Kommentare zu: Moderne Technik http://delengkal.de/2009/02/moderne-technik/ Sinnfragen von einer Insel vor Stockholm Thu, 09 Feb 2012 18:19:17 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: hansbaer http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7981 hansbaer Wed, 11 Feb 2009 09:17:10 +0000 http://delengkal.de/?p=1097#comment-7981 Die Frage ist dabei aber, ob es allgemeingültig ist - betriebsintern mag das ja gehen, aber könntest Du z.B. mir keine verschlüsselte Mail zuschicken, weil ich sie gar nicht enschlüsseln könnte. Im Idealfall sollte es möglich sein, jedem beliebigen Empfänger eine verschlüsselte Mail zukommen zu lassen. Wie Allotria schreibt, bräuchte man dazu eine ausgefeilte Schlüsselinfrastruktur, so dass die für die Verschlüsselung benötigten Schlüssel problemlos abrufbar sind. Bisher ist das ganze nämlich so, als müsste man den Empfänger anrufen und fragen "Du, ich will Dir einen Brief schicken. Hast Du einen Briefkasten und welche Farbe hat er?". Was bei allen Lösungen fehlt, ist eine Verwaltung der privaten Schlüssel. Man müsste auch sehr einfach die Möglichkeit haben, seine Mails zu senden und zu empfangen, wenn man im Internetcafé sitzt. Wenn man dazu aber immer einen Schlüssel braucht, ist das den Leuten definitiv zu umständlich. Selbst mir, denn ich arbeite an drei verschiedenen Computern, und die Schlüssel an allen Rechnern zu verteilen finde ich ausgesprochen anstrengend. Als ich das gestern ausprobiert habe, fiel mir ein, dass ich früher schonmal Schlüssel gehabt hatte - aber die sind schon längst im Nirvana. Der Erhalt alter Schlüssel und der Wechsel zu neuen Schlüsseln sollte einfach möglich sein, und das ist bislang nicht der Fall. Die Frage ist dabei aber, ob es allgemeingültig ist – betriebsintern mag das ja gehen, aber könntest Du z.B. mir keine verschlüsselte Mail zuschicken, weil ich sie gar nicht enschlüsseln könnte.

Im Idealfall sollte es möglich sein, jedem beliebigen Empfänger eine verschlüsselte Mail zukommen zu lassen. Wie Allotria schreibt, bräuchte man dazu eine ausgefeilte Schlüsselinfrastruktur, so dass die für die Verschlüsselung benötigten Schlüssel problemlos abrufbar sind.
Bisher ist das ganze nämlich so, als müsste man den Empfänger anrufen und fragen “Du, ich will Dir einen Brief schicken. Hast Du einen Briefkasten und welche Farbe hat er?”.

Was bei allen Lösungen fehlt, ist eine Verwaltung der privaten Schlüssel. Man müsste auch sehr einfach die Möglichkeit haben, seine Mails zu senden und zu empfangen, wenn man im Internetcafé sitzt. Wenn man dazu aber immer einen Schlüssel braucht, ist das den Leuten definitiv zu umständlich. Selbst mir, denn ich arbeite an drei verschiedenen Computern, und die Schlüssel an allen Rechnern zu verteilen finde ich ausgesprochen anstrengend. Als ich das gestern ausprobiert habe, fiel mir ein, dass ich früher schonmal Schlüssel gehabt hatte – aber die sind schon längst im Nirvana. Der Erhalt alter Schlüssel und der Wechsel zu neuen Schlüsseln sollte einfach möglich sein, und das ist bislang nicht der Fall.

]]> Von: Northlander http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7979 Northlander Wed, 11 Feb 2009 08:32:51 +0000 http://delengkal.de/?p=1097#comment-7979 Mein Arbeitgeber bietet die Möglichkeit, Mails zu verschlüsseln. Das verblüffende: Die IKnstallation ist kinderleicht, und die Sache funktioniert. Ich weiß nur nicht wie und warum! Sonst würde ich mehr darüber berichten. Mein Arbeitgeber bietet die Möglichkeit, Mails zu verschlüsseln. Das verblüffende: Die IKnstallation ist kinderleicht, und die Sache funktioniert. Ich weiß nur nicht wie und warum! Sonst würde ich mehr darüber berichten.

]]> Von: allotria http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7977 allotria Wed, 11 Feb 2009 07:34:55 +0000 http://delengkal.de/?p=1097#comment-7977 PGP (der Urvater von GnuPG) gibt es sogar schon seit 1991 resp. in seiner internationalen Version (PGPi) seit 1995. Ich finde, die Integration von GnuPG in Mailprogramme wie Thunderbird ist - wie du ja schon selbst erfahren hast - mit Enigmail eigentlich schon recht gut gelungen. Wie immer bei kryptographischen Anwendungen ist das grösste Problem aber das Schlüsselmanagement. Meiner Ansicht nach gibt es zu viele Keyserver für GnuPG und sie synchronisieren sich zu langsam. Ich denke, das war auch der Grund für eure vergeblichen Versuche. Ausserdem skaliert das Vertrauenssystem von GnuPG (Web of Trust) nicht gut und man muss so praktisch für jeden neuen Mail-Partner selbst sicherstellen, dass er den Private-Key zum gefundenen Public-Key auch wirklich besitzt. Dies muss dann natürlich über einen Side-Channel (Telefon, SMS, mündlich) geschehen. Schade eigentlich. Gerade in Zeiten von Vorratsdatenspeicherung zur "Terrorbekämpfung". PGP (der Urvater von GnuPG) gibt es sogar schon seit 1991 resp. in seiner internationalen Version (PGPi) seit 1995.
Ich finde, die Integration von GnuPG in Mailprogramme wie Thunderbird ist – wie du ja schon selbst erfahren hast – mit Enigmail eigentlich schon recht gut gelungen.

Wie immer bei kryptographischen Anwendungen ist das grösste Problem aber das Schlüsselmanagement. Meiner Ansicht nach gibt es zu viele Keyserver für GnuPG und sie synchronisieren sich zu langsam. Ich denke, das war auch der Grund für eure vergeblichen Versuche.
Ausserdem skaliert das Vertrauenssystem von GnuPG (Web of Trust) nicht gut und man muss so praktisch für jeden neuen Mail-Partner selbst sicherstellen, dass er den Private-Key zum gefundenen Public-Key auch wirklich besitzt. Dies muss dann natürlich über einen Side-Channel (Telefon, SMS, mündlich) geschehen.

Schade eigentlich. Gerade in Zeiten von Vorratsdatenspeicherung zur “Terrorbekämpfung”.

]]> Von: hansbaer http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7976 hansbaer Wed, 11 Feb 2009 07:09:44 +0000 http://delengkal.de/?p=1097#comment-7976 @allotria: danke - in dem konkreten Fall war es so, dass das Zertifikat schon bei Empfang der signierten Mail nicht akzeptiert wurde "for unknown reasons". Daher fehlte beim Versand so oder so eine Verschlüsselungsmöglichkeit. @Stephan: die erste Version von GnuPG entstand 1999. Die Technik ist schon lange bekannt und vorhanden, aber offenkundig hat sich nie jemand dazu aufgerafft, das alles in eine allgemein gut nutzbare Form zu bringen. @allotria: danke – in dem konkreten Fall war es so, dass das Zertifikat schon bei Empfang der signierten Mail nicht akzeptiert wurde “for unknown reasons”. Daher fehlte beim Versand so oder so eine Verschlüsselungsmöglichkeit.

@Stephan: die erste Version von GnuPG entstand 1999. Die Technik ist schon lange bekannt und vorhanden, aber offenkundig hat sich nie jemand dazu aufgerafft, das alles in eine allgemein gut nutzbare Form zu bringen.

]]> Von: Stephan http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7970 Stephan Tue, 10 Feb 2009 21:39:54 +0000 http://delengkal.de/?p=1097#comment-7970 Ich frage mich auch, wieso sowas nicht standardmäßig in Betriebssystemen, wie von Microsoft, aktiviert ist. Mal schauen was sich in den nächsten Jahren tut. Verschlüsselung hat nicht nur unter Normalusern eine geringe Reputation. Davor schrecken auch sehr viele Informatiker zurück. Das Thema ist eben gar nicht einfach und so dauern manche Entwicklungen eben etwas länger. Gewöhnlich investieren Firmen in Entwicklungen, die geringen Aufwand bei großem Gewinn versprechen. Sogut wie alle neueren Entwicklungen stammen meine Wissens aus dem Open-Source-Bereich. Und weil das freiwillig ist, dauert das einiges länger. Und - es gibt auf für Open-Sourc´ler spannendere Themen. Es gibt zwar auch kommerzielle Produkte, aber die sind auch sehr teuer und werden dann gewöhnlich in Firmen eingesetzt, in den diese auch von Experten koordiniert werden. Die ganze Geschichte ist recht komplex und ist eigentlich wie eine Versicherung: man braucht sie nicht dauernd, aber wenn etwas passiert, dann ist man froh, sie zu haben. Ich frage mich auch, wieso sowas nicht standardmäßig in Betriebssystemen, wie von Microsoft, aktiviert ist.
Mal schauen was sich in den nächsten Jahren tut. Verschlüsselung hat nicht nur unter Normalusern eine geringe Reputation.
Davor schrecken auch sehr viele Informatiker zurück. Das Thema ist eben gar nicht einfach und so dauern manche Entwicklungen eben etwas länger.
Gewöhnlich investieren Firmen in Entwicklungen, die geringen Aufwand bei großem Gewinn versprechen.
Sogut wie alle neueren Entwicklungen stammen meine Wissens aus dem Open-Source-Bereich. Und weil das freiwillig ist, dauert das einiges länger. Und – es gibt auf für Open-Sourc´ler spannendere Themen.
Es gibt zwar auch kommerzielle Produkte, aber die sind auch sehr teuer und werden dann gewöhnlich in Firmen eingesetzt, in den diese auch von Experten koordiniert werden.
Die ganze Geschichte ist recht komplex und ist eigentlich wie eine Versicherung: man braucht sie nicht dauernd, aber wenn etwas passiert, dann ist man froh, sie zu haben.

]]> Von: allotria http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7969 allotria Tue, 10 Feb 2009 20:54:55 +0000 http://delengkal.de/?p=1097#comment-7969 @hansbaer: Das Zertifikat beinhaltet den Public-Key (Struktur eines X.509-Zertifikats: http://de.wikipedia.org/wiki/X.509#Struktur_eines_X-509-v3-Zertifikats ). D.h. wenn du deinem Kollegen eine verschlüsselte Mail schicken willst, dann musst du dessen Zertifikat haben. Aber eben, es kann sein, dass die Key-Usage das Verschlüsseln mit diesem Zertifikat nicht zulässt. Und ein braves Programm wie Thunderbird hält sich an die erlaubten Verwendungszwecke. Gruss allotria @hansbaer:
Das Zertifikat beinhaltet den Public-Key (Struktur eines X.509-Zertifikats: http://de.wikipedia.org/wiki/X.509#Struktur_eines_X-509-v3-Zertifikats ).

D.h. wenn du deinem Kollegen eine verschlüsselte Mail schicken willst, dann musst du dessen Zertifikat haben. Aber eben, es kann sein, dass die Key-Usage das Verschlüsseln mit diesem Zertifikat nicht zulässt. Und ein braves Programm wie Thunderbird hält sich an die erlaubten Verwendungszwecke.

Gruss allotria

]]> Von: hansbaer http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7967 hansbaer Tue, 10 Feb 2009 20:27:58 +0000 http://delengkal.de/?p=1097#comment-7967 @Stephan: Naja, von solchen verschwörungstheorieartigen Ansätzen halte ich nicht viel. Es hindert ja keiner die Projekte daran, die Software benutzerfreundlich zu machen - GnuPG ist seit Jahren frei zugänglich. Es kann sein, dass die NSA Methoden hat, diese Verschlüsselung zu knacken, aber man weiß es nicht. Die ganze Geschichte ist einfach ein typischer Fall von Software von Informatikern für Informatiker. Der Markt ist klein, und die Leute scheren sich nicht um die Sicherheit ihrer E-Mails bzw. sie denken gar nicht daran, dass das ganze ungefähr so sicher ist wie eine Postkarte. Um Verschlüsselung massentauglich zu machen, müsste das einfach alles standardmäßig aktiviert sein. @allotria: ich dachte eigentlich, man kriegt wie bei PGP einen öffentlichen Schlüssel. So wurde das auch in einem Artikel, den ich gefunden habe, beschrieben. Jedoch mochte mein Thunderbird den Schlüssel von web.de nicht, und so konnte ich keine Mail an den Kollegen schicken, weil dies mangels vorliegendem Zertifikat in einer Fehlermeldung endete. So oder so: das ist sowas wie Jabber und Ogg Vorbis. Prinzipiell ist es ganz toll, aber weil es keiner benutzt, verbreitet es sich nicht und bleibt eine Randerscheinung für Spezialisten. @Stephan: Naja, von solchen verschwörungstheorieartigen Ansätzen halte ich nicht viel. Es hindert ja keiner die Projekte daran, die Software benutzerfreundlich zu machen – GnuPG ist seit Jahren frei zugänglich. Es kann sein, dass die NSA Methoden hat, diese Verschlüsselung zu knacken, aber man weiß es nicht.

Die ganze Geschichte ist einfach ein typischer Fall von Software von Informatikern für Informatiker. Der Markt ist klein, und die Leute scheren sich nicht um die Sicherheit ihrer E-Mails bzw. sie denken gar nicht daran, dass das ganze ungefähr so sicher ist wie eine Postkarte. Um Verschlüsselung massentauglich zu machen, müsste das einfach alles standardmäßig aktiviert sein.

@allotria: ich dachte eigentlich, man kriegt wie bei PGP einen öffentlichen Schlüssel. So wurde das auch in einem Artikel, den ich gefunden habe, beschrieben. Jedoch mochte mein Thunderbird den Schlüssel von web.de nicht, und so konnte ich keine Mail an den Kollegen schicken, weil dies mangels vorliegendem Zertifikat in einer Fehlermeldung endete. So oder so: das ist sowas wie Jabber und Ogg Vorbis. Prinzipiell ist es ganz toll, aber weil es keiner benutzt, verbreitet es sich nicht und bleibt eine Randerscheinung für Spezialisten.

]]> Von: allotria http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7966 allotria Tue, 10 Feb 2009 20:13:00 +0000 http://delengkal.de/?p=1097#comment-7966 In der Tat sind verschlüsselte E-Mails noch viel zu weit weg von Praxistauglichkeit. Zu S/MIME: Um E-Mails mit S/MIME sinnvoll verschlüsselt verschicken zu können müssen alle Teilnehmer einer PKI (Private-Key-Infrastructure) angeschlossen sein. Ausserdem reicht i.d.R. ein Zertifikat dafür nicht aus, da man prinzipiell nicht mit dem selben Zertifikat signieren und verschlüsseln soll (wegen der "Non-Repudiation" soviel ich mich erinnern mag). (In einem "richtigen" PKI-Umfeld benutzt man drei bis vier Zertifikate pro User.) Es kann also gut sein, dass das Thawte-Zertifikat nicht für die Verschlüsselung geeignet ist und das auch so in den "Eigenschaften" des Zertifikats so eingestellt ist (Felder "Key Usage" und "Extended Key Usage" im X.509-Zertifikat). Eine PKI zu betreiben ist eine aufwändige und teure Sache und wird meist nur innerhalb von grösseren Firmen gemacht. Vielleicht, vielleicht springen die Staaten dort aber mal in die Bresche.... obwohl, das wird wohl auch noch ein paar Jahr(zehnt)e dauern. Grüsse allotria In der Tat sind verschlüsselte E-Mails noch viel zu weit weg von Praxistauglichkeit.

Zu S/MIME:
Um E-Mails mit S/MIME sinnvoll verschlüsselt verschicken zu können müssen alle Teilnehmer einer PKI (Private-Key-Infrastructure) angeschlossen sein.
Ausserdem reicht i.d.R. ein Zertifikat dafür nicht aus, da man prinzipiell nicht mit dem selben Zertifikat signieren und verschlüsseln soll (wegen der “Non-Repudiation” soviel ich mich erinnern mag).
(In einem “richtigen” PKI-Umfeld benutzt man drei bis vier Zertifikate pro User.)

Es kann also gut sein, dass das Thawte-Zertifikat nicht für die Verschlüsselung geeignet ist und das auch so in den “Eigenschaften” des Zertifikats so eingestellt ist (Felder “Key Usage” und “Extended Key Usage” im X.509-Zertifikat).

Eine PKI zu betreiben ist eine aufwändige und teure Sache und wird meist nur innerhalb von grösseren Firmen gemacht.
Vielleicht, vielleicht springen die Staaten dort aber mal in die Bresche…. obwohl, das wird wohl auch noch ein paar Jahr(zehnt)e dauern.

Grüsse allotria

]]> Von: Stephan http://delengkal.de/2009/02/moderne-technik/comment-page-1/#comment-7965 Stephan Tue, 10 Feb 2009 18:37:03 +0000 http://delengkal.de/?p=1097#comment-7965 Wenn, um sowas zu verstehen, selbst Informatiker (ob in der Ausbildung oder im Studium) Spezialkurse besuchen müssen, um das halbwegs zu verstehen.... - und verständliche Literatur ist echt rar. Zunächst wird dieses Wissen auf sehr abstrakt mathematischem Niveau vermittelt - da steigen die meisten aus. Warum sich nun niemand an die Umsetzung von einfach zu handhabenden Lösungen macht, speziell private Firmen, vermute ich darin, daß der Staat die Leute dann nicht mehr so schön und einfach überwachen könnte. Für Entschlüsselung braucht man Rechnerkapazität und Zeit (je nachdem wie schnell die Rechner sind). Und Rechnerpower kostet eben auch viel Geld. Wenn man das wirklich einfach handhabbar machen wollte, hätte schon irgend eine Firma die Marktlücke aufgegriffen. Nur wenn der Staat bzw. Geheimdienste durch die Hintertür "nein" sagen...bleibt die Entwicklung eben stehen. Vor vielen Jahren war sogar die in der USA entwickelte 128-Bit Verschlüsselung als "Exportgut" verboten: Es galt als Waffenhandel. Die richtig guten Sachen können und nutzen nur die Gehiemdienste. Alle "Abfallprodukte" kommen mit einigen Jahren Verspätung zum Normalbenutzer - in mehr oder weniger nutzbarem Zustand. Dann hat der Staat aber schon weit bessere Möglichkeiten. Wenn, um sowas zu verstehen, selbst Informatiker (ob in der Ausbildung oder im Studium) Spezialkurse besuchen müssen, um das halbwegs zu verstehen…. – und verständliche Literatur ist echt rar.
Zunächst wird dieses Wissen auf sehr abstrakt mathematischem Niveau vermittelt – da steigen die meisten aus. Warum sich nun niemand an die Umsetzung von einfach zu handhabenden Lösungen macht, speziell private Firmen, vermute ich darin, daß der Staat die Leute dann nicht mehr so schön und einfach überwachen könnte. Für Entschlüsselung braucht man Rechnerkapazität und Zeit (je nachdem wie schnell die Rechner sind). Und Rechnerpower kostet eben auch viel Geld.
Wenn man das wirklich einfach handhabbar machen wollte, hätte schon irgend eine Firma die Marktlücke aufgegriffen. Nur wenn der Staat bzw. Geheimdienste durch die Hintertür “nein” sagen…bleibt die Entwicklung eben stehen. Vor vielen Jahren war sogar die in der USA entwickelte 128-Bit Verschlüsselung als “Exportgut” verboten: Es galt als Waffenhandel.
Die richtig guten Sachen können und nutzen nur die Gehiemdienste.
Alle “Abfallprodukte” kommen mit einigen Jahren Verspätung zum Normalbenutzer – in mehr oder weniger nutzbarem Zustand. Dann hat der Staat aber schon weit bessere Möglichkeiten.

]]>