PGP *und* S/MIME über lokalen Proxy ver-/entschlüsseln

  • Hi Forum,


    derzeit läuft bei mir die Ver- und Entschlüsselung sowohl von PGP- als auch von S/MIME-verschlüsselten Mails innerhalb von Thunderbird.


    Die Verschlüsselung möchte ich jedoch komplett aus dem Mailprogramm (in einen lokalen Verschlüsselungsproxy) auslagern.


    Nun ist die Frage, kann ich das mit GPGrelay machen? Sprich, ist GPGrelay auch S/MIME-kompatibel und kann auch S/MIME-E-Mails ordnungsgemäß verschlüsseln bzw. entschlüsseln?


    Vielen Dank schonmal für Hinweise oder für einen Link, wo die Kompatibilität von GPGrelay und S/MIME behandelt wird. Falls es für das beschriebene Vorhaben auch andere Tools als GPGrelay gibt, bin ich auch diesbezüglich für Hinweise dankbar.


    Grüße David.P


    Windows XP
    Thunderbird 3.1.6
    POP E-Mail

  • Hallo,

    "David.P" schrieb:

    ist GPGrelay auch S/MIME-kompatibel?


    Nein!
    Und damit wäre alles beantwortet, oder? :)



    Gruss

  • OK danke erstmal. Gibt es ein anderes Tool, das ich vor den Thunderbird schalten kann, und welches die eingangs beschriebene Aufgabe übernimmt?


    Höhere Priorität hätte dabei die (Thunderbird vorgeschaltete) Ver- und Entschlüsselung von S/MIME, da ich hauptsächlich S/MIME-verschlüsselte Nachrichten bekomme und versende.

  • Hi,

    "David.P" schrieb:

    Höhere Priorität hätte dabei die (Thunderbird vorgeschaltete) Ver- und Entschlüsselung von S/MIME, da ich hauptsächlich S/MIME-verschlüsselte Nachrichten bekomme und versende.


    da wirste warten müssen, bis sich Herr Lehmann dazu äußert.
    Mir ist kein Tool bekannt, das sowas macht. Aber der Spezialist auf diesem Gebiet ist eben auch Herr Lehmann ;)



    Gruss

  • Hallo David,


    ja, hier isser ... .
    Ich wollte eigentlich nicht antworten, weil ich persönlich ein Gegner dieses Verfahrens bin. Aber nun "muss" ich ja ... .


    Ja, es gibt Sicherheitsgateways, welche auch S/MIME beherrschen. Siehe hier: E-Mail- Sicherheit: Gateway -Verschlüsselung spart Zeit und Geld (Gockel: "Sicherheitsgateway S/MIME"). Mir sind auch eine Reihe sehr teuerer Sicherheitsgateways bekannt, welche in einer Kiste VPN, Proxy, Firewall, AV-Scanner und auch Mailentschlüsselung beherbergen. Ich betone die Worte 5 und 6!
    Reine Softwarelösungen zum Selberbasteln sind mir nicht bekannt, aber selbstverständlich möglich. Ich kann mir sogar vorstellen, das auf einem eigenen Mailserver rein mit openSSL zu skripten, wenn ich denn zu einer solchen Sache eine positive Einstellung hätte ... .


    Weshalb bin ich so dagegen?
    Es gibt einen alten Streit zwischen meinen Kollegen aus der IT-Sicherheit.
    Die einen wollen alles, was "rein- und rausgeht" sehen können. Mit "sehen" meine ich natürlich nicht vordergründig meinen Freund "Wolfgang", sondern den AV-Scanner um sicher zu stellen, dass kein Schadcode in die "Firma" kommt. Ja, ganz nebenbei kann man sich auch noch ein wenig um den Inhalt kümmern. Und wenn es mit Reizwortfiltern ist,
    Klar, eine derartige Lösung mit einem einzigen Firmenzertifikat ist natürlich sowohl für die einzelnen Mitarbeiter einfacher im Handling und vor allem billiger. Und sie hat auch große Vorteile hinsichtlich der Verfügbarkeit der Mails. Wenn ich meine Chipkarte "knicke" (oder in den Reißwolf stecke, bevor ich die Firma verlasse), dann kann nur noch der Absender die Mails entschlüsseln. Nicht immer ist das gewollt.


    Ich bekenne mich allerdings zu der Fraktion, bei welcher zuerst die Vertraulichkeit in der Rangliste steht. Also eindeutig die End-to-End-Verschlüsselung! Nur so weiß ich, dass außer dem/n Empfänger/n und dem Absender niemand die Mails lesen kann (einen sauberen Rechner bei allen Beteiligten mal vorausgesetzt). Genau so sieht es mit der elektronischen Signatur der Mails aus. Eine el. Signatur kann nun mal nur von einer natürlichen Person erzeugt werden. Ich verschicke eine Mail und tippe bewusst meine PIN für die Signatur ein. Jetzt muss ich für immer für meinen verzapften Text geradestehen. Wenn das aber eine Maschine macht, ist das IMHO nicht ganz sauber. Hier ist nie zuzuordnen, wer die Mail wirklich geschrieben hat. Genau so ist es bei der Prüfung der Signatur einer erhaltenen Mail. Dass die Signatur der erhaltenen Mail geprüft wird und das Ergebnis der Prüfung bis zum Client durchgereicht wird, ist IMHO gut möglich. Aber dass ich als Empfänger mit Sicherheit sehen kann, wer die Mail signiert hat, wohl kaum.


    Aber das alles ist meine persönliche Meinung. Wenn dir ein zentrales Gateway lieber ist, dann bitte. Nur eine einfache und kostengünstige Lösung kann ich dir nicht bieten.


    MfG Peter (der die Anrede "Herr Lehmann" wirklich nicht gerne hört!)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • N'Abend,

    "Peter_Lehmann" schrieb:

    Ich wollte eigentlich nicht antworten, ... Aber nun "muss" ich ja ... .

    HiHiHi :cool:

    "Peter_Lehmann" schrieb:

    MfG Peter (der die Anrede "Herr Lehmann" wirklich nicht gerne hört!)


    Och, war doch nur Spaß :bussi:



    Gruss

  • Hi David,


    diese Aussage:

    Zitat

    Dem entnehme ich, dass es eine vergleichsweise einfache und kostengünstige bzw. kostenlose Lösung wie GPGrelay auf dem S/MIME-Gebiet nicht gibt.


    stimmt nicht ganz.


    Ich habe geschrieben:

    Zitat

    Reine Softwarelösungen zum Selberbasteln sind mir nicht bekannt, aber selbstverständlich möglich.


    Ist schon ein kleiner Unterschied ;-)



    Aber, wenn du gestattest, würde ich doch gern (rein Interessenhalber) wissen,
    - welche Beweggründe du dafür hast
    - ob du das nur für dich privat (ein Rechner oder ein Netz)
    - oder gar für eine Firma machst.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    "Peter_Lehmann" schrieb:


    Aber, wenn du gestattest, würde ich doch gern (rein Interessenhalber) wissen,
    - welche Beweggründe du dafür hast
    - ob du das nur für dich privat (ein Rechner oder ein Netz)
    - oder gar für eine Firma machst.


    Es geht um einen Einzelplatzrechner im Büro für die geschäftliche Nutzung.


    Der Grund ist primär das dringende Erfordernis zur Volltextsuche in den Mails.


    "Peter_Lehmann" schrieb:

    Reine Softwarelösungen zum Selberbasteln sind mir nicht bekannt, aber selbstverständlich möglich.


    Eine Bastellösung wird wegen des Aufwands kaum umsetzbar sein – schon die Einrichtung des "ganz normalen" Mainstream-GPG und S/MIME hat (wie Du weißt) mich fast umgebracht...


    So was wie GPGrelay würde ich vielleicht grade noch hinbekommen -- nur leider geht das ja nicht mit S/MIME.


    Grüße

  • Liebe Leute ich BRAUCH einfach die Volltextsuche in meinen verschlüsselten Mails. :help:


    Außerdem kriege ich massenhaft verschlüsselte Mails mit bis zu >10 MB-großen Dateianhängen. Diese Anhänge will ich von den Nachrichten detachen, damit mir meine Mailarchive wegen der Größe nicht zusammenbrechen, und damit es nicht immer minutenlang dauert, bis Thunderbird sich bequemt den Mailtext anzuzeigen.


    Das Detachen geht aber natürlich AUCH nicht, wenn die Mails lokal verschlüsselt gespeichert sind.


    Help?! :nixweiss:


    Das gibt's doch nicht, dass hierfür keine vernünftige Lösung existiert.

  • Hi,
    was hast du gegen Linux (ggfs. in einer VM)?
    Und willst du einer Sicherheitsfirma trauen, die selbst Sicherheitsprobleme hat? Open Source ist es ja wohl auch nicht.
    http://www.heise.de/newsticker…-1212986.html/from/atom10

    Zitat

    Der Herausgeber von SSL-Zertifikaten Comodo wurde nach Angaben des Tor-Entwicklers Jacob Appelbaum und laut einem Blogeintrag der Mozilla Foundation möglicherweise kompromittiert.

  • Hallo,


    Danke für den Tipp mit dem 'Djigzo Email Encryption Gateway' ~ werde ich mir anschauen - klingt gut. :top:


    MfG ... Vic

  • Arghh! Schon wieder eine verschlüsselte E-Mail mit 20 MB Anhängen bekommen -- und keine Chance diese lokal entschlüsselt zu speichern geschweige denn die Anhänge abzutrennen!


    Das mit Comodo ist auch in die Hose gegangen!


    Verda**t nochmal das gibt's doch nicht. Ich MUSS meine Mails lokal entschlüsselt speichern -- aber es geht einfach nicht :wall::wall::wall:

  • Halo,


    ich dachte Du hättest es hingekriegt ... [siehe: Alles muss man selber machen :schlaumeier:]


    Hast Du Dein empfohlenes 'Djigzo Email Encryption Gateway' ausprobiert?


    Wenn ich Dich richtig verstehe, dann geht mit GPGrelay GPG ja problemlos ~ oder?


    Zu Comodo kann ich nichts sagen; sprich ob (Zitat: "Was ein toter Saftladen hier.") zutrifft ... :nixweiss:


    MfG ... Vic

  • Hi,


    ja das mit Comodo wäre sicher eine tolle Sache, wenn es a) funktionieren würde (vielleicht tut es das ja?) und b) mir jemand erklären würde, wie man es einrichtet. Ich kriege es jedenfalls trotz stundenlangen Probierens nicht hin und habe aufgegeben. Dort im offiziellen Forum gab es ja nicht eine einzige inhaltliche Antwort.


    Dann Djigzo. Auf Linux. In einer VM.


    Ich bin doch kein Selbstmörder. Aber wenn mir das jemand so hinbastelt, dass es als Gateway auf meiner Fritz!Box läuft....


    Weiterhin auf der Suche,


    David.P

  • Also bezüglich Anhängen versteh ich dein Problem nicht. Wenn ich "speichern unter" auswähle und das Ding auf die Platte schreibe ist es bei mir nicht mehr verschlüsselt (S/MIME, TB 3.1.9). Mit der Volltextsuche muß ich dir allerdings recht geben. Aber wie der Fachmann schon dargelegt hat: "Starke" Geheimhaltung und Komfort schließen sich aus.

  • Ja logisch speichere ich die Anhänge woanders im Dateisystem (unverschlüsselt). Deswegen (und wegen der irrsinnigen Mailgrößen) will ich die Anhänge ja auch von der E-Mail abtrennen -- was wegen der Verschlüsselung wiederum nicht geht.


    Und dass man (bei verschlüsselter Mailübertragung) keine Volltextsuche in seinen eigenen E-Mails mehr hat, ist schlicht und einfach ein unfassbarer Anachronismus.


    Um "starke Geheimhaltung" geht es hier auch überhaupt nicht. Kein Mensch braucht "starke Geheimhaltung", und wenn, dann soll er gefälligst auch seine lokalen Dateien verschlüsseln. Von einem solchen Bedürfnis bin ich (und 99 % aller normalen User) Lichtjahre entfernt.


    Es geht schlicht und einfach um die (durchaus sinnvolle) verschlüsselte MailÜBERTRAGUNG -- wobei aber die lokale, verschlüsselte MailSPEICHERUNG lediglich eine ärgerliche und unnötige Nebenwirkung davon ist.


    Nochmal: es gibt überhaupt keinen vernünftigen Grund, dass verschlüsselt übertragene Mails lokal weiterhin verschlüsselt bleiben müssen, während alle anderen Daten, darunter natürlich auch die Mailinhalte und/oder -Anhänge woanders lokal nochmal unverschlüsselt gespeichert werden -- wobei letzteres völlig selbstverständlich und gebräuchlich ist.


    Einen Zusammenhang zwischen verschlüsselter Mailübertragung und der angeblichen Notwendigkeit oder Sinnhaftigkeit von lokal verschlüsselter Mailspeicherung herzustellen ist ähnlich überzeugend wie die Forderung, man müsse seine Briefe zuhause unbedingt zugeklebt aufbewahren.


    Grüße David.P