Email Sicherheit?!?

w8bdHW77Ec

Banned

Registered: Mar 2025
Location:
Posts: 1846

09.11.2009 - 08:41

[X] => 1

aber auch nur deshalb, weil ich mich in der materie (noch) nicht auskenn.....

hat wer nen link, wo mir geholfen wird????

tia

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15868

09.11.2009 - 08:45

[X] 1
wohl aber auch nur deswegen weil die zertifikate was kosten und die freien halt eher ned "optimal" sind und ich nicht die notwendigkeit sehe
das argument vom colossus mit false positives find ich aber gut, jedoch verschick ich so gut wie keine mails, sondern empfang sie nur

dio

Here to stay

Registered: Nov 2002
Location: Graz
Posts: 4967

09.11.2009 - 09:42

gabs so einen thread nicht schon mal? mir fallt leider nicht mehr ein, wie er heißt.

ich habs signieren aufgegeben, weil ich dauernd emails erhalten habe, wo meine gegenüber bedauert haben, dass sie meine signaturen nicht mit word öffnen konnten. das aber wirklich jedem zu erklären wird auf die dauer alt.

d3cod3

Legend
...

Registered: Aug 2002
Location: insert location ..
Posts: 15285

09.11.2009 - 09:44

Zitat von HaBa
Was schickt/bekommt ihr da das derartiges "rechtfertigt" (nicht vor mir, generell, jede Sekunde Aufwand würde mich stören bei dem was ich per mail schicke ...)

wenn es richtig eingestellt ist dauert es gottseidank nichtmal eine sekunde

signieren ist mir wichtig weil ich dann halbwegs sicher sein kann dass das was ich schreibe ankommt und nicht etwas anderes. gerade bei kundenkontakten wo es oft hin und her geht mir anforderungen und wünschen finde ich das recht praktisch.

verschlüsseln tu ich hauptsächlich dinge wo ich mir denke "das würd ich jetzt nicht ans brett im stiegenhaus heften". zb abrechnungen, verträge, projekte unter nda, fotos usw...

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

09.11.2009 - 12:10

Zitat von COLOSSUS
Ich signiere, weil ich mir unter keinen Umstaenden etwas in den Mund legen lassen moechte, was ich nicht sagen wuerde, und weil ich gerne kryptographisch nachverfolgbar zu dem stehe, was ich sage.

genau hier sehe ich aber ein problem von pgp. (pretty good privacy)
was hindert mich daran, einen gmx account auf deinen namen auszustellen und dann mit gpgp zu signieren? fürn empfänger macht es keinen unterschied solange es keine darüberliegende instanz gibt, die deine identität begläubigt. imho wiegt man sich hier in einer trügerischen sicherheit.

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12734

09.11.2009 - 12:15

Zitat von COLOSSUS
Zum Poll noch: Was ist mit "Sendebestaetigung" gemeint?

Sende/Empfangsbestätigung die man in so lustigen Programmen wie Outlook einstellen kann und jeder absichtlich weggklickt.

aber prinzipiell wäre so eine funktionalität (also zumindest das ich sehe, dass es am richtigen mailserver angekommen ist) sehr interessant... hatte erst vor kurzem so einen fall wo meine mails brav verschickt worden sind und auch bei mir im send-order aufgetaucht sind aber nie beim empfänger ankamen (spam-ordner gecheckt)

edit:
@ smut: kommt auf die signierung an oder? der empfänger kann ja mit dem public key überprüfen ob die signatur vom richtigen max müller kommt.

Bearbeitet von Master99 am 09.11.2009, 12:21

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

09.11.2009 - 12:23

Zitat von Smut
genau hier sehe ich aber ein problem von pgp. (pretty good privacy)
was hindert mich daran, einen gmx account auf deinen namen auszustellen und dann mit gpgp zu signieren? fürn empfänger macht es keinen unterschied solange es keine darüberliegende instanz gibt, die deine identität begläubigt. imho wiegt man sich hier in einer trügerischen sicherheit.

Zum signieren brauchst du ja eine Passphrase, also das sollte nicht möglich sein. Ich glaube der (einzige?) Schwachpunkt an PGP ist, dass man nur relativ mühsam nachprüfen kann, ob der Key wirklich einer bestimmten Person, Unternehmen, etc. gehört. Aber im Prinzip genügt ja ein Anruf.

Ad Sendebestätigung: Sollte nicht jeder richtig konfigurierte Mailserver schreien, wenn er eine Mail nicht versenden kann?

Bearbeitet von jives am 09.11.2009, 12:25

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

09.11.2009 - 12:28

genau auf das wollte ich hinaus. ich kann mir beliebige schlüsselpaare erzeugen und verwenden. für den unerfahrenen privatanwender ist das imho nicht mehr zu überprüfen ob die e-mail nun wirklich von colossus kommt oder nicht.

Zitat von jives
Ad Sendebestätigung: Sollte nicht jeder richtig konfigurierte Mailserver schreien, wenn er eine Mail nicht versenden kann?

in dem fall konnte der mailserver ja die nachricht übertragen, die mail ist nur nie im postfach des empfängers gelandet.

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12734

09.11.2009 - 12:37

Zitat von jives
Ad Sendebestätigung: Sollte nicht jeder richtig konfigurierte Mailserver schreien, wenn er eine Mail nicht versenden kann?

sollen ja... aber wenns der client verhunzt oder der mailserver gerade streikt/komisch ist. is bei mir letzte woche blöd zusammengefallen, dass ich nicht wirklich nachvollziehen kann an wen es gelegen ist (os-update und gmail-server-fail gleichzeitig)

@ smut: naja man muss dem unerfahrenen anwender dann halt einmal hinweisen wo der richtige public liegt und dass er nie einen anderen verwenden soll... aber jaja das problem bei der ganzen sache liegt eindeutig auf der userseite.
trotzdem: wenn schon kein missbrauch ganz ausgeschlossen werden kann, kann man immerhin den schaden eingrenzen und zumindest nachvollziehen was jetzt "real" ist und was fake. ist ja auch schonmal was im falle der fälle.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

09.11.2009 - 13:15

ist halt dann vergleichbar mit dem thema fishing. klar, awareness wäre natürlich die beste prevention. auf gute fishing seiten können aber imho auch profis reinfallen. im endeffekt waren die zertifikate das erste wirksame mittel dagegen, welches auch von unerfahrenen benutzern akzeptiert wurde.

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3919

09.11.2009 - 13:15

Sie soll man unerfahrenen Anwendern ein Web of Trust erklären? Ich wüsste nicht wie...die meisten sind schon mit dem normalen E-Mail-System überfordert.
Selbst wenn es jemand verstehen würde, wär die Sicherheit trotzdem nicht gegeben, weil (wie smut schon erklärt hat) eine Identität ganz leicht fälschbar ist.
Die Gläubiger, welche deine Identität bestätigen sind nämlich selbst _keine_ vertrauenswürdigen Stellen.

VeriSign vs. Hans Huber aus Untertupfing, CA-CERT vs. Karl Maier aus Karlsdorf 12...und da ist noch nicht gesagt, dass es diese Herren wirklich gibt

Außerdem hindert mich ja nichts daran mehrere Adressen zu erstellen und diese gegenseitig zu bestätigen. Das ist nicht schwer und würde ganz schnell den Eindruck eines Freundeskreises vermitteln der sich gegenseitig begläubigt...würde nach außen wohl nichtmal einen Unterschied zu Colos PGP-Identität machen.

Deshalb ist das alles nur Kosmetik die weder sicher noch vertrauenswürdig ist. Ohne TTP (trustet third party) macht sowas keinen Sinn. Thawte war ein super mittelweg (und noch dazu gratis)...schade, dass das vorbei ist!

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

09.11.2009 - 13:25

Ah, jetzt versteh ich - es geht ums WoT. Da ist/war das Thwate-System schon cool.

Ich persönlich halte es so: Ich signiere/vertraue keinem Key, bei dem ich mir nicht 100% sicher bin, dass er auch zu dem entsprechenden Unternehmen oder der entsprechenden Person gehört

Wenn man es aber so hält, fällt natürlich schon Zusatzaufwand an: Man muss bei jedem neuen Kontakt (mit dem man sicher kommunizieren will) sicherstellen, dass der Key passt.

deftenski

mit barockfelgen

Registered: May 2002
Location: back home
Posts: 1241

09.11.2009 - 13:26

wo ist jetzt der fundamentale unterschied zwischen einer trusted third party bei s/mime und einem trusted signee bei gpg?

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3919

09.11.2009 - 13:45

TTPs wie Thawte, VeriSign, CA-Cert etc. überprüfen deine Identität anhand von amtlichen Lichtbildausweisen während bei pgp die signees IRGENDWELCHE teilweise fremden Menschen sind, die dir u.U. blind vertrauen. Selbst wenn sie die Identität verantwortungsvoll überprüfen kannst du dies nicht einfach nachvollziehen.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12174

09.11.2009 - 14:14

Zitat von EvilGohan
Deshalb ist das alles nur Kosmetik die weder sicher noch vertrauenswürdig ist. Ohne TTP (trustet third party) macht sowas keinen Sinn.

Das ist Unsinn. Weder ein Web of Trust noch eine Zertifizierungsstelle sind perfekt.

Ein Web of Trust kann man versuchen auszuhebeln, indem man mehrere sich gegenseitig authentifizierende Teilnehmer mimt - klar. Allerdings liegt es an jedem Benutzer selbst, die Staerke eines Teilnetzes zu bewerten. Wenn sich 13 Identitaeten untereinander beglaubigen, die alle innerhalb der selben halben Stunde erstellt wurden, sich entsprechend zeitnah beglaubigt haben, und auch keine Vertrauensstraenge nach auszerhalb ihres isolierten Netzes haben - tja, dann bin ich selber schuld, wenn ich auf dieser Basis allein einem User daraus meine vertraulichen Daten zukommen lassen. Um Vertrauenswuerdigkeit in einem Web of Trust zu gewaehrlisten, muss man auch schon mal nachdenken. Wenn es mir darum geht, dass ich eine digitale Identitaet mit einer realweltlichen Person eindeutig verknuepfen kann, dann arrangiere ich ein Treffen oder ein Telefonat, wobei er mir seinen Key Fingerprint bestaetigt - Sache erledigt.

Auch eine Zertfizierungsstelle (CA) ist nicht unangreifbar: Zertifikate und ganze CAs lassen sich, kommen nur genug unguenstige Faktoren zusammen, mit heutigem Stand der Technik faelschen. Schau mal, wie viele CAs ihre Root-Zertifikate immer noch mit MD5 signieren. Eine recht beeindruckende Rouge CA gab es vor nicht allzu langer Zeit auf einer Sicherheitskonferenz zu bewundern. Es koennte auch sein, dass der private Schluessel der CA unwissentlich in die falschen Haende geraet. Damit koennte man ebenfalls beliebige Identitaeten beglaubigen, und es gaebe nicht einmal Anhaltspunkte dafuer, dass irgendetwas nicht mit rechten Dingen zugeht - es sei denn, der tatsaechliche Eigentuemer des CA-Schluessel bemerkt irgendwie, dass eines der durch ihn augenscheinlich beglaubigten Zertifikate nie von ihm unterschrieben wurde.

Ich halte die Web-of-Trust-Variante unterm Strich fuer der zertifikatbasierten Variante ueberlegen: Bazaar > Cathedral.

w8bdHW77Ec Banned Registered: Mar 2025 Location: Posts: 1846	09.11.2009 - 08:41 [X] => 1 aber auch nur deshalb, weil ich mich in der materie (noch) nicht auskenn..... hat wer nen link, wo mir geholfen wird???? tia
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15868	09.11.2009 - 08:45 [X] 1 wohl aber auch nur deswegen weil die zertifikate was kosten und die freien halt eher ned "optimal" sind und ich nicht die notwendigkeit sehe das argument vom colossus mit false positives find ich aber gut, jedoch verschick ich so gut wie keine mails, sondern empfang sie nur
dio Here to stay Registered: Nov 2002 Location: Graz Posts: 4967	09.11.2009 - 09:42 gabs so einen thread nicht schon mal? mir fallt leider nicht mehr ein, wie er heißt. ich habs signieren aufgegeben, weil ich dauernd emails erhalten habe, wo meine gegenüber bedauert haben, dass sie meine signaturen nicht mit word öffnen konnten. das aber wirklich jedem zu erklären wird auf die dauer alt.
d3cod3 Legend ... Registered: Aug 2002 Location: insert location .. Posts: 15285	09.11.2009 - 09:44 Zitat von HaBa Was schickt/bekommt ihr da das derartiges "rechtfertigt" (nicht vor mir, generell, jede Sekunde Aufwand würde mich stören bei dem was ich per mail schicke ...) wenn es richtig eingestellt ist dauert es gottseidank nichtmal eine sekunde signieren ist mir wichtig weil ich dann halbwegs sicher sein kann dass das was ich schreibe ankommt und nicht etwas anderes. gerade bei kundenkontakten wo es oft hin und her geht mir anforderungen und wünschen finde ich das recht praktisch. verschlüsseln tu ich hauptsächlich dinge wo ich mir denke "das würd ich jetzt nicht ans brett im stiegenhaus heften". zb abrechnungen, verträge, projekte unter nda, fotos usw...
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	09.11.2009 - 12:10 Zitat von COLOSSUS Ich signiere, weil ich mir unter keinen Umstaenden etwas in den Mund legen lassen moechte, was ich nicht sagen wuerde, und weil ich gerne kryptographisch nachverfolgbar zu dem stehe, was ich sage. genau hier sehe ich aber ein problem von pgp. (pretty good privacy) was hindert mich daran, einen gmx account auf deinen namen auszustellen und dann mit gpgp zu signieren? fürn empfänger macht es keinen unterschied solange es keine darüberliegende instanz gibt, die deine identität begläubigt. imho wiegt man sich hier in einer trügerischen sicherheit.
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12734	09.11.2009 - 12:15 Zitat von COLOSSUS Zum Poll noch: Was ist mit "Sendebestaetigung" gemeint? Sende/Empfangsbestätigung die man in so lustigen Programmen wie Outlook einstellen kann und jeder absichtlich weggklickt. aber prinzipiell wäre so eine funktionalität (also zumindest das ich sehe, dass es am richtigen mailserver angekommen ist) sehr interessant... hatte erst vor kurzem so einen fall wo meine mails brav verschickt worden sind und auch bei mir im send-order aufgetaucht sind aber nie beim empfänger ankamen (spam-ordner gecheckt) edit: @ smut: kommt auf die signierung an oder? der empfänger kann ja mit dem public key überprüfen ob die signatur vom richtigen max müller kommt. Bearbeitet von Master99 am 09.11.2009, 12:21
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	09.11.2009 - 12:23 Zitat von Smut genau hier sehe ich aber ein problem von pgp. (pretty good privacy) was hindert mich daran, einen gmx account auf deinen namen auszustellen und dann mit gpgp zu signieren? fürn empfänger macht es keinen unterschied solange es keine darüberliegende instanz gibt, die deine identität begläubigt. imho wiegt man sich hier in einer trügerischen sicherheit. Zum signieren brauchst du ja eine Passphrase, also das sollte nicht möglich sein. Ich glaube der (einzige?) Schwachpunkt an PGP ist, dass man nur relativ mühsam nachprüfen kann, ob der Key wirklich einer bestimmten Person, Unternehmen, etc. gehört. Aber im Prinzip genügt ja ein Anruf. Ad Sendebestätigung: Sollte nicht jeder richtig konfigurierte Mailserver schreien, wenn er eine Mail nicht versenden kann? Bearbeitet von jives am 09.11.2009, 12:25
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	09.11.2009 - 12:28 genau auf das wollte ich hinaus. ich kann mir beliebige schlüsselpaare erzeugen und verwenden. für den unerfahrenen privatanwender ist das imho nicht mehr zu überprüfen ob die e-mail nun wirklich von colossus kommt oder nicht. Zitat von jives Ad Sendebestätigung: Sollte nicht jeder richtig konfigurierte Mailserver schreien, wenn er eine Mail nicht versenden kann? in dem fall konnte der mailserver ja die nachricht übertragen, die mail ist nur nie im postfach des empfängers gelandet.
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12734	09.11.2009 - 12:37 Zitat von jives Ad Sendebestätigung: Sollte nicht jeder richtig konfigurierte Mailserver schreien, wenn er eine Mail nicht versenden kann? sollen ja... aber wenns der client verhunzt oder der mailserver gerade streikt/komisch ist. is bei mir letzte woche blöd zusammengefallen, dass ich nicht wirklich nachvollziehen kann an wen es gelegen ist (os-update und gmail-server-fail gleichzeitig) @ smut: naja man muss dem unerfahrenen anwender dann halt einmal hinweisen wo der richtige public liegt und dass er nie einen anderen verwenden soll... aber jaja das problem bei der ganzen sache liegt eindeutig auf der userseite. trotzdem: wenn schon kein missbrauch ganz ausgeschlossen werden kann, kann man immerhin den schaden eingrenzen und zumindest nachvollziehen was jetzt "real" ist und was fake. ist ja auch schonmal was im falle der fälle.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	09.11.2009 - 13:15 ist halt dann vergleichbar mit dem thema fishing. klar, awareness wäre natürlich die beste prevention. auf gute fishing seiten können aber imho auch profis reinfallen. im endeffekt waren die zertifikate das erste wirksame mittel dagegen, welches auch von unerfahrenen benutzern akzeptiert wurde.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3919	09.11.2009 - 13:15 Sie soll man unerfahrenen Anwendern ein Web of Trust erklären? Ich wüsste nicht wie...die meisten sind schon mit dem normalen E-Mail-System überfordert. Selbst wenn es jemand verstehen würde, wär die Sicherheit trotzdem nicht gegeben, weil (wie smut schon erklärt hat) eine Identität ganz leicht fälschbar ist. Die Gläubiger, welche deine Identität bestätigen sind nämlich selbst _keine_ vertrauenswürdigen Stellen. VeriSign vs. Hans Huber aus Untertupfing, CA-CERT vs. Karl Maier aus Karlsdorf 12...und da ist noch nicht gesagt, dass es diese Herren wirklich gibt Außerdem hindert mich ja nichts daran mehrere Adressen zu erstellen und diese gegenseitig zu bestätigen. Das ist nicht schwer und würde ganz schnell den Eindruck eines Freundeskreises vermitteln der sich gegenseitig begläubigt...würde nach außen wohl nichtmal einen Unterschied zu Colos PGP-Identität machen. Deshalb ist das alles nur Kosmetik die weder sicher noch vertrauenswürdig ist. Ohne TTP (trustet third party) macht sowas keinen Sinn. Thawte war ein super mittelweg (und noch dazu gratis)...schade, dass das vorbei ist!
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	09.11.2009 - 13:25 Ah, jetzt versteh ich - es geht ums WoT. Da ist/war das Thwate-System schon cool. Ich persönlich halte es so: Ich signiere/vertraue keinem Key, bei dem ich mir nicht 100% sicher bin, dass er auch zu dem entsprechenden Unternehmen oder der entsprechenden Person gehört Wenn man es aber so hält, fällt natürlich schon Zusatzaufwand an: Man muss bei jedem neuen Kontakt (mit dem man sicher kommunizieren will) sicherstellen, dass der Key passt.
deftenski mit barockfelgen Registered: May 2002 Location: back home Posts: 1241	09.11.2009 - 13:26 wo ist jetzt der fundamentale unterschied zwischen einer trusted third party bei s/mime und einem trusted signee bei gpg?
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3919	09.11.2009 - 13:45 TTPs wie Thawte, VeriSign, CA-Cert etc. überprüfen deine Identität anhand von amtlichen Lichtbildausweisen während bei pgp die signees IRGENDWELCHE teilweise fremden Menschen sind, die dir u.U. blind vertrauen. Selbst wenn sie die Identität verantwortungsvoll überprüfen kannst du dies nicht einfach nachvollziehen.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12174	09.11.2009 - 14:14 Zitat von EvilGohan Deshalb ist das alles nur Kosmetik die weder sicher noch vertrauenswürdig ist. Ohne TTP (trustet third party) macht sowas keinen Sinn. Das ist Unsinn. Weder ein Web of Trust noch eine Zertifizierungsstelle sind perfekt. Ein Web of Trust kann man versuchen auszuhebeln, indem man mehrere sich gegenseitig authentifizierende Teilnehmer mimt - klar. Allerdings liegt es an jedem Benutzer selbst, die Staerke eines Teilnetzes zu bewerten. Wenn sich 13 Identitaeten untereinander beglaubigen, die alle innerhalb der selben halben Stunde erstellt wurden, sich entsprechend zeitnah beglaubigt haben, und auch keine Vertrauensstraenge nach auszerhalb ihres isolierten Netzes haben - tja, dann bin ich selber schuld, wenn ich auf dieser Basis allein einem User daraus meine vertraulichen Daten zukommen lassen. Um Vertrauenswuerdigkeit in einem Web of Trust zu gewaehrlisten, muss man auch schon mal nachdenken. Wenn es mir darum geht, dass ich eine digitale Identitaet mit einer realweltlichen Person eindeutig verknuepfen kann, dann arrangiere ich ein Treffen oder ein Telefonat, wobei er mir seinen Key Fingerprint bestaetigt - Sache erledigt. Auch eine Zertfizierungsstelle (CA) ist nicht unangreifbar: Zertifikate und ganze CAs lassen sich, kommen nur genug unguenstige Faktoren zusammen, mit heutigem Stand der Technik faelschen. Schau mal, wie viele CAs ihre Root-Zertifikate immer noch mit MD5 signieren. Eine recht beeindruckende Rouge CA gab es vor nicht allzu langer Zeit auf einer Sicherheitskonferenz zu bewundern. Es koennte auch sein, dass der private Schluessel der CA unwissentlich in die falschen Haende geraet. Damit koennte man ebenfalls beliebige Identitaeten beglaubigen, und es gaebe nicht einmal Anhaltspunkte dafuer, dass irgendetwas nicht mit rechten Dingen zugeht - es sei denn, der tatsaechliche Eigentuemer des CA-Schluessel bemerkt irgendwie, dass eines der durch ihn augenscheinlich beglaubigten Zertifikate nie von ihm unterschrieben wurde. Ich halte die Web-of-Trust-Variante unterm Strich fuer der zertifikatbasierten Variante ueberlegen: Bazaar > Cathedral.

Email Sicherheit?!?

Forum Index > Digital Life > Internet & Provider

w8bdHW77Ec

userohnenamen

dio

d3cod3

Smut

Master99

jives

Smut

Master99

Smut

EG

jives

deftenski

EG

COLOSSUS