1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: PEP will…

Das Projekt ist reine Zeitverschwendung

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Projekt ist reine Zeitverschwendung

    Autor: kormi 16.09.14 - 13:12

    Man kann Sicherheit ab einem bestimmten Punkt einfach nicht weiter runterbrechen.

    Die Aussage: Es ist zu kompliziert, warum kann es nicht einfacher gehen?, ist nur eine Ausrede um sich damit nicht zu beschaeftigen. Ich habe noch keine Person getroffen, die GPG nicht verstanden hat, nach dem Sie sich damit eine Stunde beschaeftigt hat. Den meisten anderen ist es einfach nicht wichtig genug.

    Die Leute muessen einfach verstehen, dass sie einige Grundlagen der sicheren Kommunikation lernen muessen. Genau so wie wir lernen, die Tuer abzuschliessen, links, rechts, links gucken bevor man die Strasse kreuzt usw...

  2. Ist es leider nicht

    Autor: fdik 16.09.14 - 14:01

    Sonst würde ich meine Zeit woanders investieren ;-) Ein Tipp: lad Dir doch einfach mal die Preview auf http://pep-project.org runter und probier sie aus. Dann siehst Du schnell den Unterschied zu gängigen PGP-Implementierungen.

  3. Re: Das Projekt ist reine Zeitverschwendung

    Autor: derKlaus 16.09.14 - 15:56

    kormi schrieb:
    --------------------------------------------------------------------------------
    > Man kann Sicherheit ab einem bestimmten Punkt einfach nicht weiter
    > runterbrechen.
    >
    > Die Aussage: Es ist zu kompliziert, warum kann es nicht einfacher gehen?,
    > ist nur eine Ausrede um sich damit nicht zu beschaeftigen. Ich habe noch
    > keine Person getroffen, die GPG nicht verstanden hat, nach dem Sie sich
    > damit eine Stunde beschaeftigt hat. Den meisten anderen ist es einfach
    > nicht wichtig genug.
    Kleine Frage: hast Du das mal Personen erklärt, für die ein Computer einfach nur ein Arbeitsmittel ist und die schon damit ein Problem haben, ihre Mails sinnvoll zu organisieren und das Unternehmen dennoch S/MIME und PGP einsetzt, einfach weil Kunden es verlangen? PGP ist für viele Leute nicht einfach zu verstehen, und aus diesem Grund nutzen mein Arbeitgeber eine Gateway-Lösung. Blöd wird's nur, wenn eben end to end verlangt wird, dann kann ich das nicht nutzen.

    > Die Leute muessen einfach verstehen, dass sie einige Grundlagen der
    > sicheren Kommunikation lernen muessen. Genau so wie wir lernen, die Tuer
    > abzuschliessen, links, rechts, links gucken bevor man die Strasse kreuzt
    > usw...
    Das müssen die Leute eben nicht. Gerade wegen Deinem Beispiel mit über die Straße gehen kann ich das sagen, da ich sehr viele Leute dabei beobachte genau das nicht zu tun.

  4. Re: Ist es leider nicht

    Autor: derKlaus 16.09.14 - 15:58

    fdik schrieb:
    --------------------------------------------------------------------------------
    > Sonst würde ich meine Zeit woanders investieren ;-) Ein Tipp: lad Dir doch
    > einfach mal die Preview auf pep-project.org runter und probier sie aus.
    > Dann siehst Du schnell den Unterschied zu gängigen PGP-Implementierungen.
    Ich begrüße PEP absolut. Und ich werd das mal verfolgen, das scheint genau das zu sein, was mir einen Teil meines Arbeitstages erleichtern könnte. Danke dafür, dass Du daran mitarbeitest.
    Edit: hab mir grad mal die Seite angeguckt. Gibt's da ein FAQ oder so? Ich finde die ein wenig unstrukturiert. Gerade wenn ich von GPG4win umsatteln will, wären ein paar Hilfestellungen gut.



    1 mal bearbeitet, zuletzt am 16.09.14 16:09 durch derKlaus.

  5. Re: Das Projekt ist reine Zeitverschwendung

    Autor: ralf.wenzel 16.09.14 - 16:36

    derKlaus schrieb:
    --------------------------------------------------------------------------------
    > Blöd wird's nur, wenn eben end to end verlangt wird,
    > dann kann ich das nicht nutzen.

    Das Gewese um die Ende-zu-Ende-Verschlüsselung verstehe ich eh nicht. Warum sollen meine Mails verschlüsselt auf meinem Endgerät liegen und meine Produktionspläne nicht? Entweder ich verschlüssele alles oder nix auf meinem lokalen System (ich habe z. B. den ganzen Rechner verschlüsselt).

    Ich lege meine Briefe ja zuhause nicht in verschlossenen Briefumschlägen ab....

  6. Re: Ist es leider nicht

    Autor: kormi 16.09.14 - 17:02

    > Sonst würde ich meine Zeit woanders investieren ;-) Ein Tipp: lad Dir doch einfach mal die Preview auf http://pep-project.org runter und probier sie aus.

    Warum? Ich habe eine vernueftige funktionierende Loesung. Sowohl auf dem Desktop (Windows/Mac/Linux), als auch auf Android. Sowohl fuer IM (Jabber) als auch fuer Mail. Auch alles Opensource. Es kann gut sein, dass man einen vernueftigen Plugin fuer Outlook braucht, da kann ich nicht miterede, aber ihr wollt ja mehr.

  7. Re: Das Projekt ist reine Zeitverschwendung

    Autor: kormi 16.09.14 - 17:15

    > Kleine Frage: hast Du das mal Personen erklärt, für die ein Computer einfach nur ein Arbeitsmittel ist und die schon damit ein Problem haben, ihre Mails sinnvoll zu organisieren und das Unternehmen dennoch S/MIME und PGP einsetzt, einfach weil Kunden es verlangen?

    Ja habe ich :). Wenn Sie es nicht machen, dann haben die ein Problem. Mitarbeiter haben den Anweisungen Ihrer Vorgesetzten (theoretisch) zu folgen und schon gar wenn es der Kunde verlangt und/oder es um Sicherheit geht ! Die muessen ja nicht mal was selber einrichten, auch wenn im meinem privaten Umfeld genug Nichtitler es hinkriegen Thunderbird + Enigmail einzurichten.

    > Das müssen die Leute eben nicht. Gerade wegen Deinem Beispiel mit über die Straße gehen kann ich das sagen, da ich sehr viele Leute dabei beobachte genau das nicht zu tun.

    Das stimmt sie haben die freie Wahl. Ich sage auch nicht, jeder soll es machen, aber wenn einer bestimmte Sicherheitsregeln im Unternehmen nicht einhaelt und sei es: "Trage immer ein Helm" oder "verschluessele deine Mails", dann sind sie nach ein Paar Verwarnungen weg vom Fenster.

    EDIT: Es ging mir voher eigentlich um Privatgebrauch. Da handhabe ich in letzter Zeit es so: du willst mit mir Kommunizieren, tu es verschluesselt. Dann nenne ich der Person welche App die Person nutzen soll. Natuerlich funktioniert es so nicht im Bznz Umfeld, aber da biete ich meinen Kunden es an, wenn Sie es nicht selber ansprechen.



    2 mal bearbeitet, zuletzt am 16.09.14 17:23 durch kormi.

  8. Re: Das Projekt ist reine Zeitverschwendung

    Autor: lestard 16.09.14 - 17:37

    Selbst als Informatiker, der weiß wie GPG prinzipiell funktioniert muss ich mich doch jedes mal wieder neu einlesen, wie es zu installieren und einzurichten ist. Ich beschäftige mich ja nicht ständig damit. Kompliziert wirds auch, wenn mans auf mobilen Geräten hinbekommen will.

    Ich war bei dem Vortrag in Dresden anwesend und fand das Konzept ziemlich cool. Die live-demo war tatsächlich "einfach". Beim Installer paar mal auf Weiter klicken und fertig.
    Ich finde da besteht sehr wohl Bedarf.

  9. Re: Ist es leider nicht

    Autor: kormi 16.09.14 - 18:20

    @fdik sorry hatte heute ein scheiss Morgen, deswegen relativ agressiv ausformuliert. Noch mal um zu erklaeren, warum ich es als Zeitverschwendung erachte: Ihr erfindet das Rad neu (abseits von Outlook vll). Es waere besser wenn Ihr, eure Zeit Enigmail, Openpgp Keychain usw spenden wuerdet, als dieses "wir revolutionioeren alles" Gehabe.

    Das meiste ist schon einfach, man muss nur ein bisschen hier und da die UI anpassen/verschoenern. Mir ist letztens noch die Kinnlade runtergefallen, als ich auf Windows Enigmail installiert habe. Es hat automatisch GPG installiert und alles eingerichtet. Ok ich gebe zu man muss immer noch verstehen, was ein Public/Private Key ist und wie Web Of Trust funktioniert, aber wie gesagt einige Sachen kann man nicht runterbrechen.

  10. Re: Das Projekt ist reine Zeitverschwendung

    Autor: bellerophon1210 16.09.14 - 18:45

    Und das war jetzt weniger aggressiv ausformuliert.
    Aha - interessante Sichtweise...

  11. Re: Das Projekt ist reine Zeitverschwendung

    Autor: SelfEsteem 17.09.14 - 00:57

    ralf.wenzel schrieb:
    --------------------------------------------------------------------------------
    > derKlaus schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Blöd wird's nur, wenn eben end to end verlangt wird,
    > > dann kann ich das nicht nutzen.
    >
    > Das Gewese um die Ende-zu-Ende-Verschlüsselung verstehe ich eh nicht. Warum
    > sollen meine Mails verschlüsselt auf meinem Endgerät liegen und meine
    > Produktionspläne nicht? Entweder ich verschlüssele alles oder nix auf
    > meinem lokalen System (ich habe z. B. den ganzen Rechner verschlüsselt).
    >
    > Ich lege meine Briefe ja zuhause nicht in verschlossenen Briefumschlägen
    > ab....
    Aehm ... jaaaa ... wie du schon selbst geschrieben hast ... du verstehst es nicht - und zwar ganz und garnicht.

    Deine Mails sollen nicht verschluesselt rumliegen, darum gehts garnicht. Es geht darum, dass sie verschluesselt ankommen und zwar so, wie sie der Gegenueber verschluesselt hat.
    Der Gegensatz dazu ist eine Verschluesselung zwischen Sender-Server und getrennt davon nochmal Server-Receiver, was dem Server das Mitlesen ermoeglicht.

    Ob du deine Mails dann nach der Entschluesselung unverschluesselt abspeicherst, bleibt dir ueberlassen, ist aber garnicht das Thema.

  12. Re: Das Projekt ist reine Zeitverschwendung

    Autor: ralf.wenzel 17.09.14 - 01:08

    SelfEsteem schrieb:
    --------------------------------------------------------------------------------
    > Ob du deine Mails dann nach der Entschluesselung unverschluesselt
    > abspeicherst, bleibt dir ueberlassen, ist aber garnicht das Thema.

    Aber die Lösungen, die mir bekannt sind, beruhen darauf, dass das Mailprogramm sie eben nicht entschlüsselt speichern.

    BTW: Das ist das Ende des Mailens über ein Webinterface, richtig?

  13. Re: Das Projekt ist reine Zeitverschwendung

    Autor: SelfEsteem 17.09.14 - 01:23

    ralf.wenzel schrieb:
    --------------------------------------------------------------------------------
    > Aber die Lösungen, die mir bekannt sind, beruhen darauf, dass das
    > Mailprogramm sie eben nicht entschlüsselt speichern.
    Das tun sie deswegen nicht, weil sie die einkommende Nachricht ueberhaupt nicht mehr anlangen. Es wird nur zur Anzeige verschluesselt. Du kannst den Text auch rauskopieren, oder, falls dein Mailprogramm das unterstuetzt ein Haekchen setzen (keine Ahnung ob das existiert, hab nie danach gesucht - wofuer auch?).

    Letztlich, wenn die Schluessel korrekt eingetragen sind, sollte das fuer dich ohnehin transparent sein - also warum ueberhaupt Gedanken darueber machen?
    Oder willst du "aus Prinzip" die Textdateien und DB-Inhalte auf deiner Platte lesen koennen?

    >
    > BTW: Das ist das Ende des Mailens über ein Webinterface, richtig?
    Och Leute ...
    Nein, ist es nicht. Dein Webinterface ist im wesentlichen nichts viel anderes als die Oberflaeche deines Mailclients - nur eben raeumlich etwas vom Backend getrennt.
    Eine Clientseitige Verschluesselung ist da genauso moeglich.



    1 mal bearbeitet, zuletzt am 17.09.14 01:23 durch SelfEsteem.

  14. Re: Das Projekt ist reine Zeitverschwendung

    Autor: sofias 17.09.14 - 14:38

    es geht doch garnicht um pgp. pgp ist legacy. es schützt keine metadaten, nichtmal den betreff. so hält sich der nutzen von vornherein in grenzen. und an interfaces hab ich bis jetzt nur enigmail probiert und das war eher mies. es erstellt mit noch nicht mal nach der installation ein schlüsselpaar, weil kann ja sein das ich garkeins haben will oder was. es fragt noch nichtmal danach. den public key initial schicken muss ich ich immernoch manuell machen (weil kann ja sein das ich von denen keine verschlüsselten mails haben will!), ich glaub per default wird noch nichtmal eine signatur angehängt.

    und dann diese bullshit mit den keyservern.. alle legen ihre public keys auf irgendeinem von 5 servern oder so ab, das ermöglicht garantiert keine neuen angriffsvektoren. <_<

    pEp vermeidet diesen ganzen blödsinn, und macht schlüsselverifikation durch merkbare fingerprints einfacher. vor allem aber benutzt es email+pgp nur als legacy backend und kommuniziert wenn möglich über gnunet. das ist mir viel wichtiger als nur pgp richtig gemacht.

  15. Re: Das Projekt ist reine Zeitverschwendung

    Autor: derKlaus 17.09.14 - 16:21

    ralf.wenzel schrieb:
    --------------------------------------------------------------------------------
    > derKlaus schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Blöd wird's nur, wenn eben end to end verlangt wird,
    > > dann kann ich das nicht nutzen.
    >
    > Das Gewese um die Ende-zu-Ende-Verschlüsselung verstehe ich eh nicht. Warum
    > sollen meine Mails verschlüsselt auf meinem Endgerät liegen und meine
    > Produktionspläne nicht? Entweder ich verschlüssele alles oder nix auf
    > meinem lokalen System (ich habe z. B. den ganzen Rechner verschlüsselt).
    In einem Unternehmen liegen die Mails ja in erster Linie auf einem Mailserver und nicht am Client (da liegt vielleicht noch eine Kopie für Offline Nutzung). Da ein Dritter Zugriff auf das Postfach haben könnte, DARF im Postfach die Mail nicht unverschlüsselt abgelegt werden. Es geht im übrigen auch um etwaige Attachments, die dann übrigens genauso verschlüsselt sein müssen. Im Endeffekt gehts da nicht nur um verschlüsselte Übertragung (die man beispielsweise auch mit einer direkten Server zu Server-Verbindung mit TLS o.ä. lösen könnte), sondern darum, einen Zugriff durch Unbefugte Dritte komplett zu unterbinden. Ob die Daten tatsächlich im Mailpostfach am sinnvollsten aufzubewahren sind, sei mal dahingestellt.

    > Ich lege meine Briefe ja zuhause nicht in verschlossenen Briefumschlägen
    > ab....
    Das ist korrekt, aber etwaige Wertpapiere hast Du auch ggf. in einem Bankschliessfach und nicht auf Deinem Balkon gelagert ;)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Berliner Verkehrsbetriebe (BVG), Berlin
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  3. Erzbistum Hamburg, Hamburg
  4. GK Software SE, Köln, Jena, Schöneck/Vogtland, Sankt Ingbert

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 1.199,00€
  2. täglich neue Deals bei Alternate.de
  3. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

Fire TV Cube im Praxistest: Das beste Fire TV mit fast perfekter Alexa-Sprachsteuerung
Fire TV Cube im Praxistest
Das beste Fire TV mit fast perfekter Alexa-Sprachsteuerung

Der Fire TV Cube ist mehr als eine Kombination aus Fire TV Stick 4K und Echo Dot. Der Cube macht aus dem Fernseher einen besonders großen Echo Show mit sehr guter Sprachsteuerung und vorzüglicher Steuerung von Fremdgeräten. In einem Punkt patzt Amazon allerdings leider.
Ein Praxistest von Ingo Pakalski

  1. Zum Start von Apple TV+ Apple-TV-App nur für neuere Fire-TV-Geräte
  2. Amazon Youtube-App kommt auf alle Fire-TV-Modelle
  3. Amazon Fire TV hat 34 Millionen aktive Nutzer

  1. Amazons Heimkino-Funktion: Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
    Amazons Heimkino-Funktion
    Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden

    Amazon wertet viele seiner Echo-Lautsprecher auf. Sie können als drahtlose Heimkinolautsprecher mit Fire-TV-Geräten verbunden werden. Die smarten Lautsprecher dienen dann auch zum Konsum von Filmen und Serien.

  2. Chrome: Google will langsame Websites kennzeichnen
    Chrome
    Google will langsame Websites kennzeichnen

    Der Webbrowser Chrome soll künftig anzeigen, ob eine Website in der Regel schnell oder langsam geladen wird. Wie diese Kennzeichnung aussehen könnte, will Google noch erproben.

  3. Brille: Apple soll AR-VR-Headsets ab 2021 planen
    Brille
    Apple soll AR-VR-Headsets ab 2021 planen

    Den Einstieg in die virtuelle oder augmentierte Realität will Apple erst ab 2021 mit entsprechenden Brillen abschließen. Vorher soll das iPad Pro mit Sensoren ausgerüstet werden, die den Raum erfassen.


  1. 08:31

  2. 08:01

  3. 07:36

  4. 20:03

  5. 18:05

  6. 17:22

  7. 15:58

  8. 15:26