E-Mail Verschlüsselung & Signierung / digitale Unterschrift

P

phil83

New member
Registriert
18 Juli 2006
Beiträge
2.579
Themen wie Virenschutz, Firewall und Systemverschlüsselung haben wir ja des öfteren hier. Bei dem erhöhten Sicherheitsbedürfnis (einiger User) wundert es mich doch sehr, dass es keine Threads zum Thema E-Mail-Verschlüsselung und digitale Unterschrift gibt.

Woran liegt's? ?(
Nutzt jemand hier irgendwelche digitalen Signaturen und/oder verschlüsselt seine E-Mails?

Vor langer Zeit hatte ich mich mal mit PGP beschäftigt, aber es war mir alles zu kompliziert und umständlich. Schlüssel erzeugen, exportieren, austauschen, etc. Zudem ging es nur, wenn der Empfänger ebenfalls das gleiche Programm nutzte und die Schlüssel "irgendwie" ausgetauscht werden konnten.
Auch das mit der E-Mail-Signatur war so eine Sache. :huh: Damals gab es im Netz bereits kostenlose digitale E-Mail-Signaturen. Gibt es heute auch noch (z.B. http://www.trustcenter.de/products/tc_internet_id.htm) aber es gab nur Probleme damit. Die Empfänger meiner E-Mails konnten mit meinen signierten E-Mails oft nichts anfangen, es gab' Fehlermeldungen und manchmal wurden die E-Mails gar nicht erst angezeigt. :thumbdown: Zudem kann man nicht von jedem Empfänger erwarten, dass er vor dem Lesen meiner E-Mail erst ein Zertifikat installiert. Einige (vor allem ältere) Benutzer waren damit irgendwie überfordert. Dabei wollte ich doch nur meine E-Mails quasi 'unterschreiben', damit sie sicher sein können, dass sie auch von mir kommen. ;(

Und nun überlege ich, mich mal wieder damit zu befassen. Man weiß ja nie, wie weit die Sammelwut deutscher Behörden noch gehen mag. Aktuell ist es noch nicht so relevant.
Aber wer weiß, wie es in 10, 20 Jahren aussieht. Und wenn man sich in manchen Ländern aufhalten sollte, wird es auch schnell ein wichtigtes Thema.

Also, lange Rede, kurzer Sinn:
Wer nutzt sowas und kann etwas über die Praxistauglichkeit aktueller Techniken und Programme (PGP , openPGP , GnuPG, usw.) sagen. Man muss immer auch bedenken, dass man sicher auch Leuten schreibt, die sich nicht wirklich dafür interessieren oder aber kein technisches Verständnis haben und nicht so ohne weiteres einen Verschlüsselungs-Client o.ä. installieren und konfigurieren können.
 
Sehr interessantes Thema.

Auch ich habe diese Akzeptanzprobleme der anderen Seite. Als Journalist bekomme ich ungesichert wichtige Informationen zugemailt. Mein Vorschlag, das doch per PGP abzusichern wird stets in folgenden Geschmacksrichtungen abgekanzelt: a) "Unsere IT macht das nicht" oder b) "ist mir zu kompliziert".

Zudem standen meine Mailserver mal kurz auf der Blacklist, weil irgendein Spammer tagelang fleissig mit gefälschtem Absender als einer meiner Domainnamen gespammt hatte. Ich beschäftige mich seither mit SPF und Konsorten, aber so richtig der Stein der Weisen ist das auch nicht.

Ich würde mich freuen, wenn sich dazu mal einer kompetent äußern könnte.

G.
 
ich benutze für alle wichtigen E-Mail-Adresse einen gemeinsamen GPG-Schlüssel...
alle Mails, die ich verschicke, werden signiert und alle empfangenen E-Mails auf gültige Signaturen geprüft...
Verschlüsselung habe ich bisher nicht genutzt, da kaum eine Gegenstelle bisher je mit einer Signatur geantwortet hat...

um das ganze alltagstauglich zu halten, benutze ich Thunderbird in Kombination mit Enigmail und GnuPT...
das Problem mit der Kombo war zu Beginn, das viele E-Mails falsch signiert wurden...
nach ein bissel umkonfigurieren luppt es nun aber mittlerweile...

das Problem mit der E-Mail-Sicherheit ist wohl, dass viele Kunden die Weboberflächen nutzen, die nur seltenst (z.B. Horde) Dinge wie PGP oder S/MIME überhaupt anbieten... des weiteren sind viele E-Mailer garnicht "aware", dass ihre Mails von jedem, der ihre Mails weiterleitet, auch gelesen und modifiziert werden kann...


cheers...

P.S.:
Tunderbird
Enigmail
GnuPT
 
Scheint ja ein eher untergeordnetes Thema zu sein, trotz Schäuble, Bundestrojaner und VDS. ;)
Ich habe mir jetzt mal wieder ein paar kostenlose Zertifikate zum Signieren meiner E-Mails geholt und ein wenig experimentiert. Und das gab schon wieder das ein oder andere Problem. Die kostenlose Zertifikate für die E-Mail-Signatur habe ich von hier: http://www.trustcenter.de/products/tc_internet_id.htm

Und hier mein Erfahrungsbericht:

Das Beantragen klappte mehr oder weniger gut. Man gibt seine E-Mail-Adresse (für die das Zertifikat erstellt werden soll) ein, bestätigt ein paar Sachen, erhält eine Rück-Mail zur Bestätigung und erhält zuletzt das Zertifikat auf der Website, das "automatisch" in den Browser importiert wird. Hier fangen die Probleme an: Wenn man das Zertifikat mit FF beantragt hat, wird es auch nur dort importiert. Mit Outlook kann man es dann noch nicht nutzen. Dazu muss man sich in FF erst zu den Zertifikaten durchklicken, es zweimal exportieren (der erste Export lässt sich irgendwie nicht vom IE importieren, erst der zweite, der eine andere Dateiendung hat, die beim ersten Export noch nicht zur Verfügung stand ?( ), dann im IE bei den Zertifikaten importieren (und zwar nicht in das automatisch gewählte Zertifikats-Verzeichnis sondern ein eigenes) und dann erst kann man es in Outlook nutzen. Muss man vorher aber dort auch erst auswählen... Was für eine Prozedur.

Für eine andere E-Mail-Adresse habe ich es direkt mit dem IE erstellt. Und welch ein Erstaunen, bei der Beantragung mit dem IE gibt es sehr viel mehr Optionen zum auswählen, die es mit dem FF nicht gab. Schlüssellänge, exportierbarkeit, zusätzliches Passwort, usw. Sind wohl auf den IE optimimiert, diese Zertifikate. Ansonsten gleiches Vorgehen, diesmal entfällt der Schritt von Export-Export-Import und man kann es in Outlook gleich auswählen.

Dann habe ich das mal getestet, und mir selber signierte E-Mails geschickt. Klappt mit Outlook auch sehr gut, aber auch nur, weil ich die nötigen Zertifikate auch installiert habe. Dann habe ich mir erneut eine signierte E-Mail geschickt und diesmal per Webmail abgerufen (GMX). Aber dann war's das auch mit dem funktionieren. In GMX erhält man zwar die Nachricht, aber nur den Betreff. Der Nachrichtentext ist stattdessen nicht vorhanden, nur ein Dateianhang. Und GMX warnt Achtung! Öffnen Sie diese Dateien nur, wenn Ihnen der Absender bekannt ist und Sie auf diese Dateien warten, denn sie können gefährlichen Inhalt haben.

Ok, ich kenne den Absender ja 8) und erachte den Anhang für ungefährlich. Also öffnen. Nichts passiert, FF fragt, mit was er die unbekannte Datei öffnen soll. Habe ein paar Programme ausprobiert, nichts geht. Die Datei "smime.p7m" lässt sich nicht öffnen. Ok, probiere ich es halt mit dem IE. Und wieder das gleiche: Der Anhang lässt sich mit keinem Programm öffnen. Tja, damit heißt das: Webmailer können meine Nachricht schonmal nicht lesen. :thumbdown: Und wenn ich jemandem (Oma, Opa, Eltern, Firma X, Verwandter Y) eine E-Mail schreibe und sie nur signieren will, dass der andere weiß, dass sie ganz sicher von mir ist, dann geht das schonmal nicht, wenn ich nicht weiß, ob der andere Webmail oder ein anderes, unbekanntes Mail-Programm verwendet.

Die Verwendung von signierten E-Mails ist also nach wie vor etwas problematisch und funktioniert nur, wenn der andere seine E-Mails mit einem bekannten E-Mail-Programm (Outlook, outlook Express, Thunderbird) abruft und weiß, wie er den Anhang installieren muss, um die Nachricht zu lesen.
 
Ich nutze seit Jahren GnuPT bzw. GPG. Durch das GPG-Relay ist das zu jedem Mailprogramm kompatibel. Zumal ich dort die Adressen eintragen kann die ebenfalls GPG nutzen, Mails an diese Adressen werden verschlüsselt, andere nicht.

Es nutzt jedoch kaum jemand diese Verschlüsselunsmöglichkeiten, leider.





Domino
 
[quote='Domino',index.php?page=Thread&postID=459697#post459697]Durch das GPG-Relay ist das zu jedem Mailprogramm kompatibel[/quote]Und wie sieht es aus, wenn jemand die E-Mail per Webmail abruft?

Und eine Frage an alle:
Kann ich in Outlook (2003) irgendwie einfach erkennen (evtl. über ein Plugin), mit welchem Programm mir jemand eine E-Mail geschickt hat? Also quasi den E-Mail-Header gezielt auswerten und den Wert vom Attribut "x-mailer" darstellen? Also ohne den Header manuell anzuschauen...
Für Thunderbird gibt es dafür ein Plugin (ist halt Mozilla, da gibt es für jeden Sch*** ein Plugin/Addon ;) )
 
@phil:
Leute, die die Mails per Webmail aufrufen, haben kein Problem...
da die Mail als multi-part verschickt wird, wird die Signatur meist als zusätzliches Attachment angezeigt, bei anderen wird es direkt im Text angezeigt...
dass der Text garnicht angezeigt werden konnte, ist mir bisher noch nicht passiert...


cheers...
 
[quote='cware',index.php?page=Thread&postID=459714#post459714]da die Mail als multi-part verschickt wird, wird die Signatur meist als zusätzliches Attachment angezeigt, bei anderen wird es direkt im Text angezeigt...
dass der Text garnicht angezeigt werden konnte, ist mir bisher noch nicht passiert...[/quote]Seltsam. Aber wie gesagt, ich habe es gerade ausprobiert.
E-Mail mit Outlook geschrieben, signiert (nur signiert, nicht verschlüsselt, das geht bei der kostenlosen Signatur auch nicht), abgeschickt und dann per GMX-Webmail empfangen und angeschaut. Und dort war kein Nachrichtentext, sondern nur der Anhang vorhanden. ?(
Das erklärt auch, warum damals bei meinen ersten Versuchen mit Zertifikaten sich die Leute gewundert hatten, dass sie meine E-Mails nicht lesen konnten (haben wahrscheinlich auch Webmail benutzt) und sie stattdessen nur einen Anhang hatten, mit dem sie nichts anfangen konnten. Damals habe ich es einfach sein gelassen und mich nicht weiter darum gekümmert....Aber jetzt, viele Jahre später, sollte es doch machbar sein.
 
ich verstehe ehrlich gesagt sowieso nicht, was du da treibst... :rolleyes:
software-spezifische (Firefox/IExplore/Outlook) PGP oder S/MIME Schlüssel sind mir nicht bekannt... :D

habe es gerade selber mit meiner oben beschriebenen Kombination probiert...
=> GMX erkennt, dass ein Virenscan vor dem Absenden getätigt wurde (avast!)
=> GMX erkennt, dass eine Visitenkarte angehängt wurde (*.vcf)
=> GMX zeigt den Nachrichtentext ohne PGP-Zusatzheader an
=> GMX stellt die Signatur als Attachment zur Verfügung (signature.asc)


cheers...
 
Erfahrung mit Thunderbird

1.Ich habe mir mit Firefox bei thawte (https://www.thawte.com/secure-email...cates/index.html?click=DoYouNeedTo-SecureMail) und cacert (https://www.cacert.org/index.php?id=1) kostenlose Zertifikate geladen und per Export gesichert.
Warum diese beiden? Sie bieten das Web of Trust, d.h. man kann seine Identität bei sog. "Notaren" prüfen lassen und erhält dafür Punkte. Ab einer bestimmten Punktzahl wird statt eines unpersönlichen Zertifikats ein persönliches Zertifikat ausgestellt, das dann die eigene e-mail-Adresse enthält.
2. Im Thunderbird-Konto kann man das unter 1. gespeicherte Zertifikat bestimmen zum Signieren (=Unterschreiben) von Meldungen und ggf. festlegen, dass alle ausgehenden Meldungen signiert werden. So halte ich es; erkennbar wird es durch ein kleines Icon ganz rechts unten, das einen Briefumschlag mit rotem Siegel darstellt.
Meine Erfahrung: Meistens hat der Empfänger keine Probleme, signierte Meldungen zu erhalten und samt Anlagen zu lesen. Es gibt aber Behörden und Firmen, die diese Art Meldungen abweisen. Dann muss man die Meldung noch einmal unsigniert versenden.
3. Falls Thunderbird eine signierte e-mail eines anderen erhält (erkennbar an einem Briefumschlag mit Siegel rechts oberhalb des Textes), dann speichert es dessen öffentlichen Schlüssel.
4. Nur denjenigen kann ich eine verschlüsselte Meldung senden, von denen ich - wie unter 3. beschrieben - ein Zertifikat besitze.
Dazu nur unter S/MIME die Verschlüsselung wählen, sofern man nicht für das eigene Konto stets Verschlüsselung gewählt hat. Da meine Partner mit wenigen Ausnahmen kein Zertifikat gesendet haben, muss ich in den seltenen Fällen, wo eine Verschlüsselung möglich ist, auch daran denken, diese Funktion einzuschalten
Erfahrung: 1. ich vergesse es oft :( , die Verschlüsselung einzuschalten. 2. Die Empfänger haben bisher keine Probleme gemeldet.
5. Fazit: Einrichtung ist etwas umständlich, der Betrieb funktioniert einwandfrei: 1. Signierung erfolgt automatisch, 2. Verschlüsselung ist 2 Mausklicks entfernt.
 
ist ja schon sehr vertrauenserweckend, wenn sich cacert wie folgt meldet:
www.cacert.org verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Zum Vergrößern anklicken....
ist also anscheinend keine geläufige Certification Authority...


cheers...
 
CACert und Vertrauenswürdigkeit

@cware
Empfehlung, bei Wikipedia unter CACert und dort Vertrauenswürdigkeit nachzulesen.
Wie man in Firefox das CACert-Zertifikat nachrüstet, findet man u.a. bei http://www.ibit.uni-oldenburg.de/22172.html und dort "Installation des CAcert-Zertifikats: Firefox)".
 
Nichts ist umsonst, auch hier nicht.
Und für Werbung zahlt man bei Andy.
Beitrag und Account gesperrt @ Tester
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben