Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Infrastruktur

Volksverschlüsselung: Einfache Ende-zu-Ende-Verschlüsselung gegen E-Mail-Spionage

    Volksverschlüsselung: Einfache Ende-zu-Ende-Verschlüsselung gegen E-Mail-Spionage

E-Mails einfach sicher verschlüsseln. (Bild: Fraunhofer SIT)

Auf der CeBIT 2015 hat das Fraunhofer-Institut SIT eine Software vorgestellt, die es wirklich jedem ermöglichen soll, seine E-Mails Ende zu Ende zu verschlüsseln. Der plakative Name: Volksverschlüsselung.

Volksverschlüsselung: Sichere E-Mail-Kommunikation

Über die Bezeichnung „Volksverschlüsselung“ lässt sich sicher streiten. Nicht aber darüber, dass es bisher vor allem technikversierten Nutzern vorbehalten war, sich eine sichere Ende-zu-Ende-Verschlüsselung für ihre E-Mail-Kommunikation einzurichten und sich damit vor Ausspähung zu schützen. Dank Ende-zu-Ende-Verschlüsselung können nur Sender und Empfänger Nachrichten im Klartext lesen.

Volksverschlüsselung soll auch Laien sichere E-Mail-Kommunikation ermöglichen. (Bild: Fraunhofer SIT)
Volksverschlüsselung soll auch Laien sichere E-Mail-Kommunikation ermöglichen. (Bild: Fraunhofer SIT)

Ein Forscherteam des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) will das jetzt auch Laien möglich machen. Die Lösung, eine Software plus nötiger Infrastruktur, setzt von vornherein auf Benutzerfreundlichkeit. So sollen etwa die kryptografischen Schlüssel auf dem eigenen Computer automatisch an den richtigen Stellen installiert werden. Die E-Mail-Anwendungen und Browser werden ebenfalls von der Software konfiguriert.

cebit-banner

Hochsicherheitsserver unterstützt Volksverschlüsselung

Die Software erzeugt die Schlüssel, die für eine sichere Ende-zu-Ende-Verschlüsselung notwendig sind, und registriert die öffentlichen Schlüssel bei der zentralen Infrastruktur, während die privaten Schlüssel auf dem Computer des Nutzers bleiben. Das Verfahren läuft über einen Hochsicherheitsserver am Fraunhofer-Institut.

Vorerst werden Outlook und Thunderbird sowie die Browser Internet Explorer, Chrome und Firefox unterstützt. Später sollen auch Linux- und Mac-Computer sowie Mobilgeräte mit iOS- und Android-Betriebssystem genutzt werden können. Zuerst soll Mitte des Jahres die Version für Windows erscheinen.

Um sich für das Verfahren zu authentifizieren, können Nutzer sowohl den neuen elektronischen Personalausweis (eID) als auch Micropayment- oder Postident-Verfahren nutzen.

http://t3n.de/news/wp-content/uploads/2015/03/cebit-banner1-595x49.jpg

1 von 25

Wie die Studenten... Mittagspause auf der CeBIT. (Foto: t3n)
Wie die Studenten... Mittagspause auf der CeBIT. (Foto: t3n)

2 von 25

(Foto: t3n)
(Foto: t3n)

3 von 25

via www.golem.de

Finde einen Job, den du liebst zum Thema Webdesign, Grafikdesign

Alle Jobs zum Thema Webdesign, Grafikdesign
6 Reaktionen
Norbert_G
Norbert_G

Ich nutze Whiteout Mail. End-to-end PGP Verschlüsselung...in 2 Minuten installiert und stabil auf meinem OSX Macbook sowie iOS Geräten. Als Münchner unterstütze ich lieber Münchner Start-ups, als Vodafone.

http://www.whiteout.io

Antworten
Möglichkeiten werden wahr
Möglichkeiten werden wahr

Die Meldung über Lighteater heute beweist, was schon kommentiert wurde: Die Keys müssen woanders sein als auf unsicheren Systemen oder pseudo-sicheren Systemen. Dafür gehen einzig und allein zur Zeit vermutlich Chipkarten wo dann alles abläuft.
Aber auch die wurden geknackt bzw. der Hersteller digital unterwandert.

Antworten
Besser für manche
Besser für manche

PGP ist sehr unbequem. War es zumindest früher und die bequeme Bezahlversion kann sich vielleicht nicht jeder leisten.
Man konnte früher wohl auch nicht Emails von Fremden dekodieren ohne sie in die Keychain eintragen zu müssen. Ich will aber nicht jeden in die Keychain eintragen. So ähnlich wie Kommentare bei Facebook die nur gingen wenn man vorher geliked hatte obwohl man etwas dagegen schreiben wollte. Brauchbare Systeme sind nicht so einfach wie viele tun. Outlook Express hat schon ewig S/MIME usw. Bisher bestand aber eher wohl nicht der Bedarf.

Wenn nichts offen rumliegt werden gerne alle Rechner einkassiert. Die Auswertung dauert möglicherweise nicht gerade kurz. Aber man hat ja Backups in der Cloud und kann sich Ersatz-AirBooks leisten und ist täglich auf die Betriebsprüfung vorbereitet. Und die Kunden interessiert das vielleicht auch nicht. Wer als Admin arbeitet, kennt die Häufigkeit von Abfragen und Zugriffen.

Sowas kann schnell jedem kleinen Mitarbeiter passieren. Denn bei Insolvenzen nämlich lassen die Gläubiger schon mal wegen Insolvenz-Verschleppung und/oder Insolvenz-Betrug ermitteln. Die Behörden kommen nämlich besser an alle Daten als ein kleiner oder großer Gläubiger.
http://www.golem.de/news/digineo-polizei-durchsucht-bremer-provider-wegen-ebookspender-1412-111126.html

Und sowas betrifft dann vielleicht auch alle Mitarbeiter-Geräte in der Firma und zu Hause im Home-Office wenn z.B. der Chef möglicherweise vielleicht ungern Steuern gezahlt hat:
golem.de: " manwin " . Mehrere Artikel.
http://www.golem.de/news/lieferheld-gegen-lieferando-dos-attacken-im-konkurrenzkampf-zwischen-pizzaplattformen-1204-91331.html

Bald greifen Viren sicher auch Keys ab und müssen nicht man die Handschrift imitieren um eine rechtsverbindliche digitale Unterschrift unter Briefe zu setzen. Da freuen sich die Hacker sicher schon.
http://www.golem.de/1008/76966.html

Und gefälschte Zertifikate kommen praktisch ständig vor:
http://www.golem.de/news/tls-zertifikate-comodo-stellt-gefaelschtes-microsoft-zertifikat-aus-1503-113000.html
http://www.golem.de/news/zertifikatsfaelschungen-microsoft-update-sperrt-indische-zertifizierungsstelle-1407-107828.html
http://www.golem.de/news/internet-im-flugzeug-gogo-benutzt-gefaelschte-ssl-zertifikate-fuer-youtube-1501-111488.html
http://www.golem.de/1109/86204.html
http://www.golem.de/1109/86286.html

Ich will schon ewig das public-Keys an mehreren Stellen hinterlegt sein müssen. Heutzutage z.B. bei google+, Facebook, ebay, Amazon, Xing, Linked-In usw. Diese Stellen fragt man ab und sieht schnell das die Prokura erloschen ist oder der Key revoked wurde. Man kann den Key ja bei Bing und Google suchen und alle Webseiten sehen wo er eingetragen wurde. Sowas ist Firmen und Freiberuflern vermutlich lieber als ein Zertifizierer wie DigiNotar oder Behörden in Diktaturen wo der Privkey gleich an den Geheimdienst übertragen wird um das Geständnis digital zu unterschreiben.

Key-Abgreifung wird wohl die nächste Stufe von ID-theft-Spam-Mail"Viren". Eigentlich gehören Keys auf Chipkarten oder USB-Sticks oder Sim-Karten die nicht auslesbar sind und wo ausserhalb des vielleicht schon virenverseuchten Betriebs-Systems die Verschlüsselung bzw. Überprüfung stattfindet. M$-Mitarbeiter haben wohl schon 20 Jahre lang Single-Sign-On-Chipkarten. Wer wurde öfter gehackt ? M$ oder Google und Facebook durch Spear-Phishing bei Mitarbeitern ?

Alte Android-Handies und teilweise vielleicht auch iOS-Geräte sind auslesbar, hack- und crack-bar. Wenn man also die Volks-App für Volks-Verschlüsselung drauflädt hat man nur teilweise Schutz. So wie eine sicheres Türschloss aber eine Tür aus dünnem Holz. Verschlüsselung sollte möglichst autonom sein und möglichst nicht auf Rechnern die vielleicht schon seit Jahren zu Botnetzen gehören. Vielleicht weil Botnetz-betroffene FirmenPCs und Privat-Rechner über Weihnachten abgeschaltet werden, gibts Weihnachten deutlich weniger Spam.

Genau wie bei gefakten Dr.Arbeiten und gefakten Papers gibts kaum Infrastrukturen und saubere Protokolle um z.b. zu markieren ab wann der Key gecracked wurde und welche Digitalen Mails sauber sind und welche als nicht rechtsgültig gelten müssen. Soll man wohl im Mail-Archiv der Firma mit der Hand markieren... Oder plötzlich kommen welche und wollen alle Pizzabestellungen oder Ebay-Verkäufe der letzten 5 Jahre rückgängig machen weil das angeblich die bösen Hacker unterschrieben hätten.

Das Keys nur eine begrenzte Lebenszeit haben, realisieren die Infrastrukturen bis heute nicht. Der Papstring hingegen wird eingeschmolzen bzw. geschliffen damit ein toter bzw. zurückgetretener Papst keine Dokumente mehr damit signieren kann. Was passiert wenn ein Geschäftsführer zurücktritt ? Wie weiss ich das sein Key nicht mehr gilt ?

Die Idee ist also schon Ok. Aber die Infrastruktur und drumherum muss auch passen.

Antworten
Olaf Barheine
Olaf Barheine

Man muss nun aber wirklich nicht Informatik studiert haben, um PGP einzurichten. Aber nun gut, wenn das Projekt der Sicherheit dient... Gegen Bequemlichkeit und Arglosigkeit wird es aber nicht helfen.

Antworten
Mario
Mario

Sorry, aber die Usability von PGP hat sich seit Jahren nicht gebessert. Die Schlüsselverwaltung ist eine Katastrophe. Nur ein paar Beispiele: eine Löschung von (kompromittierten) Schlüsseln ist nicht möglich, die Generierung von Revoke-Keys sehr kompliziert. Gefälschte Schlüssel sind dagegen relativ einfach zu erstellen. Die Einbindung in Standard-Mail-Software oder gar Webmail meist gar nicht oder nur bruchstückhaft vorhanden...
Kurzum, für die breite Masse ist PGP leider nicht zu gebrauchen.

Antworten
Jan
Jan

Hallo,
ich bin jetzt technisch nur Mittel versiert und finde PGP mit Enigmail relativ einfach zu bedienen.

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen