Email-Verschlüsselung : S/MIME und GPG - wie importiere ich Schlüssel

beage schrieb:
Da wären wir wieder bei der Einfachheit. Was spricht gegen eine eigene Root CA um z.B. sichere Kommunikation mit seinen Kunden zu ermöglichen?
Zum Vergrößern anklicken....
Beim Kunden ploppen dann mal die fiesesten Warnmeldungen auf bis das root CA importiert wurde von wegen unsicher hier unsicher da, da hat niemand mehr Bock auf Verschlüsselung.
 
Jetzt gibt es doch ein Problem:
Ich habe oben rechts beim Schreiben einer Mail unter Apple Mail die Möglichkeit, zwischen OpenPGP und S/MIME auszuwählen.
Wähle ich OpenPGP, kann ich durch Klick auf den Button meine Mail digital signieren und je nach Empfänger mit dem Button links daneben auch verschlüsseln.
So weit so gut.
Wähle ich aber S/MIME aus, sind die beiden Buttons aber ausgegraut, ich kann also auch nicht digital signieren. Das Zertifikat von StartSSL ist aber im Schlüsselbund zu sehen und passt auch genau zu der Emailadresse, von der ich senden will.
Was ist da los ? Wieso klappt das nicht ?
 
Ich habs mittlerweile rausbekommen. Hatte das Zertifikat mit der Dateiendung .cer importiert. Das hilft natürlich nicht, da der private Schlüssel nicht drin ist. Neuer Export vom MBA und dann die .p12 Datei genommen, jetzt klappts.
 
Hausbesetzer schrieb:
Der Key liegt nicht bei Dir und somit ist er für NSA,BND,Bundeswehr etc verfügbar. Zusätzlich wie schon erwähnt basiert die Sicherheit auf dem Vertrauen auf die Roots und wer die Nachrichten verfolgt hat hat gesehen, dass diese gegen Geld absolut alles machen :hehehe:
Wenn schon verschlüsseln, dann bitte gänzlich unmitlesbar, sonst kann man sich den Spass auch sparen und die Zeit im Biergarten verbringen.
Zum Vergrößern anklicken....

Worüber reden wir hier? Wenn ich in einem Betrieb oder einem Ministerium arbeite, der/das nach Außen hin geschützt werden muß, hat der Arbeitgeber/Dienstherr für eine ausreichend gute Verschlüsselung zu sorgen. Hier wird man ja wohl kaum den Mitarbeitern gestatten, mit GPG oder S/MIME herum zu experimentieren. Wenn es darum geht, mit Leuten, die man kennt, verschlüsselt zu kommunizieren, reicht ein selbst signiertes Zertifikat vollkommen aus. Man tauscht die öffentlichen Schlüssel untereinander aus - schließlich kennt man sich - und gut ist. Der private Schlüssel liegt auf meinem Rechner und sonst nirgendwo. Sollte ich mal Lust haben, Baupläne für Bomben zu verteilen, werde ich DOS starten, die Mail mit meinem alten, von Philip Zimmermann entwickelten, PGP verschlüsseln und an die Kumpels versenden, die meinen alten öffentlichen PGP-Schlüssel noch haben. Ich glaube kaum, daß diese Mails so schnell entschlüsselt werden. :crack:
 
  • Gefällt mir
Reaktionen: beage
kuketz schrieb:
Vielleicht hilfreich für den ein oder anderen: Verschlüsselte E-Mails mit GnuPG als Supergrundrecht
Zum Vergrößern anklicken....
Ja. Sehr hilfreich. Unter den Leuten, mit denen ich per Mail korrespondiere, sind vielleicht 3, die das auf Anhieb verstehen, 3, die bereit sind, sich die Mühe zu machen, das zu lernen und zu installeren, rund 200, die gar nicht daran denken, irgend etwas zu verwenden, was nicht auf Anhieb von selbst funktioniert, ud vermutlich kein einziger, der meinetwegen das Mailprogramm wechselt oder gar auf den toten Gaul Thunderbird steigt. Das ist der tiefe Zynismus an der berühmten Äußerung unseres Innenministers: Verschlüsselung ist keine ernstlich in Betracht kommende Alternative. Und das wird so lange so bleiben, wie es idiotischerweise zwei inkompatible Standards gibt und die Sache so viel Sachkenntnis verlangt. Wenn de Herrschaften von den diversen Horch&Guck-Firmen das nicht wüssten, hätten sie der Entwicklung dieser Technik übrigens schon längst einen Riegel vorgeschoben. (Wobei man ja nicht weiß, welche Hintertürchen inzwischen schon eingebaut sind.)
 
  • Gefällt mir
Reaktionen: jomip
Ja. Danke. Kein Problem. Dann studiert eben mal die ganze Bevölkerung Informatik, und dann lernen alle, den Code zu verstehen. Das ist wirklich sehr praktisch gedacht. Ich begreife wirklich nicht, wie so offensichtlicher Unsinn so hartnäckig nachgeplappert werden kann.
 
  • Gefällt mir
Reaktionen: jomip
Dann musst du zwangsläufig ein gewisses Vertrauen gegenüber Dritten haben (wenn ich dir z.B. sage, dass keine Backdoor drin war als ich mir den Code das letzte Mal angeschaut habe...;-) )
 
ProjectBuilder schrieb:
Nun, bei GnuPG kannst du ja nachschauen, das Produkt ist Open Source.
Zum Vergrößern anklicken....

Es gibt auf der Welt überhaupt nur eine Hand voll Leute, die die Crypto-Teile von GnuPG ÜBERHAUPT verstehen.
Dieses "Du kannst ja nachschauen" ist zwar schöne heile Welt Gedenke aber praktisch nicht umsetzbar.
Das ist genau so als würdest Du sagen, "Du kannst ja selbst nachschauen, ob der Airbus 380 eine Bauliche schwäche hat, die Blaupausen hast Du hier.
 
Mir ist eine offengelegte GNU-Software, in die man sich mit Wissen hineinlesen kann, aber immer noch lieber als eine Black Box auf die einer "total sicher" draufgepinselt hat. :)
 
Hausbesetzer schrieb:
Es gibt auf der Welt überhaupt nur eine Hand voll Leute, die die Crypto-Teile von GnuPG ÜBERHAUPT verstehen.
Zum Vergrößern anklicken....

Naja, ein bisschen mehr als eine Handvoll ist es schon (so umfangreich ist das Paket übrigens auch nicht). Und alleine die Tatsache, dass der Code offen gibt eine gewisse zusätzliche Sicherheit.
Natürlich werden die meisten Leute sowieso ein vorkompiliertes Binary nutzen - aber die die Möglichkeit, den Quellcode zu lesen und selbst zu kompilieren reduziert meiner Meinung das Risiko von Backdoors erheblich.
 
ProjectBuilder schrieb:
Naja, ein bisschen mehr als eine Handvoll ist es schon (so umfangreich ist das Paket übrigens auch nicht). Und alleine die Tatsache, dass der Code offen gibt eine gewisse zusätzliche Sicherheit.
Zum Vergrößern anklicken....
Nein, es gibt 0 mehr Sicherheit. Denn es KANN zwar jeder den Code lesen, tatsächlich tut es aber niemand ausser denen, die eh dran entwickeln.
Das sieht man auch immer gut daran, dass die Lücken die gestopft werden, meist seit Jahren im Code liegen und meist verherend sind. (Siehe Cryptocat, Debian SSL Key Debakel oder die 1200 (!!) ausnutzbaren Sicherheitslücken in Debian Linux, die neulich mal jemand nebenbei auf einmal gefunden hat)
Viele Entwickler, machen es privat und haben einfach nicht die Ausbildung Sicherheitsrelevante Software zu schreiben.
Bei Microsoft, um mal ein krasses Beispiel zu nennen, hat JEDER Entwickler, der an Windows arbeitet, eine Sicherheitsschulung für Softwareentwickler bekommen.
 
Hausbesetzer schrieb:
Bei Microsoft, um mal ein krasses Beispiel zu nennen, hat JEDER Entwickler, der an Windows arbeitet, eine Sicherheitsschulung für Softwareentwickler bekommen.
Zum Vergrößern anklicken....

ja, ne, is klar. Deswegen ist Windows ja auch seit Jahren und Jahrzehnten für die besondere Sicherheit bekannt..
 
Hausbesetzer schrieb:
Nein, es gibt 0 mehr Sicherheit. Denn es KANN zwar jeder den Code lesen, tatsächlich tut es aber niemand ausser denen, die eh dran entwickeln.
Zum Vergrößern anklicken....

Das stimmt so nicht. Es gibt durchaus Code Reviews solcher Software bei grösseren Firmen (also Nutzern dieser Software, nicht Entwickler).
 
Hausbesetzer schrieb:
Viele Entwickler, machen es privat und haben einfach nicht die Ausbildung Sicherheitsrelevante Software zu schreiben.
Bei Microsoft, um mal ein krasses Beispiel zu nennen, hat JEDER Entwickler, der an Windows arbeitet, eine Sicherheitsschulung für Softwareentwickler bekommen.
Zum Vergrößern anklicken....

Du glaubst nicht im Ernst, dass sich Entwickler, die keinen Meter mit sicherheitsrelevanten Paketen beauftragt sind, um die globale Systemsicherheit Gedanken machen oder? Als Softwareentwickler kann ich dir sagen: Das Bewusstsein dafür ist NICHT vorhanden. Auch nicht nach einer „Sicherheitsschulung“. Von solchen Dingen habe ich auch schon gehört, gebracht hat es – außer eine Runde Gelächter – meistens nichts.
 
Wie dem auch immer sein mag, sicher ist, dass ich mich immer blind drauf verlassen muss, dass das schon irgendwie sicher sein muss, und dass mir Software, die den Stempel "Open Source" trägt, keineswegs vertrauenswürdiger ist als andere.
 
  • Gefällt mir
Reaktionen: spaceman88
Ich habe mich jetzt durch das Thema durchgearbeitet, brav mein S/MIME - Zertifikat und meinen GPG-Schlüssel installiert und versende nur noch signierte Mails.
Insgesamt bin ich aber mehr als unzufrieden. Das Ganze macht ja nur Sinn, wenn meine Kontakte (z.B. Arbeitskollegen) auch verschlüsseln.
Daher:
Bei einer Bekannten habe ich spaßeshalber mit ihr zusammen ein S/MIME-Zertifikat beantragt und für sie an ihrem Windows-Rechner aktiviert. Dann habe ich ihr eine signierte Mail geschickt, und siehe da: Ihr Thunderbird sah sich nicht in der Lage, mein Zertifikat von StartSSL zu akzeptieren (...nicht vertrauenswürdig...). Nach 15 Minuten Probiererei habe ich aufhören müssen.
Nun bin ich selbst Informatiker und unterstelle mir mal eine große Affinität zu diesen Dingen. Aber wie soll ich denn von meinen Kollegen erwarten können, dass die sich mit ihrem weit geringerem Know-how und geringerer Frustrationsgrenze mit solchen Problemen herumschlagen ?

Es ist einfach viel zu kompliziert für den Laien.
 
du brauchst noch das Zertifikat der Zertifizierungsstellen damit der Rechner dein Zertifikat überhaupt überprüfen kann.

Einige sind schon eingetragen, aber eben nicht alle, vielleicht ist es ja hier dabei:

http://www.tbs-certificats.com/FAQ/en/45.html
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten