Hallo Leute,
seit Jahren wird in der Auge über E-Mail-Verschlüsselung und Signaturen geredet, getan wird aber fast nichts.
PGP setzt sich offensischtlich nicht durch. Vermutlich ist es zu kompliziert.
Deshalb möchte ich hier eine Diskussion anstoßen, ob das kostenlose Programm von "www.ciphire.com" nicht geeignet wäre und wir das auch kurzfristig umsetzen könnten. Ich habs noch nicht ausprobiert, aber es hört sich gut an.
Das ganze funktioniert natürlich nur, wenn auch der Empfänger der E-Mail das Programm benutzt. Deshalb die Frage: Wer in der Auge wäre bereit, dieses Programm einzusetzen und wann ???
Falls das FBI dahinter stecken sollte, wäre mir das auch egal. Erstens konnten sie auch bisher mitlesen und zweitens bin ich für die völlig uninteressant.
Wieso soll PGP kompliziert sein? Mit dem Plug-In Enigmail (siehe
Das Hauptproblem ist wohl weniger die Frage, ob PGP zu kompliziert ist oder nicht, sondern eher generell die Akzeptanz von E-Mail-Verschlüsselung. Den meisten Leuten ist das schlichtweg egal. Gerade die Einschätzung, dass das FBI (oder sonstwer) nicht mitliest, weil man vermeintlich "für die völlig uninteressant" sei, führt zu einem kompletten Verzicht auf jegliche Verschlüsselung.
Unter dem Strich heisst das für mich: Sorry, aber wenn man die Leute nicht einmal für PGP/GnuPG begeistern kann, dann erst recht nicht für irgendein anderes mehr oder weniger dubioses Produkt wie "Ciphire".
Ich würde hier nicht das FBI oder den CIA, die sich für mich nicht interessieren, weil ich nicht vorhabe, Straftaten zu begehen, mit anderen Privatpersonen oder Firmen mit kommerziellen Interessen in einen Topf werfen.
Wenn der Schutz der Privatsphäre so unnötig wäre, dann wundere ich mich, daß jemand für einen Brief überhaupt noch einen Umschlag verwendet und diesen auch noch zuklebt, obwohl den Brief doch nur ein paar Postbeamte o.ä. in die Hand bekommen.
Ich schätze mal, daß ich reich wäre, wenn ich für jede unberechtigt gelesene E-Mail auf der Welt einen Cent bekäme, soweit kenne ich meine Mitmenschen inzwischen.
Ich bin z.B. schon mehrmals durch einen Eintrag im Gästebuch beleidigt worden und wurde auch schon von interessierter politischer Seite attakiert, nur weil ich eine amerikanische Flagge auf meiner Homepage habe und die Terroropfer bemitleide.
Ich halte jedenfalls eine E-Mail-Verschlüsselung nicht für sinnlos. Es gibt immer Leute, die einem böses wollen, und es ist evtl. nur eine Frage der Zeit, bis es einen trifft.
Ich hätte übrigens auch nichts gegen "enigmail", wenn das gut funktioniert, zumal ich jetzt auch auf Thunderbird umgestellt habe.
Nur tun sollten wir etwas und wir bräuchten am Ende eine Liste mit Auge-Mitgliedern, denen man etwas verschlüsselt und signiert schicken kann und auf welche Art.
Ich nutze GPG. Wenn wir uns mal persönlich sehen, gebe ich Dir gerne meinen öffentlichen Schlüssel. Per Mail schicke ich ihn Dir nicht, das ist mir zu unsicher.
Mirko
Hallo
Ich kann die, die sich auch nichts aus Emailverschlüsselung machen gut verstehen. FBI hin oder her, wenn mich jemand wirklich ins Visier nähme, dann könnte er sowieso meine gesamte (Papier-) Post unbemerkt abfangen und lesen denn der Briefumschlag ist ja nun wirklich kein Hindernis. Angefangen von Bankenpost - einschließlich jeweils neuer Scheckkarten und neuer PINS - bis zu Behördenkram und Finanzamt kommt da ja alles daher. Unverschlüsselt. Die Emails sind da noch das geringste Sicherheitsrisiko. Obwohl sie, zugegeben, mit Filtern leichter millionenfach "bearbeitbar" sind als Papierpost. Wer das aber vorhat, der knackt auch die Verschlüsselungsprogramme.
Denkt man darüber nach so kommt man ziemlich schnell zu der Erkenntnis, dass das Leben insgesamt "unsicher" oder eben lebensgefährlich ist.
Wer sich davon übermäßig betroffen fühlt, der kann ja allerhand Maßnahmen ergreifen: Permanent im Bett bleiben, Vegetarier werden, niemandem mehr die Hand geben...
Grüße von: Gerhard
Florian schrieb:
> Das Hauptproblem ist wohl weniger die Frage, ob PGP zu
> kompliziert ist oder nicht, sondern eher generell die Akzeptanz
> von E-Mail-Verschlüsselung. Den meisten Leuten ist das
> schlichtweg egal. Gerade die Einschätzung, dass das FBI (oder
> sonstwer) nicht mitliest, weil man vermeintlich "für die völlig
> uninteressant" sei, führt zu einem kompletten Verzicht auf
> jegliche Verschlüsselung.
>
> Unter dem Strich heisst das für mich: Sorry, aber wenn man
> die Leute nicht einmal für PGP/GnuPG begeistern kann, dann erst
> recht nicht für irgendein anderes mehr oder weniger dubioses
> Produkt wie "Ciphire".
>
Gerhard schrieb:
> Hallo
>
> Ich kann die, die sich auch nichts aus Emailverschlüsselung
> machen gut verstehen. FBI hin oder her, wenn mich jemand
> wirklich ins Visier nähme, dann könnte er sowieso meine gesamte
> (Papier-) Post unbemerkt abfangen und lesen denn der
> Briefumschlag ist ja nun wirklich kein Hindernis.
Ganz so einfach ist das auch wieder nicht. Es käme öfter vor, wenn es leichter wäre. Dies ist selbst den Schnüfflern der sog. DDR nicht immer unbemerkt gelungen.
Angefangen
> von Bankenpost - einschließlich jeweils neuer Scheckkarten und
> neuer PINS -
Man braucht ja auch noch die TANs.
bis zu Behördenkram und Finanzamt kommt da ja
> alles daher. Unverschlüsselt.
Ein schlechtes Beispiel beweist nur, daß man was verbessern muss. Ich schätze, daß dies in den nächsten einhundert Jahren auch noch geschehen wird.
Die Emails sind da noch das
> geringste Sicherheitsrisiko. Obwohl sie, zugegeben, mit Filtern
> leichter millionenfach "bearbeitbar" sind als Papierpost. Wer
> das aber vorhat, der knackt auch die Verschlüsselungsprogramme.
Mancher täte es schon wollen, nur schaffen tut er es meistens nicht. Gute Verschlüsselungsprogramme wie PGP etc. sind von einem Amateur nicht zu knacken !
>
> Denkt man darüber nach so kommt man ziemlich schnell zu der
> Erkenntnis, dass das Leben insgesamt "unsicher" oder eben
> lebensgefährlich ist.
Das stimmt und wurde meines Wissens schon von Erich Kästner bemerkt.
> Wer sich davon übermäßig betroffen fühlt, der kann ja
> allerhand Maßnahmen ergreifen: Permanent im Bett bleiben,
> Vegetarier werden, niemandem mehr die Hand geben...
Die Beispiele sind m.E. nicht gut gewählt. Besser wäre: permanent seine Haustüre abschließen, obwohl sie auch leicht geknackt werden kann, sein Auto abschließen, den Briefkasten abschließen, den Metzger kontrollieren, Pfefferspray mitnehmen, sich nicht anhusten lassen und E-Mail verschlüsseln.
>
> Grüße von: Gerhard
>
Hallo Reho
...das war mir schon klar dass das (auch von dir) kommen würde. Und natürlich wollte ich niemand davon abbringen, wenn er glaubt er muss verschlüsseln.
Trotzdem - ab hier kann man jetzt lange Texte über relative Risiken schreiben. Denn um so etwas handelt es sich hier. Ein vermutlich allgemein akzeptables Zahlenbeispiel besagt aber, dass der, der wahllos jedes Risiko versichert totsicher pleite geht. Und dass, und damit sind wir näher am Topic, der Zeitaufwand den man treiben kann um immer noch sicherer zu sein sehr bald die 100% der verfügbaren Zeit erreicht. Mit anderen Worten - alles kann man nicht machen. Was man trotzdem macht ist persönliche Präferenz oder auch sinnvolle Reaktion auf eine höhere persönliche Risikosituation. Kann also durchaus sinnvoll sein. (und meine Beispiele waren - ersichtlich hoffe ich - etwas scherzhaft gemeint.)
Grüße von: Gerhard
schon mal Danke für Deinen Schlüssel im voraus,
aber eine Schwalbe macht noch keinen Sommer
Hallo Gerhard.
Deine Sicht der Dinge kann ich nicht ganz akzeptieren.
Auch wenn man einsehen muss, das man sich nicht gegen alles absichern kann (ich bin ein Versicherungsmuffel) kann man trotzdem über Risiken nachdenken.
Eine Email ist von der Sicherheit etwa wie eine Postkarte anzusehen. Jeder der sie in die Hand bekommt kann sie unbemerkt lesen. Bei einem Brief wird das schon schwieriger. Ja, ich kenne den Trick mit öffnen über Dampf. Aber hast du das schon mal versucht? Gar nicht so einfach.
Und es geht (mir) nicht mal darum das ich Angst habe vom CIA ausspioniert zu werden. Die Gefahren liegen oft viel näher. z.B. wenn ich dir ein Passwort für den Zugang zu meinem Webserver mitteilen wollte. Damit du dort etwas ablegen kannst. Das würde ich nicht in einer offenen Mail tun. Selbst wenn die Mail nicht abgefangen wird, könnte sie doch zufällig - durch ein Problem auf dem Server - beim falschen Empfänger landen. Und der hat dann das Passwort.
Um eine Mail gezielt abzufangen müsste man schon über einiges Wissen verfügen und Zugang zu den entsprechenden Stellen im Internet haben (Netzknoten, Mailserver usw.). Aber es gibt noch genug Irrläufer, Weiterleitungen, und Fehlfunktionen. Und sicher auch den einen oder anderen Mitarbeiter bei einem Mailprovider, der sich gerne mal einen Euro nebenbei verdient. Deshalb bleibt nur die Möglichkeit sensible Informationen nicht per Email (Postkarte) zu verschicken oder sie eben zu verschlüsseln (Briefumschlag).
Aber einen wichtigen Aspekt der Verschlüsselung haben wir noch gar nicht erwähnt. Das Public Key Verfahren lässt auch eine Authentifizierung zu. Ich kann also feststellen ob eine Mail wirklich vom Reho stammt. Das ist bei bestimmten Transaktionen sehr wichtig. Für mich sogar oft wichtiger als die Verschlüsselung. Ich kann meine Mails so "unterschreiben".
Ich sehe schon: es gibt noch viel zu erklären zur digitalen Signatur. Wenn es meine Zeit zulässt mache ich das demnächst.