Captain it's Wednesday - Folge 111 - E-Mail-Verschlüsselung

  Ralf Hersel   Lesezeit: 7 Minuten  🗪 6 Kommentare Auf Mastodon ansehen

Folge 111 des CIW Podcasts. Warum sollte man E-Mails signieren und/oder verschlüsseln?

captain it's wednesday - folge 111 - e-mail-verschlüsselung

Für ein optimales Hörerlebnis empfehlen wir eine Podcatcher-App zu verwenden. Zum Beispiel:

Der RSS-Feeds für den Podcast lautet: https://gnulinux.ch/podcast/gnulinux_newscast_rss.xml. Ihr findet uns in den Podcast-Verzeichnissen unter dem Suchbegriff: "GNU/Linux".

Wenn euch der Podcast gefällt, freuen wir uns über eine Unterstützung. Vielen Dank!

Shownotes

CIW - Folge 111 - 06.11.2024 - E-Mail-Verschlüsselung

  • Wir begrüssen alle Kryptologen zur Folge 111 von "Captain it's Wednesday", dem Podcast über Freie Software und Freie Gesellschaft von GNU/Linux.ch, aufgenommen am 4. November von Farid Mésbahi und Ralf Hersel. In dieser Folge sprechen wir darüber, ob man E-Mails signieren und verschlüsseln soll.

Hausmitteilungen

  • keine

Thema: Warum sollte man E-Mails signieren und/oder verschlüsseln?

Ralf ranted
  • E-Mail Signierung und Verschlüsselung haben sich nicht durchgesetzt, weil es viel zu kompliziert ist.
    • Das stimmt.
    • Aber auch das Bewusstsein liegt oft nicht vor, dass Mails im Grunde Postkarten sind.
    • Es gibt technische Ansätze, um den Prozess zu vereinfachen, aber diese schlummern vor sich hin. Als Beispiel Web-Key-Directories (WKD) (https://wiki.gnupg.org/WKD).
  • E-Mail-Anwendungen sollten Verschlüsselung als Opt-in, oder Opt-out anbieten, ohne dass Anwender:innen etwas konfigurieren müssen.
  • E-Mail-Anwendungen sollten verschlüsselte E-Mails annehmen können, ohne das Zutun der Empfänger.
  • Die freie Community denkt viel zu kompliziert und setzt zu viel voraus.
  • Nur ein Bruchteil der Community verwendet E-Mail-Verschlüsselung. Ich habe es bereits vor langer Zeit aufgegeben.
  • Das Web-of-Trust ist eine Utopie.
  • Die E-Mail-Protokolle wurden seit 1971 entwickelt, haben sich in den über 50 Jahren in den Grundzügen nicht wesentlich weiterentwickelt und waren nie für verschlüsselte Kommunikation geplant.
  • E-Mails sind eine technologische Plage, die es seit dem Aufkommen von guten Messengern nicht mehr geben sollte.
  • Im Dezember 2023 lag der Anteil der Spam-Mails am gesamten E-Mail-Verkehr weltweit bei rund 50 % (2019: 60 %). Mit knapp 30 % kam der Großteil der Spam-Mails im Jahr 2023 aus Russland - rund 3,3 Prozent stammten aus Deutschland. Nicht mitgezählt sind Bullshit-Mails (Werbung, Ja, Nein, Bitte, Danke-Mails), die ich auf 20 % schätze.
  • Farid, rate mal, wie viele E-Mails aktuell pro Tag weltweit versendet werden? Antwort: ca. 350 Mrd./Tag. Damit werden jeden Tag ca. 75 % (260 Mrd.) E-Mails für nichts versendet und verbrennen Energie.
Farid erklärt
  • Warum sollte man seine Mails signieren und/oder verschlüsseln?
  • Die Unterschiede zwischen S/MIME und GnuPG.
  • Das Web-of-Trust, eine CA und die Hintergründe.
    • Die Firma Governikus unterschreibt/beglaubigt öffentliche GnuPG-Schlüssel mithilfe der digitalen Ausweisfunktion (DE) (https://pgp.governikus.de). Und das im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik.
    • Mir (Farid) als letzter bekannter "vertrauensvoller" Keyserver wird unter der Adresse: https://keys.openpgp.org bereitgestellt.
  • Was steckt genau hinter CAcert und der Volksverschlüsselung?

Links

Outro

  • Euer Feedback ist uns wichtig. Ihr könnt uns über Matrix, Mastodon oder per E-Mail erreichen. Die Adressen findet ihr auf unserer Webseite.
  • GNU/Linux.ch ist ein Magazin, in dem die Community für die Community interessante Artikel erstellt und im Podcast darüber diskutiert. Helft mit, die Infos für die Community zu bereichern. Wie das geht, erfahrt ihr hier.

Tags

Podcast, CIW, Captain

Michael
Geschrieben von Michael am 6. November 2024 um 13:08

Danke für das wichtige Thema. Für mich ist der Showstopper, dass mit Verschlüsselung (ich nutze POP3) die Mails nicht mehr durchsucht werden können. Seht Ihr dafür eine Lösung?

fm
Geschrieben von fm am 6. November 2024 um 15:44

Unabhängig des Mail-Protokolls (POP3 oder IMAP), hängt das stark vom Mail-Programm ab. Aber in der Regel liegen verschlüsselte Mails auch verschlüsselt in Dateiform vor und werden erst bei Betrachten entschlüsselt. Mir ist jetzt nur bei MailMate (für macOS) bekannt, dass eine Indizierung von entschlüsselten Mails angeboten wird. Hier ein Ausschnitt aus der Hilfe: "It is possible to allow MailMate to index decrypted messages. This allows you to search within encrypted messages, but it also means that decrypted text is added to database files.".

Günter
Geschrieben von Günter am 6. November 2024 um 13:25

Würden mehr Proton oder Tuta verwenden, wäre das Problem gelöst. Aber es muss ja "kostenlos" sein, also schickt man seine Mails über Google oder 1&1 Konsorten. Mit S-Mime oder PGP wird das in diesem Leben nichts mehr, so sehr sich manche gute Mailer wie (Posteo oder Mailbox.org) auch bemühen. Einfach zu umständlich.

fm
Geschrieben von fm am 6. November 2024 um 15:50

Das Thema GnuPG und S/MIME ist wirklich schwierig. Wie Ralf es beschrieben hat, würden könnten Messenger die Mail ablösen und gleich alles mitbringen, inkl. der Verschlüsselung die komplett im Hintergrund passiert. Nur sitzen wir leider im Messenger-Jungel ohne auch nur ansatzweise eine Einigung zu finden.

Valentin
Geschrieben von Valentin am 7. November 2024 um 11:37

Es gibt noch ein weiteres elegantes Verfahren, um die Schlüssel zu Verteilen. Es eignet sich jedoch nur für Menschen, die fit in IT sind und über den Zugriff eines eigenen Hostings verfügen. Web Key Directory WKD https://www.kuketz-blog.de/gnupg-web-key-directory-wkd-einrichten/ https://wiki.gnupg.org/WKD

Werner
Geschrieben von Werner am 27. November 2024 um 09:50

Das stimmt so ja nicht ganz: Es gibt einige mittelgroße Mailprovider, die WKD anbieten: z.B. Mailbox.org, Posteo, Protonmail. Die grossen Anbieter wollen das entweder nicht (Google) oder sehen kein Geschäftsmodell es anzubieten (Telekom, 1&1). Für die Telekom hatte ich das WKD sogar extra angepaßt, damit deren Probleme mit Mail (bei Telekom) und Web (vermietet an Ströer) technisch lösbar sind. Da müssen aber dicke Bretter gebohrt werden und eine regelmäßige Teilnahme an ECO Mail Treffen sind nötig. Ich hatte da irgendwann nicht mehr die Zeit dafür. 1&1 hat die Infrastruktur dafür und intern (für 1&1 Mailadressen) auch einen Keyserver. Aber die Schlüssel via WKD nach außen zu geben wollen sie nicht.

Bei Bundesbehörden wäre WKD natürlich leicht möglich aber da mahlen die Mühlen besonders langsam. Ich kenne allerdings eine Landesbehörde die WKD anbietet. Und das war alles nicht wirklich schwierig zu installieren, sofern man die internen Schlüssel bereits auf einem LDAP hat ("gpg-wks-client --mirror" ist dann der cron Job den man haben will).