1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: PEP will…

Das Projekt ist reine Zeitverschwendung

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Projekt ist reine Zeitverschwendung

    Autor: kormi 16.09.14 - 13:12

    Man kann Sicherheit ab einem bestimmten Punkt einfach nicht weiter runterbrechen.

    Die Aussage: Es ist zu kompliziert, warum kann es nicht einfacher gehen?, ist nur eine Ausrede um sich damit nicht zu beschaeftigen. Ich habe noch keine Person getroffen, die GPG nicht verstanden hat, nach dem Sie sich damit eine Stunde beschaeftigt hat. Den meisten anderen ist es einfach nicht wichtig genug.

    Die Leute muessen einfach verstehen, dass sie einige Grundlagen der sicheren Kommunikation lernen muessen. Genau so wie wir lernen, die Tuer abzuschliessen, links, rechts, links gucken bevor man die Strasse kreuzt usw...

  2. Ist es leider nicht

    Autor: fdik 16.09.14 - 14:01

    Sonst würde ich meine Zeit woanders investieren ;-) Ein Tipp: lad Dir doch einfach mal die Preview auf http://pep-project.org runter und probier sie aus. Dann siehst Du schnell den Unterschied zu gängigen PGP-Implementierungen.

  3. Re: Das Projekt ist reine Zeitverschwendung

    Autor: derKlaus 16.09.14 - 15:56

    kormi schrieb:
    --------------------------------------------------------------------------------
    > Man kann Sicherheit ab einem bestimmten Punkt einfach nicht weiter
    > runterbrechen.
    >
    > Die Aussage: Es ist zu kompliziert, warum kann es nicht einfacher gehen?,
    > ist nur eine Ausrede um sich damit nicht zu beschaeftigen. Ich habe noch
    > keine Person getroffen, die GPG nicht verstanden hat, nach dem Sie sich
    > damit eine Stunde beschaeftigt hat. Den meisten anderen ist es einfach
    > nicht wichtig genug.
    Kleine Frage: hast Du das mal Personen erklärt, für die ein Computer einfach nur ein Arbeitsmittel ist und die schon damit ein Problem haben, ihre Mails sinnvoll zu organisieren und das Unternehmen dennoch S/MIME und PGP einsetzt, einfach weil Kunden es verlangen? PGP ist für viele Leute nicht einfach zu verstehen, und aus diesem Grund nutzen mein Arbeitgeber eine Gateway-Lösung. Blöd wird's nur, wenn eben end to end verlangt wird, dann kann ich das nicht nutzen.

    > Die Leute muessen einfach verstehen, dass sie einige Grundlagen der
    > sicheren Kommunikation lernen muessen. Genau so wie wir lernen, die Tuer
    > abzuschliessen, links, rechts, links gucken bevor man die Strasse kreuzt
    > usw...
    Das müssen die Leute eben nicht. Gerade wegen Deinem Beispiel mit über die Straße gehen kann ich das sagen, da ich sehr viele Leute dabei beobachte genau das nicht zu tun.

  4. Re: Ist es leider nicht

    Autor: derKlaus 16.09.14 - 15:58

    fdik schrieb:
    --------------------------------------------------------------------------------
    > Sonst würde ich meine Zeit woanders investieren ;-) Ein Tipp: lad Dir doch
    > einfach mal die Preview auf pep-project.org runter und probier sie aus.
    > Dann siehst Du schnell den Unterschied zu gängigen PGP-Implementierungen.
    Ich begrüße PEP absolut. Und ich werd das mal verfolgen, das scheint genau das zu sein, was mir einen Teil meines Arbeitstages erleichtern könnte. Danke dafür, dass Du daran mitarbeitest.
    Edit: hab mir grad mal die Seite angeguckt. Gibt's da ein FAQ oder so? Ich finde die ein wenig unstrukturiert. Gerade wenn ich von GPG4win umsatteln will, wären ein paar Hilfestellungen gut.



    1 mal bearbeitet, zuletzt am 16.09.14 16:09 durch derKlaus.

  5. Re: Das Projekt ist reine Zeitverschwendung

    Autor: ralf.wenzel 16.09.14 - 16:36

    derKlaus schrieb:
    --------------------------------------------------------------------------------
    > Blöd wird's nur, wenn eben end to end verlangt wird,
    > dann kann ich das nicht nutzen.

    Das Gewese um die Ende-zu-Ende-Verschlüsselung verstehe ich eh nicht. Warum sollen meine Mails verschlüsselt auf meinem Endgerät liegen und meine Produktionspläne nicht? Entweder ich verschlüssele alles oder nix auf meinem lokalen System (ich habe z. B. den ganzen Rechner verschlüsselt).

    Ich lege meine Briefe ja zuhause nicht in verschlossenen Briefumschlägen ab....

  6. Re: Ist es leider nicht

    Autor: kormi 16.09.14 - 17:02

    > Sonst würde ich meine Zeit woanders investieren ;-) Ein Tipp: lad Dir doch einfach mal die Preview auf http://pep-project.org runter und probier sie aus.

    Warum? Ich habe eine vernueftige funktionierende Loesung. Sowohl auf dem Desktop (Windows/Mac/Linux), als auch auf Android. Sowohl fuer IM (Jabber) als auch fuer Mail. Auch alles Opensource. Es kann gut sein, dass man einen vernueftigen Plugin fuer Outlook braucht, da kann ich nicht miterede, aber ihr wollt ja mehr.

  7. Re: Das Projekt ist reine Zeitverschwendung

    Autor: kormi 16.09.14 - 17:15

    > Kleine Frage: hast Du das mal Personen erklärt, für die ein Computer einfach nur ein Arbeitsmittel ist und die schon damit ein Problem haben, ihre Mails sinnvoll zu organisieren und das Unternehmen dennoch S/MIME und PGP einsetzt, einfach weil Kunden es verlangen?

    Ja habe ich :). Wenn Sie es nicht machen, dann haben die ein Problem. Mitarbeiter haben den Anweisungen Ihrer Vorgesetzten (theoretisch) zu folgen und schon gar wenn es der Kunde verlangt und/oder es um Sicherheit geht ! Die muessen ja nicht mal was selber einrichten, auch wenn im meinem privaten Umfeld genug Nichtitler es hinkriegen Thunderbird + Enigmail einzurichten.

    > Das müssen die Leute eben nicht. Gerade wegen Deinem Beispiel mit über die Straße gehen kann ich das sagen, da ich sehr viele Leute dabei beobachte genau das nicht zu tun.

    Das stimmt sie haben die freie Wahl. Ich sage auch nicht, jeder soll es machen, aber wenn einer bestimmte Sicherheitsregeln im Unternehmen nicht einhaelt und sei es: "Trage immer ein Helm" oder "verschluessele deine Mails", dann sind sie nach ein Paar Verwarnungen weg vom Fenster.

    EDIT: Es ging mir voher eigentlich um Privatgebrauch. Da handhabe ich in letzter Zeit es so: du willst mit mir Kommunizieren, tu es verschluesselt. Dann nenne ich der Person welche App die Person nutzen soll. Natuerlich funktioniert es so nicht im Bznz Umfeld, aber da biete ich meinen Kunden es an, wenn Sie es nicht selber ansprechen.



    2 mal bearbeitet, zuletzt am 16.09.14 17:23 durch kormi.

  8. Re: Das Projekt ist reine Zeitverschwendung

    Autor: lestard 16.09.14 - 17:37

    Selbst als Informatiker, der weiß wie GPG prinzipiell funktioniert muss ich mich doch jedes mal wieder neu einlesen, wie es zu installieren und einzurichten ist. Ich beschäftige mich ja nicht ständig damit. Kompliziert wirds auch, wenn mans auf mobilen Geräten hinbekommen will.

    Ich war bei dem Vortrag in Dresden anwesend und fand das Konzept ziemlich cool. Die live-demo war tatsächlich "einfach". Beim Installer paar mal auf Weiter klicken und fertig.
    Ich finde da besteht sehr wohl Bedarf.

  9. Re: Ist es leider nicht

    Autor: kormi 16.09.14 - 18:20

    @fdik sorry hatte heute ein scheiss Morgen, deswegen relativ agressiv ausformuliert. Noch mal um zu erklaeren, warum ich es als Zeitverschwendung erachte: Ihr erfindet das Rad neu (abseits von Outlook vll). Es waere besser wenn Ihr, eure Zeit Enigmail, Openpgp Keychain usw spenden wuerdet, als dieses "wir revolutionioeren alles" Gehabe.

    Das meiste ist schon einfach, man muss nur ein bisschen hier und da die UI anpassen/verschoenern. Mir ist letztens noch die Kinnlade runtergefallen, als ich auf Windows Enigmail installiert habe. Es hat automatisch GPG installiert und alles eingerichtet. Ok ich gebe zu man muss immer noch verstehen, was ein Public/Private Key ist und wie Web Of Trust funktioniert, aber wie gesagt einige Sachen kann man nicht runterbrechen.

  10. Re: Das Projekt ist reine Zeitverschwendung

    Autor: bellerophon1210 16.09.14 - 18:45

    Und das war jetzt weniger aggressiv ausformuliert.
    Aha - interessante Sichtweise...

  11. Re: Das Projekt ist reine Zeitverschwendung

    Autor: SelfEsteem 17.09.14 - 00:57

    ralf.wenzel schrieb:
    --------------------------------------------------------------------------------
    > derKlaus schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Blöd wird's nur, wenn eben end to end verlangt wird,
    > > dann kann ich das nicht nutzen.
    >
    > Das Gewese um die Ende-zu-Ende-Verschlüsselung verstehe ich eh nicht. Warum
    > sollen meine Mails verschlüsselt auf meinem Endgerät liegen und meine
    > Produktionspläne nicht? Entweder ich verschlüssele alles oder nix auf
    > meinem lokalen System (ich habe z. B. den ganzen Rechner verschlüsselt).
    >
    > Ich lege meine Briefe ja zuhause nicht in verschlossenen Briefumschlägen
    > ab....
    Aehm ... jaaaa ... wie du schon selbst geschrieben hast ... du verstehst es nicht - und zwar ganz und garnicht.

    Deine Mails sollen nicht verschluesselt rumliegen, darum gehts garnicht. Es geht darum, dass sie verschluesselt ankommen und zwar so, wie sie der Gegenueber verschluesselt hat.
    Der Gegensatz dazu ist eine Verschluesselung zwischen Sender-Server und getrennt davon nochmal Server-Receiver, was dem Server das Mitlesen ermoeglicht.

    Ob du deine Mails dann nach der Entschluesselung unverschluesselt abspeicherst, bleibt dir ueberlassen, ist aber garnicht das Thema.

  12. Re: Das Projekt ist reine Zeitverschwendung

    Autor: ralf.wenzel 17.09.14 - 01:08

    SelfEsteem schrieb:
    --------------------------------------------------------------------------------
    > Ob du deine Mails dann nach der Entschluesselung unverschluesselt
    > abspeicherst, bleibt dir ueberlassen, ist aber garnicht das Thema.

    Aber die Lösungen, die mir bekannt sind, beruhen darauf, dass das Mailprogramm sie eben nicht entschlüsselt speichern.

    BTW: Das ist das Ende des Mailens über ein Webinterface, richtig?

  13. Re: Das Projekt ist reine Zeitverschwendung

    Autor: SelfEsteem 17.09.14 - 01:23

    ralf.wenzel schrieb:
    --------------------------------------------------------------------------------
    > Aber die Lösungen, die mir bekannt sind, beruhen darauf, dass das
    > Mailprogramm sie eben nicht entschlüsselt speichern.
    Das tun sie deswegen nicht, weil sie die einkommende Nachricht ueberhaupt nicht mehr anlangen. Es wird nur zur Anzeige verschluesselt. Du kannst den Text auch rauskopieren, oder, falls dein Mailprogramm das unterstuetzt ein Haekchen setzen (keine Ahnung ob das existiert, hab nie danach gesucht - wofuer auch?).

    Letztlich, wenn die Schluessel korrekt eingetragen sind, sollte das fuer dich ohnehin transparent sein - also warum ueberhaupt Gedanken darueber machen?
    Oder willst du "aus Prinzip" die Textdateien und DB-Inhalte auf deiner Platte lesen koennen?

    >
    > BTW: Das ist das Ende des Mailens über ein Webinterface, richtig?
    Och Leute ...
    Nein, ist es nicht. Dein Webinterface ist im wesentlichen nichts viel anderes als die Oberflaeche deines Mailclients - nur eben raeumlich etwas vom Backend getrennt.
    Eine Clientseitige Verschluesselung ist da genauso moeglich.



    1 mal bearbeitet, zuletzt am 17.09.14 01:23 durch SelfEsteem.

  14. Re: Das Projekt ist reine Zeitverschwendung

    Autor: sofias 17.09.14 - 14:38

    es geht doch garnicht um pgp. pgp ist legacy. es schützt keine metadaten, nichtmal den betreff. so hält sich der nutzen von vornherein in grenzen. und an interfaces hab ich bis jetzt nur enigmail probiert und das war eher mies. es erstellt mit noch nicht mal nach der installation ein schlüsselpaar, weil kann ja sein das ich garkeins haben will oder was. es fragt noch nichtmal danach. den public key initial schicken muss ich ich immernoch manuell machen (weil kann ja sein das ich von denen keine verschlüsselten mails haben will!), ich glaub per default wird noch nichtmal eine signatur angehängt.

    und dann diese bullshit mit den keyservern.. alle legen ihre public keys auf irgendeinem von 5 servern oder so ab, das ermöglicht garantiert keine neuen angriffsvektoren. <_<

    pEp vermeidet diesen ganzen blödsinn, und macht schlüsselverifikation durch merkbare fingerprints einfacher. vor allem aber benutzt es email+pgp nur als legacy backend und kommuniziert wenn möglich über gnunet. das ist mir viel wichtiger als nur pgp richtig gemacht.

  15. Re: Das Projekt ist reine Zeitverschwendung

    Autor: derKlaus 17.09.14 - 16:21

    ralf.wenzel schrieb:
    --------------------------------------------------------------------------------
    > derKlaus schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Blöd wird's nur, wenn eben end to end verlangt wird,
    > > dann kann ich das nicht nutzen.
    >
    > Das Gewese um die Ende-zu-Ende-Verschlüsselung verstehe ich eh nicht. Warum
    > sollen meine Mails verschlüsselt auf meinem Endgerät liegen und meine
    > Produktionspläne nicht? Entweder ich verschlüssele alles oder nix auf
    > meinem lokalen System (ich habe z. B. den ganzen Rechner verschlüsselt).
    In einem Unternehmen liegen die Mails ja in erster Linie auf einem Mailserver und nicht am Client (da liegt vielleicht noch eine Kopie für Offline Nutzung). Da ein Dritter Zugriff auf das Postfach haben könnte, DARF im Postfach die Mail nicht unverschlüsselt abgelegt werden. Es geht im übrigen auch um etwaige Attachments, die dann übrigens genauso verschlüsselt sein müssen. Im Endeffekt gehts da nicht nur um verschlüsselte Übertragung (die man beispielsweise auch mit einer direkten Server zu Server-Verbindung mit TLS o.ä. lösen könnte), sondern darum, einen Zugriff durch Unbefugte Dritte komplett zu unterbinden. Ob die Daten tatsächlich im Mailpostfach am sinnvollsten aufzubewahren sind, sei mal dahingestellt.

    > Ich lege meine Briefe ja zuhause nicht in verschlossenen Briefumschlägen
    > ab....
    Das ist korrekt, aber etwaige Wertpapiere hast Du auch ggf. in einem Bankschliessfach und nicht auf Deinem Balkon gelagert ;)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. PHOENIX Pharmahandel GmbH & Co KG, Fürth, Mannheim
  2. auticon, verschiedene Standorte
  3. Automation W+R GmbH, München
  4. über Badenoch + Clark, Bremen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 30,00€
  2. (aktuell u. a. Xiaomi Mi Note 10 128GB Handy für 499,00€ und HP 25x LED-Monitor für 179,90€)
  3. (u. a. Battlefield V für 21,49€ und Star Wars Jedi: Fallen Order für 52,99€)
  4. (u. a. Quantum Break für 7,99€ und The Flame in the Flood für 2,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Tesla-Fabrik in Brandenburg: Remote, Germany
Tesla-Fabrik in Brandenburg
Remote, Germany

Elon Musk steht auf Berlin, doch industrielle Großprojekte sind nicht die Stärke der Region. Ausgerechnet in die Nähe der ewigen Flughafen-Baustelle BER will Tesla seine Gigafactory 4 platzieren. Was spricht für und gegen den Standort Berlin/Brandenburg?
Eine Analyse von Dirk Kunde

  1. Gigafactory Tesla soll 4 Milliarden Euro in Brandenburg investieren
  2. 7.000 Arbeitsplätze Tesla will Gigafactory bei Berlin bauen
  3. Irreführende Angaben Wettbewerbszentrale verklagt Tesla wegen Autopilot-Werbung

Von De-Aging zu Un-Deading: Wie Hollywood die Totenruhe stört
Von De-Aging zu Un-Deading
Wie Hollywood die Totenruhe stört

De-Aging war gestern, jetzt werden die Toten zum Leben erweckt: James Dean übernimmt posthum eine Filmrolle. Damit überholt in Hollywood die Technik die Moral.
Eine Analyse von Peter Osteried


    Social Engineering: Die Mitarbeiter sind unsere Verteidigung
    Social Engineering
    "Die Mitarbeiter sind unsere Verteidigung"

    Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
    Ein Interview von Moritz Tremmel

    1. Social Engineering Mit künstlicher Intelligenz 220.000 Euro erbeutet
    2. Social Engineering Die unterschätzte Gefahr

    1. Red Dead Redemption 2 PC: Hohe Bildraten schaden nicht mehr der Gesundheit
      Red Dead Redemption 2 PC
      Hohe Bildraten schaden nicht mehr der Gesundheit

      Mit Updates versucht Rockstar Games, die technischen Probleme der PC-Version von Red Dead Redemption 2 zu lösen - inklusive eines kuriosen Fehlers bei hohen Bildraten. Die Entwickler haben eine Übersicht mit noch nicht korrigierten Bugs ins Netz gestellt.

    2. Auslandskoordination: Telekom dreht LTE an den Grenzen voll auf
      Auslandskoordination
      Telekom dreht LTE an den Grenzen voll auf

      Nach Vodafone nutzt jetzt auch die Telekom die Leistung ihrer LTE-Stadion an den Auslandsgrenzen. Während es bei Vodafone 50 Stationen waren, stellt die Telekom gleich 500 auf volle Leistung.

    3. Benzinpreis-Proteste: Internet in Iran bleibt weiter gesperrt
      Benzinpreis-Proteste
      Internet in Iran bleibt weiter gesperrt

      Seit mehreren Tagen ist das Internet in Iran nach blutigen Protesten weitgehend gesperrt. Nur fünf Prozent des normalen Traffics werden registriert.


    1. 17:44

    2. 17:17

    3. 16:48

    4. 16:30

    5. 16:22

    6. 16:15

    7. 15:08

    8. 14:47