Verschlüsselung (GnuPG) & IMAP - Sicherheit?[Erl]

  • Hi, Leute,
    wenn ich Enigmail als PGP-Verschlüsseler einsetze und ein IMAP-Konto habe, werden die Mails dann lokal entschlüsselt oder kann es sein, dass eine entschlüsselte Kopie auf dem IMAP-Server landet?

  • Hi Shinzon,


    gute Frage ... .
    Auf dem Gebiet der Kryptologie gibt es ein uraltes Prinzip:
    (Sinngemäß:) Vertraue nur dann einem kryptologischen Verfahren ... wenn du es selbst überprüft hast!
    Das kann natürlich außer einer recht kleinen Gruppe von Experten niemand mehr. Aber was deine Frage betrifft, so ist das doch ganz einfach!
    Schicke dir selbst eine verschlüsselte Nachricht. Schau dir die Nachricht an (damit sie einmal auf deinem Client war), deaktiviere Enigmail, starte den TB neu und rufe die Nachricht ein zweites mal auf.
    Jetzt schau dir den Quelltext der Mail an ... .


    Es wäre nett, wenn du uns das Ergebnis posten würdest.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Verschlüsselte Mail abgesetzt, bekommen und gelesen.
    Enigmail deaktiviert, Thunderbird neugestartet.
    Versucht, e-Mail zu lesen: nur die verschlüsselte Mail wurde angezeigt.
    Damit wird schon mal keine dauerhafte Kopie auf dem Server abgelegt.


    Was damit noch nicht geklärt ist: kann es passieren, dass der IMAP-Server eine temporäre Kopie der entschlüsselten Mail zum Anzeigen vorhält, weil man bei IMAP ja eigentlich auf dem Server arbeitet? Oder regelt Enigmail das lokal?

  • Hallo,


    Zitat von "Shinzon"

    ... kann es passieren, dass der IMAP-Server eine temporäre Kopie der entschlüsselten Mail zum Anzeigen vorhält, weil man bei IMAP ja eigentlich auf dem Server arbeitet?


    Durchaus möglich - ich weiß es ehrlich nicht.
    (Auch) darum nutze ich IMAP nicht für verschlüsselte mails. Ich vermute, daß der der *vollen* Zugriff auf den Server hat auch die Entschlüsselung einsehen kann.


    Zitat von "Shinzon"

    Oder regelt Enigmail das lokal?


    IMHO nein. Wie sollte Enigmail das tun?


    MfG ... Vic

  • Zitat von "Vic~"


    IMHO nein. Wie sollte Enigmail das tun?


    Vllt. indem Thunderbird die verschlüsselte Mail vom Server holt und Enigmail sie lokal zum Lesen in Text verwandelt. Wenn ich mir selbst eine e-Mail schicke, hab's überprüft, auch wenn ich diese an einen IMAP-Server schicke, sehe ich bei jedem Anklicken der Mail in meinem Thunderbird-Posteingang kurz nochmal den verschlüsselten Text aufblitzen, bevor ich den Klartext zu Gesicht bekomme. Dies hat mich dazu veranlasst, anzunehmen, dass Enigmail auch bei IMAP lokal entschlüsselt.

  • Aber, aber, Vic, ich habe zwar auch keine definitive Aussage im Handbuch dazu gefunden, trotzdem bin ich mir sehr sicher, daß niemals eine entschlüsselte Kopie auf dem Server abgelegt wird. Im Zweifelsfalle im Enigmail-Forum fragen, wo auch die Entwickler mitlesen und ggfs. antworten.
    Gruß, muzel

  • Hallo,


    wie gesagt ich weiß es nicht! [leider :pale: ]


    Ich nutze kein IMAP ... daher keine Erfahrung damit.


    Muß ich "sowas" nutzen {leider (selten) in der Arbeit} , dann lade ich mir die mail runter und lösche sie auf dem Server.
    IMHO spricht Alles gegen einen Einsatz von GPG, wenn man nicht ~ alleinige ~ volle Kontrolle hat.
    (Meine paranoide Meinung.)


    Hallo muzel,


    *abgelegt* sicherlich nicht, aber ob da "temporär" auch Nichts abläuft ...
    Wie schon geschrieben - ich bin misstrauisch und weiß es eben nicht sicher!


    MfG ... Vic

  • Auch ich werde nicht so vermessen sein, an dieser Stelle klar JA oder NEIN zu sagen. (Tendiere aber zu einem klaren NEIN, es wird keine Kopie der entschlüsselten Mail auf den Server gepuscht. Aber beweisen kann bzw. will ich es nicht!)


    Wenn ich immer noch GnuPG nutzen würde, dann würde ich selbstverständlich nicht auf IMAP verzichten wollen.
    Also würde ich bei dem kleinsten Zweifel die Angelegenheit untersuchen! (Siehe meine Bemerkung in meinem Beitrag von Sa 05.03.2011 20:01)
    Also Wireshark anwerfen und mitsniffen ... .


    Das ersetzt natürlich nicht eine entsprechende Evaluation des Quellcodes vom Thunderbird und auch von Enigmail (gefordert, wenn wir TB + GnuPG/Enigmail im öffentlichen Dienst zur Übertragung entsprechend eingestufter Nachrichten nutzen würden). Das würde Wochen verschlingen - und ich bin auch nicht derjenige, der das kann. Bin eben kein Programmierer ... . Aber ich kann Effekte in der Praxis beobachten, eben auch den Wireshark bedienen und vor allem dessen Logfiles auswerten.


    Ich bin auch überzeugt, dass in der engl. Originaldokumentation des TB genügend darüber steht. Möchte an dieser Stelle auch an die FIPS-Zulassung des TB erinnern, über die ich mal gelesen habe (Weiß aber nicht, für welche Version. Es gibt aber auch eine TB-Version, welche speziell für die französische Armee überarbeitet und evaluiert wurde!). Und wie schon an dieser Stelle gelesen, gibt es auch für Enigmail ein Forum.


    NB: Es wurde ja nicht nach S/MIME gefragt. Dort habe ich das getestet. Und ich nutze S/MIME und IMAP ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • So, ich habe mir muzels Tipp mal zu Herzen genommen und im Enigmail-Forum gepostet (Gukstuhir: http://mozilla-enigmail.org/forum/viewtopic.php?f=3&t=756).
    Dort wurde gesagt, dass nichts zum IMAP-Server zurückgeschrieben wird. Soweit, so beruhigend. Ich denke, man darf diese Quelle als vertrauenswürdig bezeichnen, oder?


    Danke nochmal für alle, die hier gepostet haben.

  • Zitat

    ..Enigmail-Forum..


    Genau. Wer, wenn nicht Patrick, sollte das definitiv beantworten können.
    Aber der Vorteil von Open Source ist, daß du es auch selbst nachprüfen kannst (oder könntest ;) )
    m.

  • Zitat von "muzel"


    Aber der Vorteil von Open Source ist, daß du es auch selbst nachprüfen kannst (oder könntest ;) )


    Ich kann zwar programmieren, aber ehe ich im Quelltext von Enigmail etwas übersehe, frage ich lieber bei den Experten nach.^^ In diesem Fall ist mir das Risiko, etwas zu übersehen, einfach zu hoch.
    Aber im Grunde hast du natürlich recht, einer der vielen Vorzüge von OpenSource.