Apfelinsel

Anleitungen und FAQ => Thema gestartet von: Florian am November 21, 2005, 19:48:44

Titel: Emails signieren und verschlüsseln (Achtung: veraltet!)
Beitrag von: Florian am November 21, 2005, 19:48:44

Achtung! Die Informationen in diesem Artikel sind veraltet und teils auch irreführend.

Emails signieren und verschlüsseln


Wenn man eine Email verschickt, sollte einem bewusst sein, daß diese ohne große Probleme von jedermann, der gewillt ist, mitgelesen werden kann. Zudem ist es bei Emails sehr einfach, jedweden Absender anzugeben - so kann jeder Böswillige Emails unter dem Namen eines Anderen verschicken. Und umgekehrt kann sich niemand sicher sein, daß die Email in der Inbox auch wirklich von dem stammt, der als Absender angegeben ist.
Es bedarf wohl keiner weiterer Ausführungen, um auf die Problematik des Mediums unverschlüsselte Email bei strikt privaten und vor allem auch geschäftlichen Kommunikationen hinzuweisen. Glücklicherweise kann man diesen Problemen aber relativ leicht Abhilfe schaffen.

Durch Verschlüsselung und Signierung kann niemand mehr die Email während ihres Weges mitlesen und ist der Schlüssel vernünftig authentifiziert (dazu weiter unten mehr) ist auch eine Identitätsfälschung praktisch ausgeschlossen.

Da Ciphire eingestellt wurde (https://www.ciphire.com/index.html), sind zur Zeit wieder zwei altbekannte, verschiedene Methoden zur Signierung & Verschlüsselung verbreitet:


PGP/GPG

GPP steht für Gnu Privacy Guard und baut auf dem lange quelloffenem PGP auf. Die beiden Standards sind so gut wie vollständig kompatibel.
PGP wird mittlerweile ausschließlich kommerziell vertrieben und ist nicht vollständig quelloffen. GnuPG alias GPG dagegen ist für alle Anwendungen frei und ebenfalls recht einfach einzusetzen. Allerdings kommt man um ein bisschen Terminal nicht herum. Die notwendigen Schritte sind aber sehr gut beschrieben und teilweise kann man sich auch über eine GUI erledigen.
Zunächst lädt man sich die deutsche Mac-OS-X-Version des Gnu Privacy Guards (http://macgpg.sourceforge.net/de/) herunter.
Dort findet man auch diverse Links zu Zusatzsoftware, empfehlenswert sind auf jeden Fall "GPG Schlüsselbund" und "GPG Preferences", auch "GPG File Tool" für das Verschlüsseln beliebiger Dateien und "GPG Drop Thing" sind mitunter sehr nützlich. 

Alle notwendigen Schritte sind in einem wirklich guten Tutorial auf Usability Inside (http://www.web-blog.net/) erläutert:
Teil 1 (http://www.web-blog.net/comments/P171_0_1_0/) beschreibt alle Schritte vom Download bis zur ersten Schlüsselgenerierung.
Teil 2 (http://www.web-blog.net/comments/P173_0_1_0/) erklärt die Schlüsselverwaltung mit den oben erwähnten Tools und die Authentifizierung.
Teil 3 (http://www.web-blog.net/comments/P175_0_1_0/) erläutert die Verwendung von GPG in Apple Mail und Entourage.
Desweiteren findet man dort eine Anleitung zur Verschlüsselung von Jabber-Chats (http://www.web-blog.net/comments/P169_0_1_0/)
Schön bebilderte Anleitungen gibt  es auch bei zeitform.info (http://fiatlux.zeitform.info/anleitungen.html)
Auch über ICQ kann man GPG verwenden, daß hängt vom verwendeten Programm ab und dürfte z.B. in Fire (http://fire.sourceforge.net/) kein Problem sein, sobald man erst mal einen Schlüssel generiert hat.

Weitere Links:
Direkter Link zum Mail.app-Plugin GPGMail (http://www.sente.ch/software/GPGMail/English.lproj/GPGMail.html).
Enigmail (http://enigmail.mozdev.org/home/index.php.html) erlaubt die Nutzung von GPG in Thunderbird und Mozilla. Die Vorgehensweise ist unter OS X praktisch genauso wie unter Windows.
Auch Eine Anleitung für die Installation auf Mozilla (http://www.unixag-kl.fh-kl.de/projekt-gnupg-mac.php) zeigt die Einfachheit der Unternehmung.
Enigmail wird ständig weiterentwickelt und ist daher immer bald für neue Thunderbird-Versionen verfügbar.
Hier (http://mywebpages.comcast.net/chang/EudoraGPG/) findet man einige AppleScripts für die Verwendung in Eudora.
Und hier (http://mywebpages.comcast.net/chang/EudoraGPG/) gibt es einige für Mailsmith.

Das offizielle GnuPG-Handbuch (http://www.gnupg.org/gph/de/manual/) sollte noch erwähnt werden. Denn es bietet auch alle Informationen für Fortgeschrittene an der GPG Shell.

Nun kann man seine Emails verschlüsseln und den öffentlichen Schlüssel weitergeben. Verschlüsseln und verifizieren kann man nur, wenn man den öffentlichen Schlüssel des anderen hat. Deshalb gibt es öffentliche Schlüsselserver - alles in den Tutorials erläutert. Man kann den Schlüssel oder einen Link zu ihm auch an die eigenen Mails anhängen. Eine Signatur allein erlaubt dem Empfänger keine Verschlüsselung und auch keine Überprüfung der Signatur.

Ein Schlüssel, der von anerkannten Stellen zertifiziert, d.h. einen sich ausweisenden Person eindeutig zugeordnet worden ist, ist generell vertrauenswürdiger als ein Schlüssel, der nur von unbekannten Privatpersonen oder gar überhaupt nicht überprüft wurde. Deshalb bieten einige Initiativen eine kostenlose Zertifizierung an:
Die c't Kryptokampagne (http://www.heise.de/security/dienste/pgp/) zertifiziert seit Jahren auf diversen Messen, z.B. CeBit (Hannover) und Systems (München). Bitte das beschriebene Prozedere beachten!
Die c't-Seiten bieten auch Links (http://www.heise.de/security/dienste/pgp/otherca.shtml) zu anderen Zertifizierungsstellen.
The PKI Page (http://www.pki-page.org/) bietet einen Katalog an internationalen (auch deutschen, österreichischen und schweizerischen) Zertifizierungsstellen.
Offline, suche Alternative!

Nicht nur im privaten Bereich ist GPG eine gute Wahl, im geschäftlichen geht es aber ohne zusätzliches S/Mime kaum noch.



S/Mime

Der Einsatz von S/Mime ist meistens noch einfacher als der von GPG. Viele Mail-Programme - darunter Apple Mail, Thunderbird, Entourage und viele mehr - haben eine eingebaute Unterstützung. Zur Signierung braucht man nur noch ein Zertifikat, daß aus dem privaten und den öffentlichen Schlüssel besteht. Zur Verschlüsselung benötigt man, wie bei GPG, den öffentlichen Schlüssel des  Kommunikationspartners, welchen dieser bei signierten Emails, anders als bei GPG, automatisch immer mitschickt.

Und diese Zertifikate sind auch der grundlegende Unterschied zu PGP/GPG. Denn sie werden von sog. Zertifizierungsinstanzen herausgegeben - zwar kann man mittlerweile auch recht einfach Schlüssel selbst herstellen, aber wer soll diesen vertrauen? Immerhin kann man so mit bekannten, privaten Kommunikationspartnern kommunizieren.
In Mac OS X kann man sich auch selbst zur Zertifizierungsinstanz erklären, in Snow Leopard versteckt sich die Funktion in /Programme/Dienstprogramme/Schlüsselbundverwaltung. Programm starten und dort in der Menüleiste unter Schlüsselbundverwaltung.
In Vorgängerversionen von Mac OS X war der Zertifikatsassistent noch direkt im obig genannten Ordner als Programm vertreten.

Zwar sind die Zertifikate von kommerziellen Instanzen für Privatanwender teilweise kostenlos, aber der Graswurzel-Ansatz ist natürlich dahin, insbesondere wenn diese Unternehmen vielleicht auch andere Interessen haben.
Zudem sind die kostenlosen verfügbaren Zertifikate nicht wirklich authentifiziert, d.h. man muss sich doch wieder zusätzliche "Assurer"/Identitätsprüfer suchen, die das Zertifikat signieren/zertifizieren, was ja so auch auf GPG/PGP zutrifft, wenn der Schlüssel wirklich sicher zuzuordnen sein soll.  Für diesen Zweck betreiben praktisch alle Zertifikatsausgeber eine Netz, in dem sich, nicht immer kostenfrei agierende, Personen oder Institute eintragen können, sobald sie gewisse Kriterien erfüllen - v.a. natürlich muss ihre Identität völlig zweifelsfrei feststehen. Es gilt, diese "Assurer", i.d.R. Privatpersonen, persönlich zu treffen, damit sie, anhand des Personalausweises, daß Zertifikat der Person einwandfrei zuordnen können.

Ein Beispiel:
Bei Thawte (siehe unten) erhält man ein Zertifikat für den persönlichen Gebrauch kostenlos. Allerdings lautet es auf "Thawte Freemail Member" plus Email-Adresse (denn nur diese wurde von Thawte übers Internet überprüft). Um seinen echten Namen dem Zertifikat hinzuzufügen, muss man im "Web of Trust" (Thawte entlehnt den Begriff von PGP) nach Freiwilligen, genannt Notaries, in seiner Nähe suchen. Diese verleihen, je nach ihrem Status, nach einem Treffen in Person 10-35 Punkte, je erfahrener sie sind, desto mehr. Um seinen realen Namen einem Zertikat zuzuordnen, benötigt man fünfzig Punkte. Es sind also mindestens zwei Treffen mit verschiedenen Notaries nötig.

Achtung! Das Beispiel lasse ich stehen, aber Thawte bietet keine kostenlosen Zertifikate mehr an, und die bestehenden wurden mit 16.11.09 ungültig „gestempelt“ (revoked)! User erhalten für ein Jahr ein Verisign-Zertifikat kostenlos, danach kostet es 20$ im Jahr. Das Web of Trust von Thawte gibt es nicht mehr und Verisign bietet anscheinend auch keins an!
Alles dazu: https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO12658


Die vermeintliche Leichtigkeit erweist sich bei wirklich identitätssichernden, kostenlosen  Zertifikaten also nur teilweise als richtig. Aber ohne tatsächliche Treffen kann eben eine Identität nicht befriedigend sicher überprüft werden. Es ist also der Preis, der so oder so zu zahlen ist.

Bei kommerziellen Zertifikaten übernimmt i.d.R. die Zertifikatsinstanz selbst die sichere Identitätsprüfung, auf die eine oder andere Weise. Das ist natürlich mit Kosten verbunden.


Bekannter und beliebter Zertifikatsaussteller ist Thawte (http://www.thawte.com), eine südafrikanische Tochter der, in anderen Dingen, nicht immer unumstrittenen (http://www.heise.de/newsticker/meldung/34054) Verisign. Ein Tutorial für die Einrichtung eines solchen Thawte-Zertikats in Apple Mail hat macnews.de auf Lager (http://www.macnews.de/news/71745). Achtung! Es gibt leider kein kostenloses Zertifikat mehr von Thawte (siehe oben).
Vorteil eines Thawte-Zertifikats ist, daß es, mit persönlicher Identitätsprüfung verbunden,  praktisch überall als vertrauenswürdig akzeptiert wird.
Die Einrichtung in Thunderbird und anderen Programmen dürfte nach dem Lesen kaum noch Schwierigkeiten bereiten.

Eine deutsche Alternative zu Thawte ist trustcenter.de (http://www.trustcenter.de), die mittlerweile zu Symantec gehören. Auch hierzu gibt es eine Anleitung (http://www.web-blog.net/comments/P140_0_1_0/) auf Usability Inside. Die Anleitung ist nicht ganz aktuell, daher der nunmehr hier direkt der korrekte Link (http://www.trustcenter.de/products/tc_internet_id.htm) zum kostenlosen Trustcenter-Zertifikat. Ein System zur echten Identifikationsprüfung über Freiwillige, etwa wie Thawte, hat Trustcenter leider nicht. Das Wort kostenlos gilt nur für private Kommunikation.

Eine weiterer Zertifikatsaussteller ist startssl.com (http://www.startssl.org/) aus Israel. Diese Firma bieten einen ähnlichen Service wie einst Thawte. Ein kostenloses, unüberprüftes Zertfikat, welches man über ein Web of Trust aufwerten kann - dann wird der Name eingefügt. Zudem bekommt man wenn man will ein Internetprofil, in dem vermerkt ist, welche und wie viele Überprüfungen man hat. Beispiel eines Machers: https://eddyn.startssl.com/
Man kann auch Domains im Zertifikat eintragen und so die Homepage absichern.
Eine Beschränkung auf privaten Einsatz konnte ich nicht entdecken, kann mich aber irren. Ich schreibe das jeweils nur weil sich bei vielen Leuten Privatleben und Arbeit ja überschneiden und auch Email-Accounts nicht immer so streng getrennt sind.

Es gibt auch mindestens zwei völlig unkommerzielle, also auch für den geschäftlichen Bereich kostenfreie, Ausgabestellen.
CAcert (http://www.cacert.org)
und
PHP Ki (http://phpki.sourceforge.net/phpki/ca/index.php)
An sich eine schöne Sache, nur steht man hier vor dem Problem, daß diese ehrenamtlich betriebenen Dienste  bei den Browser- und Emailprogramm-Herstellern noch keine Aufnahme in die Liste der vertrauenswürdigen Stellen gefunden haben. Man muss das sog. root-Zertikat also manuell nachinstallieren. Das ist nicht schwierig (und auf der jeweiligen Seite erklärt); Nur müssen das auch alle Kommunikationspartner machen, sonst erscheint in ihren Programmen die Warnung, daß Zertifikat käme von einer nicht als vertrauenswürdig eingestuften Seite!
Damit ist, gerade im geschäftlichen Umfeld, der Einsatz doch recht schwierig bis unmöglich.
Generell sollte man sich als Geschäfttreibender wohl ohnehin ein kostenpflichtiges Class-2-Zertifikat holen. Da überprüft der Aussteller die Identität und verlangt



Web.de (http://www.web.de) bietet auch seinen Freemail-Kunden ein kostenloses Zertifikat inklusive "halbsichere" Identitätsprüfung via den Postweg. Web.de erlaubt auch die Signierung und Verschlüsselung via das Web-Interface des Dienstes - vorbildlich.

Bei Verwendung von Mail wird für das Verwalten der eigenen und eingehenden Zertifikate praktischerweise der systemweite Schlüsselbund verwendet. 

Fazit:
Um für alle Kommunikationspartner gut gewappnet zu sein empfiehlt sich der Einsatz beider Systeme, GPG und S/Mime.
Momentan fehlt es, was die anerkannten Zertifikationsinstanzen angeht, anscheinend an einem für Privatkunden kostenlosen S/Mime-Zertifikat mit angeschlossenem Web of Trust oder anderer wirklich sicherer Identitätprüfung. Wenn der Kommunikationspartner darauf Wert legt, und CaCert nicht akzeptiert, und auch nicht auf GPG ausweichen will, bleibt nur zu zahlen. Alles unter Vorbehalt! Gibt es doch ein Angebot, bitte melden!




Letzte Aktualisierung: 17.10.10
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: Dale am Februar 20, 2008, 10:40:37
Kann es auch sein das sich beim TrustCenter etwas geändert hat? Bei Usability Inside  (http://www.web-blog.net/comments/P140_0_1_0/) steht in Punkt 2 die Option »Zertifikats-Services: Beantragen« auswählen, die kann ich aber auf TrustCenter  (http://www.trustcenter.de/) nicht mehr finden. Oder ist die Option »Zertifikats-Services: Beantragen« »Für die private Nutzung« irgendwo anders auf der Seite zu finden?

Nachtrag: Die kostenlose Privatnutzervariante scheint hierher (http://www.trustcenter.de/products/tc_internet_id.htm) gezogen zu sein.
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: Florian am Februar 20, 2008, 19:10:46
Danke für die Hinweise!
Habe den Ciphire-Absatz entfernt und den Link zu Trustcenter gesetzt, und ein paar Worte dazu.

Habe selbst eine Frage. Ich schreibe dort u.a.:
„Web.de[/url] bietet auch seinen Freemail-Kunden ein kostenloses Zertifikat inklusive "halbsichere" Identitätsprüfung via den Postweg.“

Ist dies noch der Fall?
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: Thyrfing am April 17, 2009, 23:37:32
Hallo,

verschlüsseln kann man nun auch mit einem Programm von ApiMac: EncryptMail (http://www.apimac.com/encrypt_mail/)
Ohne Zertifikat, ohne Terminal, nur mit Passwort.

Update: Habe es gerade mal getestet. Scheinbar benötigt das Programm einiger, hm, Ideen und Bugfixes.
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: Pepi am April 21, 2009, 15:12:51
Allerdings hat dieses Programm symmetrische Verschlüsselung! Das bedeutet, daß man irgendwie das gemeinsame Passwort übertragen muß, es sich also vorher ausmachen muß. Asymmetrische Kryptografie wie sie bei S/MIME oder PGP/GnuPG zum Einsatz kommt benötigt keine Passwörter die man dem Empfänger zukommen lassen muß (die auch abgefangen werden können).

Es wird vom Hersteller keinerlei Aussage zur Art und Stärke der Verschlüsselung getroffen. Schon aus Prinzip ist das abzulehnen, da man nicht weis was hier wirklich passiert. Es ist eine Vertrauensfrage. Technisch gesehen ist asymmetrische Verschlüsselung auf jeden Fall sicherer als die von dieser Software eingesetzte symmetrische Verschlüsselung. (Jeder der irgendwie an das Passwort kommt, kann so ein Mail öffnen. Dies kann bei S/MIME und PGP/GnuPG nicht passieren!)

Außerdem erlaubt dies eine bereits verschlüsselte initiale Kommunikation ohne vorheriger unverschlüsselter Kontaktaufnahme.
Gruß Pepi
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: warlord am April 21, 2009, 16:19:27
Technisch gesehen ist asymmetrische Verschlüsselung auf jeden Fall sicherer als die von dieser Software eingesetzte symmetrische Verschlüsselung.

Kann ich jetzt doch nicht ganz unkommentiert lassen. "Protokolltechnisch" hast Du (für die meisten Nutzer) natürlich Recht. Für die Anwendung E-Mail ist ein "traditionelles" Protokoll wie S/MIME und die PGP-Abarten, die sich auch um die Schlüsselübermittlung kümmern und dabei auf asymmetrische Verschlüsselung setzen, kompletter und dadurch für die meisten Anwender auch sicherer.
Was aber die rein technischen (im Sinne von mathematischen) Vorgänge betrifft, ist das Prinzip der symmetrischen Verschlüsselung sicherer (und vor allem auch bezüglich Sicherheitsmarge weit zuverlässiger einschätzbar) als asymmetrische Verschlüsselung. So gesehen könnte also ein rein auf symmetrische Verschlüsselung bauendes System grundsätzlich durchaus sicherer sein, als eines, das zusätzlich noch auf asymmetrische Verschlüsselung setzt. Bedingung dafür ist aber natürlich, dass der Schlüsseltausch auf sichererem Weg stattfindet, als mit asymmetrischer Verschlüsselung. Und daran wird es in der Praxis wohl meistens scheitern.
(Natürlich alles unter der Voraussetzung, dass auch wirklich erprobte Algorithmen zum Einsatz kommen und die Implementierung keine Fehler beinhaltet. Und diesbezüglich teile ich Deine Vorbehalte gegen das erwähnte Produkt durchaus.)
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: Pepi am April 21, 2009, 21:15:53
[…]Bedingung dafür ist aber natürlich, dass der Schlüsseltausch auf sichererem Weg stattfindet, als mit asymmetrischer Verschlüsselung. Und daran wird es in der Praxis wohl meistens scheitern.[…]
Genau das ist das Problem und, daß man überhaupt einen Schlüssel geheim übertragen muß! Das fällt bei asymmetrischen Verfahren komplett weg und kann damit kein Risiko mehr darstellen. Mal abgesehen davon, sind S/MIME und PGP EITF Standards.
Gruß Pepi
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: warlord am April 21, 2009, 21:57:24
Mir wäre nicht bekannt, dass asymmetrische Verschlüsselung wirklich irgendwo für die eigentliche Content-Verschlüsselung verwendet wird. Das wäre viel zu langsam. Die "heavy-load" wird immer mit symmetrischer Verschlüsselung erledigt. Schlüsseltausch gibt es also immer. Und er erfolgt in den erwähnten Protokollen halt eben mit asymmetrischer Verschlüsselung.
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: Pepi am April 22, 2009, 01:02:14
Das ist korrekt, nimmt aus dem Schlüsseltausch allerdings den Fehlerfaktor Mensch raus!
Gruß Pepi
Titel: Re: Emails signieren und verschlüsseln
Beitrag von: Thyrfing am April 23, 2009, 06:05:47
Ich finde diese Software nicht benutzbar. Da ist mir persönlich mit GnuPG wohler zumute. Schon alleine, weil ich meine gewohnte Umgebung nicht verlassen muss.
Titel: Re:Emails signieren und verschlüsseln (Wichtiges Update!)
Beitrag von: radneuerfinder am Oktober 18, 2009, 19:35:45
Anleitung für TrustCenter:
http://www.macmagazin.de/11938/geschutzter-verkehr-e-mail-signiert-und-verschlusselt/
Titel: Re:Emails signieren und verschlüsseln (Wichtiges Update!)
Beitrag von: Thyrfing am Oktober 18, 2009, 20:20:38
Anleitung für TrustCenter:
http://www.macmagazin.de/11938/geschutzter-verkehr-e-mail-signiert-und-verschlusselt/

Das funktioniert auch so wie beschrieben. Habe selber dort ein Zertifikat erstellt.
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Oktober 09, 2012, 11:18:17
Längliches Werk mit Anleitungen:
https://cryptoparty.org/wiki/CryptoPartyHandbook
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Januar 12, 2013, 16:36:16
http://www.heise.de/ct/hotline/FAQ-Verschluesselt-mailen-1756725.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Mai 05, 2013, 13:42:06
http://www.ichimnetz.de/2013/04/privatsphaere-und-einstellungen/sicher-im-netz-kommunizieren-teil-4-hushmail-com-15410/
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juli 24, 2013, 15:42:47
Nichts Neues, aber aktuell und konkret:
http://www.golem.de/news/e-mail-provider-luecken-in-der-verschluesselungskette-1307-100429-2.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juli 26, 2013, 08:10:47
http://www.heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit-Perfect-Forward-Secrecy-1923800.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: warlord am Juli 26, 2013, 08:23:01
 :)

Das nützt aber nur etwas, wenn das, was zukünftig möglich werden wird, das Knacken der asymmetrischen Verschlüsselung sein wird. Gegen eine zukünftige Möglichkeit eines Brute-Force-Angriffs auf die symmetrische Verschlüsselung bringt das genau nichts.
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juli 29, 2013, 12:30:31
GPGMail 2 ist erschienen:
https://gpgtools.org/#gpgsuite


http://www.techstage.de/ratgeber/Kein-Ratgeber-fuer-PGP-Verschluesselung-auf-Handys-1912155.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am Juli 31, 2013, 02:28:31
In vielen Leitfäden findet man den Hinweis, bei Startcom bzw. StartSSL gäbe es kostenlose SSL-Zertifikate mit Web-of-Trust-System. Dies stimmt auch, aber die Email-Zertifikate werden unter OS X und iOS nicht dem Stammzertifikat zugeordnet, so kommt es zum „von unbekannter Instanz signiert“.
Sprich, die Empfänger sehen dann eine Warnung. M.W. auch unter Windows, zumindest teilweise. Da kann man auch gleich CaCert nehmen oder sich selbst eins erstellen.

Schade, denn der Web-of-Trust-Gedanke hat nach wie vor was.

Comodo hat kein WoT, dafür funktioniert es auf allen von mir getesteten Wegen, man muss nicht alle seine Daten eingeben und einen Revoke-Key kann man auch gleich anlegen und ganz problemlos das Zertifikat als ungültig markieren (bei Missbrauchsverdacht etc.) Start SSL will dafür u.U. Geld sehen, ganz klar ist das nicht beschrieben…
http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

Die NSA wird es wohl kaum abhalten, dass sei dazu gesagt. :)

Es gibt auch noch andere kostenlose Zertifikate für Privatleute, ich werde noch ein bisschen stöbern und demnächst mal den Einstiegsartikel überarbeiten, ist ja ein heilloses Durcheinander.
(Trustcenter hat ja auch keine Zukunft mehr, Service eingestellt)
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am September 06, 2013, 16:47:52
"Als Nutzer mit einem Macintosh ist Verschlüsselung über das Programm PGP, das ich selbst erfunden habe, kompliziert." Phil Zimmermann:
http://www.golem.de/news/nsa-affaere-verschluesselung-ist-buergerpflicht-1309-101439.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am September 06, 2013, 19:41:35
GPG Tools macht es dem Nutzer aber recht einfach, und dem würde ich sowieso den Vorzug geben.
a) quelloffen
b) kostenlos
c) eher kein Geheimabkommen mit NSA&co.
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Oktober 20, 2014, 11:16:31
Die Macher des GPGTools-Projekts, von denen GPGMail stammt, raten, die Software sogar am besten vor dem Upgrade auf Yosemite von der Festplatte zu werfen
http://www.heise.de/newsticker/meldung/GPGMail-fuer-Mac-OS-X-10-10-Yosemite-nicht-mehr-gratis-2428159.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Februar 14, 2015, 15:51:39
Stiftung Warentest blickt bei Email Verschlüsselung nicht durch:
http://www.teltarif.de/stiftung-warentest-e-mail-anbieter-verschluesselung/news/58647.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Februar 23, 2015, 10:54:28
http://www.heise.de/newsticker/meldung/Massentaugliche-E-Mail-Verschluesselung-gesucht-2557237.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: dirkkuepper am Februar 27, 2015, 07:44:00
Ich vertraue immer noch auf das Orginal von Phil Zimmermann. Hier ein kostenloser Videokurs (OSX und iOS): http://pgpfueralle.wordpress.vom
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Quaestor am Februar 27, 2015, 23:04:16
Es geht doch nichts über Eigenwerbung ...
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am März 18, 2015, 17:42:08
Aus der Reihe Daswirdnix:
http://www.sueddeutsche.de/digital/fraunhofer-projekt-verschluesselung-fuer-alle-1.2397420
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juni 25, 2015, 20:31:23
http://www.golem.de/news/pgp-hochsicher-kaum-genutzt-voellig-veraltet-1506-114797.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am Juni 25, 2015, 22:55:17
Nachdem es jetzt PGP per Browser gibt, kommt es vielleicht doch noch in Schwung. Den Eingangsbeitrag muss ich wirklich aktualisieren.

Den Puristen ist das natürlich ein Graus und konterkariert die maximale Sicherheit durch die unsichere Umgebung (Browser, Javascript).
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am August 20, 2015, 11:46:32
Nur mehr 4, statt 40 Klicks zum Einrichten von PGP:
http://www.heise.de/ct/ausgabe/2015-19-GMX-und-Web-de-integrieren-PGP-in-ihre-Mail-Dienste-2783359.html

http://www.heise.de/newsticker/meldung/BSI-Richtlinie-fuer-sicheren-Mail-Transport-zeigt-bereits-Wirkung-2788316.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Oktober 08, 2015, 18:44:33
http://www.heise.de/security/meldung/Forscher-demonstriert-Luecke-im-PGP-Standard-2840052.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juni 29, 2016, 15:45:02
Aus der Reihe Daswirdnix:
http://www.sueddeutsche.de/digital/fraunhofer-projekt-verschluesselung-fuer-alle-1.2397420

Eine erste Version für Windows ist jetzt erschienen. Weitere Ausgaben für macOS, iOS, Linux und Android sind geplant:
http://m.heise.de/security/meldung/E-Mail-Verschluesselung-fuer-jedermann-Volksverschluesselung-steht-bereit-3250728.html

https://www.volksverschluesselung.de

Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juli 05, 2016, 12:05:13
http://www.heise.de/mac-and-i/meldung/Verschluesselung-mit-GPG-Suite-Endlich-stabil-fuer-OS-X-10-11-3254630.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am Mai 04, 2017, 18:57:01
Mailvelope ist ein Browser-Plugin, das den Benutzern die PGP-Verschlüsselung auf Webmail-Portalen ermöglicht, soweit diese das unterstützen.
Nun warnt der Mail-Anbieter Posteo vor der Nutzung von Mailvelope zusammen mit Firefox. Es besteht das Risiko, dass andere Plugins den geheimen Schlüssel abgreifen.
https://www.heise.de/newsticker/meldung/Kritische-Schwachstelle-Posteo-warnt-vor-Firefox-Add-on-Mailvelope-3702915.html

Mein Bauchgefühl ist i.ü., dass ein Browser schon mal per se mit die am stärksten gefährdete Umgebung ist und daher nutze ich Mailveleope genauso wenig wie Webmail-Portale.
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am September 23, 2017, 11:31:13
https://www.golem.de/news/e-mail-adobe-veroeffentlicht-versehentlich-privaten-pgp-key-im-blog-1709-130215.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am März 20, 2018, 15:01:34
https://www.heise.de/tipps-tricks/E-Mails-verschluesseln-lohnt-sich-das-3900717.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am März 27, 2018, 12:51:32
https://www.heise.de/security/meldung/E-Mail-Verschluesselung-Enigmail-2-0-ist-da-4005589.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Mai 14, 2018, 10:06:22
EFF: “Unser Ratschlag, der auch von den Forschern geteilt wird, ist es, umgehend Tools zu deaktivieren oder zu entfernen, die automatisch PGP-verschlüsselte Mails entschlüsseln":
https://www.golem.de/news/e-mail-verschluesselung-pgp-und-s-mime-abschalten-1805-134359.html
https://m.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-angreifbar-4048489.html


Ergänzung:
https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html
https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am Mai 15, 2018, 12:44:30
Aha, nach dem Artikel nahe am FUD schiebt Onkel Heise noch was nach.

Ganz grundsätzlich sollte man keine HTML-Mails verschicken oder empfangen. HTML als Standard für „bunte“ Mails festzulegen, war eine katastrophale Fehlentscheidung. Ebenso grundsätzlich sollte man Bilder höchstens dann manuell nachladen, wenn man dies wirklich will und weiß, woher und warum die Mail kommt.
Außerdem sind zumindest aktuelle Enigmail-Versionen gegen diese Methode - so weit man weiß - immun. Auch hier: Grundsätzlich sollte man seine Software aktuell halten. Zudem könnten auch die Mail-Client-Hersteller dem einen Riegel vorschieben.

Generell frage ich mir, welcher Verschlüssler diese Dinge wohl nicht beachtet. Meiner Erfahrung nach nutzen das nur Leute, die firm genug sind. Habe jedenfalls noch nie eine verschlüsselte HTML-Mail bekommen.

Man kann natürlich noch weiter gehen und zumindest PGP-Texte im Terminal entschlüsseln.
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am Juni 06, 2018, 15:21:09
Die GPG-Tools, mittlerweile GPG Suite genannt, haben ein Update gg. Efail bekommen und das ergreift u.a. diese Maßnahmen:
Zitat
EFAIL mitigations in GPGMail (10.13 only at the moment)
Remote content is no longer loaded within encrpyted messages
If a message contains more than one encrypted part only the first part is decrypted
In case of mixed content – plain content and encrypted content – the plain content is isolated
Additional mitigations for S/MIME since unfortunately Apple has yet to completely fix EFAIL

Wie dort steht, leider erstmal nur für MacOS 10.13
https://gpgtools.org
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juni 11, 2018, 19:30:56
https://m.heise.de/security/meldung/Verschluesselung-GnuPG-verschaerft-Integritaets-Checks-4075908.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juni 14, 2018, 19:51:09
https://www.heise.de/security/meldung/Enigmail-und-GPG-Suite-Neue-Mail-Plugin-Versionen-schliessen-GnuPG-Luecke-4078685.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juni 19, 2018, 11:26:12
https://www.heise.de/newsticker/meldung/No-Spy-Konferenz-CryptoParties-sind-out-mehr-Fediverse-ist-in-4080443.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am September 24, 2018, 18:27:36
https://www.heise.de/mac-and-i/meldung/Mac-Verschluesselungs-Tool-GPG-Mail-nun-kostenpflichtig-Nutzer-veraergert-4171526.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am September 25, 2018, 00:14:37
War ewig lange angekündigt und in den Update-Hinweisen auch zu lesen.
Jetzt krakeelen alle rum. Ist immer so, wenn man lange was umsonst anbietet und dann zur Kasse bittet. Trotzdem verstehe auch ich den Hass nicht - dann nehmt halt den offenen Quellcode und bietet selber ein kostenloses Plugin an… kann keiner, tja, ist wohl auch nicht ganz einfach bei Apples ständigen Verunmöglichungen - dann muss man eben zahlen oder auf andere Lösungen setzen.

Sorry für die harten Worte, aber m.E. zeigt sich hier mal wieder die Wahrheit über viele unserer Zeitgenossen, die immer nur nehmen.

Davon abgesehen ist der Preis für einen nicht sicheren Zeitraum (ich nehme an bis zur nächsten macOS-Version?) auf den ersten Blick hoch, aber wer PGP nutzt, macht das ja normalerweise nicht für Urlaubsgrüße. Was aber echt nicht gut ist, ist eben diese Unsicherheit, wie lange man damit Updates kriegt bzw. wie die Versionsnummern voranschreiten.

Kritik ist also auch angebracht, aber nicht in der Form und Vehemenz.
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Mai 07, 2019, 16:05:04
https://www.golem.de/news/gpg-openpgp-bsi-zertifiziert-gpg-fuer-den-dienstgebrauch-1905-141097.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Mai 29, 2019, 09:15:24
https://www.golem.de/news/pretty-easy-privacy-pep-ausprobiert-einfache-e-mail-verschluesselung-kann-so-kompliziert-sein-1905-141553.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juli 01, 2019, 14:18:11
Mit einem gezielten Angriff auf zwei PGP-Schlüssel demonstrieren Unbekannte, dass ein zentraler Teil der PGP-Infrastruktur wahrscheinlich unrettbar kaputt ist:
https://www.heise.de/security/meldung/Angriff-auf-PGP-Keyserver-demonstriert-hoffnugslose-Situation-4458354.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Juli 19, 2019, 12:42:25
https://www.heise.de/security/artikel/Provokante-Analyse-PGP-ist-schlecht-und-sollte-verschwinden-4473309.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Dezember 27, 2019, 13:48:16
https://www.golem.de/news/bsi-openpgp-ja-nein-vielleicht-1912-145677.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Februar 02, 2020, 15:54:47
https://www.heise.de/security/meldung/Thunderbird-integriert-Email-Verschluesselung-mit-OpenPGP-4549027.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am November 20, 2020, 20:37:12
Seit der Entscheidung, Mail GPG zur Bezahlsoftware zu machen, ist PGP/GPG am Mac tot.
Und das obwohl man selber builden könnte und obwohl Vereine usw. nur mal nachfragen müssten... und dann gibt es auch noch Thunderbird.

All das nutzt nichts.

Das ist zumindest meine Erfahrung. Sobald Software Geld kostet, sind die meisten Leute raus. Kommt noch dazu, dass GPG halt vielen Normalusern zu kompliziert ist.

Apple könnte ja mal was eigenes erfinden und freigeben. S/Mime ist ja auch keineswegs perfekt.
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: radneuerfinder am Februar 02, 2021, 21:31:19
https://www.golem.de/news/verschluesselung-gpg-muss-endlich-weg-2102-153820.html
Titel: Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Beitrag von: Florian am März 25, 2021, 15:12:39
Wir stehen momentan so da:
Mail GPG kostet Geld. Enigmail für Thunderbird wurde eingestellt. Dafür hat Thunderbird jetzt OpenPGP eingebaut. Die Migration der Schlüssel ist u.U nicht ganz trivial.

SSL-Zertifikate gibt es zwar noch gratis, ich habe aber keinen Kostenlos-Anbieter gefunden, der es erlaubt, den privaten Schlüssel auf dem eigenen Rechner zu erzeugen, d.h. er wird auf deren Server generiert und ist damit von Haus aus kompromittiert. Kommt noch dazu, dass nicht unbedingt auch jedes bezahlte Zertifikat dahoam generiert werden kann.


Es gibt auch positivere Nachrichten, so ist der Webmailer von web.de via Browser-Addon PGP-kompatibel geworden.

Vor allem aber haben sicher verschlüsselnde Messenger der Email den Rang abgelaufen. Trotzdem geht ohne Email weiterhin nichts. Insofern ist der Eröffnungsartikel heutzutage irreführend und vielleicht kondensiere ich mal alles wieder in ein Update. Derweil werde ich gleich den bisherigen Artikel als veraltet labeln.

Titel: Re: Emails signieren und verschlüsseln (Achtung: veraltet!)
Beitrag von: radneuerfinder am Januar 04, 2022, 23:58:00
https://www.heise.de/news/Verschluesselung-GnuPG-Projekt-neu-aufgestellt-und-wieder-fuer-VS-NfD-zugelassen-6317469.html