Was ist also das Worst-Case-Szenario bei PGP? Kann ich Sicherheit bei Kommunikation im Vergleich zu einer unverschlüsselten Email verlieren? Und wenn die Korrespondenz funktioniert, könnte dann trotzdem eigentlich jemand drittes dahinterstecken sofern das Email-Konto meines Gesprächspartners nicht gehackt wurde?
Mein Hintergrund: Ich sehe das pragmatisch und nutze bisher den Trust on first use“-Ansatz. Bin schon froh, dass ich überhaupt 2 Leute gefunden habe, mit denen ich verschlüsselte Emails schreiben kann. Und die haben sicher beide keine Lust irgendwelche Checksummen zu überprüfen, ich möchte denen also nicht noch Arbeit zumuten.
Ich würde auch Deine Vorgehensweise wählen. Es wird nicht schlechter, solange mir bewusst ist welches Vertrauen ich dem Schlüssel entgegen bringen kann.
Joachim vertritt hingegen eher das andere Extrem der Betrachtung.
Lieber keine E-Mail-Verschlüsselung einsetzen anstatt durch einen nicht sauber authentisierten Schlüssel bzw. der dahinter stehen Person in falscher Sicherheit gewogen zu sein. Das ist dann eher die reine Lehre.
Ob jemand den Schlüssel mit einer unseren E-Mail mitschickt oder diesen über einen Keyserver bereitstellt ist erst einmal egal.
Die Entscheidung wann jemand einen Schlüssel in seine Keychain übernimmt und wann er diesen für hinreichend vertrauenswürdig hält um ihn dann für seine Kommunikation zu benutzen, ist die Entscheidung des jeweiligen Benutzers (siehe Lindenblats Vorgehensweise).
Deine Entscheidung ist es zu überlegen mit wem Du vertraulich über welche Kanäle kommunizierst. Wenn Du findest, dass Dein Gegenüber keine hinreichende Sorgfalt für das von Dir gewünschte Niveau an den Tag legt oder das Verfahren es technisch nicht abbilden kann, kannst Du ja einen Kommunikationskanal ignorieren.
Wie nutze ich persönlich Mailverschlüsselung
Ich persönlich nutzte PGP täglich, kommuniziere aber mit niemanden verschlüsselt per E-Mail.
Klingt paradox aber ist aufgrund des Sicheren Postfachs von Mailbox.org, welches unverschlüsselt eingehende E-Mails automatisiert vor der Ablage verschlüsselt, tatsächlich so.
Es geht mir hierbei weder um Authentizität von E-Mails noch um die Sicherung der Vertraulichkeit beim Absender der E-Mail. Mir ist ebenfalls bewusst, dass dieses nicht verhindert, dass Mailbox.org z. B. aufgrund von Behördenanforderung die unverschlüsselten E-Mails vor der Verschlüsselung ausleiten wird.
Mir geht es beim Einsatz dieser Funktion um die zusätzliche Absicherung der kritischen E-Mails die ich empfange - dieses sind keine Kommunikationen mit Personen sondern die von Internet-Diensten verschickten Passwort-Rücksetz-E-Mails mit denen man nach Übernahme eines Postfachs prinzipiell alle Accounts des Benutzer übernehmen kann.
Durch das Verschlüsselte Postfach von mailbox.org reicht es eben nicht mehr aus nur mein IMAP-Passwort zu kennen um auf meine Mails zuzugreifen, sondern man benötigt auch noch meinen privaten Schlüssel. Es ist einfach ein kleiner Baustein zur Verbesserung meiner Mailsicherheit.
Mein Verfahren für vertrauliche Kommunikation
Dem Normalanwender der vertraulich kommunizieren will empfehle ich persönlich Threema. Standardmäßig verschlüsselt und die Vertrauenswürdigkeit von Schlüssel wird prägnant im Einzel-Chat und abfragbar in Gruppenchats angezeigt.
rot = ungeprüfte Threema ID
gelb = vom Hersteller anhand von Telefonnummer und/oder E-Mail-Adresse automatisiert geprüfte Threema ID
grün = manuell von mir und dem Kommunikationspartner ausgetauschte Threema ID
Für mich einfach, verständlich und zielführend implementiert.
Ich finde die Diskussion sehr spanned. Ich möchte dazu einen Blog-Artikel aus dem Jahr 2015 von Werner Koch anhängen, bekannt als Hauptentwickler von GnuPG:
Re: Die Schlüssel-Falle
[This article is in German because it is an reply to an article in the German c’t magazine]
In der c’t 6/2015 vom 21. Februar fordert Redakteur Jürgen Schmidt in seinem Editorial: „Lasst PGP sterben“. Er hält PGP (also den OpenPGP Standard) für technisch veraltet und einen „lahmen Dinosaurier“. Dabei vergleicht er PGP mit Online Diensten von Apple sowie mit TextSecure Chat-Dienst. Mal ganz abgesehen davon, daß alle amerikanischen Firmen gezwungen sein können, Hintertüren in Ihre Anwendungen einzubauen, werden hier Güterzüge mit U-Booten verglichen. Gut, sie werden beide aus Metall gebaut und könne Dinge transportieren, aber damit hört es dann schon auf. In dem Artikel Die Schlüssel-Fälle auf Seite 160 versucht er sodann die Probleme zu erläutern.
Online Protokolle wie TextSecure mit Offline Protokollen wie OpenPGP oder S/MIME zu vergleichen ist keine lautere Argumentation. Ein Meeting, ob direkt oder per Videokonferenz, hat offensichtlich ja auch ganz andere Erfordernisse als ein Briefwechsel. Viele Angelegenheiten können in einem direkten Gespräch viel einfacher geklärt werden als durch eine zeitlich versetzte Diskussion per Mail. Aber damit werden Briefe/Mails und Berichte noch lange nicht überflüssig; nur durch diese Offline Kommunikation können Information auch (vertraulich) aufbewahrt werden und stehen für spätere Bearbeitung noch zur Verfügung.
Wir benötigen Offline Protokolle, da sie auch funktionieren wenn das Netz zusammengebrochen ist. Auch ist das „Sneakernet” in vielen Fällen günstiger (hohe Bandbreite, vgl. Backups) und sicherer als eine Onlineverbindung. Wer Citizen Four gesehen hat wird sich daran erinnern, wie Snowden zwischen Online und Offline Laptop unterscheidet. Im Übrigen ist Email qua Architektur Offline.
Im Gegensatz zu S/MIME, dem anderen Offline Protokoll, ist OpenPGP dezentral und hat damit große Vorteile: Man kann es überall benutzen und braucht nicht erst eine CA. Die Zusammenkünfte mit anderen Menschen muß man sich ja auch nicht vorab vom Einwohnermeldeamt (dem Pendant zu einer CA) bestätigen lassen.
Die Forderung, Keyserver sollen einen Upload nur zulassen, nachdem sie eine Mail Bestätigung eingeholt haben, zielt wiederum auf ein zentralisiertes System und geht damit vollkommen an der Realität der de-zentralen Architektur von OpenPGP vorbei. Bei zentralen Diensten kann man das halt machen aber nicht bei de-zentralen replizierten Diensten, die absichtlich nicht unter einer gemeinsame Kontrolle stehen.
Die lästigen Probleme, die Jürgen Schmidt offenbar mit nicht-enschlüsselbaren Mails hat, könnte man seht leicht abmildern, indem die c’t im Impressum und auf der Webseite auch die notwendigen Kontaktdaten angibt: Also nicht nur Mailadresse sondern zumindest auch die lange KeyID oder den Fingerprint sowie die direkte URL zum Schlüssel.
Auf die gleichartigen Probleme bei S/MIME ist gar nicht eingegangen worden, obgleich dies das andere und angeblich gängigere Mailverschlüsselunsgprotokoll ist. Dies wundert umso mehr, als die c’t seit einigen Jahren immer wieder S/MIME als einfache Lösung propagiert. Nur, wie findet man damit den Schlüssel wenn er einem nicht in einer ersten Mail geschickt wird? Die vermeintlichen vertrauenswürdigen CAs sind ein Scherz. Mit deren Hilfe kann jede staatliche oder private Spionageorganisation sich beliebige Zertifikate für beliebige Adressen ausstellen lassen. Das sind dann zwar nicht so offensichtlich falsche Schlüssel wie bei den Keyservern aber freut um so mehr die NSA, den GCHQ, und den BND.
Das direkte Webinterface der Keyserver zu benutzen, um so angebliche „falsche“ Schlüssel aufzuzeigen, ist eine unsinnige Vorgehensweise da Keyserver keine kryptographischen Prüfungen durchführen können (bzw. wollen). Das sollte dem Autor des Artikels bekannt sein, inbesondere da er mich noch einige Tage vorher danach gefragt hatte. Bei der Benutzung von OpenPGP Software wird sich schnell herausstellen, was ein „gefälschter Schlüssel” ist - so ein Schlüssel bzw. User-Id wird erst gar nicht importiert oder in einer Schlüsselliste angezeigt.
Selbstverständlich kann man beliebige Schlüssel anlegen. Beliebtes Beispiel is
president@whitehouse.govmit zirka 27 Schlüsseln. Das ist ja nun wirklich nichts Neues und etwas was man auf jeder Crypto-Party lernt. Deswegen gibt es aber auch die Fingerprints in manchen Zeitschriften und auf vielen Visitenkarten. Eingeweihte haben dann auch noch die Keysigning-Parties (obgleich diese mehr ein Gesellschaftsspiel sind als einem Massenpublikum dienlich).Anstatt über Keyserver und OpenPGP allgemein herzuziehen wäre mehr erreicht, die Mail-Provider aufzufordern, etwas zu tun: Mailadressen sind einzig über das DNS festgelegt und deswegen kann und sollte man auch das DNS benutzen um an einen passenden Schlüssel zu gelangen. Der kann zwar immer noch gefälscht sein, da DNS nicht wirklich sicher ist, aber immerhin gäbe es dann einen passenden Schlüssel zu jeder Mailadresse. Dazu gibt es seit Jahren RFCs und GnuPG hat es seit 2006 implementiert (vgl. GUUG FFG Vortrag). In 2012 habe ich hierzu mit meinem Kollegen Marcus Brinkmann ein Konzept unter dem Namen Steed veröffentlicht, wozu es in der c’t den größtenteils korrekten Artikel Vertrauen auf den ersten Blick gab.
Leider wollen die Provider dabei nicht mitmachen und lullen die Öffentlichkeit in Sicherheit durch Schwachsinn wie Email made in Germany oder gar dem Verweis auf den Hintertürdienst De-Mail ein.
Quelle: https://werner.eifzilla.de/20150224-re-die-schlssel-falle.html
1 „Gefällt mir“
Stimme zu, aber nur weil beide nicht vertrauenswürdig sind.
Kann man machen, wenn man dem eigenen Anbieter misstraut. Und in versendeten Emails musst Du darauf verzichten?
Ich betreibe dann lieber den Emailserver selbst und muss nicht auf die IMAP-Suche verzichten und nicht auf mehreren Clients Schlüssel managen, wenn die überhaupt PGP können.
Zumal von meinen Kommunikationspartnern geschätzt weniger als 0,1% PGP verwenden können, die 18 Datenschutzaufsichten bereits mitgerechnet.
Nein müsste ich nicht. Die Frage wäre nur mit wem ich verschlüsselt kommunizieren soll? Denn mit
sind wir aus meiner Sicht am eigentlichen Kernpunkt der Problematik angekommen.
Die Implementation der E-Mail-Verschlüsselung in die reale Welt der Anwender ist einfach nicht benutzerfreundlich. Sie erfordert hohe manuelle Aufwände und Kenntnisse vom Benutzer um diese korrekt anzuwenden und schließt damit einfach einen großen Teil der potentiellen Kommunikationspartner aus und verhindert damit die Verbreitung.
Insofern hat die nach Snowden massiv ausgeweitete Transportverschlüsselung zwischen Mailservern effektiv mehr für die Vertraulichkeit von E-Mail-Kommunikation getan, als PGP oder S/MIME.
Mit verschlüsselten Messengern sind wir aber meiner Meinung nach noch einen Schritt weiter, da hier die Transportverschlüsselung durch eine tatsächlich durch Anwender genutzte Ende-zu-Ende-Verschlüsselung ergänzt wurde, sodass die Serverbetreiber bei einer Implementierung ohne Hintertüren keinen Zugriff mehr haben. In manchen Aspekten nicht perfekt, aber aktuell das beste erreichbare Niveau für normale IT-Anwender und damit die Masse.
1 „Gefällt mir“
stimme voll zu.
widerspreche, siehe oben. Aber auch da müsste man Anwender halt ausbilden.
@Joachim Selbst wenn die Anwender bei der Ende-zu-Ende-Verschlüsselung keinerlei Authentisierung des Schlüssel des Gegenüber durchführen, verändert sich die Bedrohungslage gegen dem Verzicht auf Ende-zu-Ende-Verschlüsselung nicht.
(Ausnahme, wenn man sich dann total darauf verlässt)
In jedem Fall jedoch werden die Zugriffe von Angreifern auf die Daten „in Rest“ auf den Servern der Infrastruktur vor dem Zugriff des Administrators des Systems geschützt. Es wird also grundsätzlich eine Massenauswertung unterbunden, was beim Verzicht auf Ende-zu-Ende-Verschlüsselung weiterhin möglich ist.
Daher bin ich der Meinung, dass der Einsatz einer Ende-zu-Ende-Verschlüsselung auch bei einem fehlenden Schutz vor gerichteten Man-in-the-middle-Angriffe immer noch besser ist als kein Einsatz einer Ende-zu-Ende-Verschlüsselung.
Du hingegen vertrittst wenn ich es richtig verstehe eher die Meinung - wenn übernhaupt Ende-zu-Ende-Verschlüsselung, dann muss man Sie auch richtig entsprechend der ursprünglichen Lehre einsetzen.
Aber diese Diskussion führt vermutlich zu keiner Einigung. Unser Blickwinkel sind einfach anders auf Thema ausgerichtet und beide aus dem jeweiligen Blickwinkel korrekt…
1 „Gefällt mir“
Joachim ist auch der Meinung, dass MFA für Benutzer, die sichere Passwörter verwenden, keinen Mehrwert hat. Ein Stück vom Kuchen ist ihm nicht genug, er will entweder den ganzen Kuchen oder gar nichts…
1 „Gefällt mir“