Hallo zusammen, mich würde interessieren, ob ihr auch im privaten Bereich eure E-Mails digital signiert (z.b. S/MIME) oder gar verschlüsselt. Besonders ein Class 3 Zertifikat ist ja schon mit einigem Aufwand verbunden. Welche Vorteile und Nachteile seht ihr in einer digitalen Signatur? Welche Zertifizierungsstelle habt ihr benutzt, bzw. welche kostenlosen könnt ihr empfehlen? Ich persönlich habe vor ein paar Jahren bei CAcert (https://de.m.wikipedia.org/wiki/CAcert) ein Class3 Zertifikat (habe jetzt 85 Punkte) freigeschaltet. Leider stuft ja kein Browser, Betriebssystem oder Mailprogramm das Rootzertifikat von CAcert standardmäßig als vertrauensvoll ein. Das sorgt dann bei 95% der Empfänger für Verunsicherung. Hat CAcert so überhaupt Zukunft? Die wollten ja schon vor Jahren sich auditieren lassen, aber irgendwie hört man nichts mehr davon. Als "Alternative" gibt's ja die Volksverschlüsselung ( https://volksverschluesselung.de ). Werden diese Zertifikate standardmäßig in den Webbrowser unterstützt? Was haltet ihr von diesem Projekt? Ich freue mich schon auf eure Vorschläge und Sichtweisen. MfG Patrick
:
Bearbeitet durch User
Wenn du einen "NPA" mit aktiver Signaturfunktion hast, dann kannst du dir deinen PGP-Key ganz offiziell von Governikus signieren lassen. https://pgp.governikus.de/pgp/
Ich nutze beides. smime schon länger. Das mit dem npa erst kurzem.
Beide Keys sind auch im DNS hinterlegt.
Einfachste wäre es gewesen letze Woche auf der Hanover Messe den PGP Schlüsel am Heise stand signieren zu lassen. Größtes Problem ist das fast keiner an den ich E-Mails verschicke PGP oder ähnliches anbietet was solche Zertifikate leider immer noch fast wertlos macht im Alltag.
Patrick H. schrieb: > mich würde interessieren, ob ihr auch im privaten Bereich eure E-Mails > digital signiert (z.b. S/MIME) oder gar verschlüsselt. Nein. 100% meiner privaten Kommunikationspartner kommen damit nicht zurecht. Und weißt du was, die haben sogar recht. Ich kann es ihnen nicht verdenken. Ob S/MIME oder PGP, die Realisierung in E-Mail Programmen ist ein einziger Clusterfuck. Von Nerds und Eierköpfen für Nerds und Eierköpfe gemacht. Ich verwende beruflich Signierung und Verschlüsselung in Outlook - zwangsweise. Häufig mit Kommunikationspartnern, die prinzipiell damit zurecht kommen müssten. Zum Beispiel Patentanwälte und deren Schreibkräfte. Weißt du was? Auch da ist es ein Clusterfuck. Mit dem Sammeln der Zertifikate im Outlook-Adressbuch kommen die meisten meiner Kommunikationspartner an ihre Grenzen. Der Wunsch zu Anfang eine signierte, aber nicht verschlüsselte, Mail zu erhalten, um das Zertifikat zu bekommen, wird von Vielen nicht verstanden. Die Abläufe dahinter versteht sowieso kaum jemand. > Welche Vorteile und Nachteile seht ihr in einer digitalen Signatur? Insgesamt ein wackliges Konzept. Es gibt ja bereits genug Beispiele wo Zertifizierungsstellen versagt haben. Noch dazu ist das alles beschissen schlecht in E-Mail Programmen implementiert. > Leider stuft ja kein Browser, Betriebssystem oder Mailprogramm das > Rootzertifikat von CAcert standardmäßig als vertrauensvoll ein. Das > sorgt dann bei 95% der Empfänger für Verunsicherung. Wie geschrieben, ein einziger Clusterfuck.
Εrnst B. schrieb: > Wenn du einen "NPA" mit aktiver Signaturfunktion hast, dann kannst > du > dir deinen PGP-Key ganz offiziell von Governikus signieren lassen. > > https://pgp.governikus.de/pgp/ Danke für den Tipp. Ich habe das mal ausprobiert und es hat soweit geklappt. Ist aber ein ganz schöner Krampf das im Mailprogramm alles zum laufen zu bringen. Wenn ich in Thunderbird das AddOn Enigmail nicht installiert habe, wird mir beim Empfang einer signierten Mail nicht angezeigt, dass diese mit PGP signiert ist. Ist dies normal?
Hannes J. schrieb: > Patrick H. schrieb: >> mich würde interessieren, ob ihr auch im privaten Bereich eure E-Mails >> digital signiert (z.b. S/MIME) oder gar verschlüsselt. > > Nein. 100% meiner privaten Kommunikationspartner kommen damit nicht > zurecht. > >... > Wie geschrieben, ein einziger Clusterfuck. Da kann ich dir voll und ganz zustimmen! Ich verstehe nicht, wieso gefühlt 90% der Bürger noch nie etwas von digitaler Signatur gehört haben. Der Gedanke hinter einer digitaler Signatur ist ja im Grunde genial und würde die meisten Spamfilter etc. überflüssig machen
hier gibt es weiterhin kostenlose. 1 Jahr gültige SMIME Zertifikate für eMails: https://secure.instantssl.com/products/frontpage?area=SecureEmailCertificate¤cy=USD®ion=North+America&country=US&entryURL=https%3A//pac.instantssl.com/
es wäre ja auch so einfach wenn jeder SMIME und OPENPGPKEY DNS Records verwenden würde. TLSA ist auch eine feine Sache. Aber meistens scheitert es ja schon an DNSSEC. Leider auch viel zu selten im Einsatz. Auch Mailserver ohne TLS gibt es immer wieder.
Nutze nichts davon Bei den Banken gibt es nicht mal mehr eine Emailadresse, da muss alles online über den Browser gemacht werden. Für den Staat und Versicherungen ebenso, oder es ist sogar ne eigene App. Privat nutze ich das nicht aufgrund der zu geringen Verbreitung, grosser Aufwand und geringer Wert der Daten. Wenn zudem ein Grossteil seine Mails bei Google hostet, was bringt dann die beste Verschlüsselung? Da würde ich noch eher auf einen sicheren Messenger setzen, als auf sicheres Email.
Operator S. schrieb: > Wenn zudem ein Grossteil seine > Mails bei Google hostet, was bringt dann die beste Verschlüsselung? gerade da macht eine Ende-zu-Ende Verschlüsselung zB via SMIME grossen Sinn. Martin
Patrick H. schrieb: > Hallo zusammen, > > mich würde interessieren, ob ihr auch im privaten Bereich eure E-Mails > digital signiert (z.b. S/MIME) oder gar verschlüsselt. beides. Wie sollte ich sonst denn Kontakt mit Behörden, Banken, Freunden etc halten? PGP zur Verschlüsselung so seit Ende-90ern. Hat sich aber nie durchgesetzt. Ausser meiner damaligen Bank verstanden kaum Leute die Schlüsselverwaltung. Seit Sommer 2002 haben wir hier alle vom Staat ausgegebene Zertifikate die zum Verschlüsseln und Signieren tauglich sind. Seit Nov 2011 ist die öffentliche Verwaltung volldigital. Das System wird auch von Finanz-, Versorgungsunternehmen etc genutzt. Seit Jahren fährt die Briefpost eine Riesenpleite nach der anderen ein. Gruss aus Dk
Martin schrieb: > Operator S. schrieb: >> Wenn zudem ein Grossteil seine >> Mails bei Google hostet, was bringt dann die beste Verschlüsselung? > > gerade da macht eine Ende-zu-Ende Verschlüsselung zB via SMIME grossen > Sinn. aber nur wenn man es richtig macht. Ich entschlüssele mails bei Ankunft und lagere sie unkryptiert auf meinem imap server. Das ist komfortabel, da z.B. die Volltextsuche immer funktioniert. Bei einem imap von Google ist das entschlüsselte Lagern natürlich Blödsinn. Das sind so viele Schritte bei denen man es falsch machen kann, weshalb ich Firmen verstehen, die keine e-mail Adresse für Kundenkontakt mehr zulassen. Wenn da irgendwo Klartextdaten rumschwirren kommt die GDPR auf dem Teufel geritten und man haftet. Dann doch lieber "Tür zu".
Ich habe zeitweilig mails mit einem Geschaeftspartner verschluesselt. Ein paar Jahre spaeter .. der betreffende Mitarbeiter hat die Firma mittlerweile verlassen und die Firma haette gerne den Inhalt der Mails gelesen... Entwicklungsschritte an einem Projekt. Aber vielleicht ist das Problem mittlerweile geloest.
Abwarten, ob Seehofer sein IT-Sicherheitsgesetz durchbringt. https://www.sueddeutsche.de/digital/passwort-it-sicherheit-gesetz-seehofer-beugehaft-gefaengnis-1.4401627 Danach wäre Verschlüsselung höchst gefährlich. In der verschlüsselten Email könnte ja z.B. eine Beleidigung enthalten sein. Beleidigung per EMail ist ein Delikt, das "mittels Telekommunikation" begangen wird. Das reicht für einen begründeten Anfangsverdacht => Halbes Jahr Urlaub auf Staatskosten in Beugehaft. Schließlich gehört dein Private Key und Passwort zu den "zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten", sonst könnte die Polizei ja keine gültig signierten Mails in deinem Namen verschicken.
Hannes J. schrieb: > Patrick H. schrieb: >> mich würde interessieren, ob ihr auch im privaten Bereich eure E-Mails >> digital signiert (z.b. S/MIME) oder gar verschlüsselt. > > Nein. 100% meiner privaten Kommunikationspartner kommen damit nicht > zurecht. > > Und weißt du was, die haben sogar recht. Ich kann es ihnen nicht > verdenken. Ob S/MIME oder PGP, die Realisierung in E-Mail Programmen ist > ein einziger Clusterfuck. Nicht nur da. Es fängt schon beim Kommandozeilenprogramm gpg an. Da gibt's gefühlt hunderte Optionen, wovon man im Alltag nur einen Bruchteil braucht und die Auflistung von Keys könnte auch wesentlich besser sein. Optional mit Farbe als Unterstützung wäre auch hilfreich, wird aber nicht gemacht. Will man bspw. die public Keys auflisten, dann geht das mit --list-keys. Diese Option zeigt aber nicht die Signaturen an, dafür braucht man --list-sigs. Will man jetzt aber einen Key anhand des Fingerprints vergleichen, dann muss man die Option --fingerprints dazuwählen. Die revoked Schlüssel findet man so aber nicht, dafür gibt's wieder eine extra Option um die auch anzuzeigen. Das ganze ist ein durcheinander und sollte mal aufgeräumt werden. Standardmäßig werden verschlüsselte Nachrichten in Binär dargestellt. Gibt man bspw. gpg -e ein, um gleich nen Text einzugeben, der dann verschlüsselt werden soll, dann kriegt man ein binäres Geraffel raus, dass die Konsole durcheinander bringt. (tipp: hier kann man dann reset eingeben) Will man lesbaren ASCII Text, dann muss man die Option -a dranhängen. Sinnvoller wäre es aber, wenn die Option -a der Standardwert wäre und die Binärausgabe optional. Nen Schlüssel zu revoken ist doch doofer gelöst. Man muss ein Revoke Zertifikat erstellen und das importieren. Eleganter wäre es, wenn das mit einem Schritt gehen würde. Ach und sagte ich schon das list-keys und list-sigs die Keys sehr unübersichtlich darstellen? Für Laien ist das bestimmt alles kryptisches Zeugs. Noch umständlicher wird es, wenn man mit den Subkeys arbeiten möchte. Ohne GUI hat der Laie hier keine Chance. Und hat man mal seinen public Key auf einem Keyserver, wobei jeder den public key hochladen kann, nicht nur der, der den private Key besitzt und war der public key mit der Mailadresse verbunden, dann kennt die Mailadresse jeder, der auf den Keyservern sucht. Löschen lassen geht nicht. Besonders fatal, jeder kann einen Public Key für eine beliebige Mail Adresse ausstellen und Enigmail holt sich für eine bestimmte Mail immer den neusten Public Key von den Keyservern. Das führt dazu, dass man die eigenen Mails nicht mehr lesen kann, weil ein anderer einen Public Key für die eigene Mail erstellt und hochgeladen hat und der nächste Mailschreiber den dann benutzt hat. > >> Welche Vorteile und Nachteile seht ihr in einer digitalen Signatur? > Prinzipiell sind die schon sinnvoll und erforderlich. Manche Projekte, vor allem im Open Source Bereich sind darauf angewiesen. Ein Paket für Debian, das nicht signiert ist, könnte bspw. fatal sein. Dafür sind Signaturen sehr gut.
Operator S. schrieb: > Nutze nichts davon > Bei den Banken gibt es nicht mal mehr eine Emailadresse, da muss alles > online über den Browser gemacht werden. > Für den Staat und Versicherungen ebenso, oder es ist sogar ne eigene > App. Die Consorsbank bietet zwar an, Nachrichten per E-Mail zu verschicken, weigert sich aber, eine Möglichkeit zu schaffen um OpenPGP Keys zu hinterlegen. Als Begründung verlassen sie sich auf die Verschlüsselung des E-Mail Transport zwischen den Mailservern. Der ist aber dummerweise nicht garantiert und abhängig vom Mailprovider. Und für die letzten Meile beim E-Mailabruf mit einem E-Mail Clienten gilt das erst recht. > Privat nutze ich das nicht aufgrund der zu geringen Verbreitung, grosser > Aufwand und geringer Wert der Daten. Wenn zudem ein Grossteil seine > Mails bei Google hostet, was bringt dann die beste Verschlüsselung? Ein Problem ist ohnehin, das OpenPGP mit Webmail nicht sinnnvoll funktionieren kann. Man bräuchte eigentlich einen Webstandard für den Browser, so dass man über eine Schnittstelle zu einer OpenGPG Anwendung seine Nachrichten und Mails verschlüsseln kann.
Zitronen F. schrieb: > Ich habe zeitweilig mails mit einem Geschaeftspartner verschluesselt. > Ein paar Jahre spaeter .. der betreffende Mitarbeiter hat die Firma > mittlerweile verlassen und die Firma haette gerne den Inhalt der Mails > gelesen... Entwicklungsschritte an einem Projekt. > > Aber vielleicht ist das Problem mittlerweile geloest. Dieses Problem ist mit einem Hauptkey für die Firma und Subkeys für die Mitarbeiter lösbar, aber dazu benötigt man schon von Anfang an ein entsprechendes Schlüsselsetup.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.