[Gelöst]Signierte e-Mail wird als Quelltext angezeigt

  • Durch die Blume hat es offenbar nicht geklappt.


    Zitat von "Hanisch"

    Was soll es da für Probleme mit der Einrichtung von enigmail geben, ...


    Keine Ahnung, aber Deine Umgebung ist, wie Du selbst sagst, vermurkst. Woher soll ein Helfer hier wissen, was Du alles für Änderungen vorgenommen hast? Zu dem aktuellen Thema probiere es einfach mal mit dem Webclient aus, wie oben empfohlen. Dann wirst Du den Unterschied mit Anhang schon sehen.


    Zitat von "Hanisch"

    Ich habe hier unter Ubuntu 12.04 einigmail 1.6 als add-on installiert.


    Ja, das ist auch wieder so eine unnötige Nummer. Die aktuelle Version über das Ubuntu Repository ist 1.5.2. Wahrscheinlich macht das keinen große Unterschied, aber dennoch: Du drehst ohne Not an allen möglichen Schrauben, ohne Dich vorher gescheit damit auseinanderzusetzen. Danach wunderst Dich, wenn irgendetwas seltsam ist.


    Es gibt leider viel zu wenig Menschen, die von der Verschlüsselung Gebrauch machen. Vielen erscheint es zu kompliziert, obwohl es das gar nicht ist. Die Problem beginnen meist dann, wenn man anfängt, unbedacht an den Einstellungen zu werkeln. So ist es mit dem Thunderbird auch. Die große Mehrheit der Probleme entstehen durch Änderungen an der Standardkonfiguration.


    Ganz ehrlich, ich bin davon überzeugt, dass alle Deine Probleme der letzten Wochen hausgemacht sind. Mir scheint, das wird ein Fass ohne Boden.
    Das ist auch deshalb schade, weil damit andere in ihrem Eindruck, das alles sei viel zu kompliziert, schon fast bestätigt werden.
    Und wenn Du Dich dann an solchen Dingen wie hier verbeißt und alles Mögliche anzweifelst, anstatt mal gründlich aufzuräumen, verliere ich die Motivation.

  • Hallo,


    die PGP-Einstellungen meines Partners, der alle seine e-Mails - ganz gleich ob unverschlüsselt oder verschlüsselt - signiert, kenne ich im einzelnen nicht.
    Jedenfalls haben seine e-Mails einen Anhang signature.asc , mit dem niemand etwas anfangen kann.
    Als er mir endlich seinen öffentlichen Schlüssel übersandte, war dieser in einem seltsamen Anhang 0x79139556.asc.pgp versteckt. Diesen Anhang mußte ich erst per Rechtsklick "Entschlüsseln und Öffnen", um dann den Schlüssel via Zwischenablage endlich importieren zu können.
    Diese ganzen Umständlichkeiten habe ich mit meinen jahrelang erprobten PGP-Einstellungen nicht, siehe Anhang.


    Gruß
    Ch. Hanisch


    PS.: Auch mit enigmail 1.5.2 hat sich nichts geändert.

  • Hallo Hanisch,


    Zitat von "Hanisch"

    Diesen Anhang mußte ich erst per Rechtsklick "Entschlüsseln und Öffnen", um dann den Schlüssel via Zwischenablage endlich importieren zu können.


    Das liegt daran, dass Dein Mailpartner seinen Schlüssel vor dem Senden verschlüsselt hat, ganz so wie oben in Deinem Screenshot dargestellt: "Jeden Anhang einzeln verschlüsseln ..." .
    Bei einem öffentlichen Schlüssel, den jedermann lesen darf - ja sogar soll - ist das zwar überflüssig, aber mei ... .


    Gruß


    Susanne

  • Zitat von "SusiTux"

    .
    Bei einem öffentlichen Schlüssel, den jedermann lesen darf - ja sogar soll - ist das zwar überflüssig, aber mei ... .


    Ich habe zwar wenig Hoffnung, daß ich Dich überzeugen kann, aber mal ehrlich ohne Deine eingefahrenen Gewohnheiten, findest Du meine Einstellungen nicht auch moderner und praktikabler?
    Wegen den mit PGP/inline verbundenen Umständlichkeiten sollte man Anfängern, so meine ich, meine Einstellungen empfehlen.


    Gruß
    Ch. Hanisch

  • Hallo Hanisch,


    ich habe Schwierigkeiten, Dir zu folgen. Das wird mit jetzt ein wenig zu konfus. Was bitte hat denn die Tatsache, dass Dein E-Mailpartner Dir seinen seinen öffentlichen Schlüssel verschlüsselt gesendet hat - obwohl das gar nicht notwendig ist, da dieser ja nun mal öffentlich ist - und dass Du diesen daher zunächst entschlüsseln musstest mit Deinem ursprünglichen Anzeigeproblem zu tun?


    Zitat von "Hanisch"

    ... findest Du meine Einstellungen nicht auch moderner und praktikabler?


    Dazu hatte ich ja schon geschrieben:


    Zitat von "SusiTux"


    Natürlich ist PGP/MIME das modernere Verfahren. Meines Wissens ist mit MIME überhaupt erstmals die Verschlüsselung auch in E-Mails standardisiert.


    Moderner ist aber hier nicht gleichbedeutend mit besser. Welches Verfahren jemand zum Verschlüsseln verwendet, ob nun PGP/Inline, PGP/MIME oder alternativ auch S/MIME ist letztendlich völlig egal. Es muss nur sichergestellt sein, dass die Gegenseite damit etwas anfangen kann.


    Gruß


    Susanne

  • Hallo Susanne,

    Zitat

    ...Moderner ist aber hier nicht gleichbedeutend mit besser. Welches Verfahren jemand zum Verschlüsseln verwendet, ob nun PGP/Inline, PGP/MIME oder alternativ auch S/MIME ist letztendlich völlig egal. Es muss nur sichergestellt sein, dass die Gegenseite damit etwas anfangen kann.


    Und das ist der Punkt, der die ganze Diskussion ausgelöst hat. Ich hatte mit den Gewohnheiten meines Mailpartners Probleme.
    Nachdem ich ihm meinen öffentlichen Schlüssel übersandt hatte, schickte er mir endlich auch seinen mit folgendem Kommentar:
    "...Trotzdem will ich an dieser Stelle aber nochmal darauf hinweisen, dass es streng genommen ziemlich sinnfrei ist, sich den öffentlichen Schlüssel einer anderen Person per Email zukommen zu lassen, um dann die Authentizität der Email selbst zu überprüfen - solange ich nicht sicher sein kann, dass die Email wirklich von der entsprechenden Person ist, kann ich ja wohl erst recht nicht sicher sein, dass der in der Email enthaltene öffentliche Schlüssel wirklich zu dem privaten Schlüssel dieser Person "passt", oder ob ich gerade einem "Gangster" auf den Leim gehe, der mir in Wirklichkeit seinen eigenen öffentlichen Schlüssel unterjubelt, um meine geheimen Botschaften an die andere Person abfangen zu können (Stichwort: Man-in-the-Middle-Attacke).
    Da wir aber jetzt Ihren per Email verschickten Schlüssel importiert haben, ist es jetzt wohl auch egal, und wir gehen einfach mal ganz naiv davon aus, dass wir hier einem Schwindel aufsitzen..."

    Viel später hat er dann "... einem Schwindel..." in "...KEINEM Schwindel..." korrigiert.


    Gruß
    Ch. Hanisch

  • Hallo Hanisch,


    Zitat von "Hanisch"

    Und das ist der Punkt, der die ganze Diskussion ausgelöst hat.


    Ganz ehrlich, Du bist schon so ein Unikum ;-)


    Aufgemacht hast Du den Thread mit dem Thema "Signierte e-Mail wird als Quelltext angezeigt". Wenn es Dir letztendlich darum geht, wie vertrauenswürdig der Austausch öffentlicher Schlüssel ist, dann hättest Du das auch gleich schreiben können. Bei uns in der Firma nennen so etwas ein moving target.


    Dein Mailpartner hat übrigens Recht. Wenn Dir jemand einen öffentlichen Schlüssel zuschickt, ohne dass Du Dich davon überzeugen kannst, dass dieser Schlüssel wirklich von ihm stammt, kannst Du Dir halt nicht sicher sein, ob Du diesem Schlüssel vertrauen kannst.
    Theoretisch öffnet das den Weg für eine Man in the middle attack. Dazu ist allerdings noch deutlich mehr nötig, als Dir einen falschen Schlüssel unterzuschieben. Der Angeifer muss schließlich noch in die Kommunikationsverbindung zwischen Dir und dem Partner kommen.


    Um sicher zu gehen gibt es die Fingerabdrücke, die man z.B. per Telefon austauschen kann, es gibt Cryptoparties auf denen man sich seinen Schlüssel signieren/sich das Vertrauen auspechen lassen kann usw. .


    Wenn man sein Gegenüber kennt, genügt sicher der Vergleich des Fingerabdrucks am Telefon.


    Gruß


    Susanne

  • Zitat von "SusiTux"


    ...Um sicher zu gehen gibt es die Fingerabdrücke, die man z.B. per Telefon austauschen kann, es gibt Cryptoparties auf denen man sich seinen Schlüssel signieren/sich das Vertrauen auspechen lassen kann usw. .


    Wenn man sein Gegenüber kennt, genügt sicher der Vergleich des Fingerabdrucks am Telefon.


    Ja, genau. Aber muß man da gleich auf einen Schwindel abheben, zumal er mir bis heute nicht angeboten hat, die Fingerabdrücke am Telefon zu vergleichen?


    Gruß
    Ch. Hanisch
    PS.: Sorry, die Sache mit dem Schlüssel hat sich nur so ergeben, da mein Mailpartner ihn erst gar nicht rausrücken wollte.

  • Hallo Hanisch,


    Zitat von "Hanisch"

    Nachdem ich ihm meinen öffentlichen Schlüssel übersandt hatte, schickte er mir endlich auch seinen mit folgendem Kommentar:
    "...Trotzdem will ich an dieser Stelle aber nochmal darauf hinweisen, dass es streng genommen ziemlich sinnfrei ist, sich den öffentlichen Schlüssel einer anderen Person per Email zukommen zu lassen, um dann die Authentizität der Email selbst zu überprüfen - solange ich nicht sicher sein kann, dass die Email wirklich von der entsprechenden Person ist, kann ich ja wohl erst recht nicht sicher sein, dass der in der Email enthaltene öffentliche Schlüssel wirklich zu dem privaten Schlüssel dieser Person "passt", ..."


    also mal rein theoretisch angenommen, du hättest deinem Mailpartner zuvor gesagt: "Ey, du hast in der signierten Mail vergessen, den Schlüssel mitzuschicken, und deswegen kann ich die Signatur nicht überprüfen"... dann würde ich dir genau das Gleiche antworten. Du musst den Satz schon vollständig lesen; der Nebensatz "um dann die Authentizität der Email selbst zu überprüfen" ist ja wohl ziemlich essenziell und absolut richtig: Ja, es ist sinnfrei, die Authentizität einer PGP-signierten Mail zu überprüfen, wenn man sich dabei auf genau den Schlüssel verlässt, der in der zu überprüfenden Mail selbst enthalten ist. Das ist ungefähr so, wie wenn Aschenputtel selbst dem Prinzen den Schuh überreicht, den dieser ihr dann anprobieren soll ;-)

  • Eine E-Mail zu signieren, ohne dem Empfänger zuvor den Schlüssel zukommen zu lassen ist ja nun auch völlig sinnlos. In diesem Fall hat sich also der Prinz ziemlich blöd angestellt und kommt hinterher oberschlau daher. Dafür kann das Aschenputtel ja nun nichts. :mrgreen:

  • Würd ich nicht sagen. Manche Leute signieren ihre Mails eben grundsätzlich. Wenn der Empfänger den Schlüssel hat - prima. Wenn nicht, so what?
    Und PS: Du scheinst zu verwechseln, wer hier Prinz und wer Aschenputtel ist.

  • Zitat von "pgpTroll"

    Du scheinst zu verwechseln, wer hier Prinz und wer Aschenputtel ist.


    Oh ja, stimmt. Die korrekte Version wäre also die, dass Prinz Hanisch nichts dafür kann, wenn das Aschenputtel sich weigert, ihm die Füße zu zeigen.

  • Nein. Prinz Hanisch geht zum vermeintlichen Aschenputtel und sagt: "Hab leider keinen Schuh, also gib mir mal einen, damit ich ihn dir anprobieren kann."
    Darauf das vermeintliche Aschenputtel: "Ich kann dir gern 'nen Schuh von mir geben, aber wenn du denkst, dass du dadurch rausfindest, ob ich Aschenputtel bin, bist du schön blöd."

  • Zitat von "SusiTux"

    Eine E-Mail zu signieren, ohne dem Empfänger zuvor den Schlüssel zukommen zu lassen ist ja nun auch völlig sinnlos.


    Ja, das sehe ich auch so.
    Aber noch eine Beobachtung möchte ich hier mitteilen.
    Nachdem ich den öffentlichen Schlüssels meines Mailpartners endlich habe, müßte doch die erste Mail (siehe Ausgangsposting) jetzt mit diesem Schlüssel die Signatur als richtig anzeigen. Tut es aber nicht.

    Code
    1. OpenPGP Fehler - Überprüfung der Unterschrift fehlgeschlagen; klicken Sie auf "Details" für weitere Informationen
    2. OpenPGP-Sicherheitsinfo:
    3. Fehler - Überprüfung der Unterschrift fehlgeschlagen


    Nachdem ich meinem Mailpartner meinen Schlüssel übermittelt hatte, kam dann noch eine verschlüsselte und signierte e-Mail an mich an. Danach erhielt ich in einer weiteren Mail seinen öffentlichen Schlüssel.
    1) Hat mein Partner nun zwischenzeitlich sich ein neues Schlüsselpaar generiert, wo der übersandte öffentliche Schlüssel nun nicht mehr auf die "alte"Signatur passt - oder
    2) hat doch die NSA die Finger im Spiel, und der übermittelte öffentliche Schlüssel ist nicht der Originalschlüssel des Absenders?
    Das könnten wir nur durch Überprüfung des Fingerprint feststellen. Leider gibt es von Seiten meines Mailpartners dahingehend keine Kooperation.


    Was meint Ihr dazu?
    Mein Credo ist übrigens:
    Nach Übermitteln des öffentlichen Schlüssels immer über Telefon den Fingerprint überprüfen.


    Gruß
    Ch. Hanisch

  • Hallo,


    Zitat von "pgpTroll"

    Ich kann dir gern 'nen Schuh von mir geben, ...


    Nun, solche Beispiel hinken immer ein wenig, aber ich sehe schon, warum wir nicht zusammenkommen. (Und das hat nichts mit Deinem Schuh zu tun ;-))
    Du betrachtest den Schuh als den öffentlichen Schlüssel. Ich betrachte ihn als die Signatur, weil das m.E. etwas besser zu Hanischs "Leidensweg" passt. Dem öffentlichen Schlüssel entspräche in meinem Märchen dann der Fuß.


    Die Signatur, also den Schuh, hatte das Aschenputtel ja geschickt. Es hatte dem Prinzen Hanisch nur keine Möglichkeit gegeben, zu prüfen, ob der Schuh passt. Jetzt steht er da, hat den Schuh in der Hand, aber sie ziert sich und zeigt ihren Fuß nicht her!


    Die nächste Überprüfung, ob sie, selbst wenn der Schuh passen sollte, auch wirklich das Aschenputtel ist, steht dann aber noch aus. Schließlich könnte die böse Stiefmutter, anstatt ihrer geliebten Tochter die Zehen zu stutzen, den Schuh unbemerkt ausgetauscht haben, noch bevor der Prinz ihn fand.
    Und da es hier immerhin um seine Hochzeit geht, verlässt sich der kluge Prinz also nicht auf Schuh und Fuß allein. Zu Fuß und Schuh kommt also noch der digitale Fingerprint hinzu ;-)


    Zitat von "pgpTroll"

    Manche Leute signieren ihre Mails eben grundsätzlich.


    Im Gegensatz zum Märchen, hat unser Aschenputtel den Schuh ja nicht in der Eile aus Versehen verloren, sondern bewusst geschickt.
    "Ja", werden jetzt manchen Männer sagen (zumindest ein paar hier im Forum ;-)), "so sind die Frauen. Von wegen aus Versehen. Auch das wirkliche Aschenputtel hat das sicher mit Absicht und Kalkül gemacht!"
    Die von Dir beschriebenen Leute gehen jedoch deutlich weiter. Die werfen ja jedem, ob nun Prinz oder nicht, einen Schuh zu. Also ich bitte Dich, so eine war das Aschenputtel nun bestimmt nicht. ;-)


    Hanisch :


    Zitat von "Hanisch"

    Das könnten wir nur durch Überprüfung des Fingerprint feststellen.


    Ja, so ist es.


    Zitat von "Hanisch"

    Leider gibt es von Seiten meines Mailpartners dahingehend keine Kooperation.


    Nun, ich kenne die Gründe dafür nicht. Merkwürdig finde ich das aber schon, gerade weil dieser Mailpartner ja zurecht darauf hingewiesen hat, dass ein Schlüssel, dessen Echtheit nicht geprüft wurde, im Grunde keinen Wert hat.


    Gruß


    Susanne

  • Hallo Susanne,
    ich finde Deinen Vergleich (Märchen) sehr gut, verständlich und anschaulich.
    Aber was meinst Du zu meiner Beobachtung?


    Gruß
    Ch. Hanisch

  • Zitat von "SusiTux"


    Im Gegensatz zum Märchen, hat unser Aschenputtel den Schuh ja nicht in der Eile aus Versehen verloren, sondern bewusst geschickt.


    Das schließt du genau woraus? Wenn jemand seinen MUA so konfiguriert hat, dass grundsätzlich immer signiert wird, hat, dann wurde vielleicht einfach nur ganz beiläufig signiert.


    Wenn ich das richtig lese, dann hat die betreffende Person Ihren Schlüssel sehr wohl dem Hanisch zukommen lassen.


    War es vielleicht so:


    Die Person verschickt eine Mail an Hanisch. Rein routinemäßig signiert, einfach weil der MUA so konfiguriert ist und ohne dass sich dahinter eine tiefere Bedeutung versteckt.
    Hanisch antwortet:


    Zitat

    Ey, ich kann die Signatur in der Mail nicht überprüfen, weil du den Schlüssel nicht mitgeschickt hast.


    Darauf die Person:


    Zitat

    Wenn du meinen Schlüssel willst, hier hast du ihn. Aber mal zum Verständnis: Zur Überprüfung der Signatur einer Mail ist es sinnfrei eben genau den Schlüssel heranzuziehen, der in selbiger enthalten ist, denn schließlich ist dieser (der Schlüssel) auch nicht vertrauenswürdiger als die Mail selbst.


    PS: Und ja, ich halte es für angemessener, den Schlüssel mit dem Schuh gleichzusetzen. Der Schlüssel ist ja dasjenige welche, auf dessen Echtheit Verlass sein muss. Genau so, wie der Prinz im Märchen sich nur darauf verlassen konnte, dass der Schuh dem echten Aschenputtel gehört. Der Schuh war also das Instrument für die Verifikation. Genau wie es bei PGP der Schlüssel ist.

    Einmal editiert, zuletzt von pgpTroll ()


  • Ja, genau so war es.
    Was mich aber total irritierte, daß mein Mail-Partner nicht sofort geantwortet hat: "Laß uns mal den Fingerprint überprüfen", statt mir die altbekannten Dinge von "Man-in-the-Middle-Attacke" vorzubeten.


    Und was sagst DU zu meinen Bemerkungen in einem meiner letzten Posting?


    Gruß
    Ch. Hanisch

  • Zitat von "Hanisch"


    Ja, genau so war es.
    Was mich aber total irritierte, daß mein Mail-Partner nicht sofort geantwortet hat: "Laß uns mal den Fingerprint überprüfen", statt mir die altbekannten Dinge von "Man-in-the-Middle-Attacke" vorzubeten.


    Woher soll dein Mailpartner wissen, dass diese Dinge für dich altbekannt sind? Wie ich schon geschrieben hatte: Wenn mir jemand so einen naiv anmutenden Kommentar schicken würde, hätte ich auch den Eindruck, derjenige hat etwas ganz Grundsätzliches an PGP nicht verstanden und würde mich evtl. berufen fühlen, ihn dahingehend mal aufzuklären.

  • Zitat von "pgpTroll"

    Woher soll dein Mailpartner wissen, dass diese Dinge für dich altbekannt sind?


    Und woher will er, bitte schön, wissen, daß diese Dinge für mich nicht altbekannt sind? Diese Unterstellung hat mich irritiert, zumal mein Mail-Partner wissen sollte, daß ich kein blutiger Anfänger bin. Allerdings ging er irrtümlicherweise davon aus, daß ich von PGP nichts verstünde.
    Das Überprüfen der Signatur ist in erster Linie ein technischer Vorgang im Programm. Darauf wollte ich meinen Mail-Partner hinweisen, der alle seine e-Mails (unverschlüsselt oder verschlüsselt) signiert.


    Gruß
    Ch. Hanisch