Hi,

ich wollte mal fragen, welches Verschlüsselungsprog ihr beim email Versand z.b. über arcor.de benutzen würdet und was braucht der Empfänger um die Nachricht zu entschlüsseln???

Eine Antwort wäre echt nicht schlecht, denn ich bin darin noch nicht mal Laie.

Thanx

Fireball

Ich benutze garkein Mailprogramm. Ansonsten kann man PGP und GNUPGP empfehlen, brauchen aber dann beide.

@lucky:

s/GNUPGP/GNUPG (oder GPG)...

benötigen keinen mailclient, weil du auch nachrichten in der zwischenablage verschlüsseln kannst...

da das aber vielen zu umständlich ist, wird meist gar nicht verschlüsselt...

gnupg ist (wie man dem gnu schon entnehmen kann) eine opensource-variante, die auch pgp-tauglich sein kann (alles einstellungssache)...

auch gibt es inzwischen plugins (z.b. von gdata ein plugin für outlook2000) bzw. eigene mailclients für den windowsbereich; unter linux ist gnupg ein quasi-standard (es gibt z.b. unter kde sowohl kgpg für die zwischenablage, alsauch eine integration in kmail)...

pgp ist - vor allem durch die möglichkeit, eine hintertür einzubauen - in ein anderes licht gerückt...

dafür gibt es für pgp wiederum intergration in die windows-produktpalette... (pgp selbst ist am unix/linux-sektor nicht vertreten, hier ist gnupg - wie oben erwähnt - quasi-standard, und da pgp-kompatibel ist pgp selbst auch nicht notwendig)...

ich selbst nutze gnupg (klar, als linux-user *g*), aber da die gegenüber meistens kein pgp/gpg haben, rein nur zum signieren (und nicht zum verschlüsseln)

[img]graemlins/teufel3.gif[/img]

ehm und ich habe mich verschrieben.... Ich meinte anstelle von Mailclienten natürlich Verschlüsslungprogrammen.

@n.force
Ich weiß das man keinen Mailclient für PGP braucht, nur man kann es damit ja verwenden. Plugins gibt es ja für die meisten Mailclients. Und das wollte er wissen...

nimm (unter windows) PGP: www.pgpi.org

für die meisten windows-versionen gibt es auch den source-code, also ist das ganze schon recht sicher.

ich persönlich nutze unter windows die version 6.5.8

.cruz

[ 20. Februar 2003, 15:22: Beitrag editiert von: cruz ]

Grundsätzlich wollt ihr also sagen, das ich unter arcor.de kein PGP benötige, da diese Anbieter schon von sich aus relativ sicher sind, oder habe ich da was falsch verstanden?

Wie versendet ihr denn dann eure mails???

Ich bin an einem Uni-Netzwerk angeschlossen und muß mich über eine Netzwerkkarte einwählen, benutze technisch gesehen also eine Netzwerkkarte und von der Software den IE.

Wie würde es anders gehen als unter arcor.de???

Fireball

</font><blockquote>Zitat:</font><hr />Original erstellt von Fireball:
Grundsätzlich wollt ihr also sagen, das ich unter arcor.de kein PGP benötige, da diese Anbieter schon von sich aus relativ sicher sind, oder habe ich da was falsch verstanden?
....</font>[/QUOTE]zweiteres: du hast etwas falsch verstanden!

egal, was du verschickst: sofern du keine verschlüsselung (pgp oder gpg) verwendest, sind die emails immer im klartext lesbar!

ausserdem vermischt du etwas: arcor ist ein provider, wir sprechen aber nicht von providern, sondern von programmen!

</font><blockquote>Zitat:</font><hr />...
Wie versendet ihr denn dann eure mails???
...</font>[/QUOTE]da ich mit linux arbeite: kmail (das unterstützung für gpg bietet) mit gpg-schlüssel.

</font><blockquote>Zitat:</font><hr />...
Ich bin an einem Uni-Netzwerk angeschlossen und muß mich über eine Netzwerkkarte einwählen, benutze technisch gesehen also eine Netzwerkkarte und von der Software den IE.
...</font>[/QUOTE]da ie im spiel ist, dann ist es auch windows: siehe cruz's empfehlung...

</font><blockquote>Zitat:</font><hr />...
Wie würde es anders gehen als unter arcor.de???
...</font>[/QUOTE]ich kenne arcor.de nicht, nehme aber mal an, das es ein webinterface des providers ist...

jetzt ist die frage: was meinst du mit verschlüsselt?

es gibt im falle webinterface 2 sachen, die verschlüsselt werden können...

1.) verschlüsselung der eigentlichen nachricht...

2.) der weg zwischen dem client-pc und dem webserver/mailserver

zu 1.)

hier kannst du mittels pgp/gpg selbst verschlüsseln. das verschlüsseln erfolgt mit schlüsseln - jeder pgp- bzw. gpg-benutzer hat 2 davon: einen privaten und einen öffentlichen schlüssel. um das zu verdeutlichen hier dieses beispiel:

benutzer a will benutzer b eine verschlüsselte mail schicken. um dies zu erreichen, benötigt benutzer a dem öffentlichen schlüssel von benutzer b (darum nennt man den öffentlichen schlüssel öffentlich, eben weil er 'für die öffentlichkeit' ist). benutzer a schreibt nun normal seine mail, und verschlüsselt dann diese mit einer kombination aus dem öffentlichen schlüssel von benutzer b und dem privaten schlüssel von benutzer a. und nur derjenige, der den privaten schlüssel von benutzer b hat, kann die mail entschlüsseln. selbst benutzer a kann die verschlüsselte mail nicht entschlüsseln, da ihm ja der private schlüssel von benutzer b fehlt. wenn jetzt benutzer b eine verschlüsselte rückantwort schicken will, dann benötigt benutzer b den öffentlichen schlüssel von benutzer a, und verschlüsselt die antwort mit der kombination öffentlicher schlüssel benutzer a mit privaten schlüssel von benutzer b.

jeder, der zugriff auf einen privaten schlüssel hat, kann die nachricht, die mit dessen öffentlichen schlüssel verschlüsselt wurde, entschlüsseln.

darum sollte man pgp / gpg - passwörter nie speichern, und auch nicht unbedingt auf öffentlichen pc's benutzen.

alle anderen (die nicht den privaten schlüssel haben) sehen zwar, von wem die nachricht kommt, und an wen sie geschickt wird, nur der inhalt ist unkenntlich.

zu 2.)

der weg zwischen dem heim-pc / client-pc zum mailserver ist zwar verschlüsselt, aber die nachricht selbst ist im klartext vorhanden. eine verschlüsselte verbindung ist z.b. "https", so wie es bei onlinebanking stattfindet. auch gibt es sowas für mailclients (anderes protokoll, für smtp und für pop3 bzw. imap4). hier kann man selbst aber nichts machen, dass muss der server-betreiber anbieten.

diese methode hat eigentlich nur einen zweck: eine sichere verbindung aufzubauen, damit keine unbefugten das mail-passwort (das ja zur identifikation benötigt wird) mittels tools ausspähen können.

die nachricht selbst ist aber - wie schon erwähnt - nicht geschützt und für jeden lesbar.

---

pgp und gpg bietet keine anbieter an, dass musst du schon selbst einrichten und verwalten.

[img]graemlins/teufel3.gif[/img]

[ 20. Februar 2003, 23:30: Beitrag editiert von: n_dot_force ]

Hallo,

ich habe mich auch schon mit der Verschlüsselungs/Signier-Frage beschäftigt.

TheBat! bietet ja in der Standard-Installation schon PGP an. Ich habe aber noch nie eine signierte Mail bekommen. Ist das nicht völlig unüblich?

Newsletter sollten eigentlich signiert sein. Das hätte vielleicht damals bei dem komischen Trojaner-Info-Wurm geholfen.

Dateianlagen an die Mail sind aber ohnehin nicht mitsigniert. Man könnte eine signierte mail manipuieren und mit einem anderen (oder überhaupt erst einem) Anhang versehen.

Wie stark sollte denn ein PGP-Schlüssel sein? 4096 gibt ja schon einen halben Roman...

Grüße Hendrik *nicht_richtig_überzeugt_bin*

@hendrik:

betreffend dem signieren: ACK!

nur: das scheitert meist an verschiedenen kleinigkeiten...

1.) zu überprüfung der signatur müsste ein jeder empfänger pgp oder gnupg installiert haben...

2.) pgp gibt es erst seit kurzem (seit version 8) offiziell für winxp, die vorgängerversionen machten teilweise probleme...

3.) aufgrund von zuviel aufwand / bequemlichkeit würden die meisten das nicht benutzen, da sie

4.) nicht wirklich den umgang mit pgp / gnupg kennen, und/oder

5.) sich nicht wirklich im klaren sind, wie ein mailtransport funktioniert bzw. wie einfach eine mail abgefangen werden könnte, oder

6.) sie sagen: sie haben nichts zu verbergen, das geschriebene ist sowieso nicht so wichtig...

ausserdem kommt noch die 'vertrauensfrage':

es ist zwar löblich, dass thebat pgp unterstützt, aber gnupg wird IIRC nicht (oder nicht ganz) unterstützt...

und da pgp ja den ruf hat, hintertürchen zu enthalten, wird - in letzter zeit verstärkt - gnupg lieber benutzt als pgp...

zum thema gnupg ist dieser link interessant (enthält auch handbücher für gnupg):
hxxp://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=86

gnupg-plugins für mailprogramme (installiertes gnupg vorrausgesetzt):
hxxp://www3.gdata.de/gpg/index.html (outlook - nicht outlook express!!!)
hxxp://enigmail.mozdev.org/download.html (mozilla)
hxxp://eudoragpg.sourceforge.net/ver1.0/de/download/index.html (eudora)
hxxp://community.wow.net/grt/qdgpg.html (pegasus mail)
hxxp://www.winpt.org/gpgoe.html (outlook express - aber noch beta-version!!!)

es gäbe noch einen link, den ich absichtlich nicht poste, und zwar gpgrelay...

das ist ein zwischenprogramm, dass automatisch ver- und entschlüsselt, das ganze automatisch -&gt; dadurch geht IMO der sicherheitsaspekt verloren (wer trotzdem interesse hat, kann ja mal googeln)...

ich sagmal: die meisten wird es kurzfristig interessieren, weil es cool ist, und im laufe der zeit wird das interesse abflauen (als besten beispiel dafür: folding@home - schau dir mal die statsman-statistik an...)

[edit]
habe mir die einsteiger-anleitung angesehen, die ist wirklich sehr gut und vor allem detailiert!
hxxp://www.sicherheit-im-internet.de/download/einsteiger.pdf

jedem interessierten ist diese nur zu empfehlen!
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 21. Februar 2003, 07:53: Beitrag editiert von: n_dot_force ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Hendrik:
...
Dateianlagen an die Mail sind aber ohnehin nicht mitsigniert. Man könnte eine signierte mail manipuieren und mit einem anderen (oder überhaupt erst einem) Anhang versehen.
...</font>[/QUOTE]naja...

was hindert dich, den anhang zu signieren/zu verschlüsseln?

ist - neben der md5checksum - eine gängige art, um die authentifizierung zu gewährleisten...

nochmal: eine signierung/verschlüsselung ist nicht nur auf eine (text)-mail beschränkt!

bei einer signierung muss dann halt neben der datei selbst auch das signatur-file mitgesendet werden, und der empfänger muss dann diese auch überprüfen...

und: ja - das ist ein bisschen arbeit,
und: ja - das ist meist der grund, warum leute nicht signieren/verschlüsseln

[img]graemlins/teufel3.gif[/img]

hey fireball,

schau dir mal dieses unkomplizierte kleine prgramm an!

gruss
rock

@rock:

das ist ja kein "mail-verschlüssler" in dem sinne, sondern - soweit ich das gesehen hab - ein datei-verschlüsselungsprogramm...

das programm mag nicht schlecht sein -&gt; mein fall ist es z.b. nicht, da es mir zu "fensterlastig" ist...

bin halt eher der plattformunabhängige typ... *g*

soll aber jetzt kein aufruf sein, das programm nicht zu benutzen...

[img]graemlins/teufel3.gif[/img]

Einige Anmerkungen:
1. Es gibt einige 100 Millionen E-Mails jeden Tag. Die Wahrscheinlichkeit, dass ausgerechnet die eigenen Mails gezielt mitgelesen werden, ist verschwindend gering. Dazu müßte etweder jemand in der Leitung sitzen ("Man in the middle attack") oder aber jemand neugieriges müßte beim Provider sitzen und nachgucken. Letzteres kann natürlich auch ein Computerprogramm sein, dass Mails auf bestimmte Begriffe hin untersucht und so "verdächtige" Mails herausfiltert. Am besten gefällt mir der Vergleich mit Postkarten: Nicht jede Postkarte, die in Deutschland versendet wird, wird vom Postboten gelesen (manche aber schon ... ).
2. Verschlüsselung von E-Mails ist dann nötig, wenn die Inhalte sehr persönlich sind oder aber z. B. vertrauliche Informationen oder Daten übermittelt werden sollen.
3. Bei dem Programm, das man dann benutzt, sollte der Quellcode unbedingt offen liegen. Nur so kann man sich davon überzeugen, dass nicht irgendwelche Hintertürchen eingebaut sind.
4. Meine Empfehlung ist die Gleiche wie jene von cruz: PGP bis zur (kostenlosen) Version 6.5.8.
5. Möchte jemand Daten verschlüsseln, z. B. Dateianhänge, ist das Programm "E4M" (Encryption for the masses) sehr empfehlenswert.

Gruß!
MyThinkTank

@mtt:

mir geht es da weniger um das "mitlesen", eher um das "mögliche verändern"...

drum signier ich meine mails...

immer? nicht immer... aber immer öfter! *g*

[edit]
btw: wg. sourcecode - ist bei pgp (in der 8er-version, die für winxp freigegeben ist) IMO ein bisserl komisch gelöst...

bin eher der gnupg-verfechter...
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 21. Februar 2003, 19:30: Beitrag editiert von: n_dot_force ]

@ n-d-force: Mich hindert am Mail-Anhänge-Signieren z. Zt. ein gescheites Programm dafür... [img]graemlins/heulen.gif[/img]

Aber eigentlich dächte ich beim Mailverkehr auch ehr an das signieren als an das verschlüsseln. Mein Mailprovider z.B. verlangt beim Versandt keine Passwort-Authentifikation von Usern des selben Providers. [img]graemlins/balla.gif[/img] Einjeder, der auch "meinen" Provider nutzt, könnte über meinen Account mails verschicken... [img]graemlins/schrei.gif[/img]

Eigentlich müsste man konsequent und immer signieren.

@rock: "Dein" Programm funktionniert scheints nur mit einem Passwort, ohne Schlüssel wenn ich das richtig verstanden habe. Ähnliches bieten auch RAR oder ZIP. Die plaintext-Attaken gehen wohl auch nur mit kurzen Passwörtern, wenigstens habe ich AZPR probiert und das kriegt bei was längerem (15 Zeichen) das nicht geknackt, selbst wenn der gesamte Archivinhalt als klare Datei vorliegt.

Habe mir mal gnupg gezogen, mal sehen wie's schmeckt... [img]graemlins/heilig.gif[/img]

Hendrik