Verschlüsselung von Mails

[Diavolo]

Kürbiskern hat mich bezgl. Email und Verschlüsselung angeschrieben. Ich möchte eine seiner Fragen öffentlich beantworten, da es sicher auch anderen nützt.

Habe auch versucht von secure-mail direkt einen öffentlichen Schlüssel von einen Anbieter mal einzuladen... leider wurde das Format nicht akzeptiert. Komisch, vielleicht hab ich ja was falsch gemacht.

secure-mail.biz bietet (bis jetzt) einen guten und konstanten Dienst. Leider hat der Dienst zwei Nachteile:

1) Die von secure-mail.biz intern angebotenen Verschlüsselungsmöglichkeiten unterstützen kein PGP/GPG, sondern S/MIME.
Das nützt uns zur Bestellung nichts, da alle Shops PGP nutzen.

2) Nur die Bezahlvarianten von secure-mail.biz bieten Zugriff auf den Dienst via pop3, imap und smtp.
Deshalb kann man den kostenlosen Dienst von secure-mail.biz nicht mit einer lokalen Lösungen wie Thunderbird/Enigmail betreiben. Es fehlt schlicht die Möglichkeit die Mail zu versenden und zu empfangen.

Also holt man sich entweder eine Bezahlvariante von secure-mail.biz oder man trickst. Natürlich kann man den Text einer Mail auch lokal verschlüsseln und dann mit Copy/Paste in das Webinterface kopieren. Dabei nicht vergessen den eigenen öffentlichen Schlüssel in das Webinterface als Anhang der Mail zu senden.

Oder man nutzt einen anderen kostenlosen Maildienst, der Zugriff via pop3/smtp gewährt.


Zur Bestellung via Email bei potenzgenerika.com warte ich noch auf Informationen.

[potenzgenerika.is]

Zur Bestellung via Email bei potenzgenerika.com warte ich noch auf Informationen.

Hallo Diavolo,

auf welche Informationen wartest Du denn? Wir führen im Übrigen fast keine eMail Bestellungen mehr durch da der Bestellprozess im Shop

A) viel flüssiger,
B) verschlüsselt und
C) angenehmer zu verarbeiten ist

Da wir Bestelldaten sowieso löschen ist es für Kunden und für uns einfach sinvoller den Shop zu nutzen und das gibt uns mehr Zeit für die wesentlichen Supportaufgaben.

Gruß,
MK - Potenzgenerika.com

[Diavolo]

Hatte euch per Email unter info@potenzgenerika.com eine Email geschrieben.

Womit sich die Frage aber schon erledigt hat, denn dann ist bei PG wohl keine verschlüsselte Bestellung per Email mehr möglich.

Die Punkte A - C sind natürlich vollkommen verständlich. Das ihr damit allerdings den höchsten Sicherheitsstandard verlassen habt, sollte klar sein.

Wobei das rein theoretisch gemeint ist. Wie viele eurer Kunden diese Bestellart (korrekt) genutzt haben, kann ich nicht wissen. Somit kann ich auch nicht beurteilen, ob sich die Mehrarbeit wirklich gelohnt hat.

[Alfredi]

http://www.merkur-online.de/aktuelles/p ... 34714.html

wie ist eigentlich der akutelle Stand der Verschlüsselung?
Genügt jetzt die angebotene SSL Verschlüsselung?

[Diavolo]

Die Verschlüsselung selber ist sicher, da diese nur durch massive Rechenleistung oder eine bisher unbekannte Mathematik gebrochen werden kann.

Die Zunahme an Rechnenleistung kann man durch eine Vergrößerung der Schlüssellängen im Zaum halten. Der Bruch von Verschlüsselung durch eine neue Mathematik ist nie auszuschliessen und würde dem Entdecker mindestens die Fields-Medaille einbringen und das weltweite Bankwesen ins Chaos stürzen.
Ich kenne nur den Stand bei asymmetrischer Verschlüsselung auf Prim-Basis und hier sind selbst die klugsten Köpfe weit von einem Ergebnis entfernt. Das Kaninchenloch der Zahlentheorie ist sehr sehr tief, ähnlich tief wie beim Verständnis für den inneren Aufbau der Welt.

Man muß sich vorstellen: Primzahlen sind keine Erfindung des Menschen. Primzahlen sind schon immer da gewesen, sie sind Bestandteil unseres Universums. Aber warum sind sie nicht regelmäßig, sondern quasi zufällig? Warum gibt es keinen Algorithmus sie zu berechnen? Bis wir das verstehen und in eine neue Epoche eintauchen, nutzen wir sie einfach weiter für Verschlüsselung.

Mit 0-Day-Exploits sind fehlerhafte Implementationen der Verschlüsselung gemeint, die die Möglichkeiten begrenzen und somit berechenbar machen.
Davor ist leider niemand sicher.

[Flocki]

Genügt jetzt die angebotene SSL Verschlüsselung?

"Genügt" wofür? Für den Versand verschlüsselter Mails natürlich nicht, weil es sich nicht um eine Ende-zu-Ende Verschlüsselung handelt.

Die Verschlüsselung selber ist sicher, [...]

SSL ist ein Netzwerkprotokoll, also eine Transportverschlüsselung, die ist zwar sicher, hat aber nichts mit dem Thema dieses Threads zu tun. Damit wird die Kommunikation zwischen zwei Stationen verschlüsselt, z.B. zwischen Deinem Mailprogramm und Deinem Provider. Das hat aber nichts mit einer Mailverschlüsselung zu tun, weil diese nach wie vor unverschlüsselt ist. Eine sichere und wirksame Ende-zu-Ende Verschlüsselung erreicht man mit PGP/GPG oder S/MIME.

ciao
Flocki

[Diavolo]

Genau so ist es.

Mit einer ssl-Verschlüsselung wird der Transportweg verschlüsselt. Damit ist es möglich den Inhalt einer Webseite oder auch den Inhalt einer Email auf dem Weg durch das ip-Netz zu schützen. Aber eben nur zwischen den zwei Enden des ssl-Tunnel und dieser ist gerade bei Emails oft zu kurz.

Bei Webseiten muß man bedenken: Der z.B. Provider kann zwar die Inhalte nicht mitlesen aber er kennt das Ziel deiner Aktivitäten. Hier hilft nur zusätzliche ip-Verschleierung über vpn, tor oder jondonym.

Bei Email: Wie Flocki richtig beschreibt, der Transport vom Rechner zum ersten Mailserver ist mit ssl gesichert. Aber so bald die Email aus dem ssl-Tunnel austritt, kann man den kompletten Inhalt lesen. Um dem zu entgehen, muß man, wie vorgeschlagen, auf eine Inhaltsverschlüsselung mit PGP/GPG oder S/MIME zurück greifen und auch hier ist eine Verschleierung der ip zu empfehlen.

Kompliziert? Ja, leider! Die Big Player im Markt vernachlässigen schon immer das Thema Sicherheit und leichte Anwendbarkeit von Sicherheit. Und es gilt immer: Sicherheit gibt es nicht zum Nulltarif. Zumin. muß man eine Portion Gehirnschmalz investieren.

[floriian]

leute sry dass ich jz so reinplatze, ich würde nur einfach gerne eure Meinung wissen. Ich nutze derzeit Icloud am mac in Kombination mit gpgtool. Ich sende zwar die Mails verschlüsselt denke aber dass es nicht die Optimalste Lösung ist. Habt ihr eventuell tipps für einen Emailprovider ? Mir ist es eigentlich recht gleich ob ich den Provider in das Mail programm oder in Thunderbird importieren kann/muss.

ich hoffe Ihr könnt mir weiterhelfen,

LG Flo

[Diavolo]

https://secure-mail.biz/

[walker]

ProtonMail:

https://protonmail.ch/

http://en.wikipedia.org/wiki/ProtonMail

TED-talk dazu (kann auch mit Untertiteln heruntergeladen werden)
Der TED-talk erklärt auch gut die Grundsätze der Mailverschlüsselung und weshalb dies wichtig ist.

-> Sender und Empfänger müssen beide einen account bei ProtonMail haben. Die Kommunikation via webmail/ProtonMail erfolgt dann automatisch verschlüsselt mit Privat/Public Key ähnlich wie bei PGP.

Im Gegensatz zu PGP werden die Mails vollautomatisch im Hintergrund verschlüsselt mit Privat/Public Key, beim senden/empfangen der Mails schreibt/empfängt man immer nur Klartext und kriegt von der im Hintergrund laufenden Verschlüsselung gar nichts mit.

Weil jedes Mail mit Privat/Public Key verschlüsselt ist hat auch der Provider von ProtonMail keine Möglichkeit zu entschlüsseln.

Nachteil:
Funktioniert in dieser Einfachkeit nur via webmail und nur zwischen ProtonMail accounts, also ProtonMail->ProtonMail , dh Sender und Empfänger müssen beide einen account bei ProtonMail haben.