Ansicht:   

#447151

vordprefect

wo karl ruht..,
05.07.2021, 12:52:30

Nutzt ihre Verschlüsselung privat? (pc.security)

Hallo in die Runde ;)

mittlerweile werden ja oft auch "heiklere" oder "offizielle" Angelegenheiten per E-mail und übers Internet erledigt, z.B. Kündigungen von Abos oder evtl. auch andere Anliegen.

Mir ist das langsam zu unsicher, zumal kein Mensch weiß, ob die E-mail stimmt, ob sie von demjenigen, den man vermutet, auch kommt. Daher überlege ich mir ein digitales Zertifikat für meine persönlichen Zwecke zu zulegen um hier in gewissem Maße abgesichert zu sein.

Damit kann ich dann signierte (d.h. beglaubigte) E.mails schreiben, die von mir autorisiert und für den Empfänger lesbar sind. Wird die E-mail auf dem Transportweg manipuliert, wird die Signatur gebrochen und ist damit komprimittiert.

Ich kann die E-mail mit einem Zertifikat dann auch verschlüsseln, dann braucht aber der Empfänger ebenfalls das Gegenzertifikat, damit er diese E-mail entschlüsseln kann. Hier ist nicht nur der Transportweg geschützt, sondern auch der Inhalt, da bis auf die Headerdaten (Absender / Empfänger) der Inhalt der E-mail nicht lesbar ist.

Mich interessiert hier Eure Sicht darauf - Schon mal darüber Gedanken gemacht?
Würdet ihr das nutzen - auch wen es was kostet?


Hier noch ein kleiner Exkurs zu der gesamten Thematik:

Es gibt zwei weit verbreitete Technologien zum Signieren / Verschlüsseln von E-mails und Daten: GnuPG / PGP und S/MIME

GnuPG und PGP kennt keine neutrale Zertifizierungsstelle, sondern vertraut darauf, daß sich die Benutzer untereinander vertrauen. Dieser "Ring-of-Trust" - du vertraust mir, dann vertraue ich Dir, dann kann auch der Freund Deines Freundes mir vertrauen ist das Prinzip von GnuPGP / PGP. Die Programme und Utilities dazu sind Freeware und können von jedermann/frau
genutzt werden gpg4win ist ein solches Projekt.

S/MIME
Auch bei S/MIME kann man Zertifikate selbst erstellen (d.h. SelfSigned), allerdings sind diese nicht von einer neutralen Stelle beglaubigt z.B. kann man sowas innerhalb von Windows Domänen aufsetzen, da Windows eine eigene Zertifizierungs-Services mitbringt) D.h. man muß demjenigen, von dem man das Zertifikat bekommt, vertrauen. Das geht, wenn ich weiß, daß mein Partner mir eine E-mail mit seinem Zertifikat schickt und andersherum.

Von einer zentralen und zertifizierten Stelle herausgegebene S/MIME Zertifikate kosten meistens etwas Geld (20- 60 EUR/Jahr).
Die Stammzertifikate dieser Trustcenter sind z.B. in den Browsern hinterlegt, somit kommt hier keine Abfrage, wenn man mit einem Zertifikat eines Trustcenters eine E-mail öffnet. Bei unbekannten Zertifizierungsstellen (z.B. selbstausgestellten Zertifikaten) kommt hier eine Abfrage, ob man dem Zertifikat wirklich vertrauen will, erst dann kann man die E-mail öffnen.

Für S/MIME Zertifikate gibt es verschiedene Trustlevel.

Der einfachste Level ist auch am günstigsten. Hier wird allerdings nur die E-mail-Adresse verifiziert, aber niemand weiß, welche Identität dahinter steckt. D.h. jeder der das Zertifikat hat, kann auch eine E-mail mit diesem Absender schicken.

Ein weiterer Level ist die Zertifizierung mit E-mail-Adresse und der Person (Identität). Hier wird die E-mail-Adresse und die Person mittels Ausweis (etc.) überprüft. D.h. Adresse und Person stimmen mit der E-mail-Adresse über ein.

Es gib hier dann auch noch andere Abstufungen, z.B. ob das Zertifikat mit Smartcard-Readern genutzt werden kann usw.
und für Unternehmen sieht es nochmals anders aus, die können dann je nach Art des Zertifikats der Zertifizierungsstelle selbst Zertifikate für Benutzer ausstellen.

Komplett ist das Vertrauen eigentlich nur, wenn sich die Person an einem dedizierten Rechner mit einem fest verbauten Kartenleser mit dem Zertifikat anmelden muß, um an diesem Rechner dann eine signierte oder verschlüsselte E-mail zu schreiben.

Kompliziert? Eigentlich nicht so.. ;)

--
lg,
volker

so long and thank you for the fish >~°>

Meine Fotos

#447156

RoyMurphy

Tübingen,
05.07.2021, 14:23:58

@ vordprefect

Nutzt ihre Verschlüsselung privat?

> Hallo in die Runde ;)
>
> mittlerweile werden ja oft auch "heiklere" oder "offizielle"
> Angelegenheiten per E-mail und übers Internet erledigt, z.B. Kündigungen
> von Abos oder evtl. auch andere Anliegen.
>
> Mir ist das langsam zu unsicher, zumal kein Mensch weiß, ob die E-mail
> stimmt, ob sie von demjenigen, den man vermutet, auch kommt. Daher
> überlege ich mir ein digitales Zertifikat für meine persönlichen Zwecke
> zu zulegen um hier in gewissem Maße abgesichert zu sein.

GMX.net und Web.de bieten die kostenlose DE-Mail an, für die man sich registrieren muss, habe mich mit dem Verschlüsselungs- und Übertragungsverfahren noch nicht näher befasst.

GMX De-Mail Einfach - und so sicher wie ein Brief! Kostenlose Standard De-Mails senden Persönliche De-Mail Adresse Rechtssichere Kommunikation Sicher und rund um die Uhr verfügbar

WEB.DE De-Mail Einfach - und so sicher wie ein Brief! Kostenlose Standard De-Mails senden Persönliche De-Mail Adresse Rechtssichere Kommunikation Sicher und rund um die Uhr verfügbar

--
--------------------------------------------------------------------------
 :-) Grüße aus Tübingen

Reinhard


"Es wird niemals so viel gelogen wie vor der Wahl, während des Krieges und nach der Jagd."
(Otto von Bismarck)

#447159

me3

Dohma,
05.07.2021, 14:42:35
(editiert von me3, 05.07.2021, 14:43:04)

@ vordprefect

Nutzt ihre Verschlüsselung privat? (ed)

Für mich war und ist E- Mail schon immer wie Post- oder Ansichtskarten mit der Post. Ich konnte auch nie den Aufschrei mit der ganzen Verschlüsselei nicht verstehen.
Trotzdem kann man Verträge auch per Mail kündigen. Name und Anschrift sind im digitalen Zeitalter eh kein Geheimnis (mehr). Und mit einer Vertragsnummer kann man meiner Meinung nach noch keinen Schaden anrichten.

me3

#447161

Hausdoc

Green Cottage,
05.07.2021, 16:13:09

@ vordprefect

Nutzt ihre Verschlüsselung privat?

> Mich interessiert hier Eure Sicht darauf - Schon mal darüber Gedanken
> gemacht?


Ich baue weder Atomkraftwerke noch bin ich Geheimagent.
Von daher ist die ganze Verschlüsselei in meinen Augen überflüssig.

Wer unbedingtes Unteresse auf den Inhalt meiner Mails hat soll sie lesen :lol2:

Ich habe leider oft mit dem Kontra dieses Verschlüselungswahns zu tun.
Wenn z.B. MSR Programmierer zum Ortstermin geladen werden und der Kerl 350KM anreist - um dann festzustellen daß Ihn irgend eine Verschlüsselung "ausgesperrt " hat.

--
Gruß Hausdoc

Heizungsfragen?? - Hier klicken

#447174

bender

Strasshof an der Nordbahn,
05.07.2021, 21:48:54
(editiert von bender, 05.07.2021, 21:49:14)

@ vordprefect

Nutzt ihre Verschlüsselung privat? (ed)

Das mit dem Verschlüsseln scheitert meistens daran, daß der Empfänger damit überfordert ist und keine Lust darauf hat. Sowohl privat als auch im Firmenumfeld. Auch wenn die Werkzeuga dazu schon oft im Mailprogramm integriert sind, bring mal einem "Ich bin nur Anwender!" bei, daß er sich jetzt mit öffentlichen und privaten Schlüsseln befassen soll.
Fazit: vergiß es.

--
Grüße aus Strasshof an der Nordbahn (ja, da wo die Kampusch im Keller lebte)
bender

sudo apt-get install brain_2.0

#447176

neanderix

05.07.2021, 22:16:39

@ Hausdoc

Nutzt ihre Verschlüsselung privat?

> > Mich interessiert hier Eure Sicht darauf - Schon mal darüber Gedanken
> > gemacht?
>
>
> Ich baue weder Atomkraftwerke noch bin ich Geheimagent.
> Von daher ist die ganze Verschlüsselei in meinen Augen überflüssig.

Du schreibst also keine Briefe sondern grundsätzlich nur Postkarten? U d hast nur in Problem damit, dass der Zusteller die Karte ließt bevor er sie einwirft?

Das ist dann tatsächlich deine Sache, aber gehe bitte nicht davon aus, dass andere das auch so sehen.

Im übrigen stehe ich auf dem Standpunkt, dass der Inhalt meiner Kommunikation exakt NIEMANDEN auch nur das geringste angeht; und das schließt die sogenannten Sicherheitsbehörden explizit mit ein.

--
Exil-Spotlighter

Probleme mit Windows? Reboot
Probleme mit Unix? Be root

#447177

neanderix

05.07.2021, 22:20:34

@ RoyMurphy

Nutzt ihre Verschlüsselung privat?

> GMX.net und Web.de bieten die kostenlose DE-Mail an, für die man sich
> registrieren muss, habe mich mit dem Verschlüsselungs- und
> Übertragungsverfahren noch nicht näher befasst.
>
> GMX De-Mail Einfach - und so
> sicher wie ein Brief! Kostenlose Standard De-Mails senden Persönliche
> De-Mail Adresse Rechtssichere Kommunikation Sicher und rund um die Uhr
> verfügbar

>
> WEB.DE De-Mail Einfach - und so
> sicher wie ein Brief! Kostenlose Standard De-Mails senden Persönliche
> De-Mail Adresse Rechtssichere Kommunikation Sicher und rund um die Uhr
> verfügbar


DE-Mail kommt mir definitiv nicht ins Haus.
Wenn du es einmal hast, dann wirst du es so schnell nicht mehr los.
Und: im Falle eines Falles gilt hier eine Beweislastum mehr. D.h. nicht der Absender muss beweisen, dass du seine Mail erhalten hast, sondern du, dass du sie nicht erhalten hast - was praktisch unmöglich ist.
Viel Spaß mit den sich daraus ergebenden Folgen.

--
Exil-Spotlighter

Probleme mit Windows? Reboot
Probleme mit Unix? Be root

#447183

Johann

06.07.2021, 08:43:14
(editiert von Johann, 06.07.2021, 08:49:49)

@ vordprefect

Nutzt ihre Verschlüsselung privat? (ed)

E-Mail ist das größte Provisorium des Internet. Es fehlt generell an Sicherheitsmerkmalen in allen Schichten. Bis heute stehen lediglich die benannten Sicherheitsmechanismen auf Anwendungsebene zur Verfügung und die, wie Bender das m.E. absolut richtig einschätzt, überfordern Standardnutzer total.
Ich habe in über 20 Jahren zwei Kommunikationspartner gehabt, mit denen das halbwegs dauerhaft funktioniert. Beides IT Spezialisten.
Aber zur Frage: Ich verwende wenn dann meist GPG in E-Mail Kontexten. Kann ich paranoid werden mit 4k großen Schlüsseln und die benötigten Key-tools stehen und standen auf so gut wie allen Plattformen gleichwertig zur Verfügung.
Weil das aber, wie gesagt, keiner kann, habe ich den Informationsaustausch privat wie geschäftlich auf allerlei Arten verschlüsselt implementiert. E-Mail ist aktuell nur mehr für belanglose Unverfänglichkeiten genutzt.

--
Alles ist einfach, leider ist das Einfache schwierig. (Clausewitz)

#447185

vordprefect

wo karl ruht..,
06.07.2021, 09:33:54

@ neanderix

Nutzt ihre Verschlüsselung privat?

hi

ich kenne De-Mail aber würde es nicht nutzen - zu eingeschränkt und kaum verbreitet.
Wer oft mit der Verwaltung oder Gerichten zu tun hat, dem könnte es mehr nutzen.

Ich habe meine E-mails lieber offline auf meinem Rechner und nicht in der Cloud!
Und: Man muß nicht web.de oder gmx (gleicher Konzern) nutzen.

--
lg,
volker

so long and thank you for the fish >~°>

Meine Fotos

#447186

vordprefect

wo karl ruht..,
06.07.2021, 09:50:03

@ Johann

Nutzt ihre Verschlüsselung privat?

Hi Johann

> E-Mail ist das größte Provisorium des Internet. Es fehlt generell an
> Sicherheitsmerkmalen in allen Schichten. Bis heute stehen lediglich die
> benannten Sicherheitsmechanismen auf Anwendungsebene zur Verfügung und
> die, wie Bender das m.E. absolut richtig einschätzt, überfordern
> Standardnutzer total.

Ja, das sehe ich teilweise auch so. In meinem privaten Umfeld kenne ich zwei Leute, die eine PGP-Signatur mitschicken.
Ich hatte mal einen PGP-Key, aber ich hab das dann auch nicht mehr weiterverfolgt.

> Ich habe in über 20 Jahren zwei Kommunikationspartner gehabt, mit denen
> das halbwegs dauerhaft funktioniert. Beides IT Spezialisten.

Privat nutze ich das bisher auch nicht. Mir gehts aber eher um E-mails im Zusammenhang mit Kontakten zu Unternehmen und anderen Institutionen, egal, ob es um Rechnungen, Vertragsänderungen, Mitteilungen etc. geht. Aber selbst die wissen nicht immer was eine signierte E-mail bedeutet - von Verschlüsselung brauchen wir hier erst gar nicht anzufangen.

Wenn man mit Gerichten und Verwaltung oft zu tun hat, könnte man überlegen De-Mail zu nutzen, hat aber auch Nachteile.
Einrichtung ist einfacher, aber nur online verfügbar, keine durchgängige Verschlüsselung und teilweise kostenpflichtig. Nachweis bei Problemen wird schwierig.

> Aber zur Frage: Ich verwende wenn dann meist GPG in E-Mail Kontexten. Kann
> ich paranoid werden mit 4k großen Schlüsseln und die benötigten
> Key-tools stehen und standen auf so gut wie allen Plattformen gleichwertig
> zur Verfügung.

> Weil das aber, wie gesagt, keiner kann, habe ich den Informationsaustausch
> privat wie geschäftlich auf allerlei Arten verschlüsselt implementiert.
> E-Mail ist aktuell nur mehr für belanglose Unverfänglichkeiten genutzt.

Selbst ich bin hier nicht konsequent - sonst würde ich nicht Whatsapp nutzen, aber die ganze Familie
dazu zu bringen, etwas anderes zu nutzen ist ein sinnloses Unterfangen :).

--
lg,
volker

so long and thank you for the fish >~°>

Meine Fotos

#447187

Hackertomm

06.07.2021, 09:53:57

@ vordprefect

Nutzt ihre Verschlüsselung privat?

Ich verwende keine Verschlüsselung mehr.
Hatte sie aber, bei meinem Geschäftskonto drauf, dass damals zu Coronazeiten 2020 noch Zuhause am PC lief.
Da waren einige Sicherheits Futures Vorschrift, da u.a. auch die Verschlüsselung der Emails dazu, wie ein aktueller und unterstützter Virenscanner.
Aber da ich dann Ende 2020 in die passive Phase der Altersteilzeit ging, lief das nur knapp etwas über ein Viertel ja,
Dann wurde mein Geschäfts Konto Deaktiviert, da ich ja kein "aktiver" Mitarbeiter mehr bin.

--
[image]

#447188

Johann

06.07.2021, 10:03:57
(editiert von Johann, 06.07.2021, 10:07:40)

@ vordprefect

Nutzt ihre Verschlüsselung privat? (ed)

Genau die Probleme, z.B. wie neulich im behördlichen Kontext, habe ich auch. Unternehmen oder Behörden akzeptieren teilweise wider besseren Wissens alles mögliche per Mail. Ist ja alles Bequemlichkeit, Aufwandsvermeidung. Irgendwas flugs in die Mail Pappen und …zisch.
Ich habe im Laufe des letzten Jahres wegen Home Office usw. in dem mich beschäftigenden Unternehmen ein VPN eingerichtet.
Das habe ich mit allem drum und dran so einfach wie möglich für alle Beteiligten gemacht.
Um eine Datei abzulegen muss man „nur“ Doppelklick, und das auch nur falls nicht bereits verbunden, auf den OpenVPN machen und dann im Windows z.B. ganz easy den entfernten Netzwerkordner (Samba Share) öffnen.
Bei der Einführung in einer Videokonferenz sprach ich: „Ab sofort bitte keine Informationen mit vertraulichen Daten irgendwie per Mail verschicken. Nutzen Sie künftig diese Art des Datenaustausches!“ - Es dauerte noch während der VK keine 60 Sekunden bis ich trotzdem wieder eine entsprechende Datei per Mail erhielt.  :confused:
Ist halt schwierig mit der Bequemlichkeit vs. Sicherheit…

--
Alles ist einfach, leider ist das Einfache schwierig. (Clausewitz)

#447190

Johann

06.07.2021, 10:17:12
(editiert von Johann, 06.07.2021, 10:22:22)

@ Hausdoc

Nutzt ihre Verschlüsselung privat? (ed)

Informationen sind das Gold des 21. Jahrhunderts, heisst es, aber eigentlich sind sie es schon immer. Wer dies verschleudern möchte mag das tun aber möchte sich im Nachgang nicht wundern, daß jemand anderes das differenziert bewertet und einen Vorteil für sich daraus generiert. Wirtschaftlich oder informell, zu welchem Zweck auch immer.

--
Alles ist einfach, leider ist das Einfache schwierig. (Clausewitz)

#447204

Pixel64 zur Homepage von Pixel64

Leonberg,
07.07.2021, 23:14:24

@ vordprefect

Nutzt ihre Verschlüsselung privat?

Hi,
ich nutze seit Jahren PGP für E-Mails. Verschlüsseln: Ja - wenn es der Adressat unterstützt, Signieren: i.d.R. immer.
Letztendlich bleibt es aber dabei, dass das gesamte Verfahren doch viel zu kompliziert für die Anwender ist. Das grundlegende Prinzip muss verstanden werden und wenn es verstanden wurde, muss auch ein funktionierender Client hierfür gefunden werden. Das ist schon mal kompliziert und auch hier erfindet ja wieder jeder Anbieter die Umsetzung von Verschlüsselung trotz gegebener Standards neu. Teilweise kommen dann E-Mails nicht verschlüsselt an, sondern als verschlüsselter Dateianhang ohne Hinweis, dass es sich um eine verschlüsselte E-Mail handeln könnte. Das gesamte Konstrukt E-Mail basiert halt noch immer auf einem etwas in die Jahre gekommenen Protokoll (SMTP), welches ja auch schon erbärmlich gepatcht wird, um wenigstens etwas Sicherheit zu suggerieren. Stichwort: Absender-Verifizierung.
Gäbe es keine offenen Relayserver, die E-Mails ohne Absenderverifizierung versenden würden, bräuchte man schon die PGP-Signierung nicht mehr. Allerdings ist auch PGP inzwischen - neben der für Endanwender komplizierten Handhabung - etwas in Verruf geraten. Wer prüft und beglaubigt denn noch tatsächlich die Keys auf den offenen Servern und wie sicher ist dann diese Verifizierung einer signierten E-Mail überhaupt noch? Diese Web of trust-Idee funktioniert inzwischen m.E. halt nicht (mehr).
E-Mail wirds natürlich noch eine Weile geben - ich gehe aber davon aus, dass andere Protokolle oder Messenger hier früher oder später das Kommunikationsmittel der Art E-Mail übernehmen werden.

Ansicht:   
Auf unserer Web-Seite werden Cookies eingesetzt, um diverse Funktionalitäten zu gewährleisten. Hier erfährst du alles zum Datenschutz