jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
encbladexp schrieb: So lange also die Deutsche Post in der Lage ist diese Mails im Klartext auszudrucken gibt es immer mindestens eine Stelle wo die Daten im Klartext vorliegen müssen damit das ganze funktioniert. Und so lange das so ist bezeichne ich das ganze Verfahren als Unsicher, unabhängig davon ob ein Mitarbeiter hier etwas anders denkt 😉
Und so lange das möglich ist, sollte man das Verfahren nicht als „Ende zu Ende“-Verschlüsselung bezeichnen. „End to End“ ist die Verschlüsselung nur dann, wenn sie vom Absender verschlüsselt wird und erst und ausschließlich vom Empfänger entschlüsselt werden kann. Aufgrund des Konzeptes vom E-Postbrief ‒ zwischendurch im Klartext ausdrucken und per Brief zustellen ‒ ist eine Ende zu Ende-Verschlüsselung technisch weder vorgesehen, noch überhaupt möglich! Soviel zu dem Statement in diesem Thema, dass eine Ende zu Ende-Verschlüsselung sichergestellt sei … Hinzu kommt die rechtliche Lücke. Der E-Postbrief fällt nämlich nicht unter das Briefgeheimnis, sondern lediglich unter das Telemediengesetz. Und das Thema Security by Obscurity setzt dem Ganzen die Krone auf … mir fehlen die Worte, und wenn ich welche hätte, dann müsste ich mich aus diesem Forum wohl selbst rauswerfen. 👿 ~jug
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
@ModTeam: ähm ich frag mal direkt, wann wird der Thread "gesplittet". Die Antworten von der PR Abteilung sind spätestens ab der Ausführung zum thema "Sicherheit durch Unwissenheit" irreführend (zumal noch die WikiEdits). Gebt mal bei einer Suchmaschiene eurer Wahl "e post" ein. Die Hälfte der Post ist schon in der Überschrift negativ besetzt. Das Ziel dieser Edits und Post dürfte klar sein... Ich muss zugeben bis ende Seite eins waren die Argumente echt gut (lob an den Schreiber) und zum Teil sogar "klarstellend" (in gewisser weise) danach wird es für Neulinge/Unerfahrene nur noch verwirrend.
|
rleofield
Anmeldungsdatum: 14. September 2008
Beiträge: 779
Wohnort: Görlitz
|
encbladexp schrieb: rleofield schrieb:
Gar keiner. Nur teurer.
Ich denke wir sollten versuchen in diesem Thread bei der Sicherheit von DE-Mail bzw. dem E-POSTBRIEF zu bleiben, über den Sinn und Unsinn eines solch fragwürdigen Dienstes sollten wir in einem anderen Topic diskutieren.
Asche auf mein Haupt. Eine anderen Topic mache ich aber deswegen nicht auf, das Thema 'Sinn und Unsinn' hat mit Ubuntu eigentlich nichts zu tun und gehört eher in das Hinterzimmer. 😉 mfg rleofield
mfg Betz Stefan
|
wonderworld
Anmeldungsdatum: 7. März 2006
Beiträge: 195
|
Ach egal wie man es dreht und wendet. Die Post *kann* mitlesen, wenn sie will. Deshalb ist dieses Produkt nicht sicher. Konnte sie natürlich auch schon immer mit dem klassischen Postbrief. Hab da noch irgend eine Geschichte im Hinterkopf in der der Verfassungsschutz über Wochen eine ganze Verteilerstelle annektiert hat und da Briefe von "Zielen" mitgelesen hat. Das geht per Mausklick natürlich einfacher. Und nach dem übernächsten Terroranschlag werden vorsorglich erst mal alle Mails zentral gespeichert. Ist doch alles Huddel. Da eine Ende-zu-Ende-Verschlüsselung technisch einfacher! möglich gewesen wäre ist doch die Frage, warum diese nicht gewählt wurde? Die Bürger könnten ja tatsächlich privat miteinander kommunizieren. Das geht nun wirklich nicht. Das sagt viel über den Staat aus, in dem wir leben.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
@wonderworld: Wir sind hier nicht im Hinterzimmer. Wenn du Verschwörungstheorien und die Rolle des Staates ‒ oder im weitesten Sinne Politik ‒ diskutieren möchtest, dann eröffne dazu bitte ein eigenes Thema im Hinterzimmer. Hier soll es um die technische Umsetzung und die Sicherheit von DE-Mail und E-Postbrief gehen. Danke. ~jug
|
wonderworld
Anmeldungsdatum: 7. März 2006
Beiträge: 195
|
OK. Sorry. Dann in Kürze: Meiner Meinung nach: technisch unsicher ☺
|
FromBodom
Anmeldungsdatum: 6. April 2009
Beiträge: 74
Wohnort: Berlin
|
So habe nur mal schnell quer gelesen. Meiner Meinung nach ist DE Mail und E-Postbrief nicht sicher da die Mails meines Wissens nach auf dem Server kurz ent- und dann wieder verschlüsselt werden. werde weiter hin Enigmail benutzen und meine Mails mit dem eigenem Zertifikat unterschreiben, und den ganzen Mist mit DE Mail und E-Postbrief nicht benutzen. Der CCC hatte da letztens eine Sendung beim Chaosradio zu dem Thema hier der link http://chaosradio.ccc.de/cr159.html MfG FromBodom
|
ingo2
Anmeldungsdatum: 15. Juni 2007
Beiträge: 2145
Wohnort: wo der gute Riesling wächst
|
Ich habe mich auch lange mit dem Thema beschäftigt und war kurz davor, mir eine e-post Adress zuzulegen. Inzwischen ist mir klar geworden, das e-post-Brief oder de-mail absolut überflüssig sind und höchstens den Betreibern nutzen. 1. Eine end-to-end Verschlüsselung gibt es dort nicht (wie könnte man sonst auf Viren prüfen?). 2. Alle Beweislast liegt beim Nutzer, die Ablieferung ins Postfach gilt als "zugestellt" und der User ist verpflichtet, täglich ins Postfach zu schauen. Das nützt höchstens den Werbetreibenden, die auch Firmenmitglied sind, indem sie den Papiermüll sparen und für gleiches oder sogar weniger Geld dir Werbung schicken - tägliches Lesen fast garantiert. 3. Die e-post bietet zwar ein persönliches Zertifikat zur eigenen Verschlüsselung an, aber es lagert bei der Post. Wer garantiert, daß nicht noch ein Generalschlüssel (Backdoor) dazu existiert? 4. Es gilt für die e-Kommunikation nur das "Fernmeldegeheimnis" (darauf habe ich selbst schon mehrere "Eide geschworen" für Funklizenzen), nicht aber das viel umfassendere "Briefgeheimnis" für Hardware-Briefe. Eine wirklich sichere Kommunikation ist seit Jahrzehnten erprobt, Beispiel PGP. Da ist es völlig überflüssig, etwas neues zu kreieren mit Abstrichen bei der Sicherheit und em Mäntelchen "einfach zu benutzen". Das ganze könnte man elegant und sicher lösen, wenn ich mir ein Schlüsselpaar selbst erzeuge und den public-key von offizieller Seite nach Identifikationsausweis bestätigen/unterschreiben lasse - fertig. Den Key oder Zertifuikat dann noch ggf. auf dem neuen e-Personalausweis und einen zertifizierten Kartenleser der entsprechenden Klasse. Das ist dann sicher, Ingo
|
fpunktk
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 142
|
ingo2 schrieb: Eine wirklich sichere Kommunikation ist seit Jahrzehnten erprobt, Beispiel PGP. Da ist es völlig überflüssig, etwas neues zu kreieren mit Abstrichen bei der Sicherheit und em Mäntelchen "einfach zu benutzen". Das ganze könnte man elegant und sicher lösen, wenn ich mir ein Schlüsselpaar selbst erzeuge und den public-key von offizieller Seite nach Identifikationsausweis bestätigen/unterschreiben lasse - fertig. Den Key oder Zertifuikat dann noch ggf. auf dem neuen e-Personalausweis und einen zertifizierten Kartenleser der entsprechenden Klasse.
Genau meine Meinung. Und dann muss eventuell noch das Problem mit Key Revocation ordentlich gelöst werden.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
fpunktk schrieb: Und dann muss eventuell noch das Problem mit Key Revocation ordentlich gelöst werden.
Nunja, sie hätten mit dem ePA was schönes mit X.509 basteln können, dazu noch eine Aufklärungskampagne für die Bevölkerung und schon hat man sichere beglaubigte E-Mail-Kommunikation. Naja, fast. Da ergeben sich die Probleme eher bei Mailanbietern, Freemail und der Angewohnheit alle paar Monate die Mailadresse zu wechseln. Aber auch das hätte man lösen können und DE-Mail hätte man sich sparen können. ~jug
|
mkind
Anmeldungsdatum: 6. Mai 2009
Beiträge: 27
|
gab es nicht sogar irgendwo in irgendeinem podcast oder artikel das statement, dass auf irgendeinem server, die nachricht nochmal kurz entschlüsselt wird, um danach wieder verschlüsselt zu werden. worauf das presse-statement war, dass das "nur für einen ganzen kurzen zeitraum" passiert und da ABSOLUT niemand zugriff drauf hat. ach hab ich gut gelacht. aber verdammt, ich kann das nicht mehr finden. naja.. no way. mich kriegt niemand zu e-post, de-mail oder wer weiß, was sonst noch alles kommt. argumente sind ja hier ausführlich diskutiert worden.
|
ingo2
Anmeldungsdatum: 15. Juni 2007
Beiträge: 2145
Wohnort: wo der gute Riesling wächst
|
fpunktk schrieb:
Und dann muss eventuell noch das Problem mit Key Revocation ordentlich gelöst werden.
Tja, und denk mal noch ein wenig weiter: wenn du einmal einer Fa. oder Behörde so einen Brief geschrieben hast, bist du verpflichtet, auch e-Post von denen zu empfangen und regelmäßig darauf zu checken. Das ist ausführlich in den AGB's festgelegt. Wie man aber dann wieder aus so einer Verpflichtung raus kommt, wie man das Konto auflösen, kündigen kann, ohne sich Ärger einzuhandeln - das steht nirgends! ich akzeptiere einfach die AGB's nicht Ingo
|
fpunktk
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 142
|
ingo2 schrieb: fpunktk schrieb:
Und dann muss eventuell noch das Problem mit Key Revocation ordentlich gelöst werden.
Tja, und denk mal noch ein wenig weiter: wenn du einmal einer Fa. oder Behörde so einen Brief geschrieben hast, bist du verpflichtet, auch e-Post von denen zu empfangen und regelmäßig darauf zu checken. Das ist ausführlich in den AGB's festgelegt. Wie man aber dann wieder aus so einer Verpflichtung raus kommt, wie man das Konto auflösen, kündigen kann, ohne sich Ärger einzuhandeln - das steht nirgends! ich akzeptiere einfach die AGB's nicht
Hm, eine Verpflichtung zum checken wäre natürlich richtig blöd. Leider kenne ich auch keine gute Lösung für Zustellquittungen. Gibt es vielleicht auch gar nicht. Was hat das aber mit Key Revocation zu tun?
|
ingo2
Anmeldungsdatum: 15. Juni 2007
Beiträge: 2145
Wohnort: wo der gute Riesling wächst
|
fpunktk schrieb:
Was hat das aber mit Key Revocation zu tun?
Im übertragenen Sinne: "wenn du das ganze mal angefangen hast, kannst du nicht mehr zurück"
|
fpunktk
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 142
|
ingo2 schrieb: fpunktk schrieb:
Was hat das aber mit Key Revocation zu tun?
Im übertragenen Sinne: "wenn du das ganze mal angefangen hast, kannst du nicht mehr zurück"
Genau da würde ich ja hoffen, dass man seine Zertifikat ungültig machen kann und damit wieder raus kommt. Aber das ist ja trotzdem wieder nur dieses Problem mit der Quittung bzw. Empfangsbestätigung. Eigentlich habe ich mit Key Revocation aber gemeint, dass das System zum ungültig Machen des eigenen Schlüssels verbessert werden muss. Aber anscheinend ist das bei weitem nicht das größte Problem.
|