Skip to content

Mailverschlüsselung ...

Simwama (Sind wir einmal) ehrlich, Mails verschlüsseln ist mit GPG und aktueller Software sehr leicht.

Am "Web of Trust" teilzunehmen, ist für einen Durchschnittsnutzer immer noch zu komplex. Ärgerlicherweise hat sich an der Komplexität in den letzten knapp 20 Jahren auch nicht wirklich etwas geändert.

Im "Web of Trust" werden Vertrauenspfade aufgebaut, die mir als Nutzer bestätigen, dass der öffentliche Schlüssel, den ich von einem Kommunikationspartner bekommen habe, wirklich der Person gehört und von niemandem "in der Mitte" kompromittiert wurde. Um diese Identitäten zu bestätigen, werden Keysgining-Parties gehalten, in der die Ausweise kontrolliert werden und die Schlüssel später bestätigt (signiert) werden.

Damit bekommen Telefonbücher aka Keyserver ihren Sinn.

Wie kann man das leichter machen? Offizielle Anlaufstellen für das signieren von Schlüsseln? Post? Banken? Einwohnermeldeämter?

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

-thh am :

*Die NSA könnte die Keys signieren ... :-)

Nein, im Ernst: Wenn man sich auch und gerade gegen staatliche Akteure schützen will, ist persönliches Vertrauen die einzige Möglichkeit der Validierung. Aufwendig, aber wer das braucht, dem sollte es der Aufwand wert sein.

Dirk Deimeke am :

*Stimme Dir zu, finde das aber heute nicht mehr handhabbar.

Wenn ich mit Dir verschlüsselt kommunizieren möchte, sollte ich das auch können, ohne, dass wir uns persönlich kennenlernen.

Viele "Briefbekanntschaften" werden über das Internet geschlossen und funktionieren ausschliesslich dort. Das ist auch in Ordnung und eine schöne Sache.

-thh am :

*Die Frage ist immer, wogegen man sich schützen will. Mit persönlich ist es weitgehend gleichgültig, ob irgendein anonymer amerikanischer Geheimdienst meinen Mailverkehr scannt, also brauche ich dagegen keinen Schutz. Gegen Mitlesen im WLAN oder beim Provider schützt mich auch ein Key, den ich auf eine Weise validiert habe, die nicht gegen Geheimdienste oder andere nationalstaatliche Akteure schützt.

Quasi-staatliche Stellen für Verschlüsselung einzuspannen, mit der man sich gerade gegen den Staat schützen will, macht aber wenig Sinn.

Dirk Deimeke am :

*Gebe Dir Recht!

Allerdings ist der Punkt, dass zumindest auf dem Papier noch eine Unschuldsvermutung gilt und ich finde es geht niemanden etwas an, was ich schreibe.

Was passiert, wenn meine Korrespondenz das "Muster für Terrorismus" erfüllt, mag ich mir gar nicht ausmalen.

Dass es aus diesem Grund eine schlechte Idee ist, dass der Staat die Private Keys erstellt, sollte klar sein, aber signieren sollte er können.

Matthias Mees am :

*„sehr leicht“?! Das gilt für Dich, vielleicht noch für mich, es mag in einem primär technischen Umfeld anders sein, aber für den berüchtigten „Normaluser“ ist das immer noch zu kompliziert.

Und genau da wäre es doch interessant – wie oft schicken mir z.B. Kunden durchaus sensible Daten per E-Mail, weil es einfach ist und schnell geht. Verschlüsselt? Niemals.

Was die Validierung angeht, bin ich ganz bei Dir, Dirk: Das muss ohne Kontakt von Angesicht zu Angesicht gehen, ansonsten ist es heutzutage aussichtslos.

Dave am :

*Verschlüsselung wird einem Otto-Normal-User mittlerweile so leicht gemacht, dass ich mir schon wieder Sorgen mache. Das erzeugt nämlich im schlimmsten Fall ein Gefühl falscher Sicherheit. Falsch angewandte Kryptographie ist unsicher und wenn man Leuten eben "nur" beibringt "klick hier, klick da, alles ist prima" dann wird das schiefgehen. Ich schreibe "nur" weil ich weiß, wass für ein Affenzirkus das manchmal sein kann bis man Menschen auch nur von sowas wie TB+Enigmail überzeugt hat.

Die Idee hinter einem Web of Trust ist übrigens, dass man einige wenige Leute persönlich kennt, die kennen wieder andere und die kennen dann deinen neuen Online-Freund.

Den Ersatz durch eine zentrale Signierungsinstanz will man dabei gerade *nicht*. Das wäre nämlich Zertifikatsverschlüsselung, die gibts schon. Siehe auch https://en.wikipedia.org/wiki/Web_of_trust

Im Übrigen bin ich der Meinung, dass es in Ordnung ist, wenn Leute sich nicht mit etwas beschäftigen wollen. Dann brauchen die aber auch nicht jammern.

Dirk Deimeke am :

*Da bin ich absolut nicht Deiner Meinung.

Verschlüsselung muss der Default sein und so einfach, dass man sich keine Gedanken mehr darüber machen muss.

Die Idee hinter dem "Web of Trust" ist super, aber nicht für Durchschnittsuser machbar. Zu denen zählen auch die Eltern- und Grosselterngenerationen.

Und selbst mit einem funktionierenden "Web of Trust" kann man sich vielfältig ins Knie schiessen, in dem man (als ein Beispiel unter vielen) die verschlüsselt herausgehenden Mails bei sich selber unverschlüsselt ablegt. Sobald der eigene Rechner kompromittiert wird, liegt auch die Kommunikation offen.

Sicherheit im Sinne von Vertraulichkeit ist noch nicht einfach zu haben.

Dave am :

*Das Problem ist aber, dass sicheres Krypto-Fu nicht so einfach geht wie es sein müsste um Eltern/Großeltern die Angst davor zu nehmen.

Das WoT hat genau gar nichts damit zu tun, ob Du Mails verschlüsselst oder nicht. Das bezieht sich nur darauf, ob Du der Aussage des Absenders "Ich bin John Doe" glauben willst oder nicht ;-) Das macht also für Deine Sicherheit i.S.v. Vertraulichkeit keinen Unterschied.

Dirk Deimeke am :

*Nein, es ist leicht.

Die Installation eines Plugins und das Klicken auf "encrypt", gefolgt von der Aufforderung ein Passwort einzugeben, ist einfach.

Schwierig ist die Infrastruktur von PGP / GPG und damit das "Web of Trust". PGP / GPG sind eine Möglichkeit zu verschlüsseln, aber lange nicht die einzige.

Matthias Mees am :

*Es mag richtig und sinnvoll sein, das zu trennen, es ändert aber an der Sache per se doch nichts – Verschlüsselung von E-Mail ist für weite Teile der Menschheit zu kompliziert und mit zuviel Aufwand verbunden, deswegen nutzen sie sie nicht.

Dirk Deimeke am :

*Es nutzen ja selbst die nicht, die es können ...

Wie geschrieben, das Verschlüsseln an sich ist keine grosse Tat. Es wird aber trotzdem nicht genutzt.

Matthias Mees am :

*Da kann ich jetzt nur für mich sprechen – ich nutze es nicht, weil es mir nichts bringt. Die Zahl der Kontakte, mit denen ich verschlüsselt mailen könnte, ist arg begrenzt. Speziell bei den Kontakten, bei denen Verschlüsselung sehr sinnvoll wäre, liegt die Verwendung in den einstelligen Prozentwerten.

Und genau da beisst sich die Katze meines Erachtens in den Schwanz.

Dirk Deimeke am :

*Bin absolut Deiner Meinung.

Das deckt sich mit meiner Aussage, dass es selbst die nicht nutzen, die es können.

Stefan Betz am :

*Einwohnermeldeamt wäre am sinnvollsten finde ich.

Dirk Deimeke am :

*Ja, finde ich auch. Das wäre auch eine sinnvolle Anwendung für den elektronischen Personalausweis. Wenn man den als Signaturkarte verwenden könnte, wäre das ein Riesenschritt nach vorne.

Thomas am :

*Crypto-Party vom CCCCH: http://tagesanzeiger.ch/digital/internet/Wie-Sie-im-Internet-Ihre-Spuren-verwischen/story/12002087

Thomas am :

*Sorry, es ist der CCCZH nicht der CCCCH.

Dirk Deimeke am :

*Das habe ich witzigerweise auch gelesen, da der CCCCH nur ein organisatorischer Dachverband ist.

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen