Emailverschlüsselung - Umfrage -

[apartofme]

(19 Aug 2016, 11:51)

Das Hauptproblem ist meiner Meinung nicht der Schlüssel selbst sondern dessen Austausch, ein schönes Beispiel dafür sind Verschlüsselte Messenger ala Threema. Bei jedem neuen Kontakt erstmal gegenseitig QR-Codes Scannen, nur blöd wenn der neue Kontakt am anderen Ende der Welt sitzt, dann darf man den Schlüssel wieder Digital übermitteln.

Natürlich ist es klar, daß alles, was irgendwie wieder gelesen werden kann, auch bei Ausspähung des Schlüssels von unerwünschten Lesern wieder gelesen werden kann.

Verschlüsselung funktioniert auch noch, wenn dritte den öffentlichen Schlüssel beider Seiten haben. Nennt sich Diffie-Hellmann Schlüsselaustausch. Threema verwendet Curve25519 [1].

[H2O]

(27 Aug 2016, 04:53)

Verschlüsselung funktioniert auch noch, wenn dritte den öffentlichen Schlüssel beider Seiten haben. Nennt sich Diffie-Hellmann Schlüsselaustausch. Threema verwendet Curve25519 [1].

Kann ich mir gut vorstellen, ohne dieses Schießpulver erfunden zu haben. Die Frage ist in diesem Forum eben, ob das Verfahren nicht zu mühselig und zeitraubend für den belanglosen Pipifax ist, den wir Privatpersonen austauschen. Nicht jeder von uns ist Mitglied der Mafia oder anderer organisierter Verbrechergruppen, die ihre Verfolger möglichst im Dunkeln tappen lassen wollen..

[apartofme]

(27 Aug 2016, 08:55)

Kann ich mir gut vorstellen, ohne dieses Schießpulver erfunden zu haben. Die Frage ist in diesem Forum eben, ob das Verfahren nicht zu mühselig und zeitraubend für den belanglosen Pipifax ist, den wir Privatpersonen austauschen. Nicht jeder von uns ist Mitglied der Mafia oder anderer organisierter Verbrechergruppen, die ihre Verfolger möglichst im Dunkeln tappen lassen wollen..

Für den Endbenutzer ist das eigentlich nicht mehr mühselig oder zeitraubend. Man installiert sich die App und kommuniziert daraufhin verschlüsselt. Selbst sehr verbreitete Software wie WhatsApp oder Skype ist mittlerweile verschlüsselt, wobei zumindest bei letzterem davon ausgegangen werden muss, dass U.S.-Behörden über die Möglichkeit verfügen, in die Verschlüsselung einzugreifen [1].

Ob es notwendig ist, verschlüsselt zu kommunizieren, ist eine andere Frage. Ich persönlich kommuniziere außerhalb meines Berufs kaum verschlüsselt. Allerdings würde ich zu bedenken geben, dass sich Regierungen und Machtverhältnisse auch ändern können.

[H2O]

(27 Aug 2016, 09:12)

Für den Endbenutzer ist das eigentlich nicht mehr mühselig oder zeitraubend. Man installiert sich die App und kommuniziert daraufhin verschlüsselt. Selbst sehr verbreitete Software wie WhatsApp oder Skype ist mittlerweile verschlüsselt, wobei zumindest bei letzterem davon ausgegangen werden muss, dass U.S.-Behörden über die Möglichkeit verfügen, in die Verschlüsselung einzugreifen [1].

Ob es notwendig ist, verschlüsselt zu kommunizieren, ist eine andere Frage. Ich persönlich kommuniziere kaum verschlüsselt. Allerdings würde ich zu bedenken geben, dass sich Regierungen und Machtverhältnisse auch ändern können.

Sehe ich gern ein; wer wirklich verdeckt kommunizieren muß, der wird diese Mühen ertragen müssen. Ja, die Nachrichtenübertragung ist sicherlich verschlüsselt, so daß nicht jeder Hanswurst in den Datenströmen herumschnüffeln kann. Aber an den Endstellen wird die Nachricht dann doch im Klartext dargestellt. Also, wer dahin einen Durchgriff hat, der kommt auch an diese Nachrichten. Geheimdienste schaffen das sicher ohne solche Durchgriffe... die beschäftigen ganze Abteilungen gut geschulter Leute mit solchen Aufgaben und erarbeiten sich so einen sehr großen Vorsprung an Wissen und Können.

Natürlich könnten wir nun unsere Nachrichten vor dem Versand schon verschlüsseln und nur verschlüsselte Nachrichten speichern. Dann leben wir ja so geheim, geheimer geht es schon gar nicht mehr. Aber wer macht das schon?

Ihren Gedanken an einen Systemwechsel möchte ich dann doch trüben; ich glaube nicht, daß Sie in Nordkorea oder China mit Textverschlüsselung etwas werden können. Dann zieht man Sie oder ihre Nachrichtengeräte ganz einfach aus dem Verkehr, beginnend mit deftigen Strafen. In dem Zusammenhang dachte ich dann an Steganographie, wo nur ein Eingeweihter erkennt, daß da eine geheime Nachricht übermittelt wird. Aber dann dürfte der Kopf auch schon sehr locker sitzen...

[Raskolnikof]

Wenn jemand unbedingt unseren Aldi-Einkaufszettel lesen möchte, den mir meine Frau zur Dienststelle geschickt hat oder den Geburtstagsgruß an meinen Freund mitlesen möchte, sei es drum. Das juckt mich nicht. Meine Bastelanleitung für eine A-Bombe versende ich nicht per Mail. Bin doch nicht blöd!

[Ein Terraner]

(09 Oct 2016, 15:54)

Bin doch nicht blöd!

Damit stößt du aber auch die Tür für den Rest auf, auch wenn es dich nicht interessiert wenn jemand deine Einkaufszettel liest. Stören dich dann privatere Sachen auch nicht die jemand mit liest? Oder wie willst du da einen Unterschied machen ?

[Raskolnikof]

Ich unterscheide da zwischen dienstlich und privat. Im dienstlichen Bereich ist alles abgesichert, weil es da um sensible persönliche Daten anderer geht. Privat sehe ich das vollkommen anders. Ja, mir ist es egal, wenn jemand meine privaten Mails mitlesen könnte. Begründung: Mein Nachbar oder mein Freund würde kaum die Energie aufbringen, um meinen PC zu "knacken" oder meinen Internetzugang zu überwachen. Einfach, weil der kein Interesse daran hätte. Und falls doch? Sei es drum.
Was die Geheimdienste wie NSA und Co betreffen, die den weltweiten Datenfluß überwachen und täglich Millionenfach Datenpakete sammeln und archivieren: Glaubst du, dass die sich für meinen Einkaufszettel oder eine Verabredung zur Tupperparty interessieren? Da gibt es andere Ausspähmöglichkeiten wirklich interessanter Daten, die aber andere Organisationen auf anderen Wegen nutzen. Stichwort: Bargeld- und kontaktloses bezahlen (an der Supermarktkasse) per Smartphone oder Kreditkarte mit NFC-Chip. Diese Bezahlmöglichkeit haben mittlerweile fast alle Supermarktketten und Discounter eingerichtet. Und sie werden zunehmend genutzt.
Das ist z.B. eine Sache, die ich für mich ablehne da ich nicht will, dass ein Einkaufs- und damit Lebensprofil von mir erstellt wird. In welche Kategorie werde ich da wohl gesteckt, wenn ich jede Woche 50 Verhüterlis kaufe? Betreiber eines Swingerclubs?

[freibier]

Die Geheimdienste sammeln und archivieren nicht Datenpakete, sondern die Metadaten aus deinen Datenpaketen, um sie zu deinem Profil hinzuzufügen. Wenn dann die Selektoren bei dir anspringen, holen sie sich die richtigen Daten entweder von Apple, Facebook, Microsoft oder Google oder direkt von deinem Rechner oder Smartphone. Ob du nun bei einer Tupperparty bist oder nicht, wird erst dann interessant, wenn der NSA-Rechner dein Bewegungsprofil oder deine sozialen Knotenpunkte mit jemandem koppelt, der vielleicht auf derselben Tupperparty ist wie du und bereits auf der Beobachtungsliste. Da kann eine Hausdurchsuchung bei dir ganz schnell aktuell werden.

[Raskolnikof]

Das ist die typische Argumentation eines Menschen, der sich 24/7 von Geheimdiensten beobachtet und ausspioniert sieht. Paranoide Persönlichkeitsstörungen scheinen immer mehr um sich zu greifen, insbesondere in Deutschland. Allein, dass Google StreetView weltweit nur in Deutschland und Österreich aufgegeben hat, weil Datenschützer und Bürger jedes Haus und jeden Strassenbaum verpixelt haben wollten spricht für sich. Deutschland hinkt aufgrund der hier herrschenden Angst der Digitalisierung in Forschung, Wirtschaft und im privaten Bereich innerhalb der Industrienationen teil weit hinterher. Warum wohl?

[freibier]

Richtig, ich bin ein technikparanoider Nerd.
Aber gerade aufrund dieser Affinität sehe ich die Dinge etwas differenzierter. Fakt ist, daß das digitale Schleppnetz rund um die Uhr aktiv ist. Was das mit der Gesellschaft tut und wie das unsere Freiheit untergräbt, wird kaum diskutiert. Im Gegenteil, die meisten stecken lieber den Kopf in den Sand und denken, sie hätten nichts zu verbergen. Sie benutzen weiter Google, Microsoft, Apple und Facebook, als ob es Snowden nie gegeben hätte. Ohne Veschlüsselung und Freie Software kann es meiner Ansicht nach heute keine Demokratie und freie Meinungsäußerung mehr geben. Man kann die Augen davor verschließen, jedoch ist das die Realität, in der wir leben.

[HugoBettauer]

(19 Oct 2016, 09:18)

Richtig, ich bin ein technikparanoider Nerd.
Aber gerade aufrund dieser Affinität sehe ich die Dinge etwas differenzierter. Fakt ist, daß das digitale Schleppnetz rund um die Uhr aktiv ist. Was das mit der Gesellschaft tut und wie das unsere Freiheit untergräbt, wird kaum diskutiert. Im Gegenteil, die meisten stecken lieber den Kopf in den Sand und denken, sie hätten nichts zu verbergen. Sie benutzen weiter Google, Microsoft, Apple und Facebook, als ob es Snowden nie gegeben hätte. Ohne Veschlüsselung und Freie Software kann es meiner Ansicht nach heute keine Demokratie und freie Meinungsäußerung mehr geben. Man kann die Augen davor verschließen, jedoch ist das die Realität, in der wir leben.

Verschlüsselung von Inhalt, Verschleierung von Kontaktbeziehungen und von Routen sind essentiell für die Freiheit. Jedes von ihnen hat Kosten gegenüber Direktrouten und Klartextübertragungen. Neben der Wegeverschlüsselung ist auch die Sicherheit der Endpunkte und Speicherplattformen ein Problem. Du wirst irgendwelchen Deppen vielleicht tls für Emailübertragung einrichten oder tor zur Verschleierung von Routenund Zielen. Und dann speichern sie ihre Emails ungeschützt am androidtelefon oder auf yahoo.com

[freibier]

(19 Oct 2016, 09:40)
Du wirst irgendwelchen Deppen vielleicht tls für Emailübertragung einrichten oder tor zur Verschleierung von Routenund Zielen. Und dann speichern sie ihre Emails ungeschützt am androidtelefon oder auf yahoo.com

Nur wo soll man anfangen? Meiner Erfahrung nach sind die meisten Leute nicht bereit, auf Bequemlichkeit zu verzichten. Und es ist nunmal bequem, alle Emails im Handy zu haben und Google-Produkte zu benutzen. Verschlüsselung hingegen ist unbequem und anstrengend.
Wenn ich den Leuten versuche zu erklären, daß sie soweit es geht keine persönlichen Daten in ihrem Handy haben sollten, keine Logins und Passwörter, dazu noch das System verschlüsseln sollten, verstehen das die meisten schon nicht mehr. Wenn man dann noch erklärt, daß man kein Facebook oder Google benutzen sollte, und sein iPhone möglichst gegen ein Replicant-Phone austauschen sollte, dazu noch es meistens im Flight-Mode haben sollte wenn man es nicht nutzt und dazu noch generell das Tor-Netzwerk benutzen sollte wenn man schon im Internet ist, dann halten einen die Leute für paranoid, wenn sie überhaupt etwas verstehen.
Ich habe den neuen Snowden-Film zwar noch nicht gesehen, hoffe aber, daß er möglichst viele Menschen erreicht, um ein Verständnis für das Problem zu schaffen.

[HugoBettauer]

(19 Oct 2016, 10:45)

Nur wo soll man anfangen? Meiner Erfahrung nach sind die meisten Leute nicht bereit, auf Bequemlichkeit zu verzichten. Und es ist nunmal bequem, alle Emails im Handy zu haben und Google-Produkte zu benutzen. Verschlüsselung hingegen ist unbequem und anstrengend.
Wenn ich den Leuten versuche zu erklären, daß sie soweit es geht keine persönlichen Daten in ihrem Handy haben sollten, keine Logins und Passwörter, dazu noch das System verschlüsseln sollten, verstehen das die meisten schon nicht mehr. Wenn man dann noch erklärt, daß man kein Facebook oder Google benutzen sollte, und sein iPhone möglichst gegen ein Replicant-Phone austauschen sollte, dazu noch es meistens im Flight-Mode haben sollte wenn man es nicht nutzt und dazu noch generell das Tor-Netzwerk benutzen sollte wenn man schon im Internet ist, dann halten einen die Leute für paranoid, wenn sie überhaupt etwas verstehen.
Ich habe den neuen Snowden-Film zwar noch nicht gesehen, hoffe aber, daß er möglichst viele Menschen erreicht, um ein Verständnis für das Problem zu schaffen.

Fang mit dem an was geht. Und dann sollte man versuchen, Plattformen bis hinunter zur Firmware-Ebene offen und sicher zu gestalten. Das steht mit bestimmten Geschäftsmodellen auf Konflikt

[freibier]

Ich denke, der neue EOMA68-Standard hat definitiv das Potential dazu. Hoffentlich setzt er sich durch.

[HugoBettauer]

Wo ich nicht mit dir mitgehe ist das Merken von Passwörtern. Das hat keine Zukunft. Komplexe, sich ändernde und möglichst verschiedene Passwörter merken. Man wird sich eher in vernetzten Geräten mit Zugangstickets behelfen wie früher bei Kerberos im intranet oder heute bei openid connect im web.

[freibier]

Ich benutze ganz normal einen Passwortmanager mit möglichst hoher Komplexität, je nachdem was die jeweiligen Dienste zulassen. Das Hauptpasswort, z.Zt. ca 20 Zeichen, habe ich ausschließlich im Kopf. Dieses wechsele ich regelmäßig. Kombination Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen, muss man sich halt merken können. Es gibt diverse Tricks wie man ein solches generiert und im Kopf behalten kann. Ganze Wörter benutze ich nicht, auch nicht in Kombinationen.

[HugoBettauer]

(19 Oct 2016, 11:42)

Ich benutze ganz normal einen Passwortmanager mit möglichst hoher Komplexität, je nachdem was die jeweiligen Dienste zulassen. Das Hauptpasswort, z.Zt. ca 20 Zeichen, habe ich ausschließlich im Kopf. Dieses wechsele ich regelmäßig. Kombination Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen, muss man sich halt merken können. Es gibt diverse Tricks wie man ein solches generiert und im Kopf behalten kann. Ganze Wörter benutze ich nicht, auch nicht in Kombinationen.

Das ändert nichts am Problem. Die meisten Dienstanbieter sollten einfach kein Passwort haben sondern nur wissen ob du ryan darfst.

[freibier]

(19 Oct 2016, 11:53)

Das ändert nichts am Problem. Die meisten Dienstanbieter sollten einfach kein Passwort haben sondern nur wissen ob du ryan darfst.

Stimme zu. Nur bis wir technisch da sind, wird noch einige Zeit vergehen, wenn das überhaupt jemals passiert. Das größte Problem ist doch, daß fast alle diese Dienste benutzen, anstatt selber ihre technische Struktur zu betreiben (z.B. ownCloud, Diaspora). Emailverschlüsselung ist nur ein Teilproblem. Ich würde mir wünschen, daß mehr Leute anfangen, zumindest ihre eigenen Mailserver zu betreiben. Doch das passiert nicht mal in der Businesswelt, im Gegenteil: Der Trend ist genau umgekehrt. Viel mehr Firmen pushen immer mehr Daten in die "Cloud", nicht nur interne Emails (unverschlüsselt!), sondern auch sensible Firmendokumente, und Backups ihrer gesamten Infrastruktur. Wie man das begreifen soll, geht mir nicht in den Kopf.

[HugoBettauer]

(19 Oct 2016, 13:07)

Stimme zu. Nur bis wir technisch da sind, wird noch einige Zeit vergehen, wenn das überhaupt jemals passiert. Das größte Problem ist doch, daß fast alle diese Dienste benutzen, anstatt selber ihre technische Struktur zu betreiben (z.B. ownCloud, Diaspora). Emailverschlüsselung ist nur ein Teilproblem. Ich würde mir wünschen, daß mehr Leute anfangen, zumindest ihre eigenen Mailserver zu betreiben. Doch das passiert nicht mal in der Businesswelt, im Gegenteil: Der Trend ist genau umgekehrt. Viel mehr Firmen pushen immer mehr Daten in die "Cloud", nicht nur interne Emails (unverschlüsselt!), sondern auch sensible Firmendokumente, und Backups ihrer gesamten Infrastruktur. Wie man das begreifen soll, geht mir nicht in den Kopf.

Owncloud / nextcloud ist wirklich miese Software. Wie eigen ist ein eigener Server wenn er nicht im Keller steht? Welcher Administrationsaufwand ist für eine Familie oder ein Individuum akzeptabel? Dann Fragen der Skalierung und Redundanz bei der Speicherung. Den meisten Firmen gehört doch nicht mal ihr Rechenzentrum und ihre geheimsten Daten betreuen externe Spezialfirmen. Selbst bei IT-Firmen. Das lohnt sich. Da ist von Clouddiensten noch gar nichts gesagt.

[freibier]

Das mit Owncloud sollte ja nur ein Beispiel sein. Natürlich ist der eigene Server im Keller oder das eigene Rechenzentrum die viel bessere Lösung.
Ich frage mich, in der Zeit heute wo viele Leute Nas-Server betreiben, müsste doch eigentlich der Schritt im Privaten hin zum eigenen Diaspora-, Web- oder Emailserver nicht so groß sein. Vielleicht ist sollte das der Fokus sein? Die Frage nach Skalierung ist dort nicht allzu groß. Wenn sich diese Denkweise im Privaten durchsetzt, ziehen vielleicht manche Firmen nach.