Diskussion: Verschlüsseltes E-Mailen mit gnuPg (Theorie und Praxis)

[Toady]

Hi!

Ersteinmal - Hut ab! Super, einfach und verständliches Tutorial.

Aber zwei Anmerkungen:

Man sollte nur Schlüssel öffentlich signieren, wenn man zweifelsfrei die Identität überprüfen konnte. Das Verfahren der c't ist *nicht* sicher, eine solche Sigantur ist quasi unnütz.
Wer seine Schlüssel signiert haben will sollte auf eine offizielle Keysign-Party gehen, bzw. das findet meist im Anschluß an Vorträge statt.
Wr Schlüssel signiert, weil er sie von irgendeiner Website oder sonstwo herbekommen hat, *schädigt* dem Schlüsselinhaber eher, er macht den Schlüssel jedenfalls nicht vertrauenswürdiger.

Dann dazu (und dabei geht mir echt der Hut hoch):

Ja. Seit dem 1. Januar 2005 dürfen das die Leute diverser Strafverfolgungsbehörden sogar ganz legal machen. Durch die neue Telekommunikationsüberwachungsverordnung (TKÜV) ist nämlich jeder in Deutschland ansässige E-Mail-Provider mit mehr als 1000 Benutzern dazu verpflichtet, Überwachungsschnittstellen bereitzustellen, die ggf. sämtliche ein- und ausgehenden E-Mails abfangen, speichern und bestimmten Personen zugänglich machen.

Das ist allerunterstes Bildzeitungsniveau und so falsch, da lohnt sich kaum drauf einzugehen.
*Fakt* ist - seit dem 1. Januar müssen ISPs vorgefertigte Schnittstellen bereithalten. Diese SINA-Boxen sind im Grunde VPN-Endpunkte, die den Datenverkehr verschlüsseln. Diese Technik, vom gliechen Hersteller, wird von vielen Behörden angewandt, zB vom Auswärtigen Amt, um seine Botschaften und Konsulate zu vernetzen.
Der Verschlüsselungsalgorithmus ist allgemein als sicher und vertrauenswürdig eingestuft.

An den Voraussetzungen, die zum Abhören führen, hat sich ganz genau *gar nichts* geändert - diese sind exakt die gleichen, die auch beim Abhören von Telefonen greifen und können in §§ 100 a)-h) StPO eingesehen werden.

Also, im Endeffekt hat sich die Situation für den Abehörten also sogar *verbessert* - denn seine Daten werden nun nicht mehr unverschlüsselt zu der ersuchenden Behörde übertragen, sondern sicher verschlüsselt.

Die gesamte Diskussion ist von uniformierten Medien einfachn unreflektiert nachgeplappert worden. Das schlimme daran ist nämlich keinesfalls, dass nun mehr Mails überwacht werden - die Zahl ist genau gleich geblieben, sogar eher rückläufig.
Das shclimme ist, dass die ISPs verdonnert wurden, diese sauteuren SINA-Boxen anzuschaffen und zu warten, dazu noch das Netzdesign zu ändern (man will die Dinger schließlich nicht in seiner DMZ haben, alos muss noch eine DMZ in der DMZ geschaffen werden, also noch ein Router davor usw).
Besonders kleine und auf non-profit ausgelegte Organisationen (Netzvereine usw.) hat das hart getroffen und viele mussten deshalb den Dienst einstellen, weil sie es sich einfach nicht leisten können, einige 10k-Euros dafür zu berappen, obwohl sie kein Geld von den Mitgliedern bekommen.
*Das* ist allerdings *vollkommen* untergegangen, weil überall irgendwelche Trolle solchen Blödsinn verbreiten, und dabei ungefhr so viel Ahnung von dem, was sie dumm daher reden, haben wie mein Hund von Raumfahrt.


Diese Meldungen sind einfach schlimm, und da geht mir der Hut hoch.
Warum? Weil dadurch die eigentlichen Brocken, die in Planung sind, völlig untergehen. Man nehme mal die angedachte Vorratsspeicherung - *das* schränkt Privatsphäre ein, nicht die Anschaffung der SINA-Boxen.
Oder nehmen wir die Speicherung der IP-Adressen. Man hat *NULL* Privatsphäre mehr, wenn der ISP diese nicht loggen darf, iSv Zuordnungen treffen.
Solcherlei Meldungen werden dann wieder von irgendwelchen Medientrotteln verbreitet, die von Netzwerken genau keine Ahnung haben und deren Wissen sich meist auf das Wintendo-Menü zur TCP/IP-Konfiguration und dem, was sie in irgendwelchen Webforen von Trollen aufgeschnappt haben, die aber allesamt noch nichteinmal einen Router aus der Nähe gesehen haben.

Bitte, berichtigt das bzw. stellt das klar. Diese UrbanLegend ist schon so verbreitet, die bekommt man kaum aus den Köpfen heraus.

Verschlüsselung ist sinnvoll und jeder sollte sich damit befassen, vorallem, weil PGP/GnuPG wirklich idiotensicher zu bedienen ist.
Sie ist es aber nicht, weil jeder dahergelaufene Schutzpolizist nach Lust und Laune die Mails von jedem lesen kann. Dafür ist nach wie vor ein Beschluss gemäß 100 a-h StPO vonnöten, deren Voraussetzungen man ebenfalls dort nachlesen kann.

[EDIT]
Hier ein link zu ener schon geführten Diskussion:
http://board.gulli.com/thread/361439&highlight=SINA
[/EDIT]

[Doik]

Moin.
Supergeniales Tutorial von Tsafor und Oggy, klasse Aktion, und (wie gewohnt) hochkompetente Ergänzung (nenn ich das jetzt mal) von Toady.
Bin mal wieder tierisch happy hier zu sein.
Dankeschön!
Doik

[natbornkiller]

Tsafors Aussage ist nicht missveständlich, früher ging der zustänge Ermittlungsbeamte hin mit dem Schrieb den der Richter unterzeichnet hat und es wurde aufwendig die gewünschten Daten exstrahiert, dies ist dank der neuen Schnittstellen schneller und effizienter geworden.
Auf die zugrundelegende Technik wurde in dem posting nicht eingegangen.

Der Heise Verlag ist eine gültige Ca und was anderes machen andere Cas auch nicht.
mfGr

[l0calh0st]

Very nice!

Das tollste an der sache ist, dass ich gerade gestern morgen ein bisschen rumprobiert habe, und mir mal einen key erstellt hab

Achja, schreibt mal dazu, dass die Thunderbird Extension Thunderbird <= 1.0.2 benötigt (Hier zu bekommen)


Edit: Ich habe grade den Boardmailer getestet, und der hat garnix verschlüsseltes gesendet, bzw. enigmail hat mir nicht gesagt, dass er was verschlüsseltes gesendet hat!

[Genmutant]

Kann mir einer erklären, wie man es macht, wenn man Outlook Express benutzt?
Bitte nicht wieder die Diskussion, dass alles andre besser ist, und das so schlecht...


EDIT: Ok, habs fast geschafft. Nur sagt er, dass er meine email adresse nicht gefunden hat (den empfänger). dabei schick ichs dahin, was ich auch als standard Key hab, der sender und empfänger ist also gleich.
Mist, mit PGP 8.0 wars so einfach.

EDIT2: Keinen Bock mehr auf den scheiß, ihr habts geschafft, ich nehm Thunderbird !

[Toady]

Original geschrieben von natbornkiller
Tsafors Aussage ist nicht missveständlich, früher ging der zustänge Ermittlungsbeamte hin mit dem Schrieb den der Richter unterzeichnet hat und es wurde aufwendig die gewünschten Daten exstrahiert, dies ist dank der neuen Schnittstellen schneller und effizienter geworden.

Nein.
Du hast eine völlig falsche Vorstellung von den SINA-Boxen.
Das sind *keine* Schnitstellen zum Mailsystem (bzw. schon, indirekt), in erster Linie ist es ein VPN-Verbund, mit dem man eine Schnitselle zur *Ermittlungsbehörde* schafft. Die Behörde kann aber weder direkt noch indirekt von sich aus irgendetwas abrufen oder Überwachen.
Du kannst dir das am ehesten wie eine Art Briefschlitz vorstellen, in den der Provider Daten einwirft, die dann sicher bei der Behörde ankommen.

Es muss nach wie vor "umständlich" (und das *ist* umständlich, es müssen zB auch Zugriffe mit Zeit und Quelle beim POP3/IMAP-Abruf geloggt werden - das war vorher aber ebenso) der Datenstrom extrahiert werden.

Es ist ebenso "umständlich" wie das Überwachen von Telefonen, auch da findet eine quasi identische Technik der Übermittlung statt, auch da wird der Datenstrom gedoppelt und via VPN zur ersuchenden Behörde geschickt.

Auf die zugrundelegende Technik wurde in dem posting nicht eingegangen.

Nein, es wurde Blödsinn gesagt.
Es impliziert, dass die Voraussetzungen zur Überwachung aufgeweicht wurden, das ist Bullshit.

Der Heise Verlag ist eine gültige Ca und was anderes machen andere Cas auch nicht.

Wenn man keine Ahnung hat, einfach mal die Fresse halten.
Was haben CAs mit PGP zu tun? Genau, exakt gar nichts - aber Hauptsache mal nen unqualifizierten Einwurf machen. Außerdem ist bei CAs nicht wichtig ob sie gültig oder ungültig sind; jeder kann sich mit openSSL gültige CAs ausstellen, es kommt mehr darauf an, ob du ihnen vertraust oder nicht - ist hier aber völlig uninteressant.

[l0calh0st]

Ich wollte nur mal bemerkt haben, dass es hier garnicht darum geht, und dass ich es sehr schade fände, wenn solch ein Thread sofort wieder geschloßen wird, und deswegen hier keine Fragen mehr beantwortet werden können, geschweige denn gestellt werden können.

[Tsafor]

@Toady

Ich werde die fragwürdige Passage bei Gelegenheit ausbessern. Dein Umgangston ist hier allerdings nicht gerade üblich.

[Q]Original geschrieben von l0calh0st
Achja, schreibt mal dazu, dass die Thunderbird Extension Thunderbird <= 1.0.2 benötigt (Hier zu bekommen)[/Q]
Der Hinweis befindet sich bereits direkt auf der Startseite von enigmail.mozdev.org, auf die wir auch verwiesen haben. Von daher denke ich, dass das nicht unbedingt notwendig sein sollte, da Enigmail zu der kommenden Version von Thunderbird auch sicher wieder kompatibel sein wird.

[q]Edit: Ich habe grade den Boardmailer getestet, und der hat garnix verschlüsseltes gesendet, bzw. enigmail hat mir nicht gesagt, dass er was verschlüsseltes gesendet hat![/q]
Über das Mailformular wird auch (noch?) nicht verschlüsselt. Leider. ;-)
Die Integration besteht darin, dass sich einerseits das PGP-Public-Key-Feld in unserem Profil befindet und andererseits der modifizierte E-Mail-Button darauf aufmerksam macht, dass wir in Besitz eines public key sind. Ferner wird dieser dann eben im Mailformular verlinkt.

@Genmutant oder die, die es noch interessieren könnte

Ein Plugin für Outlook Express kann über die WinPT-Webseite bezogen werden. Eine Anleitung findet man hier. Alternativ zu diversen Erweiterungen für den jeweiligen E-Mail-Client kann auch GPGRelay verwendet werden.

Ansonsten bedanke ich mich für das Feedback! :-)

[ClemensBW]

ok, aslo gleich zum anfang, ich bin NICHT blöd

aber die versionen, die ich bis jetzt bei http://www.gnupg.org/(de)/index.html runtergeladen habe sind alle für Unix Systeme...

Gibt es auch ein Windows Packet ?
Und wenn ja wo?
(PS: Windows XP SP2+Thunderbird)

danke

edit: @Tsafor danke, Oggy hatte mir schon eine PN geschickt, ich versuche es jetzt mal

[Tsafor]

http://www.gnupg.org/(en)/download/i...tml#auto-ref-1

GnuPG 1.4.1 compiled for Microsoft Windows ;-)

[MissAntroph]

http://www.gnupg.org/(de)/related_software/frontends.html#win

[ricki0815]

Hi,

beim infosuchen im Web bin ich mehmals darauf gestossen, das manche Leute die neuen Versionen von PGP nicht mehr fuer vertrauenswuerdig halten. Alle schwoeren auf PGP 2.6.3(i) und aelter. Ich hab da auch mal eine recht serioes wirkende Quelle gefunden die aehnliches behauptet. Diese Seite ist (seltsamerweise) seit einiger Zeit nicht mehr zu erreichen!

http://senderek.de/security/schutz.html

zum Glueck war sie noch im Google-cache zu finden:

http://64.233.187.104/search?q=cache...rsionen+&hl=de

Auszug:

Durch den Einsatz von PGP verfolgt man im allgemeinen folgende Ziele:

* man möchte Vertraulichkeit in der Kommunikation....
....
Die Zertifizierungstelle empfiehlt die Verwendung von PGP-2.6.3i auf der Basis von RSA-Schlüsseln mit einer Mindestlänge von 1024 Bit um diese Ziele verlässlich erreichen zu können. Eine Zertifizierung von DSS/DH-Schlüsseln, die von neueren PGP-Versionen bereitgestellt werden, wird nicht vorgenommen (vgl. dazu die nachfolgenden Argumente).

Die Argumente sind sehr interessant zu lesen!

//edit: Der "Argumente"-Link funktioniert natuerlich nicht, da er auf die Originalseite fuehrt. Dies ist die Ueberschrift der Argumente: "Neuer ist besser ? - Die Versionen von PGP"

Was ist dran an der (nicht) Vertrauenswuerdigkeit von neueren PGP-Versionen? Wie sieht das mit GnuPG aus? Auf welchen PGP-Versionen baut das auf? Wie nah ist GnuPG ueberhaupt an PGP angelehnt? Ist es nur das Prinzip der RSA-Verschluesselung des IDEA-Keys? Oder werden vieleicht gar andere Algorythmen verwendet?

Wuerde mich freuen wenn jemand die Fragen nicht direkt beantworten will, mir aber wenigstens zuverlaessige Quellen angeben koennte.

Vielen Dank im voraus fuer den gut gemeinten Tip "Quellcode lesen, verstehen und selbst kompilieren". Wenn ich dazu in der Lage waere wuerd ich hier nicht posten

[MissAntroph]

Lies dich mal beim Kai ein.

[puschel6]

Bei burks findet man auch sehr viel zum Thema PGP und co. Wie z.B einen PGP-Kurs:
http://www.burks.de/krypto.html

[ricki0815]

@MissAntroph+puschel: danke, da hab ich ja erstmal was zu lesen (-:

[cuhformation]

Ich möchte mich vorab entschuldigen.

Ich habe erfolgreich einen öffentlichen Schlüssel erstellt
und im Profil den Link zu der .asc-Datei hinzugefügt.

Meine Frage lautet:
Wenn man den Board-Formmailer benutzt und die Nachricht verschickt
wird diese Nachricht verschlüsselt oder schon unverschlüsselt
auf meinem E-Mail Konto (Webmail) angezeigt ?

Ich hatte mir selber eine Test-Nachricht geschickt
und diese wurde mir unverschlüsselt angezeigt.

Oder werden nur die abgehenden Nachrichten auf dem Gulli-Mail-Server
vor dem Senden verschlüsselt und beim Zielempfänger entschlüsselt ?

Oder habe ich irgendetwas falsch konfiguriert ?

Ich steige in dieser hinsicht nicht wirklich durch

Kann man irgendwie sehen,
ob die Boardsoftware die Nachrichten verschlüsselt hat ?

Normalerweise müsste ich die Nachricht verschlüsselt zu Gesicht bekommen
und notfalls per Hand entschlüsseln, oder nicht ?
Da unsere wenigkeit den Privaten Schlüssel hat.

Vielen Dank für Euer Verständnis

[Genmutant]

Die Emails vom Board werden GAR NICHT verschlüsselt. Du hast nur als zusätzliche Hilfe halt den Public Key, damit dus verschlüsseln kannst, wenn du willst. Das musst du aber selber von hand machen.

Allerdings hoffe ich, dass eine verschlüsselung bald irgendwie eingebaut wird,
falls das technisch möglich ist.

Genmutant

[cuhformation]

Original geschrieben von Genmutant
Das musst du aber selber von hand machen.

Achso

Allerdings hoffe ich, dass eine verschlüsselung bald irgendwie eingebaut wird,
falls das technisch möglich ist.

Ich denke machbar wäre es,
aber bestimmt mit Aufwand.

Naja, jetzt weiß ich erstmal bescheid
weil ich irgendwie kein Hinweis gefunden hatte

Vielleicht sollte ein kleiner Hinweis im Mail-Formular angezeigt werden,
das die Mails unverschlüsselt abgeschickt werden, oder so

Bis dann...

[l0calh0st]

Original geschrieben von l0calh0st
Very nice!

Das tollste an der sache ist, dass ich gerade gestern morgen ein bisschen rumprobiert habe, und mir mal einen key erstellt hab :D

Achja, schreibt mal dazu, dass die Thunderbird Extension Thunderbird <= 1.0.2 benötigt (Hier zu bekommen)


Edit: Ich habe grade den Boardmailer getestet, und der hat garnix verschlüsseltes gesendet, bzw. enigmail hat mir nicht gesagt, dass er was verschlüsseltes gesendet hat!

Siehe etwas weiter oben ;)


Edit: Oups, is doch nich so gut, wenn man schon antwortet, bevor die Seite überhaupt geladen war... Shit, sorry...

[Korrupt]

Original geschrieben von cuhformation

Vielleicht sollte ein kleiner Hinweis im Mail-Formular angezeigt werden,
das die Mails unverschlüsselt abgeschickt werden, oder so

Bis dann...

Ich hab eben sowas mal in die Templates eingebaut.