staging.inyokaproject.org

Hallo zusammen ich habe eigentlich schon länger vor meine Mails zu verschlüsseln und dazu openpgp in Thunderbird zu nutzen, habe aber noch offene Fragen zu gewissen Sachen die ich nicht recht verstehe. Es gibt leider nicht zu all meinen Fragen Quellen im Internet.

Fangen wir an:

1. werden die E-Mails selbst verschlüsselt, oder nur die Kommunikation zwischen den Servern, also genauer gesagt ist die komplette E-Mail verschlüsselt?

2. ist der Anhang von E-Mails verschlüsselt egal welcher Dateityp?

3. wenn ich jemandem eine Mail zuschicken möchte, welche verschlüsselt sein soll, brauche ich den public-key von dieser Person, von welchem Server holt er sich die, wie geht das genau von statten?

4. Tritt die Verschlüsselung der Mail erst dann in kraft, wenn die Mail verschickt wird? ist diese besagte Mail dann auch auf meinem lokalen Rechner verschlüsselt, oder nur auf dem IMAP-Server?

4. Diese Schlüsselpaare haben ein Ablaufdatum, in wie weit ist meine Mail die noch auf dem IMAP-Server, oder auf meine Rechner gespeichert ist, noch lesbar? (dieser Punkt interessiert mich am meisten)

5. was haben diese Server wie comodo auf sich, muss ich hier erst eine Registrierung durchführen wegen den public-keys? Oder macht so was Thunderbird automatisch?

6. wenn ich jemandem eine verschlüsselte Mail zuschicke und dieser darauf Antwortet, ist dieser automatisch verschlüsselt? Genauer gesagt, kann diese Person mir auch unverschlüsselt auf die verschlüsselte Mail antworten?

Vorweg: Super, dass du dich für Verschlüsselung interessierst!

Dein Post legt nahe, dass du hier noch gar nichts erlesen zu haben scheinst. Ein Einführung in PGP ist in Form von Forenposts aus meiner Sicht wegen des Umfangs kaum sinnvoll durchführbar.
Mein Tipp: Schau einmal auf die Links am Ende des Wiki-Eintrags und grenze zu deinem eigenen Vorteil auf die übriggebliebenden Fragen ein.

zu 1) Emails ohne Header
zu 2) ja
zu 3) ja, public-key des Gegenüber, verschiedene Verteilungswege möglich (z.B. keyserver, usb-stick usw.)
zu 4) Mail wird verschlüsselt und anschließend versendet; liegt dann (je nach Konfiguration) meist verschlüsselt auf deinem System
zu 5) ssl hat erstmal mit gnuPG nicht viel zu tun
zu 6) ja - Antwortweg ist nicht vorgegeben

-AKI- schrieb:

1. werden die E-Mails selbst verschlüsselt, oder nur die Kommunikation zwischen den Servern, also genauer gesagt ist die komplette E-Mail verschlüsselt?

OpenPGP verschlüsselt die E-Mails selbst. Es ist eine „Ende-zu-Ende“-Verschlüsselung von dir bis zum Empfänger können sie nicht entschlüsselt werden – weil nur der Empfänger den richtigen Schlüssel hat. Beachte allerdings, dass die Header, dazu zählt zum Beispiel Empfänger und Betreff nicht verschlüsselt werden können.

2. ist der Anhang von E-Mails verschlüsselt egal welcher Dateityp?

Ja. Wenn Anhänge vorhanden sind, fragt ich nehme an Enigmail, was mit den Anhängen geschehen soll und bietet an, diese zu verschlüsseln.

3. wenn ich jemandem eine Mail zuschicken möchte, welche verschlüsselt sein soll, brauche ich den public-key von dieser Person, von welchem Server holt er sich die, wie geht das genau von statten?

Ja, du brauchst unbedingt den Public Key dieser Person. Den Schlüssel kann man, wenn man möchte selbst austauschen. Zum Beispiel kann man den einfach als Datei verschicken. Per Mail oder über einen Instant-Messenger mit Datei-Versandoption oder indem man den auf eine Webseite/Cloud hochlädt … Oder halt über die Schlüssel-Server. Es ist ein Schlüssel-Server voreingestellt und alle Schlüssel-Server synchronisieren sich untereinander gegenseitig. Es ist also völlig egal, von welchem Server die geholt werden.

Wichtig ist, dass man den Fingerabdruck der Schlüssel über einen zweiten Kommunikationsweg (z.B. Telefon) verifiziert. Nur so kann man garantieren, dass man tatsächlich den richtigen Schlüssel des Empfängers hat.

4. Tritt die Verschlüsselung der Mail erst dann in kraft, wenn die Mail verschickt wird? ist diese besagte Mail dann auch auf meinem lokalen Rechner verschlüsselt, oder nur auf dem IMAP-Server?

Nein, die Verschlüsselung geschieht auf deinem Rechner und wird erst auf dem Rechner des Empfängers wieder geöffnet.

4. Diese Schlüsselpaare haben ein Ablaufdatum, in wie weit ist meine Mail die noch auf dem IMAP-Server, oder auf meine Rechner gespeichert ist, noch lesbar? (dieser Punkt interessiert mich am meisten)

Das „Ablaufdatum“ hat für das Entschlüsseln keinerlei Bedeutung. Das ist eher so eine Richtlinie, so wie man Passwörter regelmäßig wechseln sollte, so sollte man auch die Schlüssel regelmäßig mal erneuern. Zum Beispiel weil inzwischen bessere Verschlüsselungsalgorithmen existieren oder man einen längeren Schlüssel verwenden will.

Mit diesem Ablaufdatum weist man einfach nur darauf hin, der Absender sollte den alten Schlüssel dann nicht verwenden sondern nach einem neuen Schlüssel schauen (und den natürlich auch wieder mit dem Besitzer des Schlüssels den Fingerabdruck gegenprüfen). Bestehende Schlüssel kann man allerdings behalten und auch alles entschlüsseln, was mit diesem Schlüssel verschlüsselt wurde.

5. was haben diese Server wie comodo auf sich, muss ich hier erst eine Registrierung durchführen wegen den public-keys? Oder macht so was Thunderbird automatisch?

Die Frage verstehe ich nicht.

6. wenn ich jemandem eine verschlüsselte Mail zuschicke und dieser darauf Antwortet, ist dieser automatisch verschlüsselt? Genauer gesagt, kann diese Person mir auch unverschlüsselt auf die verschlüsselte Mail antworten?

Wenn das der Empfänger so eingestellt hat, dass die Antwort automatisch verschlüsselt wird und der Empfänger deinen öffentlichen Schlüssel hat, dann wird auch die Antwort automatisch verschlüsselt.

~jug

tut mir wirklich Leid, dass ich nicht alles auf Anhieb verstehe, oder verstanden habe, leider habe ich zu diesem Thema schon sehr viel gehört und muss sagen das sich die meisten Aussagen gegenseitig aufheben. Hier scheint mehr Unwissen als Wissen zu herrschen.

1 Hmmm, also ich erzeuge ein Schlüsselpaar das 5 Jahre bis zum Ablauf hat, zwischenzeitlich raucht mein PC ab, ich installiere sowohl das OS als auch Thunderbird und openPGP neu, liege ich richtig das alle Mails die jetzt noch auf meinem IMAP-Server, z.B. bei t-online liegen habe, nicht mehr zugreifbar sind, da ja die Schlüssel nicht mehr auf meinem System vorhanden sind? Ich nehme an das man diese dann auch nirgends mehr wiederbekommt?

2 Was passiert mit den Schlüsselpaaren die abgelaufen sind, verbleiben die auf dem System, damit man seine Mails noch öffnen kann, welche mit diesem abgelaufenen Schlüsselpaar erzeugt wurden? Wie viele Schlüsselpaare kann man denn dann überhaupt für so eine e-mail Adresse haben?

3 Also wenn ich jemandem eine verschlüsselte Mail schicken will, muss ich unbedingt die public-key des Empfängers haben, habe ich diese nicht, ist auch keine Verschlüsselung der Mail möglich? So langsam verstehe ich, wieso diese Verschlüsselung der Mails keinen Anklang findet. Nach 30 Jahren sollte vielleicht das e-mail System mal einer Überarbeitung unterzogen werden und die Verschlüsselung anders (leichter) für den Bürger umgesetzt werden.

-AKI- schrieb:

... 1 Hmmm, also ich erzeuge ein Schlüsselpaar das 5 Jahre bis zum Ablauf hat, zwischenzeitlich raucht mein PC ab, ich installiere sowohl das OS als auch Thunderbird und openPGP neu, liege ich richtig das alle Mails die jetzt noch auf meinem IMAP-Server, z.B. bei t-online liegen habe, nicht mehr zugreifbar sind, da ja die Schlüssel nicht mehr auf meinem System vorhanden sind? Ich nehme an das man diese dann auch nirgends mehr wiederbekommt?

Darum sollte man Backups von seinem Schlüssel haben. Schlimmstenfalls kann man sich den sogar ausdrucken und abheften.

-AKI- schrieb

2 Was passiert mit den Schlüsselpaaren die abgelaufen sind, verbleiben die auf dem System, damit man seine Mails noch öffnen kann, welche mit diesem abgelaufenen Schlüsselpaar erzeugt wurden? Wie viele Schlüsselpaare kann man denn dann überhaupt für so eine e-mail Adresse haben?

Wenn du die Schlüssel nicht löschst, bleiben die dir erhalten, ja. Und du kannst problemlos mehrere Schlüsselpaare gleichzeitig benutzen. Wieviele? Bis deine Festplatte voll ist 😉

-AKI- schrieb

3 Also wenn ich jemandem eine verschlüsselte Mail schicken will, muss ich unbedingt die public-key des Empfängers haben, habe ich diese nicht, ist auch keine Verschlüsselung der Mail möglich? So langsam verstehe ich, wieso diese Verschlüsselung der Mails keinen Anklang findet. Nach 30 Jahren sollte vielleicht das e-mail System mal einer Überarbeitung unterzogen werden und die Verschlüsselung anders (leichter) für den Bürger umgesetzt werden.

Nunja, das (oder zumindest ein wichtiges) Problem bei verschlüsselter Kommunikation ist immer der Schlüsselaustausch. Wenn du da ein besseres Verfahren weißt, immer her damit.

Wenn es dir einfach nur um die Komplexität mit dem Schlüsselaustausch geht, hab ich einen Tipp für dich: Lad deinen Schlüssel auf einen Key-Server hoch (Enigmail bietet das an), dann kann sich jeder deinen Schlüssel ganz einfach besorgen. Zumindest Enigmail bietet an auf den Schlüsselservern nach dem passenden Key zu suchen, wenn es noch keinen kennt. Das macht die Sache zu einer Aufgabe von 2 Klicks.

-AKI- schrieb:

1 Hmmm, also ich erzeuge ein Schlüsselpaar das 5 Jahre bis zum Ablauf hat, zwischenzeitlich raucht mein PC ab, ich installiere sowohl das OS als auch Thunderbird und openPGP neu, liege ich richtig das alle Mails die jetzt noch auf meinem IMAP-Server, z.B. bei t-online liegen habe, nicht mehr zugreifbar sind, da ja die Schlüssel nicht mehr auf meinem System vorhanden sind? Ich nehme an das man diese dann auch nirgends mehr wiederbekommt?

Ob deine Mails 5 Jahre auf einem IMAP-Server verbleiben weiß ich nicht. Wenn du diese von dort aber nicht löschst, dann ist das vermutlich so. Das hat aber mit OpenPGP gar nichts zu tun.

Dein Schlüsselpaar kannst und solltest du übrigens sichern. Das ist letztendlich eine Datei auf deinem PC und von deinen wichtigen Dateien solltest du Backups haben. Dann kannst du sie auch nach einer Neuinstallation weiter verwenden. Allerdings musst du darauf achten, dass dein Schlüsselpaar wirklich bei dir verbleibt und keinem Fremden in die Hände fällt. Also vielleicht besser nicht in die Cloud hochladen sondern besser auf einer verschlüsselten Festplatte oder einem USB-Stick sicher aufbewahren.

2 Was passiert mit den Schlüsselpaaren die abgelaufen sind, verbleiben die auf dem System, damit man seine Mails noch öffnen kann, welche mit diesem abgelaufenen Schlüsselpaar erzeugt wurden? Wie viele Schlüsselpaare kann man denn dann überhaupt für so eine e-mail Adresse haben?

Hab ich dir ja schon geschrieben. Natürlich bleiben die Schlüssel erhalten, damit du damit weiterhin entschlüsseln kannst. Dieses Ablaufdatum ist mehr so eine Richtlinie wann du der Meinung bist, dass du einen neuen Schlüssel brauchst, weil du nicht garantieren kannst oder willst, dass dein Schlüssel auch nach x Jahren noch sicher ist, also sowohl technisch als auch praktisch (Fremdzugriff).

Manche Nutzer verwenden das Ablaufdatum vielleicht wie einen Warrant_canary, das Ablaufdatum wird immer wieder hochgesetzt, solange man dem Schlüssel noch vertraut, beziehungsweise die Kontrolle darüber nicht verloren hat. Allerdings, wenn man die Kontrolle verloren hat, dann sollte man den Schlüssel zurück ziehen und offiziell für ungültig und nicht mehr vertrauenswürdig kennzeichnen. Ich habe in der Regel kein Ablaufdatum auf meinen Schlüsseln, sondern setze dieses erst, wenn ich einen Schlüsselwechsel plane. Also wenn ich einen neuen Schlüssel habe und meinen Kontakten ein paar Monate zeit geben möchte, bis der neue Schlüssel verwendet werden muss.

Wieviele Schlüssel du haben kannst? So viele du willst. Wirklich sinnvoll ist aber eher nur ein oder vielleicht zwei Schlüssel.

3 Also wenn ich jemandem eine verschlüsselte Mail schicken will, muss ich unbedingt die public-key des Empfängers haben, habe ich diese nicht, ist auch keine Verschlüsselung der Mail möglich?

Richtig. Es hilft vielleicht, wenn du dir das Prinzip der Public-Key-Verschlüsselung mal anschaust. Das Prinzip ist einfach, aber wie das mit der Sicherheit immer so ist, sie ist leider auch unbequem.

So langsam verstehe ich, wieso diese Verschlüsselung der Mails keinen Anklang findet. Nach 30 Jahren sollte vielleicht das e-mail System mal einer Überarbeitung unterzogen werden und die Verschlüsselung anders (leichter) für den Bürger umgesetzt werden.

Sicherheit und Bequemlichkeit stehen sich praktisch komplett entgegen. Und bei den meisten Nutzern ist das Bewusstsein für diese Problematik einfach nicht stark genug ausgeprägt, um sich mit dem Thema zu befassen. Anders als beim Sicherheitsgurt im Auto, der auch irgendwie unbequem ist, mit dem man sich aber arrangiert hat.

~jug