Für ein optimales Hörerlebnis empfehlen wir eine Podcatcher-App zu verwenden. Zum Beispiel:
- AntennaPod (Android)
- gPodder (Desktop)
- GNOME-Podcast (GNOME-Desktop)
- Kast (KDE-Desktop)
- PodPhoenix (Ubuntu-Touch)
Der RSS-Feeds für den Podcast lautet: https://gnulinux.ch/podcast/gnulinux_newscast_rss.xml. Ihr findet uns in den Podcast-Verzeichnissen unter dem Suchbegriff: "GNU/Linux".
Wenn euch der Podcast gefällt, freuen wir uns über eine Unterstützung. Vielen Dank!
Shownotes
CIW - Folge 111 - 06.11.2024 - E-Mail-Verschlüsselung
- Wir begrüssen alle Kryptologen zur Folge 111 von "Captain it's Wednesday", dem Podcast über Freie Software und Freie Gesellschaft von GNU/Linux.ch, aufgenommen am 4. November von Farid Mésbahi und Ralf Hersel. In dieser Folge sprechen wir darüber, ob man E-Mails signieren und verschlüsseln soll.
Hausmitteilungen
- keine
Thema: Warum sollte man E-Mails signieren und/oder verschlüsseln?
Ralf ranted
- E-Mail Signierung und Verschlüsselung haben sich nicht durchgesetzt, weil es viel zu kompliziert ist.
- Das stimmt.
- Aber auch das Bewusstsein liegt oft nicht vor, dass Mails im Grunde Postkarten sind.
- Es gibt technische Ansätze, um den Prozess zu vereinfachen, aber diese schlummern vor sich hin. Als Beispiel Web-Key-Directories (WKD) (https://wiki.gnupg.org/WKD).
- E-Mail-Anwendungen sollten Verschlüsselung als Opt-in, oder Opt-out anbieten, ohne dass Anwender:innen etwas konfigurieren müssen.
- E-Mail-Anwendungen sollten verschlüsselte E-Mails annehmen können, ohne das Zutun der Empfänger.
- Die freie Community denkt viel zu kompliziert und setzt zu viel voraus.
- Nur ein Bruchteil der Community verwendet E-Mail-Verschlüsselung. Ich habe es bereits vor langer Zeit aufgegeben.
- Das Web-of-Trust ist eine Utopie.
- Die E-Mail-Protokolle wurden seit 1971 entwickelt, haben sich in den über 50 Jahren in den Grundzügen nicht wesentlich weiterentwickelt und waren nie für verschlüsselte Kommunikation geplant.
- E-Mails sind eine technologische Plage, die es seit dem Aufkommen von guten Messengern nicht mehr geben sollte.
- Im Dezember 2023 lag der Anteil der Spam-Mails am gesamten E-Mail-Verkehr weltweit bei rund 50 % (2019: 60 %). Mit knapp 30 % kam der Großteil der Spam-Mails im Jahr 2023 aus Russland - rund 3,3 Prozent stammten aus Deutschland. Nicht mitgezählt sind Bullshit-Mails (Werbung, Ja, Nein, Bitte, Danke-Mails), die ich auf 20 % schätze.
- Farid, rate mal, wie viele E-Mails aktuell pro Tag weltweit versendet werden? Antwort: ca. 350 Mrd./Tag. Damit werden jeden Tag ca. 75 % (260 Mrd.) E-Mails für nichts versendet und verbrennen Energie.
Farid erklärt
- Warum sollte man seine Mails signieren und/oder verschlüsseln?
- Die Unterschiede zwischen S/MIME und GnuPG.
- Das Web-of-Trust, eine CA und die Hintergründe.
- Die Firma Governikus unterschreibt/beglaubigt öffentliche GnuPG-Schlüssel mithilfe der digitalen Ausweisfunktion (DE) (https://pgp.governikus.de). Und das im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik.
- Mir (Farid) als letzter bekannter "vertrauensvoller" Keyserver wird unter der Adresse: https://keys.openpgp.org bereitgestellt.
- Was steckt genau hinter CAcert und der Volksverschlüsselung?
Links
- https://de.statista.com/statistik/daten/studie/872986/umfrage/anteil-der-spam-mails-am-gesamten-e-mail-verkehr-weltweit/
- https://de.statista.com/statistik/daten/studie/252278/umfrage/prognose-zur-zahl-der-taeglich-versendeter-e-mails-weltweit/
- Der Podcast "Das Duumvirat": https://www.trommelspeicher.de/podcast
- Web of Trust (Wikipedia): https://de.wikipedia.org/wiki/Web_of_Trust
- Schlüsselbeglaubigung durch die Firma Governikus (im Auftrag des BSI): https://pgp.governikus.de/
- Artikel zur Vorbereitung eines S/MIME-Zertifikates (lokale Erstellung des Schlüsselpaares), für die Weiterverarbeitung bei einer Certificate Authority, kurz CA: https://www.trommelspeicher.de/blog/smime-zertifikat-im-selbstversuch
- Sicher kommunizieren, einfach erklärt: https://www.youtube.com/watch?v=4mbryW8fZrA
Outro
- Euer Feedback ist uns wichtig. Ihr könnt uns über Matrix, Mastodon oder per E-Mail erreichen. Die Adressen findet ihr auf unserer Webseite.
- GNU/Linux.ch ist ein Magazin, in dem die Community für die Community interessante Artikel erstellt und im Podcast darüber diskutiert. Helft mit, die Infos für die Community zu bereichern. Wie das geht, erfahrt ihr hier.
Danke für das wichtige Thema. Für mich ist der Showstopper, dass mit Verschlüsselung (ich nutze POP3) die Mails nicht mehr durchsucht werden können. Seht Ihr dafür eine Lösung?
Unabhängig des Mail-Protokolls (POP3 oder IMAP), hängt das stark vom Mail-Programm ab. Aber in der Regel liegen verschlüsselte Mails auch verschlüsselt in Dateiform vor und werden erst bei Betrachten entschlüsselt. Mir ist jetzt nur bei MailMate (für macOS) bekannt, dass eine Indizierung von entschlüsselten Mails angeboten wird. Hier ein Ausschnitt aus der Hilfe: "It is possible to allow MailMate to index decrypted messages. This allows you to search within encrypted messages, but it also means that decrypted text is added to database files.".
Würden mehr Proton oder Tuta verwenden, wäre das Problem gelöst. Aber es muss ja "kostenlos" sein, also schickt man seine Mails über Google oder 1&1 Konsorten. Mit S-Mime oder PGP wird das in diesem Leben nichts mehr, so sehr sich manche gute Mailer wie (Posteo oder Mailbox.org) auch bemühen. Einfach zu umständlich.
Das Thema GnuPG und S/MIME ist wirklich schwierig. Wie Ralf es beschrieben hat, würden könnten Messenger die Mail ablösen und gleich alles mitbringen, inkl. der Verschlüsselung die komplett im Hintergrund passiert. Nur sitzen wir leider im Messenger-Jungel ohne auch nur ansatzweise eine Einigung zu finden.
Es gibt noch ein weiteres elegantes Verfahren, um die Schlüssel zu Verteilen. Es eignet sich jedoch nur für Menschen, die fit in IT sind und über den Zugriff eines eigenen Hostings verfügen. Web Key Directory WKD https://www.kuketz-blog.de/gnupg-web-key-directory-wkd-einrichten/ https://wiki.gnupg.org/WKD
Das stimmt so ja nicht ganz: Es gibt einige mittelgroße Mailprovider, die WKD anbieten: z.B. Mailbox.org, Posteo, Protonmail. Die grossen Anbieter wollen das entweder nicht (Google) oder sehen kein Geschäftsmodell es anzubieten (Telekom, 1&1). Für die Telekom hatte ich das WKD sogar extra angepaßt, damit deren Probleme mit Mail (bei Telekom) und Web (vermietet an Ströer) technisch lösbar sind. Da müssen aber dicke Bretter gebohrt werden und eine regelmäßige Teilnahme an ECO Mail Treffen sind nötig. Ich hatte da irgendwann nicht mehr die Zeit dafür. 1&1 hat die Infrastruktur dafür und intern (für 1&1 Mailadressen) auch einen Keyserver. Aber die Schlüssel via WKD nach außen zu geben wollen sie nicht.
Bei Bundesbehörden wäre WKD natürlich leicht möglich aber da mahlen die Mühlen besonders langsam. Ich kenne allerdings eine Landesbehörde die WKD anbietet. Und das war alles nicht wirklich schwierig zu installieren, sofern man die internen Schlüssel bereits auf einem LDAP hat ("gpg-wks-client --mirror" ist dann der cron Job den man haben will).