DE-Mail-Betreiber geben nach und integrieren PGP-Verschlüsselung

Die Betreiber der DE-Mail-Plattform beginnen nun langsam aber sicher auf die grundlegenden Kritiken an ihrem System zu reagieren und rüsten ein wichtiges Feature nach: Wie nun mitgeteilt wurde, sollen die Nutzer ihre Mitteilungen ab dem kommenden ... mehr... E-Mail, mailing, E Mail Bildquelle: ideagirlmedia / Flickr E-Mail, mailing, E Mail E-Mail, mailing, E Mail ideagirlmedia / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
interessantes Video zum Thema DE-Mail und Sicherheit bzw. die Entwicklungsgeschichte:

Bullshit made in Germany 30c3
https://www.youtube.com/watch?v=V_SMsAA7wcg

PS:
-> Winfuture Redaktion:
ihr solltet mal in den Kommentaren mehr Werkzeuge zur Verfügung stellen:
- links einfügen
- videos
- Text formatieren

sobald jemand einen etwas langen text schreibt,
habe ich deswegen hier gar nicht mehr lust weiter zu lesen...
 
@aladdin: wobei sich bei der Betrachtung mit Einsatz von pgp vieles ändern könnte - ohne jetzt die genaue funktionsweise des plugins zu kennen

interessant wäre aber ob de-mail hier mit openpgp wirklich kompatibel ist, bei den spezialexperten kann ich mir vorstellen dass dem nicht so sein wird aber reine böswillige spekulation
 
@0711:
In dem Video wird der Satz zitiert:

"Keine Regierung ist so blöd,
ihren Bürgern ein abhörsicheres Kommunikationsmedium zu geben."

Und das Bringt es auf dem Punkt!

Und dazu die Info, die durch eine "kleine Anfrage" der LiNKE im Bundestag ans Tageslicht kam, wer denn an DE-Mail mitgearbeitet hat (Video Minute 34:32):

Die Firma CSC:
o Ein wichtiger Partner der US Geheimdienste: -> Entwicklung von Spähprogrammen der NSA
o Tochterfirma war an Entführung beteiligt.
o Code Review vom Bundestrojaner gemacht
UNDDDDD....
o Beratet Regierung bei E-Pass und De-Mail :D

Das kann ja nur vertrauenswürdig werden.

Optimisten würden wohl sagen,
die Bundesregierung holt solche Leute nur, damit die was entwickeln,
an das andere Geheimdienste nicht ran kommen. :P
 
@aladdin: Hat man die verschlüsselte Mail, so kann man auch ohne Problem die Anzahl an der Empfänger anhand der Publickeys im verschlüsselten Block auslesen.

http://abload.de/img/decryptetun7.png

Sollten da mehr als der 2 stehen (eigener und Empfänger) drin sein. Hat man die Hintertür der Regierung dann gefunden.

EDIT: Wenn du eine Nachricht mit PGP verschlüsselst, so wird diese mit einem zufälligen symmetrischen Schlüssel verschlüsselt. Im nächsten Schritt wird dieser Schlüssel mit pro Empfänger mit seinem Public-Key verschlüsselt und als Header in die Verschlüsselte Nachricht eingefügt. Die Schlüssel kann ich auch z.B. manuell wählen, sodass diese Nachricht auch von mehreren Leuten mit Ihren passenden Privatekey entschlüsselt werden können.

Wenn ich z.B. diese Nachricht jetzt noch signiere, so kann man dann noch nachweisen, das diese 1. Nicht verändert wurde und 2. das diese von mir stammt.

Mit diesem Verfahren könnte man auch wieder den allseits beliebten und zu 99% nutzlosen "Virenscan beim Anbieter" machen, denn so könnte dieser die Mail wieder prüfen. Gleichzeitig könnte hier z.B. die Polizei, Staatsanwaltschaft etc. Ihren Pubkey-Block in diese Nachricht einbauen, denn dann können die sogar mit der originalen Nachricht arbeiten und sogar anhand der gültigen Signatur beweisen, das diese von mir stammt.

Fakt ist jedenfalls der Staat lässt sich schon was einfallen, um die Verschlüsselung auszuhebeln, und das ist z.B. eine.
 
@basti2k: als es so schwer wäre da tatsächlich nur eine Kopie weiterzuleiten...dadurch ist im zweifel gar nichts ersichtlich.
 
@aladdin: den satz fand ich schon beim ersten mal schön...halte ich aber für unzutreffend. Bei allem misstrauen bleibt eben in der Realität vieles durch Regierungen finanziert...ob nun tor, selinux oder oder
Viele Finanzierungen von Projekten die Kommunikation sichern können werden von Regierungen finanziert, viele der "standardiesierungsgremien" sind zumindest staatlich finanziell gestützt

Regierungen wägen hier nämlich auch ab, wie weit verschaffen wir uns dabei Vor/Nachteile gerade im punkto Sicherheit.

Natürlich wollen das die meisten Regierungen aber nicht "ausarten" lassen und flächendeckend sichere Kommunikation schaffen - das kann max ein ungewollter seiteneffekt sein, leider heute noch nicht
 
@aladdin: Worum es bei der DE Mail geht ist klar oder? Es geht nicht darum, dass deien Kommunikation sicher ist. Es geht darum, dass man in einem Rechtsstreit diese E-Mails auch als Beweismittel nutzen kann. Denn generell gilt E-Mail Kommunikation als nicht zulässiges Beweismittel. Ausnahme nur, wenn beide dem Inhalt 100%ig zustimmen. Zweifelt nur einer der beiden Seiten den Inhalt/die Richtigkeit an, ist sie nicht das Papier wert auf den sie gedruckt wurde, um sie vor Gericht vorlegen zu können!
Bei DE-Mail ist das anders. Ob sie nun wirklich sicherer ist oder nicht, ob sie nun wirklich nicht unterwegs manipuliert werden kann oder nicht, ist sch*** egal. Eine DE-Mail ist vor Gericht Beweiskräftig, solange nicht eine Manipulation bewiesen wurde... also genau das Gegenteil wie bei normalen E-Mails und wie es bei Briefen und Faxen schon immer war.

Bestes Beispiel (und es kommt so öfter vor als man glaubt; wenn auch mehr im Geschäftsleben als bei Privatkunden):
Kunde (egal ob Privatperson oder Unternehmen) bestellen per E-Mail etwas.
2x Produkt-X zu je Preis Y

Man bekommt die Bestätigung ala (Bestellung erhalten) und die Kontodaten zur Überweisung von Betrag Z (ergibt sich aus 2x Preis Y). Rechnung als Anhang dabei (da alles richtig). Man bezahlt und bekommt die Ware geliefert aber siehe da, Produkt-X nur ein mal vorhanden.

Es wird bemängelt, dass einmal Produkt-X fehlt. Der Verkäufer sagt aber, es wäre nur 1x bestellt worden.
Es folgt der Rechtsstreit. Käufer legt Bestellung und Rechnung (beides kam per E-Mail) vor, in dem 2x Produkt-X steht.
Verkäufer legt auch beides vor, wo aber je nur 1x Produkt-X drin steht.
Rechtlich sind die Beweise des Käufers unzulässig und er hat Produkt-X nun für den doppelten Preis gekauft.
Und ja, so läuft es ab. Selber schon erlebt (bin Kaufmann).

Allem was man da entgegen könnte:
- Ja, der Verkäufer ist ein schwarzes Schaf und eher die Ausnahme.
- Nein, da kauft der "Kunde" nie wieder und auch andere nicht, aber das ist dem Verkäufer ja egal. Er will keine Kundenbindung, sondern bescheißen.
- Und ja, der Kunde ist selber Schuld, da er sich auf reine E-Mail Kommunikation verlässt (traurig aber wahr).

Daher nutzt jeder erfahrene Kaufmann/Unternehmer bei so etwas parallel das Fax oder wenn keine Nummer vorhanden, den Postweg (E-Mail, da es schneller geht und den Rest zur Rechtssicherheit).
Aber nicht jeder ist erfahren und macht das. Oft erst nach dem man das erste mal darauf rein gefallen ist, oder wenn man ausdrücklich genug davor gewarnt wurde z.B. in der Ausbildung, von anderen Unternehmern usw).
 
als ob das die dolle DE-Mail noch retten würde
 
Ich kann mir nicht vorstellen, das dass ohne Zustimmung der NSA erfolgt. Die haben bestimmt eine Backdoor bekommen, schließlich sind wir ja Freunde.
 
zum glück keine lösung die in mailclients ohne plugin funktioniert wie s/mime...wo kämen wir denn da auch hin wenn wir kein eingeschränkte produktwahl hätten?

Aber seis drum, retten wird das nichts mehr
 
@0711: ...und solange nicht auch via Outlook Plug-In verfügbar, ehh für den popo
 
@defenderger: grundsätzlich gibt es ja pgp Outlook plugins...die browserplugins sollen wohl den "webclient" erweitern
 
@defenderger: Ja es gibt zwar Outlook Addons, aber wenn ich S/MIME in Outlook nutzen würde, möglicherweise sogar mit einem gekauften Zertifikat, um mit einer Reihe von Kontakten, oder z.B. für die Kommunikation mit der Firma, um verschlüsselte Mails zu benutzen, würde ich mir für DE-mail glaube ich kein zusätzliches Addon installieren.
Wäre auch mal interessant wie es sich bei den Unternehmen der Infografik so verhält, welche Software da so installiert ist und ob diese dann gegebenenfalls auch die entsprechenden Outlook Addons installieren.
Ich sage ja nicht, ob das S/Mime von Outlook besser oder schlechter ist als PGP, aber es dürfte eben für so einige ein (weiterer?) KO Grund für DE-Mail sein.
 
"Denn prinzipiell dürfte es möglich sein, auch mit den Signatur-Funktionen von PGP einen rechtsverbindlichen E-Mail-Verkehr zu gestalten" - Weiß da einer mehr drüber? Benutze nicht PGP, sondern SMIME (glaube ich), also habe mir ein gratis Mail Zertifikat von Comodo besorgt und im Outlook installiert und kann somit Mails verschlüsseln und signieren. Kann mir einer kurz den Unterschied zu PGP erklären und wie es im Bezug auf die Rechtssicherheit aussieht? Thx :)
 
Ja genau! Baut mit DE-Mail einfach den nächsten Datensammler/Hackermagneten auf, indem ihr den Leuten erzählt, bei komplett korrumpierten Geräten wäre ihre Kommunikation über so einen Dienst sicher. Da werden sicher wieder genug Behörden, Konzerne und natürlich auch jene Privatleute darauf hereinfallen, die sich schon seit dem SnapChat-Leak nackt im Internet bewundern können (Für die, die es schon wieder verdrängt haben, weil sie ja lieber im unbegündeten Glauben an Sicherheit im Internet leben: SnapChat ist bzw. war auch einer dieser unglaublich sicheren Kommunikationswege, die Pädophilen viel Freude gemacht haben dürften, weil unter den geleakten Bildern scheinbar auch eine Menge Nacktbilder von an sich herumspielenden Jugendlichen waren, die diese ihren Freunden/Freundinnen geschickt haben. Da diese das wohl ganz freiwillig taten und Spass dabei hatten, dürften diese Bilder auch eigentlich nicht unter "Kinderpornografie" sondern bestenfalls unter Raubkopien fallen. Aber wer weiss das in Zeiten, in denen man Leuten für Fotos auf dem Rechner das komplette Leben zerstört, schon so genau.).

Muss schön sein, den selben Fehler immer wieder und wieder zu machen indem man immer wieder an eine nicht vorhandene Sicherheit glaubt, während z. B. das SnapChat-Leak und die von österreichischen Behörden schon 2008 offen zugegebene Möglichkeit verschlüsselte Skype-Verbindungen im Klartext mitlesen zu können beweisen, wie töricht und naiv das ist.
 
"Denn prinzipiell dürfte es möglich sein, auch mit den Signatur-Funktionen von PGP einen rechtsverbindlichen E-Mail-Verkehr zu gestalten "
Eben nicht. Die rechtliche Lage in Deutschland verhindert dies. Das BSI muss Einsicht und Kontrolle ins verwendete System haben. Zudem dürfte es schwer sein, bei z.B. eigenen Mailservern oder der Verwendung von FreeMails die aber gesichert wurden, dies vor einem Gericht Lückenlos und gemäß den rechtlichen Vorschrift zu beweisen. Denn nur im Falle des Rechtsstreits vor einem Gericht ist es erheblich, ob es sich um DE Mail oder nicht handelt.
Ich z.B. habe über meinen eigenen Webserver auch Kontakte zu Arbeitgeber, Unternehmen, Behörden und Co. Und solange es keinen Rechtsstreit gibt, ist das auch unproblematisch. Daher wird alles, was rechtlich relevant ist, parallel auch noch per Post oder Fax versendet.

Zudem bei der Verschlüsselung. Da muss ich nicht nur für sorgen, dass der Empfänger den Schlüssel bekommt, sondern generell mit dem System arbeiten (kann). Und das tut KEINE Behörde und kein mir bekanntes Unternehmen. Ein Grund, wieso ich die PGP Verschlüsselungen nicht nutzen kann... da kein Empfänger meine E-Mails lesen kann.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen