Hallo Leute!
Zur Zeit macht ja die Telekom für die neue Software DE MAIL groß Werbung. Ist DE Mail wirklich so sicher? Oder lieber bei PgP bleiben? Was meint ihr?
Euer Tommi
Anmeldungsdatum: Beiträge: 45 |
Hallo Leute! Zur Zeit macht ja die Telekom für die neue Software DE MAIL groß Werbung. Ist DE Mail wirklich so sicher? Oder lieber bei PgP bleiben? Was meint ihr? Euer Tommi |
Anmeldungsdatum: Beiträge: 2762 |
Bei DE Mail ist sichergestellt, das der Betreiber, dessen Putzpersonal und der Staat die Mails trotz Verschlüsselung lesen können. Da wir ja alle nichts zu verbergen haben, sondern nur die bösen Terroristen, ist das natürlich viel sicherer. Wer zukünftig Verschlüsselungsverfahren ohne Backdoor einsetzt, sollte als Sicherheitsrisiko sofort eingeknastet werden. (In England ist das schon jetzt möglich, wenn man sich weigert das Paßwort herauszugeben). Und noch mal ohne Ironie: DE MAIL ist sicherheitstechnisch leider nicht nur ein schlechter Scherz, sondern soll wirklich eingeführt werden. Lachen kann ich nicht. |
Moderator, Webteam
Anmeldungsdatum: Beiträge: 5813 Wohnort: Ankh-Morpork |
Kommt drauf an, nur mit der DE-Mail kannst du z.B. Mails verschicken die rechtlich einem Brief/Fax/Einschreiben gleichgestellt sind. Ansonsten mal http://www.daten-speicherung.de/index.php/boykottiert-das-glaeserne-de-mail/ lesen. Zudem hat die DE-Mail auch eine schwäche bei der Verschlüsselung. Hier wird nämlich nicht Ende-zu-Ende verschlüsselt sondern die Mail wird im Klartext beim DE-Mail Provider weiterverarbeitet und dann neu verschlüsselt (Wenn ich das richtig in Erinnerung habe). |
Anmeldungsdatum: Beiträge: 2762 |
Hefeweiz3n schrieb:
Nö, da kommt es bei der Frage nach der Sicherheit nicht drauf an. DE-Mail kann bequem sein, und ist möglicherweise ähnlich sicher wie ein Brief per Post (dessen Umschlag man öffnen kann) oder einem Fax, das auch abgefangen und mitgelesen werden kann. Ein sicheres Verschlüsselungsverfahren ist es aber aus den von Dir ja auch genannten Gründen nicht. |
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Nein, dieser E-Postbrief ist momentan ein Konkurrenzangebot zu DE-Mail. Viel halten tu ich davon ehrlichgesagt nicht. Sinnvoller wäre mMn gewesen eine Kampagne zu starten und die Signaturfähigkeiten des neuen Personalausweises mit S/Mime auf normalen E-Mails zu ermöglichen. Damit könnte man das Angebot des E-Postbriefes relativ einfach für alle nachbilden. Die Infrastruktur ist schon lange vorhanden, den meisten Menschen fehlt nur noch ein geeignetes Zertifikat und/oder die amtliche Anerkennung der elektronischen Signatur. Natürlich wäre der Bund dann die CA, das heißt der kann überall mitlesen. Beim E-Postbrief ist das halt die Post. So gesehen wäre GPG vielleicht noch sicherer gegen Manipulationen oder unbefugtes mitlesen. ~jug |
Ehemalige
Anmeldungsdatum: Beiträge: 9144 Wohnort: NRW |
zephir schrieb:
Es kommt halt darauf an was man in dem Fall mit „Sicherheit“ meint. DE-mail stellt sicher dass der Absender der ist für den er sich ausgibt, mehr nicht. Zu dem soll der Absender rechtssicher bestätigt bekommen dass der Empfänger die Nachricht erhalten hat (Was zu einem Problem für den Empfänger werden kann, Stichwort Beweislastumkehr). Harte Kryptographische Sicherheit im Sinne von „kein dritter liest mit“ stellt es nicht sicher auch wenn der Anbieter das sicher gern behaupten wird. |
Anmeldungsdatum: Beiträge: 1249 Wohnort: Stuttgart, Deutschland |
DE-Mail als auch E-Post bieten aus Sicht des Nutzers nicht mehr (oder weniger) Sicherheit als eine normale E-Mail. Es kommt keine Signatur zum Einsatz. Es gibt keine Ende zu Ende Verschlüsselung. Die Mails können vom Provider (und müssen) gelesen und verändert werden, das wird für die Virensuche benötigt. Hier mal ein paar Contra Aspekte:
wer mehr wissen will dem empfehle ich das ChaosRadio *"Vollständig" soll in diesem Zusammenhang bedeuten, dass man von Ende-Zu-Ende nachweisen muss warum eine Mail das Ziel nicht erreicht hat. Entweder um sich selbst zu Ent oder die Behörde zu Belasten. |
Anmeldungsdatum: Beiträge: 4 |
Hallo zusammen, auch wir möchten hier zu etwas Klarheit beitragen. Grundsätzlich müssen wir darauf hinweisen, dass der E-POSTBRIEF und die De-Mail nicht miteinander zu verwechseln sind. Das eine ist eine Gesetzesinitiative der Bundesregierung, das andere unsere Telekommunikationsdienstleistung für eine verbindliche, verlässliche und vertrauliche elektronische Kommunikation. Gerne nehmen wir hier zu einigen Kritikpunkten Stellung. Datenschutz und Datensicherheit genießen beim E-POSTBRIEF eine hohe Priorität. Der Schutz von personenbezogenen Daten ist somit ein besonderes Anliegen. Wir führen daher natürlich keinen Adresshandel mit den persönlichen Daten unserer E-POSTBRIEF Nutzer durch. Unter "IV. Datenschutzhinweise für die Nutzung des E-POSTBRIEF Portals" in unseren AGB wird der Umgang mit personenbezogenen Daten ganz eindeutig und konkret geregelt. Der E-POSTBRIEF wird beim Versand mit einem portaleigenen Zertifikat verschlüsselt. Er ist somit vom Absender bis zum Empfänger für Dritte nicht einsehbar. Eine Ende-zu-Ende Verschlüsselung des E-POSTBRIEFS ist somit sichergestellt. Wird ein E-POSTBRIEF im Portal abgelegt, so wird dieser ebenfalls verschlüsselt und damit auch weiterhin für Dritte unzugänglich. Dem Nutzer steht die Option frei, seinen E-POSTBRIEF zusätzlich mit einem Zertifikat des Trustcenters SIGNTRUST zu verschlüsseln. Der E-POSTBRIEF ist das Pendant zum klassischen Brief. In unseren AGB fordern wir Sie unverbindlich dazu auf, mindestens einmal werktäglich Ihr Nutzerkonto zu kontrollieren. Dies bedeutet aber nicht, dass Sie zum täglichen Check des E-POSTBRIEF Postfachs verpflichtet sind. Mit diesem Passus schaffen wir die Analogie zum klassischen Hausbriefkasten. In Rechtsprechung und juristischer Literatur ist seit langer Zeit anerkannt, dass Papierbriefe einem Empfänger auch dann zugehen – und damit beispielsweise Fristen zu laufen beginnen –, wenn der Empfänger im Urlaub ist. Auf eine tatsächliche Kenntnisnahme einer Nachricht kommt es für den Zugang gerade nicht an. Auch ein normaler Brief geht daher in der Regel am Tag nach Einwurf in den Briefkasten zu. Im Zweifelsfall muss der Absender allerdings nachweisen, ob und wann zugestellt wurde. Deshalb wird bei wichtigen Sendungen immer noch das Einschreiben Einwurf bzw. Einschreiben Rückschein oder der Postzustellungsauftrag gewählt. Hier ist die Zustellung nämlich nachgewiesen. Beim E-POSTBRIEF sind Einschreiben daher ebenfalls möglich. Sie haben als E-POSTBRIEF Nutzer im Übrigen den Vorteil, dass Sie Ihren elektronischen Briefkasten jederzeit und überall anschauen können. Um die Kontrolle zu vereinfachen, können Sie sich per kostenloser SMS-Benachrichtigung über neuen Posteingang informieren lassen. Mit freundlichen Grüßen Amir Khanzadeh vom Serviceteam E-POSTBRIEF |
Anmeldungsdatum: Beiträge: 1249 Wohnort: Stuttgart, Deutschland |
Zitat aus den AGB: 4(2) Falls der Veröffentlichung der Daten im Adressverzeichnis zugestimmt wurde, können diese Angaben von der Deutschen Post AG an andere registrierte Geschäftskunden / Versender auf Anfrage auch beauskunftet werden. Dabei nennt der Geschäftskunde Name und Postanschrift des Empfängers. Anhand dieser Angaben ermittelt die Deutsche Post AG die E-POSTBRIEF Adresse des Empfängers und teilt sie dem Geschäftskunden mit, damit dieser seine Nachricht als E-POSTBRIEF versenden kann. Somit wird dem Geschäftskunden die arbeitsaufwändige Suche jedes einzelnen Empfängers im öffentlichen Adressverzeichnis erspart. "Die haben als E-POSTBRIEF Nutzer im Übrigen den Vorteil, dass Sie Ihren elektronischen Briefkasten jederzeit und überall anschauen können. Um die Kontrolle zu vereinfachen, können Sie sich per kostenloser SMS-Benachrichtigung über neuen Posteingang informieren lassen." Die Frage ist ob man das im Urlaub will. Einen Briefkasten kann man im Urlaub nicht "abrufen" eine E-Postfach schon, das ist ein juristischer unterschied. eine juristische Aufarbeitung der AGBs: http://www.youtube.com/watch?v=8BpmwgyE9f4&feature=player_embedded |
Ehemaliger
Anmeldungsdatum: Beiträge: 17518 |
E-POSTBRIEF schrieb:
Wo liegt dieses Zertifikat?
Nun, kaum jemand hier im Portal dürfte von dieser CA was halten. Ist es möglich Zertifikate zu verwenden die man selbst signiert hat oder welche von vertrauenswürdigen CAs wie z.B. CACert kommen? mfg Betz Stefan |
Anmeldungsdatum: Beiträge: 4 |
Raptor 2101 schrieb:
Hallo Raptor 2101, es handelt sich bei dem zitierten Auszug aus unseren AGB um einen Hinweis auf einen reinen Auskunftsservice für registrierte Geschäftskunden / Versender, so wie zum Beispiel bei einer Telefonauskunft. Dabei muss der Geschäftskunde bereits den Namen und die Postanschrift des Empfängers kennen - analog zur Telefonauskunft, wo Sie auch wissen müssen, von wem Sie die Telefonnummer erhalten möchten. Dann beauskunften wir, ob der Empfänger auch eine E-POSTBRIEF Adresse hat und wie diese lautet. Das geschieht nur, wenn der Empfänger der Veröffentlichung seiner Daten im internen Adressverzeichnis des E-POSTBRIEF Portals zugestimmt hat - quasi ob Sie im Telefonbuch stehen. Wie wir bereits in unserem ersten Post von heute mitgeteilt haben: "Der E-POSTBRIEF ist das Pendant zum klassischen Brief. [...] In Rechtsprechung und juristischer Literatur ist seit langer Zeit anerkannt, dass Papierbriefe einem Empfänger auch dann zugehen – und damit beispielsweise Fristen zu laufen beginnen –, wenn der Empfänger im Urlaub ist." Wenn Sie in Ihrem Urlaub nicht über neue E-POSTBRIEFE per SMS informiert werden möchten, dann können Sie die SMS-Benachrichtigung in Ihren Portaleinstellungen deaktivieren. Zu den Kritikpunkten des Videos vom 22. Juli 2010 haben wir auf unserer Homepage eine FAQ veröffentlicht: https://go.post.de/w4hao Mit freundlichen Grüßen Amir Khanzadeh vom Serviceteam E-POSTBRIEF |
Anmeldungsdatum: Beiträge: 4 |
encbladexp schrieb:
Hallo Herr Betz, weiterführende Informationen zum persönlichen Zertifikat können Sie aus unseren FAQ unter https://go.post.de/qdt8w entnehmen. Da die Sicherheit und der Datenschutz bei uns einen sehr hohen Stellenwert haben, bitten wir Sie um Verständnis dafür, dass wir keine genauen Angaben zu unseren Sicherheitssystemen machen (Security through obscurity: http://de.wikipedia.org/wiki/Security_through_obscurity). Darüber hinaus ist es nicht möglich, externe Zertifikate in das E-POSTBRIEF Portal einzubinden. Mit freundlichen Grüßen Amir Khanzadeh vom Serviceteam E-POSTBRIEF |
Anmeldungsdatum: Beiträge: 2870 |
Der Fachbegriff für solche Taktiken lautet übrigens Schlangenöl. Schön erklärt wird dies von Bruce Schneier. |
Anmeldungsdatum: Beiträge: 2762 |
Hallo Herr Khanzadeh user:E-POSTBRIEF (Khanzadeh):] schrieb:
Schön das sie ausgerechnet auf diesen Wikipediaartikel verlinken, sonst hätte ich es getan. Vielleicht sollten sie Ihn auch mal lesen. Ich zitiere mal daraus:
Und was die angebliche end to end Verschlüsselung angeht, eine Verschlüsselung, die "mit einem portaleigenen Zertifikatl" geschieht, ist das eben nicht. Hier hat ein dritter, nämlich "das Portal" die Möglichkeit mitzulesen. Eine Verschlüsselung durch den persönlichen Schlüssel des Empfängers, die nur optional angeboten wird, könnte eine solche sein, wenn man den dem "security by obscurity" Ansatz vertraut. Da nehme ich doch lieber offene Verfahren, wo die Sicherheit belegt ist. |
Anmeldungsdatum: Beiträge: 2762 |
Ergänzend noch aus den FAQ, die Sie als Antwort auf das Video verlinkt haben:
Das ist nichts weiter als das Versprechen, wir lesen nicht mit, es sei denn der Gesetzgeber ordnet es an. Damit ist die angebliche end to end Verschlüsselung nichts weiter als ein Pendant zum Briefumschlag: Solange man Ihn nicht aufmacht, kann man den Brief nicht lesen. Es wird aber wohl keiner auf die Idee kommen, das als sicheres Verschlüsselungsverfahren zu bezeichnen. |