t3n News Infrastruktur

Volksverschlüsselung: Einfache Ende-zu-Ende-Verschlüsselung gegen E-Mail-Spionage

Volksverschlüsselung: Einfache Ende-zu-Ende-Verschlüsselung gegen E-Mail-Spionage

Auf der 2015 hat das Fraunhofer-Institut SIT eine vorgestellt, die es wirklich jedem ermöglichen soll, seine Ende zu Ende zu verschlüsseln. Der plakative Name: Volksverschlüsselung.

Volksverschlüsselung: Einfache Ende-zu-Ende-Verschlüsselung gegen E-Mail-Spionage

E-Mails einfach sicher verschlüsseln. (Bild: Fraunhofer SIT)

Volksverschlüsselung: Sichere E-Mail-Kommunikation

Über die Bezeichnung „Volksverschlüsselung“ lässt sich sicher streiten. Nicht aber darüber, dass es bisher vor allem technikversierten Nutzern vorbehalten war, sich eine sichere Ende-zu-Ende-Verschlüsselung für ihre E-Mail-Kommunikation einzurichten und sich damit vor Ausspähung zu schützen. Dank Ende-zu-Ende-Verschlüsselung können nur Sender und Empfänger Nachrichten im Klartext lesen.

Volksverschlüsselung soll auch Laien sichere E-Mail-Kommunikation ermöglichen. (Bild: Fraunhofer SIT)
Volksverschlüsselung soll auch Laien sichere E-Mail-Kommunikation ermöglichen. (Bild: Fraunhofer SIT)

Ein Forscherteam des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) will das jetzt auch Laien möglich machen. Die Lösung, eine Software plus nötiger Infrastruktur, setzt von vornherein auf Benutzerfreundlichkeit. So sollen etwa die kryptografischen Schlüssel auf dem eigenen Computer automatisch an den richtigen Stellen installiert werden. Die E-Mail-Anwendungen und Browser werden ebenfalls von der Software konfiguriert.

cebit-banner

Hochsicherheitsserver unterstützt Volksverschlüsselung

Die Software erzeugt die Schlüssel, die für eine sichere Ende-zu-Ende-Verschlüsselung notwendig sind, und registriert die öffentlichen Schlüssel bei der zentralen Infrastruktur, während die privaten Schlüssel auf dem Computer des Nutzers bleiben. Das Verfahren läuft über einen Hochsicherheitsserver am Fraunhofer-Institut.

Vorerst werden Outlook und Thunderbird sowie die Browser Internet Explorer, Chrome und Firefox unterstützt. Später sollen auch Linux- und Mac-Computer sowie Mobilgeräte mit iOS- und Android-Betriebssystem genutzt werden können. Zuerst soll Mitte des Jahres die Version für Windows erscheinen.

Um sich für das Verfahren zu authentifizieren, können Nutzer sowohl den neuen elektronischen Personalausweis (eID) als auch Micropayment- oder Postident-Verfahren nutzen.

via www.golem.de

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
6 Antworten
  1. von Olaf Barheine am 18.03.2015 (10:39 Uhr)

    Man muss nun aber wirklich nicht Informatik studiert haben, um PGP einzurichten. Aber nun gut, wenn das Projekt der Sicherheit dient... Gegen Bequemlichkeit und Arglosigkeit wird es aber nicht helfen.

    Antworten Teilen
    • von Mario am 18.03.2015 (10:52 Uhr)

      Sorry, aber die Usability von PGP hat sich seit Jahren nicht gebessert. Die Schlüsselverwaltung ist eine Katastrophe. Nur ein paar Beispiele: eine Löschung von (kompromittierten) Schlüsseln ist nicht möglich, die Generierung von Revoke-Keys sehr kompliziert. Gefälschte Schlüssel sind dagegen relativ einfach zu erstellen. Die Einbindung in Standard-Mail-Software oder gar Webmail meist gar nicht oder nur bruchstückhaft vorhanden...
      Kurzum, für die breite Masse ist PGP leider nicht zu gebrauchen.

      Antworten Teilen
      • von Jan am 20.03.2015 (18:08 Uhr)

        Hallo,
        ich bin jetzt technisch nur Mittel versiert und finde PGP mit Enigmail relativ einfach zu bedienen.

        Teilen
  2. von Besser für manche am 18.03.2015 (12:01 Uhr)

    PGP ist sehr unbequem. War es zumindest früher und die bequeme Bezahlversion kann sich vielleicht nicht jeder leisten.
    Man konnte früher wohl auch nicht Emails von Fremden dekodieren ohne sie in die Keychain eintragen zu müssen. Ich will aber nicht jeden in die Keychain eintragen. So ähnlich wie Kommentare bei Facebook die nur gingen wenn man vorher geliked hatte obwohl man etwas dagegen schreiben wollte. Brauchbare Systeme sind nicht so einfach wie viele tun. Outlook Express hat schon ewig S/MIME usw. Bisher bestand aber eher wohl nicht der Bedarf.

    Wenn nichts offen rumliegt werden gerne alle Rechner einkassiert. Die Auswertung dauert möglicherweise nicht gerade kurz. Aber man hat ja Backups in der Cloud und kann sich Ersatz-AirBooks leisten und ist täglich auf die Betriebsprüfung vorbereitet. Und die Kunden interessiert das vielleicht auch nicht. Wer als Admin arbeitet, kennt die Häufigkeit von Abfragen und Zugriffen.

    Sowas kann schnell jedem kleinen Mitarbeiter passieren. Denn bei Insolvenzen nämlich lassen die Gläubiger schon mal wegen Insolvenz-Verschleppung und/oder Insolvenz-Betrug ermitteln. Die Behörden kommen nämlich besser an alle Daten als ein kleiner oder großer Gläubiger.
    http://www.golem.de/news/digineo-polizei-durchsucht-bremer-provider-wegen-ebookspender-1412-111126.html

    Und sowas betrifft dann vielleicht auch alle Mitarbeiter-Geräte in der Firma und zu Hause im Home-Office wenn z.B. der Chef möglicherweise vielleicht ungern Steuern gezahlt hat:
    golem.de: " manwin " . Mehrere Artikel.
    http://www.golem.de/news/lieferheld-gegen-lieferando-dos-attacken-im-konkurrenzkampf-zwischen-pizzaplattformen-1204-91331.html


    Bald greifen Viren sicher auch Keys ab und müssen nicht man die Handschrift imitieren um eine rechtsverbindliche digitale Unterschrift unter Briefe zu setzen. Da freuen sich die Hacker sicher schon.
    http://www.golem.de/1008/76966.html

    Und gefälschte Zertifikate kommen praktisch ständig vor:
    http://www.golem.de/news/tls-zertifikate-comodo-stellt-gefaelschtes-microsoft-zertifikat-aus-1503-113000.html
    http://www.golem.de/news/zertifikatsfaelschungen-microsoft-update-sperrt-indische-zertifizierungsstelle-1407-107828.html
    http://www.golem.de/news/internet-im-flugzeug-gogo-benutzt-gefaelschte-ssl-zertifikate-fuer-youtube-1501-111488.html
    http://www.golem.de/1109/86204.html
    http://www.golem.de/1109/86286.html

    Ich will schon ewig das public-Keys an mehreren Stellen hinterlegt sein müssen. Heutzutage z.B. bei google+, Facebook, ebay, Amazon, Xing, Linked-In usw. Diese Stellen fragt man ab und sieht schnell das die Prokura erloschen ist oder der Key revoked wurde. Man kann den Key ja bei Bing und Google suchen und alle Webseiten sehen wo er eingetragen wurde. Sowas ist Firmen und Freiberuflern vermutlich lieber als ein Zertifizierer wie DigiNotar oder Behörden in Diktaturen wo der Privkey gleich an den Geheimdienst übertragen wird um das Geständnis digital zu unterschreiben.

    Key-Abgreifung wird wohl die nächste Stufe von ID-theft-Spam-Mail"Viren". Eigentlich gehören Keys auf Chipkarten oder USB-Sticks oder Sim-Karten die nicht auslesbar sind und wo ausserhalb des vielleicht schon virenverseuchten Betriebs-Systems die Verschlüsselung bzw. Überprüfung stattfindet. M$-Mitarbeiter haben wohl schon 20 Jahre lang Single-Sign-On-Chipkarten. Wer wurde öfter gehackt ? M$ oder Google und Facebook durch Spear-Phishing bei Mitarbeitern ?

    Alte Android-Handies und teilweise vielleicht auch iOS-Geräte sind auslesbar, hack- und crack-bar. Wenn man also die Volks-App für Volks-Verschlüsselung drauflädt hat man nur teilweise Schutz. So wie eine sicheres Türschloss aber eine Tür aus dünnem Holz. Verschlüsselung sollte möglichst autonom sein und möglichst nicht auf Rechnern die vielleicht schon seit Jahren zu Botnetzen gehören. Vielleicht weil Botnetz-betroffene FirmenPCs und Privat-Rechner über Weihnachten abgeschaltet werden, gibts Weihnachten deutlich weniger Spam.

    Genau wie bei gefakten Dr.Arbeiten und gefakten Papers gibts kaum Infrastrukturen und saubere Protokolle um z.b. zu markieren ab wann der Key gecracked wurde und welche Digitalen Mails sauber sind und welche als nicht rechtsgültig gelten müssen. Soll man wohl im Mail-Archiv der Firma mit der Hand markieren... Oder plötzlich kommen welche und wollen alle Pizzabestellungen oder Ebay-Verkäufe der letzten 5 Jahre rückgängig machen weil das angeblich die bösen Hacker unterschrieben hätten.

    Das Keys nur eine begrenzte Lebenszeit haben, realisieren die Infrastrukturen bis heute nicht. Der Papstring hingegen wird eingeschmolzen bzw. geschliffen damit ein toter bzw. zurückgetretener Papst keine Dokumente mehr damit signieren kann. Was passiert wenn ein Geschäftsführer zurücktritt ? Wie weiss ich das sein Key nicht mehr gilt ?

    Die Idee ist also schon Ok. Aber die Infrastruktur und drumherum muss auch passen.

    Antworten Teilen
  3. von Möglichkeiten werden wahr am 23.03.2015 (12:51 Uhr)

    Die Meldung über Lighteater heute beweist, was schon kommentiert wurde: Die Keys müssen woanders sein als auf unsicheren Systemen oder pseudo-sicheren Systemen. Dafür gehen einzig und allein zur Zeit vermutlich Chipkarten wo dann alles abläuft.
    Aber auch die wurden geknackt bzw. der Hersteller digital unterwandert.

    Antworten Teilen
  4. von Norbert_G am 27.05.2015 (11:43 Uhr)

    Ich nutze Whiteout Mail. End-to-end PGP Verschlüsselung...in 2 Minuten installiert und stabil auf meinem OSX Macbook sowie iOS Geräten. Als Münchner unterstütze ich lieber Münchner Start-ups, als Vodafone.

    http://www.whiteout.io

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Software
Noch leichter zu responsiven E-Mails: Foundation for E-Mails 2 ist da
Noch leichter zu responsiven E-Mails: Foundation for E-Mails 2 ist da

Mit Foundation for E-Mails 2 ist jetzt der Nachfolger von Ink veröffentlicht worden. Wir verraten euch, was das Framework für responsive E-Mails für Neuerungen im Gepäck hat. » weiterlesen

Wie diese 14 Unternehmen mit E-Mails erfolgreich werben
Wie diese 14 Unternehmen mit E-Mails erfolgreich werben

Der E-Mail-Posteingang wird immer wichtiger und im Jahr 2016 zu einem essentiellem Teil der Kunden-Erfahrung. In diesem Artikel zeigen wir einige brillante Beispiele für Behavioral … » weiterlesen

Plain: So einfach kann E-Mail sein
Plain: So einfach kann E-Mail sein

Plain Email ist ein App-Konzept für einen effizienteren Umgang mit der täglichen E-Mail-Flut. Wir haben einen Blick auf den Prototyp geworfen. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?