Bevor jetzt wieder alle anfangen

Moin,
bevor jetzt hier alle anfangen wie im Heise-Forum:
Ja, Vodafone ist vllt kein unbedingt vertrauenswürdiger Provider, wenn man den gchq-Ausführen durch Snowden folgt. Dennoch: sämtliche Software wird von einem deutschen Start-Up (einer QSC-Tochter) bereitgestellt als Software-as-a-Service. Das ganze setzt auf sichere Ende-zu-Ende-Verschlüsselung. Es ist zwar closed-Source, aber das wird schon einigermaßen richtig programmiert worden sein. PGP oder Ähnliches weiter voranzutreiben oder zu etablieren wäre zwar sehr schön, aber welcher Konzern macht sowas schon freiwillig? Daher heiße ich das Angebot willkommen, da Geschäftsleute einfach verschlüsselt Mails und Anhänge auch an Dritte verschicken können, die den Service nicht nutzen. Das sehe ich als den Vorteil dieser Lösung. Der Empfänger braucht nicht unbedingt den Service kostenpflichtig nutzen, um empfangen zu können.

> aber das wird schon einigermaßen richtig programmiert worden sein.
Nicht überprüfbar und darum nicht überzeugend.
Thunderbird mit Enigmail wären eine bekannte Open Source Alternative.

Ist nicht überprüfbar, aber besser als gar nichts würde ich sagen. Es gibt Alternativen, aber Thunderbird im Geschäftskundenumfeld? Das wird nichts, wenn man sich die Softwareausstattung der großen Firmen anschaut. Es wäre schön, aber es macht keiner. Closed-Source ist natürlich im Sicherheitsbereich ein rotes Tuch, ich weiß.

> Das wird nichts, wenn man sich die Softwareausstattung der großen Firmen anschaut.
Wie jetzt? Weil man PGP-Schlüssel tauschen muss? Für was haben die denn einen Administrator?

DatenBob schrieb:
--------------------------------------------------------------------------------
> Das ganze setzt auf sichere
> Ende-zu-Ende-Verschlüsselung. Es ist zwar closed-Source, aber das wird
> schon einigermaßen richtig programmiert worden sein.

Da ist überhaupt nichts sicher, da nie irgendetwas geprüft werden kann. Kryptographie ist aus gutem Grund frei designt, damit effektiv ausgeschlossen ist, dass Manipulationen möglich werden. Ohne freien Code gibt es auch keine Vertraulichkeit, und besonders Unternehmer brauchen die Garantie, dass die Kommunikation ohne wenn und aber sicher aufgestellt ist.
Ebenso ist "einigermaßen richtig programmiert" völliger Unsinn, da in der Kryptographie bereits ein Fehler in der Implementierung, oder etwas was man absichtlich geändert oder vl. vergessen hat, die Sicherheit komplett aufheben kann.
Sieht man besonders bei diversen möchte gern Schlaubergern, die meinen in einem Algorithmus hier und da etwas einsparen zu müssen um mehr Geschwindigkeit zu gewinnen, aber das genau jene Änderungen die Verschlüsselung obsolet machen interessiert nicht.
Mal von abgesehen das denen jegliches Fachwissen fehlt, um zu überblicken, was Änderungen für Folgen nach sich ziehen.

OK. Mein Fehler. Das mit der Softwareaustattung war auf Outlook gemünzt. Als ich das letzte Mal Outlook mit GPG nutzen wollte, konnte man das nicht. Aber seit 2013 gibt es wohl GPG4WIN, mit dem das geht. Ignorier daher einmal "Das wird nichts, wenn man sich die Softwareausstattung der großen Firmen anschaut. " ;-)
Den Schlüssel dann aber auf einen Schlüsselserver zu schicken, lässt die Spamer die Mailadresse davon auszulesen. Aber was wäre die Alternative? Die Admins können natürlich für den internen Gebrauch einen Intranet-of-Trust bauen. Wie sieht das dann mit der Kommuniaktion zwischen Firmen aus? Da sollten dann am Besten Firmen, die bei wichtigen Projekten zusammenarbeiten, ein Schlüsselaustausch über eine Schnittstelle stattfinden. Ist aber alles immer noch aufwendig.

Zum Thema richtige Implementierung der Verschlüsselung: dann wäre es wohl am Besten, wenn die ein paar Kryptographen mehrere Audits durchführen lassen. Frage mich gerade, ob es für sowas Siegel gibt.



1 mal bearbeitet, zuletzt am 15.03.15 22:41 durch DatenBob.