Verteilerlisten mit Enigmail nutzen?

  • Ich habe mich mit OpenPGP und Enigmail vertraut gemacht. Mich würde nun noch interessieren, wie man OpenPGP mit Verteilerlisten verwenden kann. Dazu folgendes (fiktives) Szenario:


    Ich habe eine Verteilerliste mit 10 Empfängern in meinen Kontakten. Davon verwenden 8 PGP, deren Schlüssel habe ich. Also habe ich 8 Schlüssel von 8 Kontakten, von 2 weiteren gibt es keine.
    Ich würde gerne eine Mail schreiben und diese nach Möglichkeit in einem Schritt an die 8 PGP-Nutzer verschlüsselt senden, an die anderen 2 gezwungenermaßen unverschlüsselt. (Alternativ kann man natürlich annehmen, dass alle 10 PGP nutzen und ich 10 public keys habe, das würde die Sache erleichtern).


    Kann ich nun EINE einzige Verschlüsselungsregel in Enigmail anlegen, in der ich als Empfänger die 8 Adressen eingebe, deren entsprechende public keys ich habe, und darunter bei den Schlüsseln eben diese 8 keys auswählen? Würde diese eine Mail an meine Verteilerliste mit 10 Leuten dann verschlüsselt an 8 gehen und unverschlüsselt an 2? Mit anderen Worten, würde Enigmail anhand dieser einen Regel jedem der Empfänger automatisch den passenden public key zuordnen und die Mail, ohne, dass ich davon etwas merke, 8 mal mit den verschiedenen Schlüsseln verschlüsseln und, wenn so eingestellt, auch mit meinem Schlüssel signieren?


    Der Punkt, der mir nicht ganz klar scheint ist, ob Enigmail die 8 durch Abstände getrennte Adressen in der Verschlüsselungsregel automatisch den richtigen 8 Schlüsseln zuordnen kann, vorausgesetzt diese Schlüssel lauten auf diese Adressen. Also ob Enigmail Schlüssel und Adressen richtig zuordnet.


    Würde das nicht funktionieren, wäre das Verwenden von OpenPGP/Enigmail für Mails an mehrere Empfänger, die man mittels Verteilerlisten schickt, mühsam. Man müsste dann wohl jede einzelne Mail einzeln mit dem richtigen Schlüssel des Empfängers verschlüsseln, oder 8 separate Regeln anlegen und 8 Mails schicken.
    Einfacher wäre da natürlich, eine einzige Mail schicken zu können und sich wie gewohnt auf die Verteilerliste verlassen zu können, ohne auf die per-recipient-Verschlüsselung verzichten zu müssen.



    Vielleicht hat damit ja jemand Erfahrung und weiß die Antwort :)


    Vielen Dank im Voraus,
    Alex.

  • Hi,
    die gleiche Mail in einem Arbeitsgang verschlüsselt und unverschlüsselt zu senden, geht nicht. Du brauchst also mindestens zwei Verteiler, dann sollte es mit der entsprechenden Empfängerregel gehen. Und natürlich wird die Mail mit allen Schlüsseln verschlüsselt, und nicht je Empfänger.
    HTH, muzel

  • Zitat von "muzel"

    Hi,
    die gleiche Mail in einem Arbeitsgang verschlüsselt und unverschlüsselt zu senden, geht nicht. Du brauchst also mindestens zwei Verteiler, dann sollte es mit der entsprechenden Empfängerregel gehen. Und natürlich wird die Mail mit allen Schlüsseln verschlüsselt, und nicht je Empfänger.
    HTH, muzel


    Danke für die Antwort!
    Dass zwei verschiedene Verteiler nötig sind, wenn verschlüsselt und unverschlüsselt geschickt wird, leuchtet mir jetzt ein.
    Dass eine Mail mit mehreren Schlüsseln zugleich verschlüsselt werden und dann von allen Empfängern mit den richtigen Schlüsseln entschlüsselt werden kann, überrascht mich, aber da fehlt mir leider das Wissen über die Funktionsweise der Verschlüsselung.


    Wenn ich dich richtig verstehe, könnte ich also eine Regel anlegen, in der ich alle 8 Empfänger mit Abständen eintrage, deren Schlüssel ich habe, dann die entsprechenden Schlüssel anhaken/auswählen und die Verteilermail an diese 8 Empfänger senden.
    Das macht Sinn. Mir war nur ganz unklar, ob Enigmail diese 8 Schlüssel dann den richtigen 8 Adressen zuordnen kann, bzw. erkennt, wenn sie sich im Verteiler befinden. Bzw. nur 7 der 8 Schlüssel verwendet (und die richtigen) wenn sich nur 7 der 8 Adressen im Verteiler befinden.
    So wie ich deine Antwort verstanden habe, sollte das funktionieren, also auch dann richtig verschlüsselt werden, wenn ich zB nur einer einzelnen Person maile (auch ohne Verteiler), deren Adresse und key sich in der Empfängerregel, die für 8 oder mehr Empfänger gilt, befinden.


    Diese Überlegungen sind sehr theoretisch, aber ich finde das recht interessant. Mir fehlen leider nur die nötigen pgp-nutzenden Kontakte, um das alles selbst richtig testen zu können.


    Nochmals danke!

  • Hi nyrk,


    schön, dass du dich mit diesem Thema befassen willst.
    Gerade bei diesem Thema solltest du dich aber vorher ein wenig belesen, denn hier ist Verständnis für die Vorgänge sehr wichtig. Schau dir mal unsere FAQ an, ich habe dazu in einem Beitrag auch GnuPG etwas gestreift und zumindest einen Link für eine gute Dokumentation eingefügt.


    Ganz kurz noch dazu:
    Die gleiche Mail verschlüsselt und unverschlüsselt senden - geht zum Glück nicht. Und das ist auch gut so! Welchen Sinn hätte eine Verschlüsselung denn, wenn ich Herrn "Neugierig" (*) in einer und der selben Mail den gleichen Inhalt verschlüsselt und unverschlüsselt präsentieren würde? Herr N. liest direkt bei deinem Provider mit, wo beides noch komplett vorliegt. Nicht nur, dass er sofort den "geheimen" Inhalt hätte - er hat auch gute Ansätze, zukünftige verschlüsselte Mails viel leichter mitlesen zu können.
    Du solltest nicht einmal den gleichen Text mit gleicher Betreffzeile und unmittelbar hintereinander verschlüsselt und offen versenden.


    Und auch wenn ich deinem Lesen der Anleitung nicht vorgreifen will, zur Verschlüsselung an mehrere Empfänger:
    Es ist nicht völlig korrekt, dass dann die komplette Mail mit den Schlüsseln aller Empfänger verschlüsselt wird - das kommt dem Absender nur so vor.
    Die eigentliche Nachricht wird in Wirklichkeit nur ein einziges mal und mit einem sehr schnellen symmetrischen Verfahren verschlüsselt. Der dazu benutzte Zufallsschlüssel (nur wenige Byte) wird dann mit einem relativ langsamen asymmetrischen Verfahren mit den öffentlichen Schlüsseln der einzelnen Empfänger und meist auch des Absenders verschlüsselt. Entsdchlüsselt wird umgekehrt: Erst den symm. Schlüssel und dann damit die Mail.
    Damit wird zum einen garantiert, dass die gesamte Aktion nicht extrem lange dauert, und zum anderen die Größe der Mail nicht mit jedem zusätzlichen Empfänger anwächst.
    (*) Damit ist selbstverständlich keine bestimmte Person oder Personengruppe gemeint!


    MfG Peter
    (Habe ich Wolfgang heute schon gegrüßt?)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Mod. Pe_Le: unnützes Vollzitat gelöscht. Bitte mit "Antworten-Button" unten links antworten.


    Hi Peter,


    Vielen Dank für diese ausführlichen, interessanten Erklärungen. Ich finde die Funktionsweise wirklich faszinierend und habe mir soeben das letzte PGP-Kompendium als PDF heruntergeladen, um auch das, was "dahinter" geschieht, einigermaßen zu verstehen.
    Ich habe mir auch deine Dokumentationen durchgelesen (Teile davon hatte ich bereits zuvor gelesen) und bin auf die Frage gestoßen, ob ich mir ein 1jähriges, kostenloses Zertifikat besorgen sollte. Doch ich nehme an, dass für meine eingeschränkte und eher von Neugier getriebene Nutzung kein Zertifikat nötig ist. Eingeschränkt LEIDER deshalb, weil der Großteil meiner Kontakte entweder Spaßprogramme wie incredimail benutzen, oder aber ihre Mails über den Browser öffnen - ich glaube kaum, dass ich ihnen die Privatsphäre-Bedenken bei unverschlüsselten Mails sowie Thunderbird/Enigmail aufschwatzen kann. Dennoch interessiert mich das Ganze, v.a. WIEDER, seitdem ich im 2. Buch von Stieg Larsson von PGP verschlüsselten Mails gelesen habe :cool:


    Da die Antworten bisher wirklich sehr interessant sind, meine Frage mir aber noch teilweise offen scheint, lege ich nun ganz frech noch einige wenige Fragen nach, die mit der vorherigen Frage zu tun haben, bzw. sie besser illustrieren sollen:


    Was passiert denn nun, wenn ich eine Empfängerregel angelegt habe, in der mehrere Empfänger (und ebensoviele Schlüssel) angegeben sind? Nehmen wir zB 5 Empfänger in der Regel. Ich möchte jetzt aber eine Mail an EINEN Empfänger schreiben, der in dieser Regel enthalten ist.
    Wird diese Mail an diesen einen nun dennoch (mit dem einen Schlüssel dieser Person) verschlüsselt, oder müssen ALLE Empfänger, die in der Regel stehen, auch als Empfänger der konkreten Mail angegeben sein, damit die Regel greift?
    Und wenn die Mail verschlüsselt wird, wie kann PGP (bzw. Enigmail) wissen, welcher Schlüssel zu welchem Empfänger passt? Unterscheidet es anhand der E-Mail Adressen?


    Ich kann also eine Mail an einen Verteiler senden und - richtige Mail-Adressen und Schlüssel in einer Empfängerregel vorausgesetzt - mich darauf verlassen, dass alle die Mail so verschlüsselt erhalten, wie du es beschrieben hast?
    Und wenn nun nicht alle Adressen der Regel in der konkreten Mail als Empfänger stehen?


    Und was ist, wenn nun 3 von 5 Adressen aus der Regel Empfänger der Mail sind und ich die Mail ZUSÄTZLICH an ein paar Empfänger schicke, deren Schlüssel ich nicht habe bzw. die PGP nicht nutzen? Mir ist nun klar, dass eine Mail nicht zugleich verschlüsselt und unverschlüsselt versendet werden kann. Das bedeutet also, dass diese konkrete Mail überhaupt nicht - an niemanden - verschlüsselt versandt wird, sondern unverschlüsselt, da die Regel nicht greifen kann, weil es zu einigen der Empfänger keine Schlüssel gibt?


    Ich habe leider in deinen Verschlüsselungsbeispielen keine gesehen, die sich auf Empfängerregeln mit mehreren Empfängern beziehen. Ich weiß, dass meine Fragen vielleicht nicht viel mit der täglichen Praxis zu tun haben, weil die meisten zB seltener an Verteiler mailen. Mein Interesse am Verhalten des Programms bei Verteilern ist eher "akademisch", theoretisch :)


    Ich verspreche, ich werde ab nun nicht mit weiteren Szenarien (deren Beantwortung ich wohl kaum den erhältlichen Beschreibungen entnehmen kann) und Details nerven, sondern mich dem PGP-Kompendium widmen.


    Nochmals - ganz herzlichen Dank für die Hilfe und Einführung in das Thema!


    Liebe Grüße aus Wien,
    Alex

  • Hi Alex,


    Deine Fragen kann ich leider nur zum Teil beantworten.
    Wie du in meiner Signatur erkennen kannst, arbeite ich "nur noch" mit S/MIME. Das hat vor allem mit der Kompatibilität zwischen beruflicher und privater Anwendung zu tun. Und aus diesem Grund habe ich Enigmail noch nie benutzt und PnuPG schon lange nicht mehr. Trotzdem gibt es viele grundlegende Übereinstimmungen.


    Wenn du dir ein Kostnix-Zertifikat von einem Trustcenter beschaffen willst musst du wissen, dass dieses immer ein S/MIME-Zertifikat ist. Du benötigst also Partner, die auch S/MIME nutzen. Für Testzwecke kannst du mir gern eine Mailadresse per PN schicken, an die ich eine S/MIME-verschlüsselte und signierte Mail schicken werde und auf die du auch antworten kannst.
    Was die Akzeptanz der Mailverschlüsselung betrifft, so gebe ich dir 100%ig Recht. Wir haben ja alle nichts zu verbergen, verschicken Bewerbungen mit diversen Zeugnissen, ganze Krankenakten usw. unverschlüsselt übers Internet. Macht doch nichts ... . Die Leute wachen erst auf, wenn sie so richtig auf die Schn**** gefallen sind - oder wenn, wie es schon passiert ist - eine Konkurrenzfirma den Auftrag bekommen hat, weil sie ein klein wenig billiger waren.



    Zitat

    Was passiert denn nun, wenn ich eine Empfängerregel angelegt habe, in der mehrere Empfänger (und ebensoviele Schlüssel) angegeben sind? Nehmen wir zB 5 Empfänger in der Regel. Ich möchte jetzt aber eine Mail an EINEN Empfänger schreiben, der in dieser Regel enthalten ist.


    Es wird dann auch nur an die eine Adresse, welche im Adressfeld steht, verschlüsselt.
    Der Schlüssel wird vom Programm anhand der Adresse herausgefunden.


    Zitat

    Und was ist, wenn nun 3 von 5 Adressen aus der Regel Empfänger der Mail sind und ich die Mail ZUSÄTZLICH ... zu einigen der Empfänger keine Schlüssel gibt?


    Keine Ahnung ... . (s. oben)
    Ich gehe davon aus, dass Enigmail ein derartiges Ansinnen so wie ich es von S/MIME gewohnt bin, ablehnt. Einfach so ohne Rückfrage unverschlüsselt senden würde ich aber auch als sehr schlecht betrachten.


    Wenn du weitere Fragen hast, dann frage ruhig.
    Auch wenn ich mich mit Enigmail nicht auskenne, andere User hier im Forum wissen mehr darüber und antworten dir bestimmt gern.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Alex,


    nur kurz:
    Probieren geht über Studieren. Ich hätte das alles längst mit drei Mailadressen in einer Liste und 3 Schlüsselpaaren durchprobiert ;-).
    Eigene Adressen hast du bestimmt mehrere, Schlüssel sind in 5 Minuten erzeugt...


    Ich stehe aber auch gern als "Sparringpartner" zur Verfügung.


    Die meisten Fehler werden durch Rückfragen ("verschlüsselt (Auswahlliste) / unverschlüsselt / nicht senden?" o.ä.) abgefangen.


    Gruß, m.

  • Zitat von "muzel"

    ... Schlüssel sind in 5 Minuten erzeugt...


    Hallo Alex,


    also evtl. verstehe ich Dich ja falsch, aber s.o. !


    Wenn Du eine feste Verteilerliste hast, dann spricht doch überhaupt nichts dagegen, daß ihr *alle* den selben Schlüssel nutzt.
    Ein solcher ist schnell erstellt und kostet NICHTS! ;)
    [[Du kannst entscheiden an wen Du ihn verteilst! :!: ]]


    Dann sind alle {die diesen *kompletten* key besitzen} in der Lage Deine e-mail zu entschlüsseln ~ und Du brauchst keine "Turnübungen" mehr zu veranstalten.
    Einzig an User die GPG nicht verwenden müsstest Du diese e-mails halt noch unverschlüsselt senden.


    IMHO die einfachste Methode. Meine Wenigkeit macht es zumindest so.


    Ggfs. reicht ja auch nur ein Signieren - so können Alle die mail lesen und die 'Kryptographen' sehen, daß Du es warst der signiert hat.


    MfG ... Vic