Frage zu "Verschlüsseln, wenn möglich"

  • Edit: Es ist nicht sinnvoll, sich an einen Thread zu hängen, der eine nur ähnliche oder sogar andere Thematik behandelt bzw. bezüglich der Ausgangsvoraussetzungen veraltet ist ( :arrow: Erstellen neuer Themen). Ich habe deshalb mit deinem Beitrag diesen neuen Thread eröffnet. Ursprünglicher Thread: Mails standardmäßig an SMIME Empfänger verschlüsselnMod. graba



    Hallo,


    wiseguy sagte im ersten Post

    "wiseguy" schrieb:

    ...Bei GPG bzw. Enigmail gibt's die Option: Verschlüsseln, wenn Möglich (also wenn ein öffentlicher Schlüssel für alle Empfänger vorhanden ist, dann verschlüsseln und sonst nicht)...


    Kann mir jemand verraten, wo ich diese Option finde?
    Man möge mir nachsehen, dass die Frage hier OT ist, aber ich suche schon eine gefühlte Ewigkeit nach genau dieser Einstellung und habe nichts gefunden.
    Ohne eine solche Einstellmöglichkeit (oder einem entsprechenden Add-On wie für S/MIME) ist Email-Verschlüsselung im Alltag IMHO kaum nutzbar - sei es nun S/MIME oder PGP.


    Schonmal tausend Dank, beste Grüße sowie ein freundliches "Hallo, ich bin der Neue" an das Forum.
    fri.b


    [Win 7 Professional; TB 24.2.0]

  • Hallo fri.b.,


    die Option ist etwas versteckt, weil sie nicht generell sondern für jedes Konto separat vorgenommen werden kann. In den Einstellungen des jeweiligen Kontos, also nicht oben in der Menüleiste, findest Du den Punkt "OpenPGP-Sicherheit". Dort kannst Du einen Haken setzen bei "Nachrichten standardmäßig verschlüsseln".


    Alternativ kannst Du natürlich auch Regeln hinterlegen.


    Gruß


    Susanne

  • Hallo Susanne,


    Danke für deine Antwort.
    Enspricht diese Option nicht aber gerade einem "Immer verschlüsseln"? Da nur in 1% der Fälle ein öffentlicher Schlüssel verfügbar ist, bekomme ich so in 99% der Fälle beim Versenden einer Email eine Fehlermeldung/den Schlüsseldialog - was diese Option IMHO für den alltäglichen Gebrauch ausschließt.
    Bliebe "Nie verschlüsseln" und das aufwendige erstellen und pflegen von Empfängerregeln für jeden einzelnen Kontakt, zu dem ein Schlüssel vorliegt.
    In meinen Augen sind beide Möglichkeiten viel zu unpraktikabe und aufwendig als dass Menschen dazu übergehen würden, OpenPGP in ihrer alltäglichen Kommunikation einzusetzen.


    Was mir fehlt ist eine Option "Beim versenden unverschlüsselter Emails immer prüfen, ob diese nicht auch verschlüsselt werden könnten." (eventuell mit Beschränkung auf Emails mit genau einem Empfänger, um Problemen mit 'gemischten' Empfängerlisten aus dem Weg zu gehen)
    Ideal wäre noch eine Funktion, die zusätzlich einen Schlüsselserver kontaktiert, wenn der Emailempfänger weder in meiner Schlüsselverwaltung noch im Adressbuch hinterlegt ist.


    Grüße
    fri.b

  • Hallo fri.b,


    wenn die Zahl der Empfänger so gering ist (wie ja leider zu erwarten war), dann versuche mal, ob Du das nicht über eine Empfängerregel abhandeln kannst.


    Gruß


    Susanne

  • Hallo Susanne,
    ja, Empfängerregeln sind leider die einzige Möglichkeit, die ich bisher gefunden habe. Aber wie gesagt: in meinen Augen ist dieses Vorgehen für den Alltag alles andere als geeignet, da zu aufwendig.


    Beispiel: Ich will dem Support einer Firma X mitteilen, dass ich eine Rückzahlung auf das Konto Y wünsche. Statt einfach an die angegeben Support-Adresse zu schreiben muss ich zunächst einen Öffentlichen Schlüssel suchen, diesen importieren, für die Support-Adresse eine Regel erstellen, und diese in Zukunft pflegen.


    Notfalls alles machbar, aber an sich ist ein Computer doch genau dafür prädestiniert: stupide, immer wiederkehrende Arbeiten dem User abzunehmen. Warum muss ich mich also doch selber um die Pflege von Schlüsseln und Regeln kümmern, anstatt dass das automatisiert abläuft?


    Nachdem die Einrichtung von OpenPGP in TB mit den vorhandenen Assistenten mittlerweile zu einem angenehm einfachen 'Durchklicken' geworden ist, denke ich, dass diese eher aufwendige Art der (Ver-)Schlüssel(-ungs-)verwaltung das größte Hindernis dafür ist, dass sich eine standardmäßige Nutzung von Verschlüsselung in der alltäglichen Kommunikation durchsetzt.


    Besten Dank und Grüße
    fri.b

  • Hallo fri.b,


    "fri.b" schrieb:

    Aber wie gesagt: in meinen Augen ist dieses Vorgehen für den Alltag alles andere als geeignet, da zu aufwendig.


    So ganz kann ich das nicht nachvollziehen. Wenn Du den Schlüssel einmal importiert hast, erkennt TB/Enigmail das ja anhand der E-Mailadresse. Wenn Du das nächste mal eine E-Mail an diesen Empfänger schreibst, brauchst Du also nur anzugeben, dass Du diese E-Mail verschlüsseln/signieren willst, und das war es auch schon.


    Da ich nur wenige Kontakte habe, die verschlüsselt kommunizieren, erledige ich das von Hand, ohne Empfängerregel. Das sind zwei Kilcks: OpenPGP -> Nachricht verschlüsseln. Das ist ja nicht gerade viel Aufwand.


    Gruß


    Susanne

  • Hallo Susanne,
    Ja, machbar ist das sicher - und man 'bricht sich dabei auch keinen ab'.
    Wenn man eine bestimmte Email explizit verschlüsseln will und den Empfängerschlüssel hat, ist so alles schnell gemacht. Für brisante, sehr vertrauliche Kommunikation (Bankkommunikation; Journalisten <-> Quellen o.ä.) ist der Prozess, wie er jetzt ist, sicher in Ordnung. Auch bei Kontakten, mit denen ich routinemäßig und viel schreibe, lässt sich das sicher vertretbar umsetzen. Aber der ganze Rest... ?


    Was eben wünschenswert wäre, ist, dass allgemein dazu übergegangen wird, so weit wie möglich jegliche Kommunikation zu verschlüsseln. Nicht nur brisante Inhalte, bei denen ich explizit drauf achte, sondern auch ganz alltägliche, belanglose Emails. Und genau bei dieser alltäglichen Kommunikation wird es sich kaum durchsetzten können, immer ein Liste im Kopf zu haben, an welche Kontakte verschlüsselt werden kann. Da sind es nicht die zwei Klicks mehr, die stören, sondern das man sich ständig eine aktuelle Liste merken und beim versenden auch daran denken muss.
    Ähnliches gilt für Empfängerregeln: zwar keine Liste merken und dran denken aber eine Liste von Regeln erstellen und pflegen.


    Wie gesagt: alles kein Aufwand, der nicht notfalls zu stemmen wäre - aber ich kann mir schwer vorstellen, dass ich der einzige bin der sich fragt, warum dem User diese Arbeit nicht vom Computer abgenommen wird.


    Beste Grüße
    fri.b

  • Hallo fri.b,


    mir scheint, Du bist ein rechter Pessimist.


    "fri.b" schrieb:

    ... immer ein Liste im Kopf zu haben, an welche Kontakte verschlüsselt werden kann.


    Es wirkt, als konstruiertest Du gerade ein Problem, wo zumindest kein großes ist. Sagtest Du nicht selbst, dass es nur ganz wenige E-Mailpartner betrifft - zu wenige jedenfalls, um die Option "Nachrichten standardmäßig verschlüsseln" zu verwenden?


    Diese Liste pflegt der Schlüsselbund für Dich. Und wenn er zu einer E-Mailadresse keinen Schlüssel finden kann, fragt er halt nach.


    Enigmail hat übrigens auch die Option, auf verschlüsselte/unterschriebene E-Mails automatisch verschlüsselt/unterschrieben zu antworten. Das ist standardmäßig auch so eingestellt. Bleibt noch die jeweils erste E-Mail in einem Thread. Das lässt bei einer überschaubaren Anzahl an E-Mailpartner sehr gut über die Empfängeregeln handhaben.


    Warum probierst Du es nicht einfach mal aus? Und wenn es tatsächlich so viele E-Mailpartner werden, dass Du mit den Regel nicht mehr hinterherkommst, freuen wir uns über die Verbreitung. Denn


    "fri.b" schrieb:

    Was eben wünschenswert wäre, ist, dass allgemein dazu übergegangen wird, so weit wie möglich jegliche Kommunikation zu verschlüsseln.


    Du kannst Dir auch mal S/MIME anschauen. Vielleicht ist dort komfortabler gelöst.


    Gruß


    Susanne



    Edit: Jetzt habe ich gerade noch etwas gesehen. In den Einstellungen von PGP gibt es den Punkt "Keine manuelle Auswahl der Schlüssel". Das solltest Du mal in Kombination mit "Nachrichten standardmäßig verschlüsseln" ausprobieren.

  • Hallo fri.b,


    auch wenn ich mich prinzipiell schon lange nicht mehr mit PGP/GnuPG befassen möchte, will ich doch noch einige Bemerkungen dazu abgeben.


    Vorab:
    Seit dem "Ankommen" von PGP 2.0.6 für DOS in Deutschland verschlüssele ich (auch) fast alle meine private E-Mailkommunikation. Die ersten rund 10 Jahre mit PGP/GnuPG, und danach bis jetzt ausschließlich mit S/MIME. Ich weiß also, wovon ich schreibe ... .


    Ich sehe das Problem nicht darin, dass ich mir irgendwie merken muss, an wen ich verschlüsselt senden kann (man kann ja da nichts falsch machen - kein public key => keine Verschlüsselung möglich). Das eigentliche Problem war zumindest am Anfang, meinen Mailpartnern klar zu machen, warum man seine Privatsphäre schützen muss. Und das schon viele Jahre, bevor auch dem letzten von uns ein gewisser E. Snowden klar gemacht haben dürfte, warum. Nun, ich habe diese Ochsentour mit Erfolg absolviert.


    Unter S/MIME ist es ja überhaupt kein Problem, an die richtigen Personen automatisch verschlüsselt zu senden.
    Mit einem der beiden Add-ons "Encrypt if possible" oder "Security Settings from Adress Book" muss man nicht mehr darüber nachdenken. Der Thunderbird bzw. die Add-ons übernehmen hier das Mitdenken, und du musst weder das Senden wiederholen (weil kein Zertifikat) oder ärgerst dich, dass du NSA-freundlich gesendet hast.


    Diese Funktion wird, und das ganz deutlich gesagt, nicht vom Thunderbird bereitgestellt, sondern von zwei Add-ons, welche von externen Entwicklern bereit gestellt werden, denen ich dafür sehr danke.
    Wenn das durch Enigmail nicht in entsprechender Art und Weise geleistet wird (?), dann ist das keine "Schuld" des Thunderbird oder seiner wenigen Entwickler, sondern ein vieleicht noch zu realisierendes Feature von Enigmail. Und ich bin der Meinung, dass hier vielleicht eine Bitte an Patrick Brunschwig, den Entwickler von Enigmail mehr hilft, als hier <zensiert> ... . (edit nach dem Lesen des zwischenzeitlichen Beitrags von Susanne: Oder ist das vlt. doch nur zu gut versteckt?)
    Da die grundlegenden Mechanismen bei S/MIME und GnuPG die gleichen sind, könnte ich mir auch feststellen, dass auch eine Bitte oder eine Anregung an die Entwickler der beiden o.g. Add-ons für S/MIME vielleicht dein Problem lösen könnte. So schlimm stelle ich mir das jedenfalls nicht vor.


    Bevor ich zu meiner großen Freude die beiden o.g. Add-ons entdeckt habe, habe ich das ebenfalls sehr gute Add-on "Virtual Identity" für diesen Zweck genutzt! Richtig konfiguriert merkt sich dieses Add-on automatisch bei jeder versendeten Mail eine ganze Reihe von Sende-Einstellungen. Nicht nur Klickibunti oder Reintext, sondern auch, ob eine Verschlüsselung und/oder Signatur mit S/MIME oder auch PGP/GnuPG (!) gewünscht ist. Ein mal richtig gesendet = immer richtig gesendet!
    (Da ich dieses Add-on nicht mehr benötige, weiß ich allerdings nicht, ob es zu den aktuellen TB-Versionen noch kompatibel ist.)


    Zitat

    Was eben wünschenswert wäre, ist, dass allgemein dazu übergegangen wird, so weit wie möglich jegliche Kommunikation zu verschlüsseln.


    full ack!


    Zitat

    Nicht nur brisante Inhalte, bei denen ich explizit drauf achte, sondern auch ganz alltägliche, belanglose Emails.


    ebenso
    Wir nennen es die "kryptologische Rauschglocke". Je mehr wir verschlüsseln, desto "normaler" wird die Verschlüsselung. Vor gut 20 Jahren bin ich bestimmt noch richtig aufgefallen ... . Je mehr "unwichtiges" verschlüsselt wird, umso mehr macht es den Neugierigen Mühe, den richtigen Stoff zum Entschlüsseln (oder zum Speichern, bis dieses effektiv und bezahlbar möglich ist) auszuwählen.


    Zitat

    aber ich kann mir schwer vorstellen, dass ich der einzige bin der sich fragt, warum dem User diese Arbeit nicht vom Computer abgenommen wird.


    Siehe oben. Einschließlich Vorschlägen zu Lösung des Problems.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!