Hallo,
Nach der crypto Party, die ich leider verpasst habe, drehen sich meine Gedanken mal wieder um Verschlüsselung von Mails. Dazu habe ich folgendes Setup und Anforderungen:
1. Windows 8 Tablet 10 Zoll mit Windows Mail App
2. Android 4.4 mit 4,7 Zoll und gmail app
Anforderungen:
Möglichkeit von Tablet und Smartphone verschlüsselte Mails zu schicken und zu empfangen.
Möglichkeit zumindest auf dem Tablet die Suchfunktion zu nutzen
Inline Funktion zum Ver-, Entschlüsseln und. Signaturen überprüfen
Keine apps, in die man den Text kopieren muss zum Ver-, Entschlüsseln, das ist so umständlich, das mach ich eh nie
Gleicher Schlüssel auf Smartphone und Tablet.
Smartphone ist eher gedacht um in Ausnahmefällen die Mails zu checken und zu beantworten, muss aber trotzdem funktionieren.
Die Lösung fürs Tablet sollte schon touch-geeignet sein...
wer kann mir etwas empfehlen?
Hab eine interessante Sache gefunden: Symantec Email Desktop Encryption. Erledigt die ganze Sache im Hintergrund, funktioniert leider nicht mit der Windows Mail App und ist Closed Source.
Verwendet das irgendjemand und kann einen Erfahrungsbericht geben? Wo finde ich die OpenSource Alternative?
Sigurd
28 Jan 2015, 17:00
Ich glaube kaum, dass du mit Windows-Bordmitteln eine gescheihte Verschlüsselung hinbekommst. Microsoft steht diesbezüglich garantiert unter der Fuchtel der NSA und wird es vermutlich selbst mit eigenem Durchsetzungsvermögen nicht gebacken bekommen, eine wirksame Verschlüsselung für eigene Software - ohne Hintertüren - durchzusetzen.
Ich persönlich nutze Thunderbird mit Enigmail-Plugin und bin sehr zufrieden.
Mit der Voraussetzung brauche ich gar keine Verschlüsselungssoftware auf Windows einzusetzen und auch mein Mailprogramm nicht zu wechseln, richtig?
mcnesium
28 Jan 2015, 19:14
Es gibt mit
gpg4win ein OSS Paket für Windows, das auch ein Plugin für Outlook mitbringt. Das widerlegt zunächst mal die Aussage von Sigurd. Wobei ich da nicht vollständig widersprechen möchte, allerdings haben die Geheimdienste andere Möglichkeiten, als MS zu zwingen, irgendwas derart offensichtliches durchzudrücken.
Dass hier keine Schnittstellen für solche Zwecke geschaffen werden, ist bei MS eher das altbekannte hausgemachte Problem, beim Entwickeln der Software nicht an die Nutzer zu denken.
Ich lehne mich mal weit aus dem Fenster und behaupte, dass Windows 8 auf dem Tablet nicht darauf ausgerichtet ist, irgendwelche andere Software als die Mitgelieferte irgendwie sinnvoll zu unterstützen. Vielleicht kannst du zwar einen Thunderbird installieren, den kannste dann aber nicht mehr mit deinen Wurstfingern bedienen, und die ganzen Metro-Faxen mit irgendwelchem Geblinke wenn ne neue Nachricht kommt, kannst auch vergessen.
Darum würde ich in dem Fall für einen vernünftigen Browser sowie webbasierte Software auf dem eigenen Server plädieren. Da kann dein PGP-Schlüssel liegen und die Verbindung von Server zu Endgerät wird durch dein selbst signiertes SSL-Zertifikat abgesichert.
Für Android gibts übrigens mit K9-Mail ein dem nativen Android-Mailclient (inzwischen wieder) optisch in nichts nachstehenden Client, der auch nativ PGP kann.
Sigurd
28 Jan 2015, 20:18
Zitat(Chris @ 28 Jan 2015, 18:08)
Mit der Voraussetzung brauche ich gar keine Verschlüsselungssoftware auf Windows einzusetzen und auch mein Mailprogramm nicht zu wechseln, richtig?
Ich hab ja nicht von Windows alleine gesprochen. Am Betriebssystem an sich kann man erstmal nichts aussetzen. Es ist eben ein funktionierendes Betriebssystem, wenn auch im Rahmen gewisser Grenzen, was die Systemkontrolle betrifft.
Was Verschlüsselung angeht, ist das stärkste Argument, das man finden kann, einfach mal das, dass jeder den Quelltext vollständig einsehen kann, wenn er denn möchte. Sicherheitslücken bzw. Hintertüren werden so oftmals schnell erkannt (Ausnahmen bestätigen die Regel). Bei freier Software ist dies der Fall.
In meinen Augen erweckt daher nur diejenige Software Vertrauen, deren Quelltext öffentlich zugänglich ist, weil man so den Erschaffern zumindest den Vorwurf absprechen kann, dass sie in punkto Verschlüsselung tatsächlich minderwertige Software liefern wollen. Für mich hat dieser Vorwurf oberste Priorität. Wer dem widerspricht, ist in meinen Augen naiv.
Sehr schön, dann haben wir ja einen Teil des Problems gelöst. K9-Mail ist zwar etwas hässlich (wie immer, man kann zwar alles irgendwie einstellen, an einen bezahlten Designer kommt man aber nicht ran, vgl. Gmail-App), aber gut, für den Einsatzzweck: Ausnahmsweise geht es schon.
Windows 8 ist in der Tat schon drauf ausgelegt, dass man auch ganz viel neue Software installiert. Ich kann auch ohne Probleme Thunderbird und was weiß ich installieren. Allein Thunderbird ist halt auf Desktop Only ausgelegt, deswegen ist es nicht so spannend das Ding zu nutzen.
Die Idee von Symantec finde ich recht gut, dass sich einfach in den Emailverkehr gehängt wird, verstehn aber nicht, warum da eine Bindung an ein spezielles Programm gebunden ist.
Die Variante mit eigenem Server klingt kompliziert, was kaufen, selber einrichten, selber drauf achten, das klingt nicht nutzerfreundlich
mcnesium
29 Jan 2015, 11:25
Zitat(Chris @ 28 Jan 2015, 22:19)
das klingt nicht nutzerfreundlich
Du forderst aber auch ganz schön viel auf einmal. Sicherheit
und Nutzerfreundlichkeit… Realitätsabgleich: es war noch nie einfach, sich dem Mainstream abzuwenden. Solange wir gegen die NSA
und Facebook* kämpfen, werden wir wohl erstmal das nehmen müssen was da ist. Hinterherwerfen wirds uns keiner.
Ich würde sagen, du nimmst n Haufen Geld in die Hand und bezahlst gute Designer und Entwickler, um den perfekten Chatclient zu bauen. Leute wie Mark Shuttleworth und Elon Musk haben gezeigt, wie es geht.
*
die NSA steht hier sinnbildlich für staatliche und Facebook für privatwirtschaftliche Verletzung der Privatsphäre
Brauch ich nicht, gibt's schon. Nennt sich Textsecure oder Whatsapp. Textsecure beweist wunderbar, dass es als one-man-show geht und Whatsapp, dass es für alle geht. PGP/Symantec zeigt, wie man transparente Verschlüsselung für Emails baut, und Microsoft zeigt, wie man Mobilgeräte verschlüsselt ohne den Nutzer damit zu belasten. Threema zeigt, wie man einfachst den Schlüssel des anderen verifizieren kann.
Also nein, Verschlüsselung muss nicht schwierig oder hässlich sein.
Hätte ich eine Affinität zu Design würde ich mich ja auf so ein Projekt draufsetzen, und hätte ich eine Menge Geld würde ich es in die Hand nehmen. Dafür muss ich aber noch mehr verdienen.
So ist das einzige, was mir bleibt nachzufragen
mcnesium
29 Jan 2015, 15:25
Da von Whatsapp, Threema, der PGP-Implementierung von Symantec und dem Verschlüsselungsalgorithmus von Microsoft der Quellcode nicht offen liegt, sind diese Argumente ungültig. Zu glauben, dass dort keine NSA-Backdoor drin wär, ist nichts als naiv.
Einzig Textsecure
scheint ok zu sein. Das ist leider nur für die Android-Plattform verfügbar, was die Sache ebenfalls wieder massiv einschränkt.
Wie gesagt, wenn du nicht von anderen abhängig sein willst, hilft nur selber machen:
Die nächste
Cryptoparty beim C3D2 kannst du nutzen, um dich für CACert beglaubigen zu lassen, dann kannst du dir sogar signierte SSL-Zertifikate anlegen.
Danke für das Zusammentragen der Informationen. Ich kann damit leider nichts anfangen.
Dass die closed source Varianten mitunter ein Problem darstellen istmir bewusst. Mein Ansatzpunkt ist ein anderer. Wenn es schon Implementierungen gibt, dann ist es auch für open source Entwickler möglich.
Gpg4win werde ich mir mal anschauen, vielleicht läuft das ja mit Windows Live Mail, das ist wenigstens halbwegs touch-bedienbar. Thunderbird geht da leider gar nicht.
Sigurd
29 Jan 2015, 20:20
Zitat(mcnesium @ 29 Jan 2015, 15:25)
Wie gesagt, wenn du nicht von anderen abhängig sein willst, hilft nur selber machen:
Da kommt hinzu, dass du gegen einen bestehenden Markt ankämpfen musst und das auf allen Plattformen.
Weiterhin: Es muss dem Nutzer etwas Unverwechselbares bieten. Threema machts - wie du schon gesagt hast - gerade vor, dennoch würde ich mir wünschen, dass eben diese Software Open Source wäre.
Damit stehen wir wieder an Anfang... wer finanziert sowas, ohne später Kapital damit machen zu wollen?
Wogegen du hauptsächlich kämpfen musst, ist die Faulheit der Nutzer. Weswegen ist das iPad so populär? Weil es einfach ist.
Und meinetwegen können die auch Geld damit machen. Ist mir sogar lieber, das sichert, dass es weiter entwickelt wird. Spricht ja nichts dagegen es trotzdem Open Source zu machen. Denke in Zeiten der Appstores ist die Chance eh gering, dass es in großem Ausmaß selber kompiliert wird. Allen anderen Umgang kann man ja per Lizenz verbieten. Offen gelegter Quellcode reicht ja zur Überprüfung aus.
Gegen wen willst du dich denn schützen? Je nachdem wie die Antwort ausfällt reicht verschlüsseln auf Anwendungsebene irgendwann leider nicht mehr aus.
Geht nur darum, dass nicht alles als Beifang anfällt. Dass ich für beste Sicherheit auf mobile Computing verzichten muss, ist mir schon bewusst.
Sigurd
30 Jan 2015, 14:25
Zitat(Chris @ 29 Jan 2015, 21:50)
Weswegen ist das iPad so populär? Weil es einfach ist.
Kurz offtopic:
Das ist ein Ammenmärchen. Nähere Ausführung gern auf speziellen Wunsch per PM.
mcnesium
08 Feb 2015, 16:03
Also ganz ehrlich, nur weil Fefe angepisst ist, weil ausgerechnet Fratzenbuch dem GnuPG-Entwickler jetzt Kohle hinterherwirft, ist GnuPG für den Endanwender noch lange nicht am Arsch. Es funktioniert doch, oder nicht…?
Fancyman
08 Feb 2015, 16:55
Naja, am Arsch würde ich jetzt nicht gleich sagen.
Auf geht's zur nächsten Crypto-Party:
/index.ph...owtopic=6072960
Mir ging es eher um den Part, wo Fefe darüber schreibt, dass der Entwickler von GnuPG die Entwicklung eher behindert als vorwärts bringt. Ist auch nicht nur sein Eindruck sondern findet man doch häufiger, z.B. aktuell hier:
http://www.heise.de/ct/ausgabe/2015-6-Edit...en-2551008.htmlIch stelle fest, dass es tatsächlich auch Projekte auf GnuPG Basis gibt, die sich an Nutzerfreundlichkeit versuchen:
http://pep-project.org/
Hab noch was schönes gefunden, allerdings auch noch nicht optimal ...
mailpile.is
mcnesium
25 Feb 2015, 10:47
Ja mailpile is evtl bißchen gewöhnungsbedürftig, weils lokale Software ist, die aber im Browser geöffnet wird. Aber so erreicht man Plattformunabhängigkeit bei gleichzeitiger Sicherheit der Datenströme. Trotzdem sollte man hier auch noch etwas Nachsicht für Software im Beta-Stadium mitbringen.
vor allem anderen ist es stinkend langsam
mcnesium
06 Mar 2015, 15:07
Bewegender Artikel zum Thema Pgp
http://secushare.org/PGP#nav
Wieder einen Schritt weiter mit dem Projekt: GPGRelay heißt die Software, die weiterhelfen könnte. Ein, wie der Name schon sagt, lokaler Relayserver, der beim Senden und Empfangen die kryptografischen Aufgaben übernimmt. Leider seit 2005 nicht mehr weiter entwickelt. Kennt den jemand?
Kennt jemand für Windows einen Relayserver wie Anubis(Linux), der beliebige Mail-Manipulationen möglich macht?
mcnesium
06 Mar 2015, 18:58
Worauf willst du eigentlich hinaus? Willst du nun verschlüsseln oder nicht? Du hast recht, die Usability von PGP ist ein großer Haufen Scheiße, das ist nichts neues. Aber Verbrennungsmotoren sind auch scheiße. Solange hier aber nicht jeder Bus mit Elektromotor gespeist mit Strom aus regenerativen Energien fährt, steigst du trotzdem ein, denn ein Benzin-Bus ist immer noch besser als nach Hause laufen.
Natürlich will ich verschlüsseln und ein bisschen Verschlüsselung ist besser als gar keine Verschlüsselung. Irgendwie reizt es mich ja doch Emails zu verschlüsseln, auch wenn mir fast keiner mehr Emails schreibt. Auf der anderen Seite bin ich natürlich drauf erpicht, die beste Lösung für mein Problem zu finden. Und wie aus dem Text hervorgeht, ist transparente Verschlüsselung doof, wenn er nicht anzeigt, dass eine Email unverschlüsselt rausgeht.
mcnesium
06 Mar 2015, 19:30
Am Ende können wir uns die ganze Scheiße sowieso klemmen,
solange wir unserer Hardware nicht vertrauen können
Lese gerade, dass die Symantecs PGP Produkte alle Open Source (aber nicht frei nutzbar) sind. Damit wäre das auch eine Möglichkeit.
Projekt geht weiter. Nachdem ich jetzt rausgekriegt habe, dass Windows 8 apps den Loopback nicht nutzen dürfen, kann ich nun mittels fiddler enableLoopback Utility / Loopback exemption Utility
https://loopback.codeplex.com den traffic auf localhost schleusen und damit durch den GPGrelay. Der verschlüsselt auch brav war rausgeht. Allerdings scheint er IMAP zum entschlüsseln nicht anzufassen. Weiterhin fehlt mir, dass er den Nutzer noch mal fragt, bevor er unverschlüsselt Mails verschickt. Und er wird seit fast 10 Jahren nicht mehr weiterentwickelt :-(
Wer kennt für Windows einen erweiterbaren Emailproxy?