Diskussionsforum
Menü

Keine echte E2E-Verschlüsselung


30.08.2015 15:52 - Gestartet von Leiter Selbstverarsche
E2E-Verschlüsselung setzt mE voraus, dass die Informationen beim Sender selbst verschlüsselt und erst dann an den Provider übergeben werden. Auf der anderen Seite, dass der Empfänger die Information bei sich selbst entschlüsselt.

Es handelt sich hier um eine PGP-Implementierung in web.de-Mail, was nichts neues ist. mailbox.org hat das z.B. neulich schon vorgestellt.
Worum es sich jedoch nicht handelt ist eine funktionierende Lösung zur E2E-Verschlüsselung.
Menü
[1] a1x antwortet auf Leiter Selbstverarsche
30.08.2015 18:19
Benutzer Leiter Selbstverarsche schrieb:
Es handelt sich hier um eine PGP-Implementierung in web.de-Mail, was nichts neues ist. mailbox.org hat das z.B.
neulich schon vorgestellt.

Es ist eben keine serverseitige Verschlüsselung, sondern wirklich Ende-zu-Ende. Die Verschlüsselung macht das Browserplugin Mailvelope lokal (was es im übrigen auch bei anderen Webmailern tun kann). Sofern diese "Sicherung" nicht benutzt wird (kann man abschalten; sichert die Schlüssel verschlüsselt mit dem Wiederherstellungspasswort in der Cloud) verlässt der private Schlüssel nie den Rechner.
Menü
[1.1] Leiter Selbstverarsche antwortet auf a1x
30.08.2015 22:34
Benutzer a1x schrieb:
Benutzer Leiter Selbstverarsche schrieb:
Es handelt sich hier um eine PGP-Implementierung in web.de-Mail, was nichts neues ist. mailbox.org hat das z.B.
neulich schon vorgestellt.

Es ist eben keine serverseitige Verschlüsselung, sondern wirklich Ende-zu-Ende. Die Verschlüsselung macht das Browserplugin Mailvelope lokal (was es im übrigen auch bei anderen Webmailern tun kann). Sofern diese "Sicherung" nicht benutzt wird (kann man abschalten; sichert die Schlüssel verschlüsselt mit dem Wiederherstellungspasswort in der Cloud) verlässt der private Schlüssel nie den Rechner.

Von mailvelope ist doch gar nicht die Rede in diesem Artikel?
Dieses Browserplugin birgt Risiekn und ist mit Vorsicht zu betrachten:
https://privacy-handbuch.de/handbuch_32q.htm

Es ist ein höchst delikates Thema. Das lässt sich gut vermarkten und dann kann jeder damit rumprahlen, dass er jetzt verschlüsselte Mails verschickt und man sich dringend ne Adresse bei GMX, oder gar bei, web.de, sichern sollte. Mehr ist es nicht. EIn Schritt zu mehr Sicherheit mitnichten.

Die Angriffsmöglichkeit schlechthin für den Anbieter ist bei allem webbassierten den unverschlüsselten Text, vor dem Verschlüsseln oder nach dem Entschlüsseln, in der Webform abzugreifen.

Es kann nicht ausgeschlossen werden, dass Diensteanbieter sogar Hintertürchen für die staatliche Überwachung einbauen (müssen), um den Ermittelungsbehörden Zugriff auf die Informationen zu ermöglichen.

Eine wirksame E2E-Verschlüsselung in allen Bereichen kann weiterhin ausschließlich lokal mit browserunabhängiger Software erfolgen, um sich nicht den mannigfaltigen Schwachstellen des Browsers auszusetzen oder auf den Diensteanbieter zu vertrauen.

Natürlich braucht nicht jeder eine E2E-Verschlüsselung. Noch kann das fast allen egal sein, aber man sollte erst gar nicht anfangen sich in zweitelhafter Sicherheit wiegen.

Das Schlimme ist dabei, dass gerade die Leute, die am wenigsten Ahnung haben, immer am lautesten schreien.