1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP: Enigmail verschickt…

Entscheidender Punkt wurde nicht beschrieben

  1. Thema

Neues Thema Ansicht wechseln


  1. Entscheidender Punkt wurde nicht beschrieben

    Autor: daniel.ranft 10.09.14 - 15:21

    Der Bug trat nur auf, wenn es keinen Empfänger im An & CC Feld gab, sondern nur an BCC-Empfänger geschrieben wurde. Anders wäre das auch nicht zu erklären, denn schließlich wird nur eine E-Mail versandt, und die ist entweder verschlüsselt oder unverschlüsselt, kann aber nicht beides auf einmal sein.
    Aber: In dem Fall, dass es auch normale Empfänger gegeben hätte, wären die BCC-Empfänger nicht in der Lage gewesen, die E-Mail zu entschlüsseln, da ihre Public Keys nicht von Enigmail herausgesucht worden wären.

    Zumindest habe ich so den initialen Bugreport verstanden:
    http://sourceforge.net/p/enigmail/bugs/294/

  2. Re: Entscheidender Punkt wurde nicht beschrieben

    Autor: M.P. 10.09.14 - 17:26

    daniel.ranft schrieb:
    --------------------------------------------------------------------------------
    > ... denn schließlich wird nur eine E-Mail versandt, ...

    Das ist Quatsch

    http://de.wikipedia.org/wiki/Pretty_Good_Privacy

    "Genutzt werden ein öffentlicher Schlüssel, mit dem jeder Daten für den Empfänger verschlüsseln und dessen Signaturen prüfen kann, und ein privater geheimer Schlüssel, den nur der Empfänger besitzt und der normalerweise durch ein Passwort geschützt ist. "

    Es muss für jeden Empfänger eine eigene (mit *dessen* öffentlichem Schlüssel) verschlüsselte Mail verschickt werden.

  3. Re: Entscheidender Punkt wurde nicht beschrieben

    Autor: hjp 10.09.14 - 20:19

    M.P. schrieb:
    > daniel.ranft schrieb:
    > > ... denn schließlich wird nur eine E-Mail versandt, ...
    >
    > Das ist Quatsch

    Bitte informiere Dich, bevor Du Deiner Meinung so kräftig Ausdruck verleihst.

    > Es muss für jeden Empfänger eine eigene (mit *dessen* öffentlichem
    > Schlüssel) verschlüsselte Mail verschickt werden.

    Nein. Jede Nachricht wird mit einem (nur für diese Nachricht generierten) symmetrischen Schlüssel verschlüsselt. Dieser Schlüssel wird dann mit dem Public-Key jedes Empfängers verschlüsselt und ebenfalls in der Mail übertragen. Auf diese Art kann eine Nachricht an beliebig viele Empfänger geschickt werden, ohne dass sie wesentlich größer wird.

    Allerdings sollte man das bei BCC-Adressen nicht machen: Denn jeder Empfänger der Mail sieht auch die Public-Keys der anderen Empfänger. Damit ist das BCC nicht mehr "B". Idealerweise sollte die Mail einmal für alle "öffentlichen" Empfänger (To und Cc) verschlüsselt werden und dann ein weiteres mal für jeden BCC-Empfänger (denn auch die BCC-Empfänger sollen sich i.A. gegenseitig nicht sehen).

    Ob Enigmail das so macht, weiß ich nicht.

  4. Falscher Bug

    Autor: Wissard 10.09.14 - 21:17

    Der Bug ist folgender http://sourceforge.net/p/enigmail/bugs/297/

    daniel.ranft schrieb:
    --------------------------------------------------------------------------------
    > Der Bug trat nur auf, wenn es keinen Empfänger im An & CC Feld gab, sondern
    > nur an BCC-Empfänger geschrieben wurde. Anders wäre das auch nicht zu
    > erklären, denn schließlich wird nur eine E-Mail versandt, und die ist
    > entweder verschlüsselt oder unverschlüsselt, kann aber nicht beides auf
    > einmal sein.
    > Aber: In dem Fall, dass es auch normale Empfänger gegeben hätte, wären die
    > BCC-Empfänger nicht in der Lage gewesen, die E-Mail zu entschlüsseln, da
    > ihre Public Keys nicht von Enigmail herausgesucht worden wären.
    >
    > Zumindest habe ich so den initialen Bugreport verstanden:
    > sourceforge.net

  5. Re: Entscheidender Punkt wurde nicht beschrieben

    Autor: M.P. 11.09.14 - 07:30

    Ok, wieder etwas dazugelernt...

    Danke für die Klarstellung

    Besonders peinlich ist, daß das von Dir gesagte sogar ein paar Zeilen tiefer ausführlich beschrieben wird im von mir zitierten Wikipedia-Artikel....



    1 mal bearbeitet, zuletzt am 11.09.14 07:41 durch M.P..

  6. Re: Entscheidender Punkt wurde nicht beschrieben

    Autor: daniel.ranft 11.09.14 - 13:17

    hjp schrieb:
    --------------------------------------------------------------------------------
    > Allerdings sollte man das bei BCC-Adressen nicht machen: Denn jeder
    > Empfänger der Mail sieht auch die Public-Keys der anderen Empfänger. Damit
    > ist das BCC nicht mehr "B". Idealerweise sollte die Mail einmal für alle
    > "öffentlichen" Empfänger (To und Cc) verschlüsselt werden und dann ein
    > weiteres mal für jeden BCC-Empfänger (denn auch die BCC-Empfänger sollen
    > sich i.A. gegenseitig nicht sehen).

    Das lässt sich umgehen, indem man die BCC-Empfänger nicht über --recipient sondern über --hidden-recipient angibt. Dann werden die Key-IDs durch 0x00000.... ersetzt und sind somit nur noch insoweit erkennbar, dass es N BCC-Empfänger gibt.

  7. Re: Falscher Bug

    Autor: daniel.ranft 11.09.14 - 13:20

    da steht aber irgendwie nix von BCC, also geh ich davon aus, dass das nicht der Bug ist, auf den sich der Artikel bezog. Außerdem hat Golem den Bug ja selbst referenziert (erster Absatz, letzter Link).

  8. Re: Entscheidender Punkt wurde nicht beschrieben

    Autor: hjp 11.09.14 - 20:33

    daniel.ranft schrieb:
    > hjp schrieb:
    > > Allerdings sollte man das bei BCC-Adressen nicht machen: Denn jeder
    > > Empfänger der Mail sieht auch die Public-Keys der anderen Empfänger.
    > > Damit ist das BCC nicht mehr "B". Idealerweise sollte die Mail
    > > einmal für alle "öffentlichen" Empfänger (To und Cc) verschlüsselt
    > > werden und dann ein weiteres mal für jeden BCC-Empfänger (denn auch
    > > die BCC-Empfänger sollen sich i.A. gegenseitig nicht sehen).
    >
    > Das lässt sich umgehen, indem man die BCC-Empfänger nicht über --recipient
    > sondern über --hidden-recipient angibt. Dann werden die Key-IDs durch
    > 0x00000.... ersetzt und sind somit nur noch insoweit erkennbar, dass es N
    > BCC-Empfänger gibt.

    Ja, stimmt, das ist eine weitere Möglichkeit. Daran hatte ich nicht
    gedacht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Consultant (m/w/d)
    Bistum Augsburg, Augsburg
  2. IT Consultant (m/w/d) S / 4HANA - Produktionslogistik
    Schaeffler Technologies AG & Co. KG, Nürnberg
  3. Senior IIoT / Network Developer (m/w/d)
    symmedia GmbH, Bielefeld
  4. Softwareentwickler (m/w/d) C# / .NET HR-Lösungen
    HANSALOG BPS GmbH, Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 569,99€
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de