Fraunhofer-Institut nimmt erste Anmeldungen für Volksverschlüsselung entgegen

  • Ich hoffe doch, daß sich diese Verar***e wie auch die De-Mail im Sand verläuft! :cursing: Zitat:


    Auch Nutzer von Smartphones und Tablets, von Linux- oder Apple-Computern und Nutzer von Webmail bleiben ausgeschlossen. Die Volksverschlüsselung startet nur in einer Windows-Version für die beiden E-Mail-Programme Outlook und Thunderbird. Weitere Versionen sollen jedoch peu à peu folgen.


    Das ist wichtig, denn zum Erfolg kann die Volksverschlüsselung nur dann werden, wenn möglichst viele mitmachen. Eine verschlüsselte Mail lässt sich nämlich nur an Empfänger verschicken, die ebenfalls registriert sind, ansonsten bekommt der Absender eine Fehlermeldung.


    Für mich ist das nichts anderes wie eine weitere Überwachungsmaßnahme, da bleibe ich doch lieber bei meinem:


    SeaMonkey Tutorial: E-Mail-Verschlüsselung mit Enigmail – nieder mit der DE-Mail


    Da weiß ich wenigstens, was ich davon habe und bin selber Schuld, wenn was nicht klappt!

  • Hallo Michael,



    nach einigen Minuten des Nachdenkens habe ich mich doch entschlossen, auf deinen Beitrag zu antworten.


    Mit dem, was du da geschrieben hast, kann ich mich nicht einverstanden erklären!
    Zum einen haust du hier die DE-Mail und die so genannte "Volksverschlüsselung" einfach so in einen Topf, ohne dabei bestimmte Unterschiede zu beachten. Lassen wir mal die geplante und mittlerweile wohl auch offiziell zu umgehende "kurzzeitige Entschlüsselung zum Zwecke der Überprüfung auf Schadcode" - hahaha - außer acht. Aber es bleibt wohl, dass DE-Mail nicht auf einem richtigen Mailclient, sondern nur als Webmail <grusel> läuft.


    Zum anderen hast du da einen ("volkstümlich" geschriebenen) Beitrag gelesen, einen Beitrag, in welchem keinerlei technische Hintergründe oder sonstige Fakten beschrieben werden. Eben "volkstümlich". Sehr (!) "volkstümlich".
    Und das Wort Verar***e (ich vermute mal, was das ausgeschrieben heißen soll ...) ist für etwas, dessen Hintergründe du nicht kennst oder nicht kennen kannst, IMHO sehr heftig. Und was das mit einer "Überwachungsmaßnahme" zu tun haben soll, bleibt mir vollständig ein Rätsel.


    Ich habe auf der diesjährigen CeBIT ganz bewusst Kontakt zu den Leuten vom Fraunhofer-Institut gesucht. Nachdem ich mich als jemand geoutet habe, der über 10 Jahre Erfahrung mit der Planung, dem Aufbau und dem Betrieb eines großen TrustCenters sowie weitere Jahre im Bereich der IT-Sicherheit und auch Kryptologie hat, wurde ich an einen sehr kompetenten Mitarbeiter weitergeleitet. Wir hatten ein sehr tiefgehendes Fachgespräch.


    Das eine, was mir sehr gut gefallen hat, ist die reell durchzuführende Identifikationsprüfung einer jeden antragstellenden Person. Genau so, wie es das dt. SigG verlangt. Dieser Prüfung, welche mein Team und auch ich "früher" weit über 100.000 mal durchgeführt haben, habe ich mich auch unterzogen. Absolut nichts zu beanstanden. Wenn ich mal jemandem eine signierte Mail zusende, dann kann sich dieser darauf verlassen, dass der angezeigte Name auch wirklich identisch und geprüft ist. (Wie war das doch gleich bei GnuPG? Und komme mir bitte nicht mit dem "Web of Trust" ... .)


    Der Browser des Antragstellers generiert beim Antragsprozess das Schlüsselpaar und sendet den öffentlichen Schlüssel und einige weitere öffentliche Zertifikatsdaten zum Server. Dieses Verfahren ist etabliert und wird auch als "Zertifikatsrequest" bezeichnet. Durch das TrustCenter wird dieser Request signiert und mit weiteren Daten versehen (Gültigkeitszeitraum, herausgebendes TrustCenter, Verwendungszweck, usw.) und zurück zum Browser gesendet. Dort wird dieses Zertifikat (= nur öffentliche Bestandteile!) mit dem dort verbliebenen private key zur so genannten "Schlüsseldatei" verbunden, welche dann (vermutlich als .p12 bzw. .pfx) exportiert werden kann. Dabei sollte der Nutzer ein so genanntes "Transportpasswort" setzen.


    In dem bewussten Artikel wurde geschrieben, dass die "Volksverschlüsselung" nur auf Windowsrechnern funktioniert.
    Für mich als ein 100%iger Linux-Nutzer wäre das das Todschlagsargument gewesen. Deshalb habe ich genau dazu nachgefragt.
    JA, zur Antragsstellung und zum Generieren des Schlüsselpaares wird (ggw.) eine WinDOSe benötigt. Aber das wird auch in einer VM möglich sein. Und wenn dann die Schlüsseldatei und das Zertifikat exportiert werden, dann können diese jederzeit im eigenen Mailclient (.p12, .pfx) importiert und das Zertifikat an die Mailpartner weitergegeben werden.


    Und wenn ich dann in ein paar Wochen "für lau" ein Zertifikat für (zumindest) fortgeschrittene Signaturen bekomme, werde ich dieses auch nutzen.


    Ich möchte abschließend noch einmal bemerken, dass alles was ich da geschrieben habe, dem o.g. Gespräch entspringt.
    Ich habe noch nichts an Dokumenten gelesen und mich auch noch nicht mit dem Quellcode befassen können. Ursprünglich wurde geschrieben, dass selbiger Open Source werden soll. Dann gab es dazu ein Dementi.
    Wir werden sehen.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo @TmoWizard,


    ich weiß, wir hatten das Thema schon mal. Trotzdem nochmals die Bitte: Verschone doch bitte das Forum von derlei Kommentaren. Am Ende liest das jemand und glaubt den Schmarrn. Du hast doch schon eigenen Deinen Blog, in dem Du Dich austoben kannst. Das sollte doch genügen.



    Hallo Peter,


    Mit dem, was du da geschrieben hast, kann ich mich nicht einverstanden erklären! [...] Und das Wort Verar***e (ich vermute mal, was das ausgeschrieben heißen soll ...) ist für etwas, dessen Hintergründe du nicht kennst oder nicht kennen kannst, IMHO sehr heftig. Und was das mit einer "Überwachungsmaßnahme" zu tun haben soll, bleibt mir vollständig ein Rätsel.

    Danke dafür! Ich freue mich, dass ich nicht die einzige bin, die meint, dass dieses Forum platten, unwahren Behauptungen eben kein Forum sein sollte.



    Gruß


    Susanne

    2 Mal editiert, zuletzt von SusiTux () aus folgendem Grund: Hatte ein wichtiges "nicht" vergessen. Sowas ... .

  • Hallo @SusiTux und @Peter_Lehmann,


    Wahrheit muß Wahrheit bleiben:


    "Wir leben in einem Überwachungsstaat" (Bruce Schneier)


    Ja, für sowas nehme ich normaler Weise mein Blog und wurde immer als Verschwörungstheoretiker abgetan.... dann kam Edward Snowden und hat aller Welt bewiesen, daß ich sogar noch viel zu wenig darüber geschrieben habe!


    Denkt doch noch einmal über das Thema nach: Meine entsprechenden Artikel sind zwar kostenlos, aber garantiert nicht umsonst!

  • Hallo TmoWizard,


    dann kam Edward Snowden und hat aller Welt bewiesen, ...


    was hat er denn so großartig bewiesen, außer der Binsenweisheit, dass Geheimdienste die technischen Möglichkeiten nutzen, die ihnen in ihrer Zeit zur Verfügung stehen.


    Und erzähle mir bitte nicht, es gäbe nur die "pöhse" NSA. Glaubst Du oder glaubt irgendjemand im Ernst, dass die In- und Auslandsgeheimdienste der Volksrepublik China, der Russischen Förderation oder irgendeines anderen Staates auf der Welt, der die technischen und personellen Fähigkeiten aufweist, diese "Überwachung" oder "Spionage", oder wie immer man das nennen will, nicht durchführt.


    Das einzige was Snowden geschafft hat ist, dass er weltweit den Fokus auf die NSA gelenkt hat und die anderen "Institutionen" aus dem öffentlichen Blickfeld verschwunden sind.
    Und wie immer, wenn es um die USA geht, die "Empörungsmaschinerie" funktioniert hervorragend ...


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Wahrheit muß Wahrheit bleiben:

    Bitte verschone uns mit Deinen "Wahrheiten". Bleib doch auf Deiner Spielwiese und freue Dich, dass die noch niemand dahingehend untersucht hat, was noch Meinungsfreiheit ist, was einfach nur auf Unkenntnis beruht oder was schon eine böswillige Unterstellung ist.


    Es wirkt übrigens auch nicht besonders kompetent geschweige denn glaubwürdig, wenn jemand sich immer wieder über die bösen Dienste und ihre Handlanger empört, gleichzeitig seine Daten aber freiwillig den kommerziellen Unternehmen hinterherwirft und - noch schlimmer - in diversen Foren so viele Information über sich postet, wie Du das machst.

  • Hi @ all!


    Ich kopiere mal einen Auszug der letzten erhaltenen Mail von SIT hier rein.


    ==========SNIPP==========
    Hallo Herr *********,


    im Laufe der kommenden Woche ist die Volksverschlüsslung öffentlich erreichbar und Sie können die Software von unserer Webseite www.volksverschluesselung.de downloaden.
    Ja, Sie können auch mit der Online-Ausweisfunktion des Personalausweise Ihre Identität nachweisen. Wir bieten verschiedene Verfahren an und werden weitere implementieren.
    Weitere interessante Antworten rund um die Volksverschlüsselung finden Sie in unseren FAQ ......


    Wie Sie schon angemerkt haben, sind die Zertifikate der Volksverschlüsselung aufgrund der starken Identitätsprüfung und der Tatsache, dass der privateSchlüssel unter der alleinigen Kontrolle des Nutzers verbleibt, fortgeschrittene Zertifikate.


    Freundliche Grüße
    **********
    Fraunhofer-Institut für Sichere Informationstechnologie SIT


    ==========SNAPP==========



    Mal ganz abgesehen vom Namen der Aktion klingt bis jetzt alles was ich gelesen habe, sehr gut.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo muzel,

    ich gestehe zu meiner Schande, ich hab die Artikel bisher nur überflogen...

    Dann gönne Dir mal die Zeit und lies sie ganz. Ich finde, das sind ausgesprochen schwache, sehr einseitige Artikel.


    Wenn man hinter jeder Ecke eine staatliche Verschwörung vermutet und dessen rechtliche wie technische Mittel vorraussetzt, mag man die Kritik ernst nehmen. Dann muss man aber dazu sagen, dass die genannten Kritikpunkte, vor allem das besonders hervorgehobene Problem der zentralen Infrastruktur, für alle CAs gelten.
    Unten den genannten Punkten kann ich nicht einmal meiner eigenen CA vertrauen, weil ich die dazu benutze Software gar nicht selbst überprüfen kann. Man vergesse auch die Zertifikate der Hersteller der Betriebssysteme nicht.
    Insofern ist das also a) nichts neues und b) keine Besonderheit der Volksverschlüsselung.


    Den Beitrag von Florian Snow kann ich spätestens an dieser Stelle nicht mehr ernstnehmen:



    Ich weiß nicht, weshalb einige Leute stets so tun müssen, als würden wir in einem Staat leben, der jeden von uns von vorn bis hinten ausspionieren will.

  • Moin,


    klar sind die beiden Beiträge etwas überspitzt, aber einige Kritikpunkte kann man (zumindestens zur Zeit) nicht ausräumen, selbst wenn man den
    Aluhut mal absetzt.
    Ich laß mal die politische Diskussion beiseite und beschränke mich auf die technischen Aspekte, wobei man beides natürlich nicht völlig trennen kann.


    OpenSource ist kein Allheilmittel, wie wir wissen, denn auch dort können bekanntermaßen Schwachstellen oder gar Hintertüren verborgen sein. Es wäre aber ein Anfang und könnte Vertrauen schaffen. Wenn ich mir aber das Lizenzdokument durchlese, sehe ich da so ein Sammelsurium vom Microsoft-, Mozilla-, Apache-, Oracle- und auch Gnu-Lizenzen, daß ich da etwas schwarz sehe. Ja, ich weiß, daß das zwei Dinge sind, den Quelltext offenzulegen (was versprochen, aber bisher *nicht* realisiert wurde!), und die Lizenzfrage zu klären, was offenbar auch noch große Schwierigkeiten bereitet. Von wirklich freier Software mit allen Konsequenzen darf man offenbar nicht einmal träumen. Schade.
    Trotzdem würde ich den Kram ja ganz gern testen.


    Windows, auch in einer VM, ist keine Option für mich. Vielleicht Wine?
    Android-Version ist angekündigt, aber m.E. von Haus aus unsicher, jede gammlige App will Vollzugriff auf alles und jedes, man müßte also ein Handy nur für diese Zweck betreiben oder Cyanogenmod nehmen (auch keine "Volkssoftware")?
    Abgesehen davon verwenden Smartphone-Nutzer eher Kryptomessenger als verschlüsselte Mail.
    Wenn also irgendwann eine Linuxversion kommen sollte, würde ich diese mal testen, vorausgesetzt, ich schaffe es, mich anzumelden (beim Personalausweis habe ich eID abgewählt, die Telekom kommt mir nicht mehr ins Haus und was war noch...ach ja auf der CEBIT anmelden, guter Witz... :-( - dann wird noch Postident erwähnt, weitere Verfahren sind angeblich in Arbeit (Facebook ;-) ??).


    Peter : ich finde es ja immer gut, wenn du als Fachmann etwas etwas zu dem Thema schreibst, auch wenn fast immer eine Polemik gegen das erfolglose OpenPGP dabei ist.


    Natürlich weiß ich, daß PGP/GnuPG für den Normalanwender oft zu kompliziert ist, denn niemand liest mehr eine Anleitung, die Tweet-Länge
    überschreitet und nicht als Youtube-Video verfügbar ist. OpenPGP hat aber einige unschlagbare Vorteile, ich brauche eben keine zentrale Infrastruktur (Schlüsselserver sind optional), ich kann quasi anonym kommunizieren, ich muß "nur" den Schlüsselaustausch bzw. den Fingerprint-Abgleich persönlich oder auf sichere Art und Weise hinbekommen, und da sind Web of Trust und Kryptoparties leider nur etwas für Nerds, die Zeit für so etwas haben. Ad hoc funktioniert es aber auch ohne das, also nicht viel schlechter als als irgendeiner CA zu vertrauen, weil man muß.
    Und genau das scheint ja hier der Fall zu sein. "Das Wurzelzertifikat der Volksverschlüsselung ist unabhängig von anderen Zertifizierungsstellen und selbst-signiert. Es wird von der Volksverschlüsselungs-Software automatisch in die Anwendungen importiert." Das Fraunhofer-Institut fungiert als CA und implantiert seine Zertifikate nur in die eigene Software und etabliert damit einen geschlossenen Benutzerkreis, der abhängig von der Telekom-Infrastruktur ist. Kommunikation mit anderen Anwendern, die S/MIME verwenden, ist nicht vorgesehen, dazu müßte man ja die Stammzertifikate allgemein zugänglich machen, also direkt über Betriebssystem-, Browser-, Mailclient-Updates, richtig?


    Dann wird allerdings doch "eine Ergänzung zur Ad-hoc-Verschlüsselung, mit der Benutzer auch spontan verschlüsseln können, ohne sich vorher bei der zentralen Infrastruktur registrieren zu müssen." angekündigt Das klingt schon interessanter, wird aber nicht näher erläutert. Allerdings kann man das jetzt auch schon, ohne Volksverschlüsselung ;-).
    Man kann die Software ja mal downloaden...Hm...
    "Es wird empfohlen, die Software mit dem Internet Explorer herunterzuladen.
    Der Download mit alternativen Browsern ist möglich, aber eventuell kann die Signatur der Anwendung dann nicht überprüft werden."
    Wie überprüfe ich die Signatur der Anwendung, sollte das dem gemeinen Volk nicht erklärt werden? Vermutlich macht das das Betriebssystem?
    SHA1 und SHA256 von
    https://volksverschluesselung.de/zertifikate.php
    stimmen jedenfalls nicht (weil ich keinen IE verwendet habe?) ich mache trotzdem weiter.


    Mit Wine habe ich es nun ausprobiert, nach der Warnung "Nur Windows 7 +" geht's trotzdem weiter, fällt aber bei Microsoft.Net & Visual C++ Redistributable-Installation auf die Nase. Sicher, das kann auch an Wine liegen.
    Da wurde jedenfalls kräftig in jede Werkzeugkiste gegriffen, Java (!), C++, Dotnet...


    Na dann, warten auf Godot... Irgendwann gibts vielleicht was für Linux (sicher wine-basiert), irgendwann wird der Quellcode veröffentlicht...


    Was hindert mich eigentlich daran, die Zertifikate herunterzuladen, zu importieren und direkt zu verwenden? Da sie selbstsigniert sind, muß ich ihnen noch mein Vertrauen aussprechen, und dann müßte ich mit den Volksverschlüsslern verschlüsselt mailen können.


    Gute Nacht, muzel

    Einmal editiert, zuletzt von muzel () aus folgendem Grund: Formatierung, Typo

  • Der Quellcode (des Clients) ist verfügbar.
    Schon mal sehr schön als vertrauensbildende Maßnahme.
    Den Code zu übersetzen oder gar zu verstehen, werde ich nicht versuchen, ersteres geht sicher nur mit den entsprechenden Werkzeugen..


    Code
    1. set "MSVC_PATH=C:\Program Files (x86)\Microsoft Visual Studio 12.0\VC"

    ...die ich nicht habe. Aber der eine oder andere Blick in die Quellen ist schon interessant.
    Java-Code konnte ich auf die Schnelle nicht entdecken, in der langen Liste der Fremdlizenzen wird die JRE von Oracle erwähnt, aber vielleicht nur vorsorglich?


    Mal schauen, vielleicht teste ich doch mal unter Windows, hab gerade eine Windose zur Verfügung und sogar Zeit...
    Fortsetzung folgt.
    Grüße, muzel

  • Hallo zusammen,


    für mich ist das erst interessant, wenn es die entsprechende Software alltagstauglich einsetzbar unter Linux bzw. macOS gibt, und nicht ausschließlich für die WinDOSe.


    Ich bin es endgültig leid, mir irgendwo eine Windows-Kiste hinzustellen oder noch bereitzuhalten, bloß weil die im Fraunhofer-Institut nicht in der Lage sind es gleichzeitig für die gängigsten Betriebssysteme neben Windows gebacken zu kriegen.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Feuerdrache,


    ich bin ja ganz deiner Meinung, aber ich habe die Hoffnung, daß da noch etwas kommt.
    Der Quellcode ist schon mal ein Schritt in die richtige Richtung.
    Ich fürchte allerdings, als nächstes gibt es, wenn überhaupt (der Nutzerbasis geschuldet) erstmal eine Android und/oder Mac-Version und möglicherweise irgendwann zum Schluß Linux, und dann auch nur auf der Basis von Wine o.ä. ...
    Wie sagt man: "Einem geschenkten Gaul Barsch ...."
    Ich spiele mal trotzdem noch ein bißchen damit 'rum.


    Grüße, muzel

  • Hallo Freunde der sicheren E-Mail!


    Seit dem 29. Juni sind einige Wochen vergangen, in denen ich mich sehr intensiv mit der VV befasst und auch einen intensiven Kontakt mit SIT hatte.
    Ich will jetzt mal versuchen objektiv und auch unter Auschluss politischer Aspekte und vor allem ohne jedes Eingehen auf GnuPG wink.png meine Eindrücke zu schildern.
    Vorausschicken möchte ich, dass ich meine letzten ca. 15 Arbeitsjahre fast ausschließlich mit den vorbereitenden Arbeiten, dem Aufbau und dem Betrieb (als leitender Mitarbeiter) eines großen Trustcenters verbracht habe.


    Da ich, genau so wie muzel, bewusst in einer Windows-freien Zone lebe, habe ich auf einer zufällig noch vorhandenen alten Festplatte ein frisches Win 7 (einen alten Key hatte ich auch noch herumzuliegen), dann den aktuellen Thunderbird installiert und zuletzt eine Kopie meines aktiven TB-Userprofils reinkopiert. Das ist ein bewährtes Profil mit über einem Dutzend vornehmlich IMAP-Konten verschiedener Provider. Und alle sind mit 4K-Schlüsseln aus meiner eigenen "Privat-CA" versehen. Beim T-Online-Konto habe ich bewusst meine Zertifikate gelöscht, denn da sollen ja die von der VV rein.


    Dann am 29.06 die Software heruntergeladen und installiert. => perfekt ohne irgend einen Hakler.
    Die Bedienung des Programms ist IMHO für die angestrebte Zielgruppe sehr gut angepasst. Alles gut strukturiert und intuitiv zu bedienen.
    Auch die optischen Gimmicks zur Überbrückung von Wartezeiten (bspw. beim Erzeugen des Schlüssels durch den Browser) erfüllen sehr gut den angestrebten Zweck.


    Die Beantragung eines Zertifikates auf der Grundlage der bereits erfolgten Personenidentifizierung (CeBIT) verlief ebenfalls völlig perfekt und selbsterklärend. Die Schlüsseldatei wurde danach aus dem Browser exportiert und steht mir - wie erwartet - auch auf jedem meiner Linux-Rechner zur Verfügung.
    Das gleiche Ergebnis konnte ich mit der Nutzung der Auth.-Funktion des nPA verzeichnen. Auch hier alles problemlos, gut dokumentiert und selbsterklärend.


    An dieser Stelle hätte ich als Linuxuser eigentlich aufhören und die alte HD shreddern können. Ich besitze zwei Zertifikate/Schlüsseldateien mit denen ich nach den Regeln des dt. SigG echte fortgeschrittene Signaturen erzeugen kann.
    Dazu weiter unten mehr.


    Danach habe ich die Schlüssel und Zertifikate mit der Automatikfunktion in die installierten Programme (Firefox und Thunderbird) importiert ...
    Das heißt, die Ziele des Imports (möglich: Thunderbird, Firefox und den Internet-Ex) auswählen und mit einem einzigen Klick werden die Schlüsseldateien importiert. Auch die Herausgeberzertifikate sind in den o.g. Programmen danach bereits installiert => der Nutzer kann sofort mit den Versenden signierter Mails (und auch verschlüsselter Mails) loslegen. Letzteres natürlich nur, wenn er von seinen Mailpartnern deren öffentliche Schlüssel vorzuliegen hat.
    Sind die Mailpartner auch Nutzer der VV und haben sie der Speicherung im Verzeichnisdienst zugestimmt, ist auch das ein Selbstläufer.
    Selbstverständlich sind alle Herausgeberzertifikate der VV - so wie es sich gehört! - auch von der Webseite herunter zu laden.


    Als erwähnenswert betrachte ich auch noch, dass je Antrag nicht nur ein einziges Zertifikat erzeugt wird, sondern drei, welche auf den jweiligen Verwendungszweck beschränkt sind. Also ein Zertifikat für die Ver-/Entschlüsselung, eines für die fortgeschrittene Signatur und eines für Zwecke der Authentisierung (<= dieses so wie beim nPA).


    Fazit:
    Ich betrachte das Ziel der VV, dem interessierten ONU ohne irgendwelche Vorkenntnisse und mit wenigen Klicks die Möglichkeit einer Verschlüsselung seiner Mailkommunikation zu ermöglichen, als voll erfüllt!



    Trotzdem habe ich gegenüber SIT auch einige Kritikpunkte angesprochen:

    • Ich war echt geschockt, wieso ich auf der Grundlage der erfolgten Personenidentifizierung (CeBIT) nur die Zertifikate für die dort genannte eine E-Mailadresse beantragen konnte!
      Ich kann einfach nicht verstehen, wieso eine (absolut perfekte!) Personenidentifizierung nicht zur Beantragung weiterer Zertifikate genutzt werden kann. Hier erfolgt IMHO eine völlig unütze Einschränkung durch SIT. Oder glauben die dortigen Kollegen etwa, dass es heute noch viele Menschen gibt, die nur eine einzige Adresse besitzen?
      Die Zuordnung der E-Mailadresse zum antragstellenden bzw. zugriffsberechtigten Nutzer wird ja im Verlauf der Beantragung sauber geprüft. Warum also nicht mit einer Personenidentifizierung mehrere Adressen? Selbst das sehr strenge deutsche SigG schließt das nicht aus.
    • Wie oben schon geschrieben, habe ich in meinem TB-Profil recht viele Mailkonten eingerichtet (wie es ja wohl auch die meisten Mailnutzer machen). Als ich den Erfolg des automatischen Imports der erzeugten Schlüssel und Zertifikate überprüft habe, musste ich feststellen, dass in allen meinen vielen Mailkonten das gerade erzeugte Zertifikat für das T-Online-Konto eingetragen war!
      Hier war wohl der Automatismus etwas zu rabiat! (Nur nach dem cn gesucht?)
      Auch wenn es für mich eine Aktion weniger Minuten war, den richtigen Zustand wiederherzustellen - für ONU, also die Zielgruppe, ist diese Panne ein Totschlagsargument für die Volksverschlüsselung. DAS sollte keinesfalls passieren! (Ich gehe davon aus, dass das jetzt auch nicht mehr passieren wird.)
    • Aber der größte Kritikpunkt ist und bleibt für mich die Tatsache, dass die VV ein selbstsigniertes (das ist jedes Root-Zertifikat) Herausgeberzertifikat benutzt, welches in keinem Mailclient, keinem Browser und keinem Betriebssystem vorinstalliert ist! (Dieses Vorinstallieren wird leider nicht nur nach sachgerechter Prüfung, sondern auch mit dem Zahlen eines nicht unbedeutenden Betrages an die Hersteller der Browser, Mailclients und Betriebssysteme erreicht!) Das Ergebnis wird dann wohl eine Insellösung für ONUs und einer relativ kleinen Menge sachkundiger und interessierter Leute sein, die die Zertifikate selbst herunterladen und installieren. Das ist weniger gut und verfehlt das Ziel der VV.
      Es werden also für die Nutzer hochwertige Zertifikate für eine fortgeschrittene Signatur erzeugt. Das bedeutet, der Empfänger einer signierten E-Mail oder eines signierten Dokumentes kann sich sehr sicher sein, dass der im Zertifikat genannte Absender auch wirklich authentisch ist. Das ist sehr gut! Hier wirkt das Zertifikat wirklich wie ein Ausweis!
      Aber wir werden wohl nie (oder kaum) damit jemals ein Dokument an eine Behörde, Firma oder eine Person schicken können, welche nicht die VV-Software benutzen. Diese Empfänger werden nicht (so wie ich und andere erfahrene Nutzer) nach der Webseite der VV suchen und deren Herausgeberzertifikate herunterladen und bewusst in den Mailclient importieren! Diese Empfänger werden meine Mail einfach mit der [Entf]-Taste "bearbeiten".



    Zur "Sicherheit" der VV:


    Das erste, was ein Fachmann bei der Beurteilung eines TrustCenters macht, ist das kritische Betrachten der Zertifizierungsrichtlinie (auch "Policy" genannt) dieses TrustCenters.
    Kein TrustCenter kann es sich leisten, dort bewusst etwas hineinzuschreiben, was in der Praxis nicht gegeben und auch nicht überprüfbar ist. Bei einem TrustCenter, welches für die Qualifizierte elektronische Signatur geeignete Zertifikate herstellen will (oder herstellt) kommt eine extrem scharfe Prüfung durch die Bundesnetzagentur. In der Regel mit Unterstützung durch das BSI oder ext. Prüffirmen, welche sich die Technik "vornehmen". Bei Zertifikaten, die "nur" für fortgeschrittene Signaturen geeignet sind, ist das Level der Prüfung etwas niedriger. Aber immer wird zuerst die Policy zerpflückt.


    Ich habe also mit der Erfahrung vieler einschlägiger Berufsjahre die Policy der VV gelesen und kann sagen, dass ich da absolut nichts gefunden habe, was gegen die VV spricht!
    Auch die Erzeugung der Schlüsselpaare (lokal auf dem Client des Nutzers) ist genau beschrieben und entspricht den Standards, nach denen so ziemlich alle etablierten TrustCenter arbeiten. Der private Schlüssel verlässt zu keinem Zeitpunkt den Client des Antragsstellers, und im Rahmen eines Zertifikatsrequests werden die öffentlichen Schlüssel zusammen mit ein paar Daten wie den Namen (cn), der Mailadresse usw. zum Server geschickt. Dort werden diese Daten zum Zertifikat verknüpft, mit Daten des herausgebenden Trustcenters, dem Gültigkeitszeitraum usw. ergänzt, mit dem privaten Schlüssel des Herausgebers signiert und zurück zum Antragsteller geschickt. Und auf seinem Client wird dieses Zertifikat (das ist immer öffentlich!) mit dem privaten Schlüssel verbunden und kann als "Schlüsseldatei" (immer "privat"!) exportiert werden.
    Mit einem dicken Packen $$ könnte die VV also problemlos in die gängigen Browser, Mailclients oder Betriebssysteme aufgenommen werden. Aber es muss ein sehr dicker Packen sein. (Hier könnte Mozilla eine Vorreiterrolle spielen!)


    Ich spreche also der VV allein aus dem Studium der Policy mein Vertrauen aus!



    Was ich mir nicht antuen werde, ist das Evaluieren des Quellcodes für die VV-Software. Das war nie mein Job und dazu habe ich weder die Erfahrung, die Zeit und die Lust.


    Bitte immer daran denken, dass die erforderliche Sicherheit einer Software für die "sichere Informationsübertragung" auch immer vom Schutzgrad der zu übertragenden Informationen bestimmt wird. Und wir reden hier nicht über GEHEIM oder STRENG GEHEIM, nicht über VS-VERTRAULICH und noch nicht einmal über VS-NfD - sondern nur über "Pillepalle-privat".
    Trotzdem kann ich hier mit Bestimmtheit sagen, dass sich die Policy der VV nicht wesentlich von der eines mir wohlbekannten TrustCenters einer sehr großen Bundesbehörde unterscheidet.




    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Einmal editiert, zuletzt von Peter_Lehmann ()

  • Danke Peter,


    das nenne ich mal wieder eine fundierte Analyse. Eigentlich ist damit fast alles gesagt, auch, daß das Projekt wohl wieder nicht den Durchbruch bringen wird, weil eben eine Insellösung installiert wird (Aluhutträger würden sofort vermuten, das wäre Absicht, um die vorhandene Zersplitterung, hier S/MIME, da OpenPGP, dort noch ein anderes S/MIME alias VV, noch weiter zu vertiefen ;-) )
    Das ganze ist auf jeden Fall ausdrücklich nur für Privatanwender gedacht, eine andere Verwendung widerspricht der Lizenz. Ich darf also vermutlich, selbst wenn das technisch möglich wäre, nicht mit meinem Anwalt, meiner Bank oder, sagen wir mal, meinem (was auch immer-) Online-Händler kommunizieren.


    Von wievielen €€ sprechen wir denn, die nötig wären, um ein VV-Stammzertifikat $ÜBERALL zu installieren? Und was mag im Vergleich dazu dieses gewiß nicht Gewinn abwerfende Softwareprojekt kosten?


    Grüße, muzel