Public Key im Test mit adele

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.3.0
    * Betriebssystem + Version: WINDOWS 7
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): Posteo
    * S/MIME oder PGP: PGP


    Guten Tag,
    dies ist mein 1. post in diesem Forum.
    Ich bin PC-Laie, 67 Jahre alt und wage mich trotzdem an das Thema Verschlüsselung.
    Dafür bin ich dem Tutorial "Emails verschlüsseln in 30 Minuten" gefolgt.
    Ich teste mit mails an adele wie im Gpg4win-Kompendium beschrieben.


    1.Problem
    Habe meinen öffentlichen Schlüssel als Text in einer mail über Thunderbird an adele geschickt. Der öffentliche Schlüssel wurde erkannt, allerdings mit der Bemerkung, dass er einer anderen Adresse zugeordnet sei als die, von der ich die mail geschickt habe.
    Diese andere Adresse ist eine Alias-Adresse (Identität), die im Zertifikat aber vermerkt ist. Adele meint, das könne zu Konfusion beim Mail-Empfänger führen.
    Ich hoffe, ich muss nicht für jede Identität ein eigenes Schlüsselpaar erzeugen.


    2.Problem
    Der mir zugesandte öffentliche Schlüssel von Adele ist viel, sehr viel länger als meiner. Hat das was zu bedeuten?


    3. Problem
    Wenn ich meinen öffentlichen Schlüssel als Dateianhang an adele schicke (also nicht als Text in der mail selbst), wird er nicht erkannt. Adele antwortet: "Ihre E-mail enthält keinen Schlüssel ..."
    Habe probehalber denselben Anhang an eine andere email-Adresse von mir bei einem anderen Provider geschickt. Die Datei kommt an.
    Mache es genauso wie im Kompendium unter 8.1. beschrieben.


    Bin ratlos und hoffe auf Eure Hilfe,
    PGP-Thunder

  • Hallo PGP-Thunder,


    und willkommen im Forum!
    Ich freue mich, dass es wieder jemand gibt, der sich mit der Thematik der Verschlüsselung seiner E-Mails oder dem Schutz seiner Privatsphäre befassen möchte. Auch wenn ich schon sehr lange von GnuPG "weg bin", ein klein wenig verstehe ich schon von Verschlüsselung.


    zu 1.)
    Adele passt eben genau auf und bemerkt solche kleinen Besonderheiten. Aber du kannst selbstverständlich (wenn du es richtig machst) mehrere E-Miladressen in deinem öffentlichen Schlüssel unterbringen. Bei S/MIME, was ich favorisiere, ist das nicht mal ungewöhlich, ich selbst habe aber viel lieber ein eigenes Zertifikat für jede E-Mailadresse. Das hat auch was damit zu tun, dass ich eben nicht die Verknüpfung verschiedener Identitäten zeigen will. Kryptologisch spielt das aber keine Rolle.


    zu 2.)
    Zum einen müsste ich jetzt wissen, mit welcher Schlüssellänge sowohl du als auch Adele ihren Schlüssel erzeugt haben. Vor 20 Jahren habe ich mal mit 768bit-Schlüsseln angefangen, heute sind 4Kbit üblich.
    Außerdem gibt es ja bei GnuPG das so genannte "Web of Trust", wo möglichst viele Nutzer ihre Schlüssel gegenseitig signieren. Und ein public key, der von einem Dutzend anderer Nutzer signiert wurde, ist eben schon "ein klein wenig" größer, als einer den du gerade erzeugt hast und lediglich von dir selber signiert wurde. Wichtig ist die Schlüsselänge, mit der du dein Schlüsselpaar erzeugt hast.


    zu 3.)
    Hier muss ich leider passen. Aber wir haben hier viele GnuPG-Nutzer, die dir bestimmt helfen werden.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo PGP-Thunder,


    Ich bin PC-Laie, 67 Jahre alt und wage mich trotzdem an das Thema Verschlüsselung.


    Reschpekt! Es gibt Millionen jüngere, die sich das offenbar nicht zutrauen.
     
    Ich habe nun Punkt 3 gerade zum Test ausprobiert. Meinen öffentlichen Schlüssel habe ich über Verfassenfenster Menu -> Enigmail -> Öffentlichen Schlüssel anhängen angefügt. Das klappt tadellos. Beschreibe doch einmal genau, wie Du vorgegangen bist.


    Gruß


    Susanne

  • [OT]
    Ja, Susanne ...
    ... wir Alten habens schon noch drauf ;-)
    Vielleicht liegt es auch nur daran, dass die "Generation Facebook" das Wort "Privatsphäre" schon aus ihrem Wortschatz gestrichen hat. Wer weiß ... .


    MfG Peter
    [/OT]

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • [OT]
    Vielen Dank, lieber graba. Das wäre mir doch beinahe entgangen.
    Anderseits weiß der Peter als guter Ehemann ja gewiss, dass Frauen irgendwo zwischen 30 und 40 Jahren aufhören zu altern. Somit kann er mich in dem "wir" ja gar niemals ned eingeschlossen haben. ;-)


    (Könntest Du trotzdem seiner Frau mal heimlich den Link auf diese Seite schicken? Nur falls Peter vielleicht doch Informationsbedarf zum Thema "Alter bei Frauen" hat. ;-) )
    [OT]

  • [OT]
    Da will ich doch mal lieber auflösen.
    Mit "wir Alten" meinte ich PGP-Thunder und mich selbst. Wir sind nämlich so ziemlich eine Altersklasse. (Nur mit dem kleinen Unterschied, dass ich schon 1970 mit dieser Materie "zusammengebracht" wurde, und sie mich bis heute begleitet.)


    Und ja, die Oma unserer Enkel hat nur gelacht.


    Aber jetzt bitte zurück zum Thema, falls sich PGP-Thunder wieder meldet.
    [/OT]


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • [OT]
    Hallo zusammen,


    wie heißt es ausschnittweise in einem "Irischen Segensspruch":


    Zitat

    Ertrage dein Alter, verabschiede dich mit Grazie von der Jugend.


    Also: Ob Damen- oder Herrenwelt.


    Gelassenheit ist angesagt! :-D


    Gruß
    Feuerdrache
    [/OT]

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    2 Mal editiert, zuletzt von Feuerdrache ()

  • Zu 1)
    Das Argument von Peter_Lehmann,Die Verknüpfung verschiedener Identitäten nicht offenzulegen, hat mich überzeugt. Werde also für jede Adresse ein eigenes Schlüsselpaar erzeugen.


    Zu 2)
    Schlüssellänge ist 4096 was auch immer, wenn ich die Überschrift <Stärke> in den Schlüsseleigenschaften richtig interpretiere. Wie zu sehen, habe ich das noch nicht kapiert. Wer entblödet mich?
    Die öffentlichen Schlüssel werden durch die Signierungen also immer länger? Wieso müssen die ein Teil des zu importierenden Schlüssels sein?
    Der mir von adele zugesandte Schlüssel war über 1300 Zeilen lang! Wollte ihn mit Cut-and-paste übernehmen - der cut ist aber immer gescheitert. Habe ihn mir schließlich über den Schlüsselserver importiert, was reibungslos geklappt hat, ebenso wie der 1. Test einer verschlüsselten mail an adele. War schon ein bisschen stolz.


    A propos Schlüsselserver: Habe nicht vor meinen public key zu veröffentlichen. Werde ihn nur an mails anhängen. Habe das ungute Gefühl mit einer Veröffentlichung nur einen Selbstbedienungsladen für die Spammer dieser Welt zu beliefern. Begründet?


    Zu 3)
    Danke SusiTux fürs Kompliment.


    Mit einem Dateianhang <Mein öffentlicher Schlüssel> mit den asc.Daten drin konnte Adele nichts anfangen. Die andere Methode über die Verfassen-Seite und Enigmail hatte natürlich funktioniert.
    Habe mir den Anhang bei einer gmail-Adresse mal angesehen. Damit kann niemand auf Anhieb was anfangen, wenn die Datei 0x5FA...asc heißt. Ich würde eher nicht auf sowas klicken.
    Bei gmail kam aber ein Dateianhang mit dem selbst vergebenen Namen <Mein öffentlicher Schlüssel> genau so an und enthielt die entsprechenden Daten.
    Bei dem mail-Provider ok.de hat das jedoch nicht funktioniert. Gezeigt wurde ein Diskettensymbol mit 3 Fragezeichen drin und den kryptischen asc-Daten drunter. Da würde ich ganz bestimmt nicht draufklicken.
    Kann das daran liegen, dass ok.de keine Verschlüsselung unterstützt? Oder können die einfach mit asc-Dateien nichts anfangen?


    Sehr wahrscheinlich werden alle meine Bemühungen mails verschlüsselt auszutauschen vergeblich sein, weil niemand bereit sein wird, mitzumachen. ("Mir zu aufwändig und zu umständlich" - "Habe nichts zu verbergen" etc.)
    Dieselben Leute würden mir sicher die Freundschaft aufkündigen, wenn mir einfiele, bei Ihnen einfach deren Briefe zu öffnen und zu lesen mit dem Hinweis, dass sie ja nichts zu verbergen hätten.
    Die meisten sind zudem schon froh, wenn sie ihre Werbeschleuder-webmails unfallfrei bedienen können.


    Vielen Dank für Eure Hilfestellungen!
    Gruß von PGP-Thunder

  • Hallo PGP-Thunder,


    Wie zu sehen, habe ich das noch nicht kapiert. Wer entblödet mich?


    Dies Frage verstehe ich nicht. Die müsstest Du wohl etwas konkreter stellen.


    Die öffentlichen Schlüssel werden durch die Signierungen also immer länger? Wieso müssen die ein Teil des zu importierenden Schlüssels sein?


    Der Sinn ist ja der, dass ein Dritter Deinen Schlüssel signiert und damit anderen anzeigt, dass er Dir vertraut. Diese Signatur wird dann Bestandteil Deines Schlüssels. Jemand, der ihn importiert, sieht dann, dass er von dieser dritten Person signiert wurde.
    Im Bekanntenkreis, also zwischen Personen, die sich kennen, ist das nicht nötig.


    Habe ihn mir schließlich über den Schlüsselserver importiert, was reibungslos geklappt hat, ebenso wie der 1. Test einer verschlüsselten mail an adele. War schon ein bisschen stolz.


    Ja, da darfst Du gern etwas stolz sein :-) 
    Die einfachste Methode, Schlüssel zu importieren, ist wohl die über das Menü: Enigmail -> Schlüssel des Absenders -> Schlüssel importieren. Umgekehrt würde ich Dir raten, Deinen öffentlichen Schlüssel nicht von Hand sondern ebenfalls über das Menü anzufügen: Eingmail -> Öffentlichen Schlüssel anhängen.
    Das bewahrt Dich davor, aus versehen Deinen geheimen Schlüssel zu versenden.


    Habe das ungute Gefühl mit einer Veröffentlichung nur einen Selbstbedienungsladen für die Spammer dieser Welt zu beliefern. Begründet?


    Ich denke schon. Ich kenne keine belastbaren Zahlen, aber ich vermeide diese Server ebenfalls - zumal die Anzahl der Mailpartner überschaubar ist.


    Habe mir den Anhang bei einer gmail-Adresse mal angesehen. Damit kann niemand auf Anhieb was anfangen, wenn die Datei 0x5FA...asc heißt. Ich würde eher nicht auf sowas klicken.


    Webmailer können mit den Schlüsseln nichts anfangen. Sie haben gar keine Funktion dafür. Wenn sie eine hätten, müssten sie zum entschlüsseln Deinen geheimen Schlüssel kennen. Das würde die Idee ad absurdum führen, weil der Schlüssel dann ja nicht mehr geheim wäre. Der Betreiber des Webmailers könnte dann die E-Mails entschlüsseln.
    Denkbar wäre natürlich das Modell, dass der Webmailer den verschlüsselten Text an den Browser überträgt und erst dieser ihn dann lokal entschlüsselt. Ich kenne aber keinen Betreiber, der so etwas unterstützt und auch keinen Browser, der etwas mit GPG-Schlüsseln anzufangen wüsste.


    Solltest Du aus Versehen Deinen geheimen Schlüssel verschicken, dann kann der Webmailer damit zunächst ebenfalls nichts anfangen. Aber jeder, der in Besitz dieser Datei gerät, könnte sie missbrauchen und damit an Dich gerichtete E-Mails entschlüsseln. In diesem Fall solltest Du das zugehörige Schlüsselpaar nicht mehr verwenden.


    Sehr wahrscheinlich werden alle meine Bemühungen mails verschlüsselt auszutauschen vergeblich sein, weil niemand bereit sein wird, mitzumachen.


    Ja, das kann sein. Die Bereitschaft ist u.a. aus den von Dir genannten Gründen nicht sehr hoch. Snowden ist ebenfalls schon fast wieder vergessen. Es könnte aber auch sein, dass gerade die Generation ü50 zum Vorreiter wird. Mein Eindruck ist, dass diese Menschen sich weit mehr Gedanken machen als die Generation u30.
    Apropos gmail. Du weißt, dass Google sich ausdrücklich das Recht vorbehält, E-Mails inhaltlich auszuwerten?


    Abschließend noch ein weiterer Rat: Sichere die Schlüsselpaare gut. Sollten sie verloren gehen, kannst Du damit verschlüsselte E-Mails nicht mehr lesen.


    Weiterhin gutes Gelingen!


    Susanne



    P.S.:


    Noch ein Nachtrag. Jetzt bist Du mit GPG schon ein gutes Stück vorangekommen. Sollte das Deinen Mailpartner alles zu kompliziert sein, schau Dir auch mal S/MIME an. Das ist von der Handhabung her meines Erachtens leichter. Es werden keine weiteren Programme wie GPG oder Enigmail benötigt. Der TB kann damit von Haus aus umgehen.
    Die dazu benötigten Zertifikaten bekommt man entweder (gegen Geld) von Zertifizierungsstellen, oder Du erzeugst sie für Dich und Deine Bekannten selbst. Peter kann dazu mehr Details anbieten.

    2 Mal editiert, zuletzt von SusiTux ()

  • Bin gerade durch Zufall auf diesen alten Thread gestoßen. Für den Fall, dass das noch jemanden passiert, eine kleine Ergänzung:


    Denkbar wäre natürlich das Modell, dass der Webmailer den verschlüsselten Text an den Browser überträgt und erst dieser ihn dann lokal entschlüsselt. Ich kenne aber keinen Betreiber, der so etwas unterstützt und auch keinen Browser, der etwas mit GPG-Schlüsseln anzufangen wüsste.

    Nun, inzwischen gibt es ein paar Provider, die über die Erweiterung Mailvelope genau dies anbieten, z.B. Posteo, mailbox.org(?), gmx, web.de. Einmal eingerichtet ist die Kombination TB/Enigmail aber weitaus komfortabler.