Comments on "Thunderbird and end-to-end email encryption – should this be a priority?"

  • Hallo zusammen,
    es wird über das einbinden einer Verschlüsselung in Thunderbird diskutiert.
    https://groups.google.com/foru…c/tb-planning/i_5_6pY2AAw
    und
    https://groups.google.com/foru…c/tb-planning/x0oSyHVwxIk
     
    Gruß
     EDV-Oldi

  • Was mir gut gefällt, ist der Beitrag von Volker zum Thema PEP. Siehe auch http://www.heise.de/security/m…ung-steigern-2391141.html


    Wenn man wirklich die Massen an die Verschlüsselung bringen will, dann funktionieren meiner Meinung nach nur Ansätze, bei denen der Anwender sich um nahezu nichts kümmern muss.


    Was mir gar nicht gefällt ist dieser Vorschlag aus dem anderen Faden:


    Zitat

    Another step would be to have Firefox sync like features for Thunderbird, that could save the private key in encrypted form in the cloud, if the user wishes so.


    Denn das hieße, dass ein Benutzer seinen privaten Schlüssel irgendjemanden in der Cloud anvertraut.

  • Wenn man wirklich die Massen an die Verschlüsselung bringen will, dann funktionieren meiner Meinung nach nur Ansätze, bei denen der Anwender sich um nahezu nichts kümmern muss.

    Wenn man dem Anwender die teilweise komplexen Schritte abnimmt, dann muss der aber demjenigen absolut vertrauen, der ihm das abnimmt!


    Ein gutes Beispiel dafür ist die Volksverschlüsselung. Sie nimmt dem Anwender

    • das Erstellen der Schlüsselpaare ab,
    • die Beantragung und Ausstellung eines bzw. mehrerer Zertifikate darüber,
    • die Installation der Zertifikate in den verschiedenen Zertifikatsspeichern,
    • die Bereitstellung des öffentlichen Schlüssels in einem jedermann zugänglichen Verzeichnis und
    • die Prüfung, ob ein gewählter Mail-Adressat einen Schlüssel besitzt und somit an ihn verschlüsselt kommuniziert werden kann.

    Eine ganze Menge! Aber man muss sich auch klar machen, dass alle diese Bequemlichkeiten im Hintergrund durch Prozeduren gesteuert ablaufen und der Anwender auch nicht verfolgen kann (und meist auch nicht verstehen würde) was da gemacht wird. Insofern muss an den Ersteller dieser Prozeduren (hier das Fraunhofer-Institut für Sichere Informationstechnologie) ein hoher Anspruch gerichtet werden.


    Gruß
    Nanuk

  • Insofern muss an den Ersteller dieser Prozeduren (hier das Fraunhofer-Institut für Sichere Informationstechnologie) ein hoher Anspruch gerichtet werden.

    Sehr richtig erkannt.
    Und deshalb werden von seriösen Zertifizierungsstellen alle diese Vorgänge in der Policy (Zertifizierungsrichtlinie) sauber und ausführlich dokumentiert. Für Fachleute sogar überprüfbar. Es wird sich auch in Deutschland keine Zertifizierungsstelle erlauben, Sachen in ihre Policy zu schreiben, die nicht durch die überprüfende Behörde (Bundesnetzagentur) überprüft werden können und auch überpruft werden. Es handelt sich immerhin um Zertifikate zur Erstellung von fortgeschrittenen Signaturen gemäß SigG.


    Ich habe mich intensiv mit der Policy der VV befasst und auch einen regen Kontakt (persönlich und per E-Mail) gehabt. Ich bin persönlich von dem, was da geschaffen wurde, wirklich sehr überzeugt!
    Das beginnt bei der sehr ordentlich durchgeführten Personenidentifizierung (jeder kann darauf vertrauen, dass der Name im Zertifikat authentisch ist!) und geht bis zur dokumentierten Erzeugung des privaten Schlüssels auf dem Rechner des antragstellenden Nutzers. Der prvate key verlässt diesen Rechner also niemals (es sei denn, dieser Rechner ist mit dem Trojaner irgend eines Geheimdienstes oder eines sonstigen Verbrechers infiziert).


    Trotzdem habe ich zwei Kritikpunkte, welche von den Machern der VV leider nicht anerkannt werden, und die IMHO die Verbreitung der VV sehr entgegenstehen:

    • Die Macher der VV wollen partout nicht einsehen, dass nur ein von vorn herein in den gängigen Browsern und MUA installiertes Herausgeberzertifikat ("Builtin Object Token") eines etablierten TrustCenters gewährleistet, dass eben alle Empfänger ein derartiges Absenderzertifikat anerkennen. Durch das Beharren auf ein selbst signiertes Zertifikat ist und bleibt das eine Insellösung zwischen VV-Nutzern oder erfahrenen Nutzern, welche die VV-Herausgeber-Zertifikate selbst herunterladen und importieren. Bei einer Behörde werden die Absender einer mit einem von der VV signierten Benutzerzertifikat wohl auf Granit beißen. Ich kann mir nicht vorstellen, dass es kein deutsches TrustCenter gibt, welches sich bei der VV nicht auf eine Crosszertifizierung oder der Signatur derer Herausgeberzertifikate einlassen würde.
    • Wie schon geschrieben, wird (oder wurde bei mir) die Personenidentifizierung sehr ordentlich gemacht. Ich kann aber nicht verstehen, wieso ich diese exakt nach SigG §5 durchgeführte Personenidentifizierung nur für die eine, bei der Registrierung angegebene, E-Mailadresse benutzen kann. Das verlangt noch nicht einmal das SigG! Bei einer weiteren Adresse (und wer hat heutzutage nur eine einzige Mailadresse?) muss ich einen wiederholten Identifizierungsvorgang über mich ergehen lassen. => Absolut kontraproduktiv!


    BTW: Der Eintrag in den Verzeichnisdienst ist eine mögliche Option und keine Pflicht! (Ich habe diese Option dankend abgelehnt.)
    Ich habe in den letzten gut 20 Jahren Zehntausende verschlüsselte E-Mails empfangen und versandt. (Bei mir gelebter Standard!). Aber ich habe noch niemals an einen mir bis dato völlig unbekannten Menschen beim allerersten Kontakt eine verschlüsselte Mail geschickt. Der erste Kontakt war und ist immer per "Barfuß-Mail" oder telefonisch. Und dabei wurden/werden die Möglichkeiten einer gesicherten Kommunikation ausgelotet (oder der neue Partner davon überzeugt).
    (Außer natürlich auf Arbeit, wo wir die Zertifikate (= öffentlicher Teil) gleich im Rahmen ihrer Erzeugung auf den großen Verzeichnisdienst schubsen.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Die Macher der VV wollen partout nicht einsehen, dass nur ein von vorn herein in den gängigen Browsern und MUA installiertes Herausgeberzertifikat ("Builtin Object Token") eines etablierten TrustCenters gewährleistet, dass eben alle Empfänger ein derartiges Absenderzertifikat anerkennen.

    Hallo Peter,
    da hast Du sicher recht, aber mann muss auch sehen wie schwierig, langwierig und teuer es ist, vor dem Industriekonsortium „CA/Browser Forum“ Anerkennung zu finden. Da aber die Deutsche Telekom bei dem ganzen Projekt Pate stand, hätte ich mit durchaus vorstellen können, dass die Telekom/Telesec das Rootzertifikat von Fraunhofer SIT signiert. Möglicherweise verbietet das jedoch die Policy - ich hab nicht nachgeschaut.


    Ich kann aber nicht verstehen, wieso ich diese exakt nach SigG §5 durchgeführte Personenidentifizierung nur für die eine, bei der Registrierung angegebene, E-Mailadresse benutzen kann.

    Das scheint mir lediglich eine Frage des Prozesses zu sein. Da die Identitätsprüfung mit dem nPA oder mit dem Telekom-Account ja ruck-zuck erledigt ist, haben sie diesen Umstand vermutlich in Kauf genommen. Ich hab mir jedenfalls für verschiedene Mailadressen die Zertifikate in wenigen Minuten besorgt.



    BTW: Der Eintrag in den Verzeichnisdienst ist eine mögliche Option und keine Pflicht! (Ich habe diese Option dankend abgelehnt.)

    Richtig, es ist aber auch kein Risiko einen ÖFFENTLICHEN Schlüssel öffentlich zu machen. Und der Verzeichnisdienst bzw. die vielen Verzeichnisdienste sind m.E. eines der Hauptgründe, weshalb die meisten Benutzer diese komplexe Technik meiden. Anbieter wie Global TrustPoint sind leider zu wenig bekannt.


    Gruß
    Nanuk