PGP *und* S/MIME über lokalen Proxy ver-/entschlüsseln

  • Aber Hallo!
    Ich habe nirgends behauptet das ich das Beibehalten der Verschlüsselung bei lokal gespeicherten Mails als sinnvoll betrachte. Es war mir lediglich nicht klar warum immer die Anhänge als Argument benutzt werden, dort funktioniert es ja mit der "Entschlüsselung". Das Argument "Starke" Geheimhaltung ist auch nicht von mir sondern wird immer wieder als Argument *für* den momentanen Zustand verwendet. Sehr schön wäre ein Funktion ähnlich dem "Anhang abtrenne" um die verschlüsselung lokal aufzuheben.
    Wie bereits von anderen erwähnt gibt es für das Umfeld "zentral verwaltete Netze" aka. Firmen, Gateway-Lösungen die das Ganze recht schmerzfrei und bei richtiger Handhabung auch ausreichend sicher umsetzten, im privaten Umfeld d.h. für Einzelplatz gibt es das eher nicht. Das ist sicher auch mit ein Grund warum im Bereich der privaten Mailkommunikation so gut wie keiner verschlüsselt oder auch nur signiert. Es ist schlicht zuviel technisches Wissen erforderlich.

    Der einzige potentielle Lichtblick für mich in dieser Sache, Comodo Secure Email, ist zwischenzeitig eingestellt worden :wall:


    Das vorliegende Thema führt nochmal dazu, dass ich Thunderbird in die Tonne kloppen muss, da es für mich zunehmend eine Projekt- und damit Einkommensgefährdung darstellt, dass ich meine verschlüsselten E-Mails weder durchsuchen, noch entschlüsselt lokal speichern kann.


    Nur der Vollständigkeit halber hier noch ein Link zu einer Marktübersicht über Secure E-Mail Gateways (die für einen Windows-Einzelarbeitsplatz aber alle nicht in Frage kommen)


    http://www.tecchannel.de/kommu…mail_gateways/index8.html


    und hier noch die passende Diskussion bei Bugzilla:


    https://bugzilla.mozilla.org/show_bug.cgi?id=188988#c19


    MfG David.P

  • David, warum leitest Du die Mails nicht einfach entschlüsselt an einen lokalen Mailserver weiter (f. Windows, einfach, kostenlos: Mailenable) und holst sie dort dann wieder ab? Ob es mittlerweile ein Add-on für Thunderbird gibt, mit dem man mehrere Emails auf einmal auswählen und als einzelne Mails weiterleiten kann, weiß ich allerdings nicht.
    Comodo gibt es doch nach wie vor, kostenlos:
    Free Secure Email - Encryption & Email Security Software | Comodo. Available at: http://www.comodo.com/home/email-security/secure-email.php. Zugegriffen März 2, 2012.
    Ich selbst benutze fast nur GPGRelay. S/MIME bzw. mein Zertifikat nur für das Signieren/Zeitstempeln von Backups. Wenn Du es hinbekommst, GPGRelay (f. PGP/GPG) und Comodo (für S/MIME) hintereinander zu schalten, laß es uns wissen. ;-) Theoretisch sollte das gehen - ich habe für POP dem GPGRelay einen Spam-Proxy vorgeschaltet (Spambayes), weil ich noch einen alten Thunderbird ohne Spamfilter benutze. Der Grund, GPGRelay zu wählen, war der gleiche wie bei Dir: Ich brauche meine Desktopsuchmaschine (http://www.xxxxx) für die Mails.


    Edit: Spamlink wurde wegen Verstoßes gegen die Foren-Regeln ( :arrow: Werbung) entfernt. Mod. graba

    Ja also Comodo Secure Email habe ich nie zum Laufen bekommen, und Support gibt es dort keinen mehr für das Produkt.


    Mailenable müsste ich mir mal anschauen. Aber da müsste ich ja jede verschlüsselte Mail öffnen, unverschlüsselt an mich weiterleiten (dabei Fw: und den zusätzlichen Mailbody manuell entfernen) und am Schluss das verschlüsselte Original löschen! Zudem hätten die Mails dann den falschen Absender (mich) und das falsche Datum (der Weiterleitung) :|


    Das erscheint mir ähnlich wenig geeignet für den produktiven Einsatz wie mein eigener Würgaround von damals.


    Grüße David.P

  • Quote from "David.P"

    Ja also Comodo Secure Email habe ich nie zum Laufen bekommen, und Support gibt es dort keinen mehr für das Produkt.


    Ja, da habe ich mich geirrt. Download noch hier:
    Comodo SecureEmail 2.5.0.31 - PCHome.de | Download (Kostenlos runterladen). Available at: http://www.pchome.de/download/comodo-secureemail_34322.html. Zugegriffen März 2, 2012.
    Vielleicht teste ich das Programm an einer Kopie meines virtualisierten Produktivsystems, aber das wird noch dauern.

    Quote from "David.P"

    Mailenable müsste ich mir mal anschauen. Aber da müsste ich ja jede verschlüsselte Mail öffnen, unverschlüsselt an mich weiterleiten (dabei Fw: und den zusätzlichen Mailbody manuell entfernen) und am Schluss das verschlüsselte Original löschen! Zudem hätten die Mails dann den falschen Absender (mich) und das falsche Datum (der Weiterleitung) :|


    Das weiß ich nicht, ob das so laufen muß. Normalerweise sollte man einstellen können, wie lange Thunderbird sich die Passphrase merkt. Dann müßte man nur eine Email manuell entschlüsseln, die weiteren Mails könnten beim Weiterleiten dann automatisch entschlüsselt werden. Ich würde Originalmails nicht löschen. Die entschlüsselten Mails würden in Thunderbird unter einem anderen Emailkonto eintreffen können. In weitergeleitete Emails setzt TB einen Mailkopf, mit dem sich das Original-Datum, der Original-Absender, der Original-Empfänger mit einer guten Desktopsuchmaschine finden ließen. Ich würde also die weitergeleiteten Mails nicht manuell um diese Angaben kürzen...

  • Vielleicht ist das Thema ja inzwischen nicht mehr aktuell, aber ich habe bei mehreren Kunden eine "echte" PGP-Desktop Installtion für diesen Zweck eingerichtet.


    Auch dort war die Vorgabe, dass zwar die Übertragung, jedoch nicht die Speicherung verschlüsselt sein sollte (mit einer Ausnahme, aber da wurde das ganze (Notebook-)System vollverschlüsselt. PGP Messaging hängt sich auf dem lokalen Rechner als Proxy in den Datenstrom. Das "Gateway" kann dabei sehr umfangreich konfiguriert werden (was soll wann wie und womit verschlüsselt/signiert werden). Nur das Sichern dieser Regeln ist leider kompliziert, aber dafür gibt es ja Backups!


    Ich habe nur einmal auch s/mime mit zwei verschiedenen Zertifikaten installiert. Bisher habe ich von da auch noch keine Fehlermeldung gehört. Ob das allerdings auch für Dein Vorhaben ausreicht kannst Du ja ausprobieren. PGP gehört im Moment zu Norton - und ist nicht wirklich billig. Aber es gibt eine Testversion um es auszuprobieren. PGP kann man auch extern als Serverlösung laufen lassen, aber damit habe ich keine Erfahrung.

    Das Thema ist nach wie vor aktuell.


    Nebenbei gesagt wird es auch hier seit nahezu 10 Jahren (!) zunehmend wütend (aufgrund der Untätigkeit seitens Mozilla) diskutiert.


    PGP steht bei mir allerdings nicht so sehr im Vordergrund, wichtiger wäre die entschlüsselte Speicherung von S/MIME-verschlüsselten E-Mails.


    Die von Dir angesprochene Lösung klingt allerdings für meine Möglichkeiten ziemlich kompliziert.


    MfG David.P

  • Wenn Mozilla sich nicht rührt, weil die Ressourcen fehlen, selbst Verbesserungen (eingereichte Patches) bezüglich der Verschlüsselung des französischen Staates nicht in Mozilla eingearbeitet werden , gibt es keinen anderen Weg als einen S/MIME-Proxy, egal, ob sich das auf den ersten Blick kompliziert liest.

    Was gibt es denn aktuell so an S/MIME-Proxy-Programmen (bei denen man als User eine Chance hat, das Ding auch zum Laufen zu bekommen)?


    Und gibt es irgendeine Lösung, bestehende, lokal gespeicherte Mail-Archive von Thunderbird durch einen Parser/Decrypter laufen zu lassen und somit die vorhandenen E-Mails zu entschlüsseln?

  • Ich "kenne" nur die hier schon genannten Proxies. Für mein altes Thunderbird funktioniert redirect sehr gut (auch für mehrere Mails gleichzeitig):
    http://mailredirect.mozdev.org/
    D. h., ich würde die alten verschlüsselten Mails damit einfach an Deine Adresse umleiten, dann würden sie durch den Proxy nochmals entschlüsselt ankommen.

  • Quote from "David.P"


    PGP steht bei mir allerdings nicht so sehr im Vordergrund, wichtiger wäre die entschlüsselte Speicherung von S/MIME-verschlüsselten E-Mails.


    Das geht ohne größere Probleme / Einrichtung. Habe ich heute wieder bei einer Installation gesehen. In Thunderbird wird das schön angezeigt, für welchen Teil eine Signatur und/oder eine Verschlüsselung bestand.


    Komplizierter wird es nur, wenn es um das Versenden geht. Aber da ist die Einrichtung nicht viel aufwändiger als beim Proxy (der mir aber zu instabil war). Konkreter Fall bei mir war, dass einem Kunden sowohl verschlüsselt als auch unverschlüsselt Mails geschickt werden sollten, er wollte eine einfache "Fallentscheidung".


    Installiert habe ich es als einfaches Programm auf dem jeweiligen Rechner. Es läuft im Hintergrund und leitet POP/SMTP/IMAP automatisch als Proxy weiter. Beim ersten Abruf / Verschicken von Mail meldet sich PGP und man kann dort dann das Konto einrichten.


    Aber probiere es einfach aus, eine Testversion kannste Dir von PGP runterladen.