Diskussionsforum
  • 05.06.2014 14:10
    blumenwiese schreibt

    Kein POP, kein IMAP

    In der angedachten Lösung wäre eine Verschlüsselung über POP, SMTP bzw. IMAP nach wie vor so kompliziert, dass es sich nicht durchsetzen wird. Daran ändert auch diese Vorschlag von Google leider nichts.
  • 05.06.2014 16:57
    IMHO antwortet auf blumenwiese
    Benutzer blumenwiese schrieb:
    > In der angedachten Lösung wäre eine Verschlüsselung über POP,
    >
    SMTP bzw. IMAP nach wie vor so kompliziert, dass es sich nicht
    >
    durchsetzen wird. Daran ändert auch diese Vorschlag von Google
    >
    leider nichts.

    Hast Du denn irgendeine (möglicherweise unfertige) Idee, wie das gelöst werden sollte?

    Wenn mich mein Verstand nicht Verlassen hat gibt es nur zwei Konzepte:

    A) End2End-Verschlüsselung mit Verwaltung des Empfängerschlüssels im Endgerät oder in einem USB-Stick etc.,der dann immer eingesteckt werden muss.

    B) Verschlüsselung End2Hop nur bis zum Mailserverbetreiber (hier also Google) und Verwaltung des Empfangsschlüssels durch den Mailserver. Dann habe ich wieder alle Nachteile: Ich muss dem Mailserverbetreiber vertrauen, vertrauen dass er nicht von der NSA zur stillschweigenden Schlüsselherausgabe erpresst wird und habe dennoch das Gefühl, "ich könnte es gar nicht bemerken" wenn die NSA reingepfuscht hätte.

    Verschlüsselte Email hat kein Papier, nicht einmal der Umschlag besteht aus Papier. Wenn ich stattdessen eine Verschlüsselung verwende, nützt mir der klassische Brieföffner (das metallische Universalwerkzeug am Schreibtisch) nichts mehr - ich benötige einen privateKey zum Aufsperren des an mich gerichteten elektronischen Briefumschlags. - Das ist das Prinzip.

    Gibt es denn irgendeine andere Möglichkeit?
    Standardmäßig im Browser mitausgelieferte Plugins und eine Aufforderung einen PrivateKey zu erstellen. - Was soll daran kompliziert sein?

    Der historische "Fehler" von PGP war, dass es keine mobile Hardware gab, nicht einmal USB-Sticks zum lagern der Schlüssel. Die heutige Endversion ist doch die, dass der Empfängerschlüssel sich im Handy befindet und daher ständig dabei ist. Deshalb haben sich doch Anwendungen wie Threema.ch überhaupt erst verbreiten können und haben gemessen an der kurzen Existenz schon mehr erreicht, als PGP bis zum Jahr 2000 erreichen konnte als es mit Win 3.11 in der Praxis weder Useraccounts noch USB-Stick oder gar Smartphones gab. Danach galt es als Altbacken und nicht mehrheitsfähig.

    Alle schreien PGP sei schwierig und keiner hat Probleme OTR zu installieren, das genauso auf einem PrivateKey basiert, also was soll der Sturm im Wasserglas?

    Die meisten DAUs die es nicht einmal schaffen, auf der Seite http://thunderbird.gnupt.de mal probeweise einen vorbereiteten, portablen Thunderbird zu laden, brauchen ein Webinterface und sind mit allem anderen Lösungen überfordert. Die brauchen doch gar kein POP3 oder IMAP. So was soll's?
    Die Leute die jetzt noch kein PGP am Laufen haben sind mit der Entscheidung, ob sie http://gnupt.de/ oder gpg4win.de Installieren sollen und dass sie dann dennoch enigmail oder ein anderes Plugin brauchen überfordert. - Das ist halt so.

    Gleichzeitig soll verschlüsselte Email nichts kosten (finde ich ja auch) also gab es keinen professionellen Anbieter der Geld in die Hand nimmt, damit es komfortabel funktioniert. Wenn Google jetzt einsteigt, um sich in der Kundenwahrnehmung von der NSA und von Facebook abzuheben begrüße ich das!

    Wenn Google ein handhabbares GUI erstellen will, kriegt Google das hin. Die werden halt weiterhin alle Email-Überschriften (Subjects) und alle unverschlüsselten Emails konsequent auswerten. Da es Google um Konsum und Werbung geht, in echten Privat-Mails aber selten ein Produkthinweis drinsteht, kann es für Google sogar gut sein, wenn der Kunde per Verschlüsselung schon vorsortiert, in welchen Emails eh' keine Konsumdaten drinstehen.

    Und die Vermarktung per Chrome fördert natürlich die Verbreitung der Suchmaschineneinstellung "Google-Suchmaschine" und erlaubt die Ausspähung aller angesurften Seiten.
    Also Google versteh' ich. Und wenn dadurch Laien das Prinzip "PrivateKey" erlernen, kann man sie leichter zum Umstieg auf eine anderer PKI-Software bewegen, als wenn das alles "ach so kompliziert" erscheint.
    Was es definitiv nicht ist, sobald man mal die Unterscheidung in logische Adressierung (=Email-Adresse) und kryptographische Adressierung (=PKI-Schlüssel) kapiert hat, ist es doch nicht schwierig.

    Ein verantwortungsvoller Umgang mit dem PrivateKey gestattet es halt nicht, dass ich auf zwanzig Computern zwanzig Kopien meines PrivateKeys aufspiele. Aber da müssen alle Verschlüsselungssysteme durch.
  • 05.06.2014 23:54
    blumenwiese antwortet auf IMHO
    Benutzer IMHO schrieb:
    > Hast Du denn irgendeine (möglicherweise unfertige) Idee, wie
    >
    das gelöst werden sollte?

    Nein, die habe ich leider auch nicht.

    > Gibt es denn irgendeine andere Möglichkeit?
    >
    Standardmäßig im Browser mitausgelieferte Plugins und eine
    >
    Aufforderung einen PrivateKey zu erstellen. - Was soll daran
    >
    kompliziert sein?

    Nichts. Das wird ja bereits bei Anbietern wie LastPass so gemacht und funktioniert. Aber dann geht halt nur Webmail. Verwende ich Programme wie Outlook oder Thunderbird, dann bin auch SMTP (zum senden), POP und IMAP angewiesen. Und da funktionieren dann die vorgestellten Lösungen eben leider nicht mehr.

    > Alle schreien PGP sei schwierig und keiner hat Probleme OTR zu
    >
    installieren, das genauso auf einem PrivateKey basiert, also
    >
    was soll der Sturm im Wasserglas?

    Also ich habe seit 15 Jahren als Systemadministrator. Ich glaube mich mit Betriebssystemen, Hard- und Software besser auszukennen als wahrscheinlich 99,5 % der Restbevölkerung. Aber auch ich habe es aufgegeben in Outlook (und ja, das verwende ich um eine reibungslose Zusammenarbeit mit meinem dienstlichen Leben zu haben) PGP einzurichten. In Thunderbird dürfte es kaum besser aussehen. Das Einrichten ist natürlich nciht das Problem, nur das Nutzen. Und der Normaluser versucht es erst gar nicht, wenn er sich über die Vorgehensweise informiert hat.

    Dreijährige können ein Smartphone bedienen. Aber bis heute hat es kein Programmierer geschafft eine auch nur halbwegs von größeren Teilen der Bevölkerung zu bewältigende Mailverschlüsselung hinzubekommen.

    > Die meisten DAUs die es nicht einmal schaffen, auf der Seite
    >
    http://thunderbird.gnupt.de mal probeweise einen vorbereiteten,
    >
    portablen Thunderbird zu laden, brauchen ein Webinterface und
    >
    sind mit allem anderen Lösungen überfordert. Die brauchen doch
    >
    gar kein POP3 oder IMAP. So was soll's?

    Also ich möchte kien Webinterface. Und ich möchte auch keinen vorbereiteten Thunderbird downloaden, ich möchte eine einfache und nachträglich in alle gängigen Emailprogramme zu installierendes Plugin, was dann eine bedienerfreundliche Mailverschlüsselung auch über SMTP, IMAP und POP ermöglicht.

    Wer mit Webmail zufrieden ist, für den scheint Google ja gerade was zu entwickeln.

    > Gleichzeitig soll verschlüsselte Email nichts kosten (finde ich
    >
    ja auch) also gab es keinen professionellen Anbieter der Geld
    >
    in die Hand nimmt, damit es komfortabel funktioniert.

    Das Argument zieht nicht. Thiunderbird ist ein vollständiges und mittlerweile gut lauffähiges Email - und mehr - Programm, was sich hinter Outlook nicht verstecken muss und kostenlos erhältlich ist. Und Outlook ist kostenpflichtig und hat dennoch eine hohe Verbreitung.

  • 06.06.2014 18:27
    IMHO antwortet auf blumenwiese
    Benutzer blumenwiese schrieb:
    > Benutzer IMHO schrieb:

    > > Gleichzeitig soll verschlüsselte Email nichts kosten (finde ich
    > >
    ja auch) also gab es keinen professionellen Anbieter der Geld
    > >
    in die Hand nimmt, damit es komfortabel funktioniert.
    >
    > Das Argument zieht nicht. Thiunderbird ist ein vollständiges
    >
    und mittlerweile gut lauffähiges Email - und mehr - Programm,
    >
    was sich hinter Outlook nicht verstecken muss und kostenlos
    >
    erhältlich ist. Und Outlook ist kostenpflichtig und hat dennoch
    >
    eine hohe Verbreitung.

    Also langsam, ich habe nichts gegen Thunderbird und empfehle ihn deshalb, weil ich ihn selbst auch gerne nutze. Technisch kommt er allerdings mit größeren IMAP-Accounts nur sehr schleppend klar.
    Und Totschlagargument (auch von Dir) ist nunmal, dass er kein Outlook ist und MS da eine gute Ökologie gezimmert hat.
    Das empfohlene Paket von http://thunderbird.gnupt.de ist ein portabler Thunderbird, das Enigmail-Plugin und eine GnuPG-Programm. Und hier kommst Du nun mal an eine Stelle, an der Du Farbe bekennen mußt: Willst Du eine einfache Installation eines selbstaktualisierenden Paketes und vertraust den engagierten Leuten von gnupt.de und ihrem Loader oder willst Du aufwendiger Dir die Teile selbst aus den Websites zusammensuchen. Beides ist durchführbar.

    Im letzteren Fall darfst Du Dich nicht über den Mehraufwand beschweren.

    PGP auf einem Windows-Rechner laufen zu lassen ist doch eh eine halbherzige Sache, wenn man nicht weiß wieviele Hintertüren im OS offenstehen. Es finden sich halt Open-Source-Jünger die das Thunderbird-Plugin so schreiben dass es auf Linux (sinnvoll) und auf MS (mit wenig Zusatzaufwand) auch läuft.
    Aber bei Outlook ist dann halt doch Schluss. Sicherheits-Idealisten meiden Microsoft und andere Menschen arbeiten nur gegen Bezahlung.

    Die Profiplugins für Outlook kosten. gpg4o verlangt wohl ~100€ für sein Plugin http://www.giepa.de/produkte/gpg4o/?lang=en, während das kostenlose GPG4Win.de laut verschiedener Blogs doch zu Outlook-Abstürzen neigt. Und dann gibt es noch https://github.com/dejavusecurity/OutlookPrivacyPlugin/releases
    Ausgerechnet ein US-Plugin für GPG-on-Outlook! Aber das soll zusammen mit GPG4WIN wenigstens absturzfrei funktionieren. Probiert habe ich es nicht, habe kein Outlook.

    Darüberhinaus, so wie die Leute gelernt haben die topologische IP-Adresse von der logischen Adresse (z.B. der http-Seitenname oder die x@y.tld-Emailadresse) voneinander zu unterscheiden, müssen sie sich für verschlüsselte Kommunikation angewöhnen, dass es noch eine kryptographische Adresse gibt: Den Public-Key.

    Das ist so, das bleibt so.
    Wer das leugnen will, benimmt sich wie ein Kind, das einen Tresor so einfach wie einen Papierbriefumschlag öffnen will, sich aber gleichzeitig über die NSA beklagt und schreit es müssen Schlösser an die elektronischen Briefumschläge.

    Verzeihung, in diesem Zusammenhang verstehe ich Deine Kritik einfach nicht. Z.B. Thunderbird kann pop3, imap und smtp.
    Entweder (bewährt) PrivateKey im Mailprogramm oder (neu und fehlerträchtig) PrivateKey im Chrome-Browser-Plugin.
    Irgendwo muss der Aufsperrschlüssel halt rumhängen.
    Analog hängt der Hausbriefkastenschlüssel doch auch in der Wohnung zugänglich rum.(meistens am Schlüsselbrett). Verschlüsselte Mails zu empfangen geht nur mit Schlüsselmanagement, ist der Schlüssel im Smartphone ergibt sich doch eine bequeme Handhabung.
    Und wer es wirklich (relativ) sicher haben will, der wartet eh' nicht auf meine Vorschläge, sondern hat sich schon längst ein Emailprog&Plugin&GNU installiert.

    Was kann ich dafür, dass MS kein PGP/GPG-Plugin für Outlook featured?
    Die haben halt alle S/MIME vorbereitet und das war's.