Verwendung von GPG im Mailsystem

[pft]

Ich kann mich den Vorrednern großenteils anschließen.
Habe es installiert und eingerichtet und seit Jahren ein "beglaubigtes" Zertifikat aus der ct' Kryptokampagne.
Aber nutzen kann ich es kaum, ausser für Selbstgespräche

Was mich immer wieder wundert:
Oft werden firmenseitig Schlüssel eingesetzt. Z.b. MS bei den Patch-Ankündigungn (security Newsletter oder so ähnlich). Aber den Fingerprint zur Verifizierung findet man selten. Schon gar nicht auf offiziellem Briefpapier etc. und auch im Web oft nicht.
Dabei ist doch ohne diesen Schritt alles (fast) nur Makulatur, oder?
Warum sollte ich irgendwelchen unterschrioften von mir unbekannten Personen vertrauen? Angeblich kennt im Schnitt über 6 Ecken jeder jeden auf der Welt, aber mein Vertrauen geht noch lange nicht so weit!

 

[pft]

Ähm, ich muß noch mal 'nen Nachschlag geben nachdem ich das Ergebnis der Umfrage sehe.

Ich habe gevotet und zwar mit "zum signieren und verschlüsseln von Mails".
Nur ist das halt eher theoretisch. Praktisch wäre es eher ein "gar nicht"
Kann es sein das es anderen auch so geht und das Ergebnis damit so wertvoll ist wie viele andere Statistiken, die man nicht selber gefälscht hat?

Solltest Du vielleicht eine neue Umfrage machen, wie oft die Leute es nutzen?
Oder eine Umfrage nach den Gründen warum?

Ich weiß ja nicht, was Du mit den Zahlen vo hast. Um bei 'ner Bank Geld für'n Startup zu bekommen reicht es ja veilelicht auch so schon.

 

[onkelchentobi]

Ich finde es doch etwas traurig wie wenige hier gestimmt haben, anscheinend interessiert es die Leute nicht!

 

[pft]

Tja irgendwie finde ich das Verhalten der Leute auch schizophren.
Über Videoüberwachung, Bundestrojaner und Verbindungsdatenspeicherung regt sich jeder auf und geht auf Demos.

Nur um dann daheim auf den verschiedenen social networking sites und blogs all das und mehr frei preiszugeben und auch die privatesten Dinge völlig ungeschützt zu mailen.

Eingentlich sind BND & Co doch bescheuert, wenn sie mit viel Aufwand all die Daten über uns sammeln und speichern. Durch einfaches googlen kann man doch genug herausfinden.

Warum mühsam über Videoüberwachung und Gesichtserkennung herausfinden, dass Mäxchen auf dieser oder jenen Demo war, wenn das in seinem Blog / social networking site ohnehin jeder einfach nachlesen kann?

 

[/dev/null]

Fast 190 habe das gelesen und nur 12 haben an der Umfrage teilgenommen, kommt mir fast vor wie bei der Bundestagswahl ;-)

Hi,

nun, nachdem man die Beiträge durchgelesen hat, ist die Sache doch schon relativ klar. Leider ... .

Ich persönlich habe PGP genutzt, seit mir vor viiiiielen Jahren mal eine Diskette mit pgp v.2.x in die Finger fiel. Für diejenigen, die es nicht mehr wissen (können, weil zu jung) - das Betriebssystem nannte sich damals "DOS" ... .
Die Sache hatte mich seinerzeit begeistert, weil sie mit dem zu tun hat, womit ich mich seit langem beruflich befasse, wenn auch auf einer anderen "Ebene". Nun kann das jedermann tun, was bisher nur wenigen möglich war ... .

Meine Bemühungen, PGP und später GnuPG breitenwirksam einzusetzen haben sich, so wie meine Vorredner auch feststellen mussten, im Ergebnis sehr in Grenzen gehalten. Die Begründungen muss ich nicht wiederholen.

Seit etwa 5 Jahren habe ich mich allerdings völlig auf das andere Verfahren - S/MIME mit X.509-Zertifikaten - umgestellt. Das hat einfach damit zu tun, dass ich in einem Trustcenter arbeite und derartige Zertifikate (meist auf Chipkarten) herstelle. Und "nebenbei" läuft zu Hause eine kleine "Privat-CA", wo ich dieses für Freunde und Bekannte anbiete.

Aber auch hier (im offiziellen Rahmen) läuft die Sache nicht so, wie man es sich vorstellen könnte. Gleiche Begründungen ... .
Vielleicht ist der Leidensdruck noch nicht hoch genug?

Unabhängig davon, um auf die Eingangsfrage zu antworten:
Bei mir werden (beruflich und privat) ca. 80-85% der Mails verschlüsselt und signiert. Hat mich aber auch viel Überzeugungsarbeit bei meinen Mailpartnern gekostet.

Nun, schaun wir mal, wie lange wir in D noch (privat) verschlüsseln dürfen.

MfG Peter

 

[TomcatMJ]

Ich pinne das hier nun mal damit das Thema nicht untergeht und vielleicht durch das öftere wahrnehmen (zumindest hier) den euten vielleicht doch mal im Gedächtnis bleibt. Otto Normaluser der sich Rechner im Supermakrt kauft kümmert sich ja meist nur um das was er immer und immer wieder irgendwo sieht und nicht um das was ihm irgendwann mal gesagt wird aber dann nicht wieder aufgefrischt wird. Wäre es anders, dann würden sich auch Normaluser von sich aus mit dieser Thematik aus eigenem Antrieb auseinandersetzen und nicht jedesmal drauf hingewiesen werden müssen. Aber anhand der geringen Nutzung von Signatur+Verschlüsselungsmöglicheiten kann man ja leider sehen, daß die faulheit da der bisher größere und damit ausschlaggebende Faktor zu sein scheint. Ich geb ja auch zu nur ab und zu Mails zu signieren und aufgrund des Wissensmangels im überwiegenden Teil meiner Mailkontakte dort auch mit Verschüsselung zu agieren in einer Menge Arbeit für mich ausarten würde. Ich müsste den meisten dann wohl erklären wie sie auf ihren, leider doch überwiegend Windows nutzenden, Systemen sowas überhaupt einrichten, was mangels eigenem Windowssystem und damit Übung doch etwas mühselig wär. Halt noch so ein Punkt wo diesmal die eigene Fauheit hinderlich bei der Verbreitung von Verschlüsselung ist*g*

Bis denne,
Tom

 

[B.Hannes]

Hallo Alle,

ist etwas schwierig, das Thema an den Mann/Frau zu bringen.

Privat habe ich ein paar Bekannte noch aus Fido Zeiten, hier wird PGP als Signatur und Schlüssel verwendet. Ansonsten, Die sehen höchstens meine Signatur und können nichts damit anfangen. Verwenden aber auch hauptsächlich Windows und Outlook. Wenigstens ein paar konnte ich zu Thunderbird bringen.

In der Firma? Offiziell haben wir Secure ID Karten, die passende SW, Outlook Integration, ... und sollen damit unsere Outlookmails, auch Firmenintern verschlüsseln, ABER ich habe dies spaßeshalber mal an alle meine internen Ansprechpartner durchgezogen. Keine Sau ist damit klar gekommen und von den Vertrieblern und Projektleitern dicke Backen.. Nur unsere Security, FW Truppe hat was damit anfangen können

Grüße

Hannes

 

[stka]

Vielleicht einfach mal einen Hinweis in die Textsigantur. Wie z.B. das hier:

Signieren jeder E-Mail hilft Spam zu reduzieren. Signieren Sie ihre E-Mail. Weiter Informationen unter http://www.gnupg.org

Mein Schlüssel liegt auf

hkp://subkeys.pgp.net

Erst wenn alle Leute ihre Mails signieren und ISPs nur nach signierte Mails weiterleiten die einen gültigen Schlüssel haben, dann ist Schluß mit Spam.

 

[onkelchentobi]

@stka

Das waere zwar schoen, doch denke ich das es nie so weit kommen wird. Viele Leute die keine Ahnung von Pc und dem Internet haben wie vielleicht der ein oder andere Rentner der hier uebervordert waere koennte so ja nicht einmal eine Mail schreiben.

Ich denke am besten waere es wenn in den Schulen beim allgemeinen umgang mit Pc und Internet hier entsprechend gelehr und gezeigt wird wie man sich und andere besser schuetzen kann.

 

[stka]

Onkelchen Tobi du meinst die Le{eh]rer in unsern Schulen wären in der Lage so etwas zu vermitteln?
Das ist ja der Brüller der Woche

 

[onkelchentobi]

Naja die muessten zuvor auch erst mal entsprechend unterrichtet werden. Ich sehe halt keine andere Moeglichkeit das sonst irgend wie an den Mann zu bekommen. Das Internet der Pc und alles drum herrum gehoert immer mehr zum alltaeglichen Alltag. Frueher war das vl. noch etwas anderes, an die Generationen von damals bekommt man heute dies bezueglich nicht all zu viel mehr ran (ohne diese jetzt dabei zu beleidigen) daher sollte und muss man so frueh wie moeglich anfangen, und wie soll man das sonst machen wenn nicht in den Schulen. Wenn bereits englisch in der 4 Klasse versucht wird an die Kinder ran zu bringen, dann klappt das erst recht mit ein bisschen Allgemeinwissen zwecks Pc, Internet etc.

 

[Griffin]

Für Otto-Normaluser ist es wohl noch immer zu kompliziert.
Warum sollte er es auch lernen? Immerhin macht es keiner. Und wenn die breite Masse ihren Kopf mit brennender Zigarette in den Gasherd steckt, dann wird das wohl so richtig sein und auch so gehören.

Solange Verschlüsselung nicht noch einfacher wird (nur wenn es Default ist, ist es wohl einfach genug), rennen wir hier gegen Windmühlen an.
Die wenigen User, die verschlüsseln, prallen leider meist auch noch an der Ignoranz der Masse ("Was is das denn? Kenn ich nicht, kann ich nicht, will ich nicht!") ab.
Was nutzt mir die schönste Verschlüsselung, wenn ich nur mit 0,5% meiner Kontakte tatsächlich so kommunizieren kann? Das ist das Diktat der Dummheit/Faulheit.

Dennoch denke ich, dass Werbung was bewegen kann. Gerade jetzt in Zeiten amok laufender Überwacher.

Immerhin hat es die massive Beschäftigung aller Zeitschriften mit dem Thema Sicherheit bewirkt, dass nun alle Welt hinter Firewalls und Virenkillern sitzt.
Hoffen wir mal, dass die Computerbild das Thema bald für sich entdeckt:
"Skandal: Schäuble liest Ihre Post!"
"Computerbild hilft. Kostenlose Software auf Heft-DVD, Im Heft 5-Minuten-Anleitung zur Verschlüsselung von E-Mails in 5 Schritten. Jeder kann es! Die Volks-Verschlüsselung!"
Wer weiß, wenn das danach alle Zeitschriften ein Jahr lang predigen, verschlüsselt vielleicht bald wirklich die halbe Welt ihre Post.

 

[onkelchentobi]

"Skandal: Schäuble liest Ihre Post!"
"Computerbild hilft.

Haha... das war gut

 

[gemeinerSchueft]

Ich oute mich jetzt mal als einer der keine Verschlüsselung verwendet. Dies hat natürlich auch seinen Grund. Gerade als Anfänger in Sachen Linux und auch Verschlüsselung ist es nicht einfach zu erkennen welche Pakete installiert werden müssen.
Ich habe mich jetzt mal mehr oder weniger Erfolgreich durch die hier genannten Anleitungen gequält. Dazu dann die entsprechenden Dokumentationen in den Thunderbird faq ( sehr win bezogen) und der Anleitung unter suse.org und trotzdem ist es mir immer noch nicht klar ob ich jetzt die richtigen Pakete zur Schlüsselgenerierung gefunden habe.
Dem Link http://de.opensuse.org/GNU_Privacy_Guard habe ich entnommen, dass ich hier gpg2 nutzen kann. Mal sehen wie es ausgeht.

Vielleicht kann ja mal jemand der erfahrenen Nutzer eine kurze Anleitung schreiben, welche Pakete, zur Schlüsselgenerierung, zu installieren sind.

Ach ja bevor die Fragen kommen, nutze Thunderbird und Evolution unter OpenSUSE 11.

 

[MoodyMammoth]

Ich oute mich jetzt mal als einer der keine Verschlüsselung verwendet. Dies hat natürlich auch seinen Grund. Gerade als Anfänger in Sachen Linux und auch Verschlüsselung ist es nicht einfach zu erkennen welche Pakete installiert werden müssen.
Ich habe mich jetzt mal mehr oder weniger Erfolgreich durch die hier genannten Anleitungen gequält. Dazu dann die entsprechenden Dokumentationen in den Thunderbird faq ( sehr win bezogen) und der Anleitung unter suse.org und trotzdem ist es mir immer noch nicht klar ob ich jetzt die richtigen Pakete zur Schlüsselgenerierung gefunden habe.
Dem Link http://de.opensuse.org/GNU_Privacy_Guard habe ich entnommen, dass ich hier gpg2 nutzen kann. Mal sehen wie es ausgeht.

Vielleicht kann ja mal jemand der erfahrenen Nutzer eine kurze Anleitung schreiben, welche Pakete, zur Schlüsselgenerierung, zu installieren sind.

Ach ja bevor die Fragen kommen, nutze Thunderbird und Evolution unter OpenSUSE 11.

Hi,

so schwer ist das gar nicht, normalerweise hast du unter openSuSE 11.0 schon alles installiert, weil das von Anfang an automatisch gemacht wird, ich glaube sogar Thunderbird ist schon mit dem Plugin Enigmail installiert.
Kannst also eigentlich so loslegen.

Ich selber verwende schon seit Jahren PGP, allerdings in erster Linie zum Signieren, da die wenigsten meiner Bekannten ebenfalls PGP benutzen und auch nur ein geringer Teil meiner Kunden, mir egal ich machs trotzdem, obwohl ich letztens vom Support eines Onlineshops die Rückmeldung bekommen habe, ich möge meine Frage doch bitte direkt in der Mail stellen und keine Excel-Datei anhängen. Nachdem ich die Mail dann unsigniert rausschickte, konnten die die auch lesen ;-)

Ach ja, von GoogleMail usw. nutze ich gar nix, ich habe zwei eigene Server im Internet und nutze natürlich die dafür ;-)

Gruß
Moody

 

[nbkr]

Erst wenn alle Leute ihre Mails signieren und ISPs nur nach signierte Mails weiterleiten die einen gültigen Schlüssel haben, dann ist Schluß mit Spam.

Ich verstehe nicht ganz wie GPG signaturen Spam bekämpfen sollen.

Jeder Spammer kann seine Spammails signieren. Ich kann mir jederzeit einen Schlüssel mit "der_andere_user@example.com" als Adresse anlegen. Das Web-of-Trust hilft in dem Fall nicht. Um Spam zu reduzieren müssten die ISPs die Mails aussotieren. Da kommen aber nur die ISPs der Empfänger in Frage, weil die Spammer ja überlicherweise direkt von einem Botnetzrechner oder über ein offenes Relay schicken. Die ISPs der Empfänger können aber nicht wissen, ob ich einem bestimmten Schlüssel vertraue. Vielleicht will ich ja mails von "buy_cheap_viagra@spammer.com" und vertraue dem Schlüssel.

Der ISP kann also nur prüfen ob der Schlüssel nicht abgelaufen ist. -> Das ist kein Problem.
Der ISP kann prüfen ob ein Schlüssel viele gültige Signaturen hat -> auch das ist für einen Spammer kein Problem.

Wenn ein Schlüssel mal als "von einem Spammer" identifiziert wurde, kann sich der Spammer in Sekunden einen neuen Schlüssel erstellen. Gerade wenn ich über ein Botnetz verfüge, kann ich beliebig viele Schlüssel erstellen. Notfalls für jede Mail einen neuen.

 

[stka]

Das klappt natürlich nur dann, wenn die ISPs dazu übergehen, ihren Kunden für jede E-Mailadresse einen Schlüssel bereitstellen, der dann vom ISP signiert ist. Dann kann man eine Mail IMMER zum Versender zurückverfolgen. Wenn jemand leichtsinniger Weise den Schlüssel verschlampt ist es das selbe, als wenn du deinen Autoschlüssel verlierst und du das nicht sofort meldest und dir neu Schlüssel machen lässt. Wird das Auto dann für eine Straftat verwendet, hast du erst einmal die Arschkarte.

 

[nbkr]

Was machen dann die Leute die keinen ISP haben? Ich nutze meinen eigenen Mailserver, sind meine Mails deshalb nicht vertrauenswürdig?

Ich denke GPG gegen Spam ist keine vernünftige Lösung - gerade weil es zuviel Verständniss auf Seiten des Endusers benötigt. SPF oder auch Domainkeys sind da wesentlich einfacher zu konfigurieren und bietet das gleiche Ergebniss.

 

[stka]

Aber auch du hast deine Domäne nicht aus der Luft gegriffen sondern von irgendjemandem zugewiesen bekommen. Da könnte man was machen.
Es muss ja nicht unbedingt ein Schlüssel sein, sondern Zertifikate über die Domäne wäre auch eine Lösung. Auch sollte ein einfache Lösung für den Endanwender sollte gefunden werden.
Aber leider wird das wohl noch auf lange Zeit ein Traum sein, dass irgendjemand dieses System auf irgend eine Art und weise umsetzt :-(.
Solange jeder DAU auf alles klickt was ihm per Mail geschickt wird,.................

 

[Wizzzard]

Outlook kann das schon, ...

Outlook kann das nicht! Das Ding verändert E-Mails ungefragt, dass der Signaturcheck immer fehlschlägt.

Verschlüsselte Nachrichten können nicht in Outlook selbst entschlüsselt werden. Die muss man immer erst als Textdatei abspeichern oder per copy und paste an ein Programm übertragen, dass das kann.

Die Programmsuite gpg4win bietet zwar ein Plugin für Outlook an, aber die Integration kann man im Vergleich zu enigmail mit Thunderbird vergessen.

Anscheinend wird es auch üblich E-Mails als HTML zu verschicken, weil man damit ja so schicke Signaturen machen kann. Damit funktioniert GPG dann überhaupt nicht mehr.