlüssel an den Server übermitteln und die Bestätigungsmail bestätigen. Somit ist jetzt ein Fake-Schlüssel auf dem Server.

    > Oder es wird eine Schlüsselliste verteilt

    a) Wie kommen die Schlüssel auf die Schlüsselliste?
    b) Wie verifizierst du die Schlüssel auf der Schlüsselliste?
    c) Wie gewährleistest du den Datenschutz der Teilnehmer?

    > Aber natürlich kommt man um eine vertrauenswürdige zentrale
    > Stelle nicht umhin!

    Leider haben sich die „vertrauenswürdigen zentralen Stellen“ als Schwachpunkt erwiesen, sodass es sicherer wäre, wenn der Nutzer beim ersten Mal den Fingerprint vergleicht. Hier könnte man zwei Stufen machen: Gelb = von „vertrauenswürdiger zentraler Stelle“ verifiziert, Grün = Fingerabdruck manuell verglichen.

    > wenn man einen Private Key austauscht

    Genau den sollte man für sich behalten. Was man weitergibt, ist der Public Key.

    > Die Schlüsselübermittlung ist ebenfalls ein Schwach-
    > punkt. Per Telefon? Abhörbar. Per Brief oder Mail: Abhörbar.

    Der Public Key ist aber öffentlich. Das heißt, es ist nicht schlimm, wenn der Public Key in fremde Hände gelangt (dann können die halt auch verschlüsselte Nachrichten an mich schreiben). Solange man den Fingerabdruck vergleicht, ist er sicher.

  14. Re: Es fehlt einfach nur die "Killer-App"

    Autor: katsching 11.08.13 - 22:24

    Für Mac-User ist das vielleicht interessant:

    http://mynigma.org

    Allerdings bleibt das Problem, dass E-Mail-Header einlesbar bleibt, also der Inhalt ist nicht lesbar, dafür weiß "man", zwischen wem kommuniziert wurde.

  15. Re: Es fehlt einfach nur die "Killer-App"

    Autor: JoanTheSpark 12.08.13 - 13:24

    katsching schrieb:
    --------------------------------------------------------------------------------
    > Für Mac-User ist das vielleicht interessant:
    >
    > mynigma.org
    >
    > Allerdings bleibt das Problem, dass E-Mail-Header einlesbar bleibt, also
    > der Inhalt ist nicht lesbar, dafür weiß "man", zwischen wem kommuniziert
    > wurde.

    me = absoluter laie, aber gaebs da keine Moeglichkeit ala Tor fuer Mails?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. enowa AG, verschiedene Standorte
  2. ESG InterOp Solutions GmbH, Wilhelmshaven, Koblenz
  3. Techniker Krankenkasse, Hamburg
  4. Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Thinkpad Trackpoint Keyboard 2 im Test: Tolle kompakte Tastatur für Thinkpad-Fans
Thinkpad Trackpoint Keyboard 2 im Test
Tolle kompakte Tastatur für Thinkpad-Fans

Lenovos externe Thinkpad-Tastatur bietet alle Vorteile der Tastatur eines Thinkpad-Notebooks. Sie arbeitet drahtlos und mit Akkutechnik.
Ein Test von Ingo Pakalski

  1. Thinkpad X1 Fold Das faltbare Thinkpad kommt im Oktober
  2. Thinkpad X1 Nano Lenovo macht das Carbon winzig
  3. Thinkpad E14 Gen2 (AMD) im Test Gelungener Ryzen-Laptop für 700 Euro

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet