Die Email-Verschlüsselung muss einfacher werden!

  • Thunderbird-Version: 17.0.6
    Betriebssystem + Version: Ubuntu 12.04 / Windows 7
    Kontenart (POP / IMAP): POP3
    Postfachanbieter (z.B. GMX): Web
    SMIME oder PGP: GPG


    Email-Verschlüsselung ist über Enigmail für die meisten zu kompliziert und aufwändig. Das muss einfacher gehen, oder wir haben in hundert Jahren noch keine verschlüsselten Emails!


    Von Thunderbird sollte eine Version gemacht werden, bei der die Email-Verschlüsselung automatisch erfolgt, meinetwegen SecureThunderbird. Das könnte folgendermaßen aussehen:


    Wenn in Thunderbird ein neuer Email-Account angelegt wird, gibt es ein zusätzliches Feld für die Passworteingabe zur Erstellung eines GPG Schlüssels (vielleicht min. 6 Zeichen aus Zahlen und Buchstaben. Das Passwort sollte im SecureThunderbird gespeichert werden können.). Es wird also immer ein neuer GPG Schlüssel angelegt (falls noch keiner vorhanden ist), wenn man einen Email-Account im SecureThunderbird anlegt.


    Der öffentliche Schlüssel wird automatisch auf dem Schlüsselserver bei Mozilla abgelegt. Der private Schlüssel wird lokal im Benutzerverzeichnis auf der Festplatte abgelegt.


    Wenn also Frau Schmid eine Email an Herr Schneider schicken will und die Emailadresse von Herr Schneider in das Adressfeld eingibt, sucht SecureThunderbird automatisch nach dem passenden öffentlichen Schlüssel von Herr Schneider auf dem Schlüssel Server. Ist der Schüssel vorhanden, wird damit die Email von Frau Schmid automatisch verschlüsselt und danach an Herr Schneider verschickt. Das alles läuft im Hintergrund ab.


    Gibt es von Herr Schneider keinen öffentlichen Schlüssel auf dem Mozilla Server, wird die Email eben unverschlüsselt verschickt. Den Status, ob eine Email verschlüsselt oder unverschlüsselt verschickt wird, wird im Email Fenster angezeigt. (Während eine Email geschrieben wird, kann SecureThunderbird schon prüfen, ob ein öffentlicher Schlüssel vorhanden ist, oder nicht.)


    Wenn die Email verschlüsselt bei Herrn Schneider eintrifft, wird diese automatisch entschlüsselt und dann unverschlüsselt abgelegt. So ist gewährleistet, dass Herr Schneider immer noch alle Emails lesen kann, auch wenn er den privaten Schlüssel einmal verlieren sollte.


    Verliert Herr Schneider einmal seinen Schlüssel oder das Passwort, kann er einfach ein neues Schlüsselpaar erstellen. Der alte öffentliche Schlüssel wird dann automatisch auf dem Mozilla Server durch den neuen öffentlichen Schlüssel ersetzt. Falls in der Zwischenzeit eine verschlüsselte Email an ihn verschickt wurde und er diese nicht mehr entschlüsseln kann, muss er den Absender eben bitten, die Email noch einmal an ihn zu schicken. Das dürfte aber in den seltensten Fällen vorkommen, da man den privaten Schlüssel zur Sicherheit, z.B. auf einen verschlüsselten USB-Stick exportieren kann.


    Kann das Thunderbird Team das bitte so, oder so ähnlich umsetzen? Nur so wird man es schaffen dass sich die Email-Verschlüsselung etabliert. Das kann nur OpenSource Software leisten. Von proprietären Softwareherstellern kann man das nicht erwarten, alleine nur schon, weil die Programme Geld kosten und so keine große Verbreitung finden werden.

  • Hallo zusammen,
    gut gemeint, aber relativ aussichtslos.
    Erst einmal muß ja der Anwender GnuPG installieren, jedenfalls unter Windows, das ich aufgrund der bekannten Kooperation vom M$ mit den Geheimdiensten für nicht sonderlich geeignet halte für verschlüsselte Kommunikation. Natürlich kann man auf ein besser geeignetes Betriebssystem umsteigen (auch zu schwer? man muß halt Sicherheit gegen Bequemlichkeit abwägen), bei dem gpg standardmäßig vorinstalliert ist, womit der erste Schritt schon getan ist. Man könnte bei diesen Betriebssystemen auch TB schon mit Enigmail ausliefern, tut es aber nicht, warum auch immer.
    Der Rest ist nicht so schwer, wie immer behauptet wird, man muß sich nur mal eine halbe Stunde mit der Materie befassen, und die Installation von Enigmail, Schlüsselerzeugung, Schlüsselaustausch usw. geht dann auch fix - wenn man jemanden kennt, der sich auskennt, natürlich noch schneller. Sonst muß man eben mal eine Anletung lesen. Die gibt es bei gpg4win (das ist sonst nicht so toll finde, aber die Doku ist brauchbar)
    Ich denke mal, Mozilla wird sich diese Thema nicht "an Land ziehen".
    Und es sind viele weniger Entwickler, die sich mit gpg und Enigmail befassen, als man denkt. Und kostenlos heißt ja nicht, daß es nichts kostet. Vielleicht denkt der eine oder andere von euch ja auch mal über eine Spende oder sonstige Unterstützung für diese Projekte und für OpenSource generell nach.
    Der Bug

    Zitat

    ist gut gemeint, vermutlich gibt es schon ähnliche (hast du mal gesucht?) und wird unbearbeitet vor sich hin rotten (leider).
    Siehe auch STEED (selber g**glen oder besser eine andere Suchmaschine benutzen).
    Gruß, muzel

  • Ich hatte gesucht, aber nichts gefunden. Gnupgp braucht man nicht. Es muss "nur" jemand hingehen und den openpgp Standard in TB integrieren. Dabei kann man sich ja bei gnupgp bedienen. Enigmail ist auch zu unkomfortabel. Wie schon vorgeschlagen wurde muss alles im Hintergrund passieren. Wenn https so funktionieren würde, dann gäbe es bis heute keine verschlüsselten Seiten.

  • Alles schön und gut, aber es wird nichts dergleichen geschehen.
    Ich wäre froh, wenn ich unrecht hätte.
    - m.

  • Hi euch :)


    Ich verstehe nicht was jetzt an der ganzen Geschichte kompliziert ist und warum das unkomfortabel ist. Aus der heutigen Sicht ist auch die Disku auf Bugzilla nur zum Schiessen. Zum Facepalmieren, sozusagen.
    Zum Thema zurück.


    Als ich meinen Eltern den PC hingestellt habe, haben die nichtmal den Einschaltknopf gefunden.


    Als mein Vater Windows sah, dann wußte er nicht, daß wenn in so einem weißen rechteckigen Feld ein Strich blinkt, man dadrin was eingeben kann.


    Als meine Mutter mal wieder ins Netz wollte, hat sie dabei die Tasta bequemer hingestellt und dabei eine Taste gedrückt. Und versuchte in der Windowssuche zu googeln.


    Jetzt habe ich selbst gegoogelt und die Leute gesucht die behaupten, wenn die PC-Gehäuse nicht einfacher werden, werden die Leute noch in 10 Jahren keine PCs einschalten können. Wenn die Betriebssysteme nicht einfacher werden, kommt auch in 10 Jahren keiner benutzen. Wenn die Browser nicht besser strukturiert werden, geht auch in 10 Jahren keiner ins Netz.


    Was hier im ersten Beitrag gefordert wurde, sind Autos mit welchen die Leute fahren können, ohne einen Führerschein zu machen. D.h. wenn Autos bald nicht einfacher zu bedienen werden, wird auch in 10 Jahren keiner mehr Auto fahren?


    Es wird kein PGP in Thunderbird geben. Sie setzen alle auf Kommerz-S/MIME und wir wissen nun warum. Wussten bzw. vermuteten mit großer Sicherheit früher auch schon einige von uns, aber da wurde man wegen sowas noch für einen Alufolienhut-Träger gehalten. Nun ist das alles offiziell.
    Wir können froh sein, wenn sie uns keine kaum wahrnehmbaren extra Böcke in die Sources reinhauen. Und ihr wollt, daß sie OpenPGP einbauen und meint das wird dann so sicher wie Kochs Bemühungen seit 1998?
    Ehrlich :) :)


    Es wird kein OpenPGP in Thunderbird geben. Und selbst wenn dem so wäre, würde ich der Lösung schon aus qualitativer Sicht mind. die ersten 2 Jahre nicht trauen. Oder sie INTEGRIEREN GPG1.x und Enigmail 1.6x direkt in die Soruce. Dann vielleicht.
    Vielleicht? Nach Jahren haben wir einen einfachen Bock im Zufallszahlengenerator von GnuPG gefunden. gpg4win hat über 3 Milionen Zeilen Kode (!) Ob da 10 verstreute Zeilen malicious sind kann keine Sau mehr sagen. Das ist einfach nicht mehr überblickbar und besteht dazu auch noch aus einigen schon vorkompilierten Teilen.


    Einige Vorschläge aus dem ersten Beitrag vergrößern auch die Zahl der Angriffsmöglichkeiten. Ich halte Änderungen die in diese Richtung gehen zwar für kontraproduktiv, aber sowieso auch nur einer rein theoretischen Natur.


    Aus der heutigen Sicht der Dinge fällt es schwierig eine derartige Lösung als vertrauenswürdig einzustufen. Weiß jemand wieviele Zeilen Kode Tb 17 hat? :)


    Sonst macht man sich hier Gedanken über die falschen Produkte. Wieviel Zeilen Code hat eine Linux-Distribution? Was ist nochmal die Tage OpenX widerfahren? Was passiert überhaupt in Windows?


    "Isn't it like protecting the gate to your town with barbed wire and expensive locks but hiring the Daltons to guard the fence?"


    p.s.:
    Wenn man Datensicherheit so gestaltet, daß sie auch für Ahnungslose problemlos handhabbar wird, droht das System schnell Gefahr zu laufen seine Kerneigenschaft zu verlieren.