Plädoyer für mehr Verschlüsselung

Nicht erst seit den Vorstößen der europäischen Innenminister, allen voran Herrn Schäuble, die informationelle Selbstbestimmung des Bürgers gegenüber dem Staat vollends aufzuheben, ist es eine gute Idee, sämtliche Informationen, die einem lieb und teuer sind, vor fremden Zugriff zu schützen.

Wenn man einmal bedenkt, welche Informationen tagtäglich ungeschützt und unbeglaubigt den Benutzer wechseln, kann einem schon ganz anders werden.

Über welche Bereiche des virtuellen Lebens spreche ich eigentlich?

Surfen auf Webseiten

Das ist wohl für viele die einfachste Übung und dort ist auch schon eine Menge (Halb-) Wissen in der Allgemeinheit angekommen. Dennoch will ich – auch im Hinblick auf eine Diskussion mit Matthias von adminlife.net – noch einmal ein paar “Professional”-Kommentare loswerden:

  • Was viele “Normalbürger” nicht wissen, ist dass ein SSL-Zertifikat (richtig eingesetzt) zwei Funktionen erfüllt: Verschlüsselung (= Sicherung der Daten vor Fremdzugriff auf dem Transportweg) und Authentifizierung (= Bestätigung des Zielservers).
  • SSL-Warnungen werden oft so schnell weggeklickt wie sie erscheinen. Dies hat zum einen damit zu tun, dass selbst große Unternehmen es manchmal nicht schaffen, das Zertifikat auf den verwendeten Domainnamen auszustellen bzw. die Umleitungen dahin korrekt einzurichten. Zum anderen auch damit, dass viele Hobby-Hoster selbst signierte Zertifikate verwenden, die zwar dann eine SSL-Verschlüsselung ermöglichen, aber eben keine Garantie für das Ziel der Daten geben. Zudem sind die Meldungen trotz eifriger Arbeit der Übersetzer noch immer zu kryptisch, um von einem 08/15-User verstanden zu werden.

    Dabei sind es genau diese Warnungen, die die Nutzer verstehen müssen. Wenn der Domainname vom Zertifikatnamen (CN-Field) abweicht, dann ist die Möglichkeit groß, dass man sich gerade auf einem gänzlich anderen Server befindet (auch wenn die Domain “fast genauso klingt”) und seine Daten gerade einem Phisher frei Haus liefert. Wenn ein Zertifikat selbst signiert oder abgelaufen ist, so hat man ebenfalls keine Gewähr, dass der der hier eine “sichere Verbindung” anbietet, auch der ist, dem man seine Daten geben wollte.

    Gerade bei sicherheitskritischen Anwendungen (Banking, Firmendaten) sollte man daher lieber dreimal überlegen, bevor man eine solche Meldung einfach ignoriert.

  • HTTPS != HTTPS: Auch wenn es mit Bordmitteln kaum rauszukriegen ist (wenn das Zertifikat nicht gerade so benannt ist), ist es ein großer Unterschied in Bezug auf die Vertrauenwürdigkeit der besuchten Internetseite, ob es sich um ein Klasse 1- oder Klasse 3-Zertifikat handelt. (Klasse 2 klammer ich mal jetzt der Einfachheit halber aus).

    Während bei der Klasse 1 nur die E-Mail-Adresse des für die Webseite eingetragenen Admins (WHOIS) überprüft wird, wird bei der Klasse 3 die Vorlage von Geschäftsunterlagen und die Korrektheit von Adresse und Kontaktdaten verlangt und geprüft.Klasse 1-Zertifikate für eine Domain sind also zu erhalten, sobald man (zeitweise) Zugriff auf die Admin-Mailbox hat. Für ein Klasse 3-Zertifikat müsste man schon mehrere Unterlagen fälschen und nachprüfbare Kontaktwege bereitstellen.

  • Benutzerdaten sollten sowohl auf Client- als auch Serverseite so geheim wie möglich gehalten werden. Dabei kann man z.B. auf der Serverseite nur Hashes der Passwörter speichern oder wenigstens ein verschlüsseltes Passwort ablegen.

E-Mail

Tagtäglich schwirren Millionen von Mails allein durch deutsche Netze. Vieles mag davon belanglos sein, aber so manches ist sicherlich auch nicht für andere Augen bestimmt.

Es gibt verschiedene Ebenen, mit unterschiedlichem Aufwand (auf Client- und/oder Serverseite), mit denen eine Sicherung erreicht werden kann.

  • Mit jedem aktuellen Mailprogramm kann man statt einer normalen SMTP- bzw. POP3-/IMAP-Verbindung auch eine via SSL bzw. TLS verschlüsselte Verbindung aufbauen. Dies geht (natürlich) nur, wenn der Mailserver diese Möglichkeiten anbietet. Außerdem bewirkt dies zunächst nur, dass von dem Client zum Mailserver sowohl die Anmeldedaten (Benutzername und Passwort) als auch die Mail selbst gesichert übertragen werden. Welchen weiteren Weg der Server dann für die Zustellung zum Ziel wählt und ob dieser dann verschlüsselt stattfindet kann der Nutzer nicht mehr beeinflussen. Das gleiche gilt für das sichere Abholen der Mails – welchen Weg sie bis zum eigenen Server nahmen ist ungewiss.Aber gerade der Vorteil der Sicherung der Benutzerdaten sollte überzeugen, dass JEDER diese Option nutzt und Mailserver-Admins diese Möglichkeiten bereitstellen.
  • Etwas mehr Aufwand bedeutet es, jede Mail zu verschlüsseln. Die Einrichtung dauert etwas Zeit, aber der Zuwachs an Privatsphäre und Sicherheit ist es sicher wert. Dabei setzt man entweder auf das kostenpflichtige PGP oder die kostenlose Open-Source-Variante GnuPG, kurz GPG. Diese Programme gibt es für alle (Desktop-) Systeme und lassen sich einfach in übliche Mailprogramme integrieren.

    Nach der Erstellung von einem Schlüsselpaar aus privatem und öffentlichem Schlüssel steht dem sicheren Übertragen und dem digitalen Unterschreiben von Mails nichts mehr im Wege. Unterschreiben kann man dann jede Mail mittels des eigenen privaten, geheimen Schlüssels während man eine Verschlüsselung nur vornehmen kann, wenn man den öffentlichen Schlüssel des Mail-Empfängers hat. Also nur, wenn viele Bekannte mitmachen, lohnt es sich wirklich erst.

    Zu bemerken ist vielleicht noch, dass die so erstellte digitale Signatur NICHT dem deutschen Signaturgesetz entspricht und demnach auch keine besondere rechtliche Wirkung entfalten kann. Es ist aber durchaus möglich statt eines selbst erstellten Schlüsselpaares eine sog. Smartcard zu verwenden, die dann – beglaubigt durch ein Trustcenter – rechtsgültige Unterschriften in digitaler Form ermöglicht.

    Verschlüsselte Mails sind von Quelle bis Ziel verschlüsselt und können ohne den privaten, geheimen Schlüssel des Empfängers von NIEMANDEN (auch nicht vom Absender) entschlüsselt werden. Sie sind also während des Transports wie auch – je nach lokalem Programm – im Postfach selbst vor Fremdzugriffen geschützt.

Instant-Messaging & Chats

Diese Form der Kommunikation verbreitet sich immer mehr, denn sie ist direkt, aber dennoch relativ anonym. Man kann sich mit Leuten regelmäßig unterhalten, die man persönlich nicht kennt, nicht weiß wie sie aussehen oder welche Telefonnummer sie haben. So manches Mal entstehen dort dadurch Gespräche, die man so woanders nicht führen würde. Daher hier noch ein paar Sicherheitsgedanken zu diesem Thema:

  • Passwörter für Benutzerkonten werden meines Wissens nach im Klartext an die entsprechenden Anmeldeserver gesendet, um eine Anmeldung z.B. am ICQ-Server durchzuführen.
  • Die Kommunikation selbst ist ebenfalls komplett unverschlüsselt. Dies gilt zwar nicht für Skype und dessen Chat-Möglichkeit, denn diese ist AES-verschlüsselt, aber ohne genaue Kenntnis des Protokolls kann man nicht ausschließen, dass die SSL-Verbindung über einen Masterserver relayt wird und dort mitgeschnitten wird/ werden könnte.
  • Der verbreitete Multiprotokoll-Client Trillian hat eine sog. Secure-IM-Funktion an Bord. Diese führt eine Peer-to-Peer-Verschlüsselung durch. Damit ist der Zugriff auf die Chatdaten während des Transports verhindert. Leider ist die Sicherheit dieser Verschlüsselung nicht überprüfbar, da keine genauen Angaben über die Funktionsweise gemacht werden. Theoretisch ist auch die Man-in-the-Middle-Attack hier möglich (siehe Skype).
  • In den EULAs der großen IM-Betreiber (ICQ, MSN usw.) steht oftmals – wenn auch verklausuliert – dass der Betreiber die Rechte an den Chatlogs besitzt und berechtigt ist, diese nach eigenem Ermessen zu verwenden. Selbst wenn sie dies nicht tun, ist der Eingriff von Regierungsstellen auf die meist in den USA stehenden Servern nicht nachprüfbar.

    Eine Lösung für diese Misére wäre das Aufsetzen eines eigenen Chat-Servers, um so die Kommunikation soweit wie möglich zu kontrollieren. Dies ist mit JABBER einfach möglich. Durch den Einsatz von SSL/TLS ist die Übertragungssicherheit gewährleistet und durch die Einbindung von PGP/GPG sogar eine echte 1-zu-1-Verschlüsselung möglich.

    Ich habe einen solchen Server nun aufgesetzt und bin sehr zufrieden mit dem Ganzen.

Fazit

Diese Punkte sind sicherlich nur die Spitze des Eisbergs, sollten aber genügend Anregung geben, darüber nachzudenken, wie man mit den täglichen Daten umgeht, die man während der Kommunikation mit anderen erschafft.

Klar, die meisten werden sagen, dass “meine Daten doch eh keinen interessieren” und dies wohl auch für die Masse der Gesprächsdaten stimmt. Aber jeder wird von Zeit zu Zeit Dinge sagen, die ganz bestimmte andere Leute – sei es der Nachbar, der Partner, die Kollegin, der Chef oder der Staat – besser nicht hören sollten. Damit dies auch weiterhin der Fall ist, muss man sich eben ein wenig informieren und entsprechend handeln!

24 Gedanken zu „Plädoyer für mehr Verschlüsselung“

  1. Interessante Übersicht, danke. Ich denke hauptsächlich ist das Problem bei der Verschlüsselung die steigende Komplexität. Vor allem bei der Mailverschlüsselung ist das das meiner Meinung nach größte Manko. Selbst in meiner Studiengruppe (und das sind angehende Informatik Bachelor) haben sich manche schwer mit der Installation getan, von der Benutzung mal ganz abgesehen. Ich bezweifel, dass sich das jemals ein Otto Normal Surfer antun wird und das ist meiner Meinung nach noch das größte Manko der gesamten Public Key Infrastruktur (neben einigen Schwächen wie einem allgemeinen Key Sharing usw. mal ganz abgesehen).

    Bei Chat Clients ist es eigentlich ähnlich. Ich finde es grundsätzlich wichtig verschlüsselt zu kommunizieren und Leute die davon ausgehen das “ihre Daten sowieso niemanden interessieren” sind fast so schlimm wie die, die “nichts zu verbergen haben”. Neben der Komplexität kommt dann also noch diese Einstellung dazu. Ich denke am wichtigsten ist es, auch die “Normalen” Surfe für das Thema zu sensibilisieren sonst wird es leider nie allgemeine Anerkennung finden. Aber ich denke, das weder Regierungen (hier auch das Thema elektronische Signaturen als Unterschriften) noch große Softwarekonzerne ein besonderes Interessse an einer solchen Sensibilisierung haben (siehe doch auch das Thema Vorratsdatenspeicherung, es wird bis jetzt erschreckend erfolgreich von offiziellen Seiten totgeschwiegen).

    Naja und ein weiteres Thema sind die hohen Preise bei allem was mit Verschlüsselung zu tun hat. Die Certificate Authorities lassen sich für die Verifikation, egal bei welchem Zertifikatstyp, deftig bezahlen (und das nur für eine Unterschrift… ist ja wie beim Notar ;). Bin mir gerade nicht sicher, was eine Smartcard von der Telekom kostet (ja, das bieten die sogar an, geh mal in den T Punkt und bestell das, ich bezweifel das da jemand weiß was das ist).

    Heise signiert ja deinen Public key jedes Jahr kostenlos auf der Systems. Nur irgendwie haben die das letztes Jahr nicht wirklich auf die Reihe bekommen. Ich hoffe das klappt diesmal…

  2. Interessante Übersicht, danke. Ich denke hauptsächlich ist das Problem bei der Verschlüsselung die steigende Komplexität. Vor allem bei der Mailverschlüsselung ist das das meiner Meinung nach größte Manko. Selbst in meiner Studiengruppe (und das sind angehende Informatik Bachelor) haben sich manche schwer mit der Installation getan, von der Benutzung mal ganz abgesehen. Ich bezweifel, dass sich das jemals ein Otto Normal Surfer antun wird und das ist meiner Meinung nach noch das größte Manko der gesamten Public Key Infrastruktur (neben einigen Schwächen wie einem allgemeinen Key Sharing usw. mal ganz abgesehen).

    Bei Chat Clients ist es eigentlich ähnlich. Ich finde es grundsätzlich wichtig verschlüsselt zu kommunizieren und Leute die davon ausgehen das “ihre Daten sowieso niemanden interessieren” sind fast so schlimm wie die, die “nichts zu verbergen haben”. Neben der Komplexität kommt dann also noch diese Einstellung dazu. Ich denke am wichtigsten ist es, auch die “Normalen” Surfe für das Thema zu sensibilisieren sonst wird es leider nie allgemeine Anerkennung finden. Aber ich denke, das weder Regierungen (hier auch das Thema elektronische Signaturen als Unterschriften) noch große Softwarekonzerne ein besonderes Interessse an einer solchen Sensibilisierung haben (siehe doch auch das Thema Vorratsdatenspeicherung, es wird bis jetzt erschreckend erfolgreich von offiziellen Seiten totgeschwiegen).

    Naja und ein weiteres Thema sind die hohen Preise bei allem was mit Verschlüsselung zu tun hat. Die Certificate Authorities lassen sich für die Verifikation, egal bei welchem Zertifikatstyp, deftig bezahlen (und das nur für eine Unterschrift… ist ja wie beim Notar ;). Bin mir gerade nicht sicher, was eine Smartcard von der Telekom kostet (ja, das bieten die sogar an, geh mal in den T Punkt und bestell das, ich bezweifel das da jemand weiß was das ist).

    Heise signiert ja deinen Public key jedes Jahr kostenlos auf der Systems. Nur irgendwie haben die das letztes Jahr nicht wirklich auf die Reihe bekommen. Ich hoffe das klappt diesmal…

  3. Danke für die vielen Zeilen – war bestimmt anstrengend 😉

    Ein paar Hinweise/Ergänzungen meinerseits:

    Ja, die einfache Benutzbarkeit der “Schlüsseldienste” ist noch nicht nicht gegeben. Aber erstens muss erst der Nutzen gesehen werden (ich kann mich noch sehr gut daran erinnern, als mir meine Bankangestellte tatsächlich erklärte, dass Pin/Tan besser sei als HBCI mit Chipkarte!) und zweitens können wir Informatiker ja mit guten Software-Lösungen dazu beitragen, die Verbreitung zu erleichtern.

    Verschlüsselung muss nichts kosten! Sicherlich – ein Zertifikat von einer in deinem Browser bereits eingetragenen CA kostet Geld, teilweise VIEL Geld. Aber CACert bietet z.B. bereits die kostenlose Bestätigung deines Certs an – und sie kämpfen um die Aktzeptanz der Browser-Anbieter. Und zu den Signaturkarten habe ich mich bereits umgetan und D-Trust (Tochter der Bundesdruckerei) gefunden. Hier ist die Preiseliste.

    Das heise-Keysigning ist ja eine schöne Sache, aber es bewirkt ja nur, dass Dein Key von jemand Anderem unterschrieben ist. Dadurch wird dein Key nicht sofort “mehr wert”. Nur wenn jemand bereits den Signatur-Key von Heise importiert hat und ihm bereits vertraut wird dein Key als vertraut eingestuft (weil heise quasi dafür bürgt). Das ist das Prinzip des “Web of trust”.

  4. Danke für die vielen Zeilen – war bestimmt anstrengend 😉

    Ein paar Hinweise/Ergänzungen meinerseits:

    • Ja, die einfache Benutzbarkeit der “Schlüsseldienste” ist noch nicht nicht gegeben. Aber erstens muss erst der Nutzen gesehen werden (ich kann mich noch sehr gut daran erinnern, als mir meine Bankangestellte tatsächlich erklärte, dass Pin/Tan besser sei als HBCI mit Chipkarte!) und zweitens können wir Informatiker ja mit guten Software-Lösungen dazu beitragen, die Verbreitung zu erleichtern.
    • Verschlüsselung muss nichts kosten! Sicherlich – ein Zertifikat von einer in deinem Browser bereits eingetragenen CA kostet Geld, teilweise VIEL Geld. Aber CACert bietet z.B. bereits die kostenlose Bestätigung deines Certs an – und sie kämpfen um die Aktzeptanz der Browser-Anbieter. Und zu den Signaturkarten habe ich mich bereits umgetan und D-Trust (Tochter der Bundesdruckerei) gefunden. Hier ist die Preiseliste.
    • Das heise-Keysigning ist ja eine schöne Sache, aber es bewirkt ja nur, dass Dein Key von jemand Anderem unterschrieben ist. Dadurch wird dein Key nicht sofort “mehr wert”. Nur wenn jemand bereits den Signatur-Key von Heise importiert hat und ihm bereits vertraut wird dein Key als vertraut eingestuft (weil heise quasi dafür bürgt). Das ist das Prinzip des “Web of trust”.
  5. Natürlich bin auch ich für *mehr* Verschlüsselung. Bei Email wird dies teilweise erschwert durch die Handhabung oder Verfügbarkeit der Schnittstellen im Email Client (Nur wenige Email Clients haben serienmäßig GnuPG Support an Board). Der Normal-Outlook-Nutzer installiert zum einem nichts extra und sieht zum anderen nicht unbedingt die Notwendigkeit, etwas zu verschlüsseln.

    Bei IM ist das Problem die mangelnde Verbreitung von sicheren Systemen. Man muss sich also entscheiden nur verschlüsselt mit Nerds zu chatten (Jabber z.B.) oder unverschlüsselt mit dem Standard DAU. ICQ und MSN haben sich halt durchgesetzt und die AGB von denen kennen wir ja…

    Nochmal zum Thema Verschlüsselung von Webseiten/HTTPS:
    Ich halte die Vertrauenswürdigkeit von Class 3 Zertifikaten für zweifelhaft. Hat hier ein Angreifer Zugriff auf die Email Adresse, an die die Zugangsdaten für die CA bzw. das Cert selbst geschickt wird, ist der Vorteil von Class 3 genauso dahin wie von Class 1.
    Außerdem benötigt der Angreifer in jedem Fall Zugriff zum Webserver, um das Cert einzuspielen. Oder er hat bereits Zugriff auf den Webserver, auf dem sich ein fertig installiertes Zertifikat findet. Da ist es auch egal, ob es sich um ein Class 1, Class 3 oder sogar Class 4 Zertifikat handelt.
    Hat der Angreifer keinen Webserver Zugang, muss er den ahnungslosen Nutzer dazu bewegen, seine gefälschte Seite mit dem abgefangenen Cert zu besuchen – z.B. mit DNS Poisoning.
    Es lässt sich also sagen, dass weniger die Authentifizierung des Certs die Schwachstelle ist, sondern die Technik drumherum. Zur Not kann man ja ein Cert auch revidieren lassen durch die CA (wovon man in solchen Fällen auch dringend Gebrauch machen sollte).

  6. Natürlich bin auch ich für *mehr* Verschlüsselung. Bei Email wird dies teilweise erschwert durch die Handhabung oder Verfügbarkeit der Schnittstellen im Email Client (Nur wenige Email Clients haben serienmäßig GnuPG Support an Board). Der Normal-Outlook-Nutzer installiert zum einem nichts extra und sieht zum anderen nicht unbedingt die Notwendigkeit, etwas zu verschlüsseln.

    Bei IM ist das Problem die mangelnde Verbreitung von sicheren Systemen. Man muss sich also entscheiden nur verschlüsselt mit Nerds zu chatten (Jabber z.B.) oder unverschlüsselt mit dem Standard DAU. ICQ und MSN haben sich halt durchgesetzt und die AGB von denen kennen wir ja…

    Nochmal zum Thema Verschlüsselung von Webseiten/HTTPS:
    Ich halte die Vertrauenswürdigkeit von Class 3 Zertifikaten für zweifelhaft. Hat hier ein Angreifer Zugriff auf die Email Adresse, an die die Zugangsdaten für die CA bzw. das Cert selbst geschickt wird, ist der Vorteil von Class 3 genauso dahin wie von Class 1.
    Außerdem benötigt der Angreifer in jedem Fall Zugriff zum Webserver, um das Cert einzuspielen. Oder er hat bereits Zugriff auf den Webserver, auf dem sich ein fertig installiertes Zertifikat findet. Da ist es auch egal, ob es sich um ein Class 1, Class 3 oder sogar Class 4 Zertifikat handelt.
    Hat der Angreifer keinen Webserver Zugang, muss er den ahnungslosen Nutzer dazu bewegen, seine gefälschte Seite mit dem abgefangenen Cert zu besuchen – z.B. mit DNS Poisoning.
    Es lässt sich also sagen, dass weniger die Authentifizierung des Certs die Schwachstelle ist, sondern die Technik drumherum. Zur Not kann man ja ein Cert auch revidieren lassen durch die CA (wovon man in solchen Fällen auch dringend Gebrauch machen sollte).

  7. @matthias:

    Danke für Deinen Kommentar – diesmal sogar mehr als eine Zeile 😉

    Mailclients:

    Ich weiß, dass man mit der Distribution GPG4WIN ein schönes Paket für GPG erhält und sich dieses einfach in Outlook einklinken kann. Das Problem ist eher die Einsicht der Notwendigkeit.

    Ich seh da eine Analogie mit Einbruchsschutz: Solange bei einem nicht eingebrochen wurde, versucht man nicht die Schwachstellen aufzudecken (einfaches Schloss usw.) und installiert auch keine Alarmanlage.

    Class 3 und Admin-Mailzugriff:

    Hey, da hast Du natürlich Recht! Da gäbe es aber eine einfache Lösung seitens der CAs. Sie verlangen ja die Zusendung von Dokumenten und machen sogar Testanrufe (so gewesen bei Thawte). Da wäre es doch eigentlich nicht zuviel verlangt, wenn die Zugangsdaten nicht per Mail sondern per Brief oder Fax ans Ziel kommen, oder?! Da die Kommunikationswege ja verifiziert sind, gäbe dort auch keine Probleme.

    Nichtsdestrotz nützt – wie du schon sagst – kein Zertifikat etwas, wenn der Admin (also Du und ich) nicht für ein sicheres System sorgt.

  8. @matthias:

    Danke für Deinen Kommentar – diesmal sogar mehr als eine Zeile 😉

    Mailclients:

    Ich weiß, dass man mit der Distribution GPG4WIN ein schönes Paket für GPG erhält und sich dieses einfach in Outlook einklinken kann. Das Problem ist eher die Einsicht der Notwendigkeit.

    Ich seh da eine Analogie mit Einbruchsschutz: Solange bei einem nicht eingebrochen wurde, versucht man nicht die Schwachstellen aufzudecken (einfaches Schloss usw.) und installiert auch keine Alarmanlage.

    Class 3 und Admin-Mailzugriff:

    Hey, da hast Du natürlich Recht! Da gäbe es aber eine einfache Lösung seitens der CAs. Sie verlangen ja die Zusendung von Dokumenten und machen sogar Testanrufe (so gewesen bei Thawte). Da wäre es doch eigentlich nicht zuviel verlangt, wenn die Zugangsdaten nicht per Mail sondern per Brief oder Fax ans Ziel kommen, oder?! Da die Kommunikationswege ja verifiziert sind, gäbe dort auch keine Probleme.

    Nichtsdestrotz nützt – wie du schon sagst – kein Zertifikat etwas, wenn der Admin (also Du und ich) nicht für ein sicheres System sorgt.

  9. Danke für Deinen Kommentar – diesmal sogar mehr als eine Zeile 😉

    Was soll das denn heißen? :/

    Them Outlook/Email/GnuPG:
    Die meisten Standard User wollen gar nichts zu ihrem Outlook hinzuinstallieren! Besonders soetwas “Komisches” wie GnuPG – ist ja leider nichtmal in DE anerkannt als rechtskräftige digitale Signatur. Außerdem gibt es auch keine echt Lobby hinter GnuPG, die das den Leuten näherbringt. Ich glaube nichtmal in Outlook 2007 hat M$ Support für GnuPG eingebaut. Das suggeriert den Usern doch, dass es A: irgendwie nicht so wichtig sein kann und B: kein echter Standard ist.

    CA Certs:
    Trustcenter macht bei uns keine Testanrufe. Und wir haben da bestimmt ein Dutzend Class 3 Certs. Man muss nur einmal alle 3 Jahre seine Identität beweisen + Handelsregisterauszug. Obwohl man für das Geld schon echt mehr verlangen könnte… Muss man bei Thawte auch alle 3 Jahre das Zertifikat komplett erneuern (wobei natürlich zusätzliche Kosten hinzukommen…)?

    kleines Fazit:
    Das Wichtigste an der Verschlüsselung ist erstmal, dass man sie nutzt. Egal in welcher Form – ob mit auth. Zertifkaten oder selbsterstellten Zertifikaten. Denn in der Regel spricht/kommuniziert/surft man ja mit/auf Gegenstellen, die man kennt. Somit kann man auch feststellen, ob der Gegenüber auch wirklich derjenige ist, für den er sich ausgibt. Also ist somit die Authentizität des Gegenübers gegeben, es muss nur noch für vernünftige Verschlüsselung gesorgt werden 🙂

  10. Danke für Deinen Kommentar – diesmal sogar mehr als eine Zeile 😉

    Was soll das denn heißen? :/

    Them Outlook/Email/GnuPG:
    Die meisten Standard User wollen gar nichts zu ihrem Outlook hinzuinstallieren! Besonders soetwas “Komisches” wie GnuPG – ist ja leider nichtmal in DE anerkannt als rechtskräftige digitale Signatur. Außerdem gibt es auch keine echt Lobby hinter GnuPG, die das den Leuten näherbringt. Ich glaube nichtmal in Outlook 2007 hat M$ Support für GnuPG eingebaut. Das suggeriert den Usern doch, dass es A: irgendwie nicht so wichtig sein kann und B: kein echter Standard ist.

    CA Certs:
    Trustcenter macht bei uns keine Testanrufe. Und wir haben da bestimmt ein Dutzend Class 3 Certs. Man muss nur einmal alle 3 Jahre seine Identität beweisen + Handelsregisterauszug. Obwohl man für das Geld schon echt mehr verlangen könnte… Muss man bei Thawte auch alle 3 Jahre das Zertifikat komplett erneuern (wobei natürlich zusätzliche Kosten hinzukommen…)?

    kleines Fazit:
    Das Wichtigste an der Verschlüsselung ist erstmal, dass man sie nutzt. Egal in welcher Form – ob mit auth. Zertifkaten oder selbsterstellten Zertifikaten. Denn in der Regel spricht/kommuniziert/surft man ja mit/auf Gegenstellen, die man kennt. Somit kann man auch feststellen, ob der Gegenüber auch wirklich derjenige ist, für den er sich ausgibt. Also ist somit die Authentizität des Gegenübers gegeben, es muss nur noch für vernünftige Verschlüsselung gesorgt werden 🙂

  11. Ich denke, hier kann ich mich auch mal kurz mit einklinken, wenn wir schon beim Thema Sicherheit sind. Ich finde es immer wieder erschreckend, wie wenig eMails verschlüsselt sind. Selbst Banken oder Steuerberater wo wirklich brisante Daten übers Netz gehen bieten keine Möglichkeit an, Daten zu verschlüssen. Da lang ich mir schon selbst langsam ans Hirn!

    Zwei Sachen muss ich noch zum Thema hinzufügen:
    Bei der Verschlüsselung per X509 Zertifikaten finde ich toll, dass ich diese auch sicher verwahren (mein eToken) kann, auch wenn nat. das Problem mit den Trustcentern besteht. Leider kann ich damit aber keine Dateien auf der Platte verschlüsseln.
    Bei GnuPG finde ich das WebofTrust ziemlich gut, beachte die Schlüssel aber nicht wirklich als 100% sicher, da diese auf dem PC liegen und das Passwort mit Brute Force Angriffen evtl rausgefunden werden könnte.

    Mein absoluter Favorit wäre GnuPG, wenn dam diese Keys mal auf eTokens werfen kann, da es mehr Funktionen bietet, wie X509-Zertifikate. Außer es weiß jemand OpenSource Tools die die gleichen Funktionen mit X509 bieten wie GnuPG.

  12. Ich denke, hier kann ich mich auch mal kurz mit einklinken, wenn wir schon beim Thema Sicherheit sind. Ich finde es immer wieder erschreckend, wie wenig eMails verschlüsselt sind. Selbst Banken oder Steuerberater wo wirklich brisante Daten übers Netz gehen bieten keine Möglichkeit an, Daten zu verschlüssen. Da lang ich mir schon selbst langsam ans Hirn!

    Zwei Sachen muss ich noch zum Thema hinzufügen:
    Bei der Verschlüsselung per X509 Zertifikaten finde ich toll, dass ich diese auch sicher verwahren (mein eToken) kann, auch wenn nat. das Problem mit den Trustcentern besteht. Leider kann ich damit aber keine Dateien auf der Platte verschlüsseln.
    Bei GnuPG finde ich das WebofTrust ziemlich gut, beachte die Schlüssel aber nicht wirklich als 100% sicher, da diese auf dem PC liegen und das Passwort mit Brute Force Angriffen evtl rausgefunden werden könnte.

    Mein absoluter Favorit wäre GnuPG, wenn dam diese Keys mal auf eTokens werfen kann, da es mehr Funktionen bietet, wie X509-Zertifikate. Außer es weiß jemand OpenSource Tools die die gleichen Funktionen mit X509 bieten wie GnuPG.

  13. @matthias:

    Wegen “mehr als eine Zeile”: Das war ein Gag,wegen Deines Kommentars bei dem Artikel zum heimlichen MS-Update. Wollt Dich nur etwas pieken.

    @Daniel:

    Danke für Deine Ergänzungen.

    Meines Wissens nach kann man statt der normalen GPG-Key-als-Datei-Version auch eine Smartcard einsetzen. Diese würde Deinen Anprüchen in Richtung eToken entgegenkommen,oder?!
    Hier habe etwas dazu gefunden.

  14. @matthias:

    Wegen “mehr als eine Zeile”: Das war ein Gag,wegen Deines Kommentars bei dem Artikel zum heimlichen MS-Update. Wollt Dich nur etwas pieken.

    @Daniel:

    Danke für Deine Ergänzungen.

    Meines Wissens nach kann man statt der normalen GPG-Key-als-Datei-Version auch eine Smartcard einsetzen. Diese würde Deinen Anprüchen in Richtung eToken entgegenkommen,oder?!
    Hier habe etwas dazu gefunden.

  15. @stevie:

    Mit dieser SmartCard – Lösung hast Du natürlich recht, die gibt es. Ich bin nur ein eToken-Fan und möchte dort gern alle Zertifikate draufhaben für VPN, GnuPG,… aber das geht leider “noch?” nicht. Bei SmartCards braucht man außerdem immer den Kartenleser, den ich nicht immer mit rumschleppen kann.
    Kann mir jemand erklären oder hat einen Link zu ner Seite was genau der Unterschied bei den Zertifikaten zwischen GnuPG und X509 ist?? Meines erachtens dürfte es doch kein großes Problem sein, die GnuPG-Keys auf einen eToken draufzupacken.

  16. @stevie:

    Mit dieser SmartCard – Lösung hast Du natürlich recht, die gibt es. Ich bin nur ein eToken-Fan und möchte dort gern alle Zertifikate draufhaben für VPN, GnuPG,… aber das geht leider “noch?” nicht. Bei SmartCards braucht man außerdem immer den Kartenleser, den ich nicht immer mit rumschleppen kann.
    Kann mir jemand erklären oder hat einen Link zu ner Seite was genau der Unterschied bei den Zertifikaten zwischen GnuPG und X509 ist?? Meines erachtens dürfte es doch kein großes Problem sein, die GnuPG-Keys auf einen eToken draufzupacken.

  17. Ich habe mal eine Anfrage an Aladdin (Hersteller des eToken) gestellt, weil mich das auch interessiert. Schließlich wäre es mit einem eToken wirklich einfacher als mit Signaturkarte+Kartenleser.

    Infos folgen…

  18. Ich habe mal eine Anfrage an Aladdin (Hersteller des eToken) gestellt, weil mich das auch interessiert. Schließlich wäre es mit einem eToken wirklich einfacher als mit Signaturkarte+Kartenleser.

    Infos folgen…

  19. Hi Stevie,

    hast Du schon eine Antwort von Aladdin bekommen? Wenn nicht, könnte ich auch einmal eine Anfrage an meinen Großhändler schicken, der auch Aladdin-Produkte vertreibt.

    Daniel

  20. Hi Stevie,

    hast Du schon eine Antwort von Aladdin bekommen? Wenn nicht, könnte ich auch einmal eine Anfrage an meinen Großhändler schicken, der auch Aladdin-Produkte vertreibt.

    Daniel

  21. Hi Daniel,

    leider habe ich noch keine Antwort erhalten. Kennst Du denn einen Fachhändler von Aladdin? Ich bin zwar auch gelistet bei einigen, aber mir fällt spontan keiner ein, der die Dinger nicht nur vertickt sondern auch wirklich kennt.

    Insofern: Nur zu! And keep me posted!

  22. Hi Daniel,

    leider habe ich noch keine Antwort erhalten. Kennst Du denn einen Fachhändler von Aladdin? Ich bin zwar auch gelistet bei einigen, aber mir fällt spontan keiner ein, der die Dinger nicht nur vertickt sondern auch wirklich kennt.

    Insofern: Nur zu! And keep me posted!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.