PGP-Schlüssel einfach und sicher verteilen

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
36 messages Options
12
Reply | Threaded
Open this post in threaded view
|

PGP-Schlüssel einfach und sicher verteilen

Robert Schetterer-2
Hi @ll, weil es grade durch die Medien getrieben wird

https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/

Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

J. Fahrner

Am 28.02.2015 um 18:11 schrieb Robert Schetterer:
> Hi @ll, weil es grade durch die Medien getrieben wird
>
> https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/
>

Da wird mir beim lesen ja schon schwindlig. ;-)

Ich kann mir nicht vorstellen dass PGP dadurch massentauglicher wird,
dass man es immer komplizierter macht. Wenn das ein paar Nerds
impementieren nützt das niemandem. Wie lange wird es wohl dauern bis die
großen Mailprovider das so implementiert haben dass es jeder DAU nutzen
kann, und ebenso die gängigen Mailclients (Outlook, Thunderbird,
Evolution)? Ich glaube nicht dass ich das noch erleben werde.

--
Mit besten Grüßen
Joachim Fahrner

Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Robert Schetterer-2
Am 28.02.2015 um 19:55 schrieb Joachim Fahrner:

>
> Am 28.02.2015 um 18:11 schrieb Robert Schetterer:
>> Hi @ll, weil es grade durch die Medien getrieben wird
>>
>> https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/
>>
>
> Da wird mir beim lesen ja schon schwindlig. ;-)
>
> Ich kann mir nicht vorstellen dass PGP dadurch massentauglicher wird,
> dass man es immer komplizierter macht. Wenn das ein paar Nerds
> impementieren nützt das niemandem. Wie lange wird es wohl dauern bis die
> großen Mailprovider das so implementiert haben dass es jeder DAU nutzen
> kann, und ebenso die gängigen Mailclients (Outlook, Thunderbird,
> Evolution)? Ich glaube nicht dass ich das noch erleben werde.
>

Keine Ahnung ob "grosse" Mailprovider das machen werden, aber wir leben
in einer Marktwirtschaft... ,mit milter auf dem Server sollten die Dinge
fuer den User schon "etwas" einfacher werden. Auf jeden Fall wird es
sicherer.



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Florian Streibelt
In reply to this post by Robert Schetterer-2
On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote:

> Hi @ll, weil es grade durch die Medien getrieben wird
>
> https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/

Hmm,

was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar
proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem
caching ohne eigene Kosten.

Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne
aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen
hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass
die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu
hinterlegen.

Disclaimer: Habe den Draft noch nicht gelesen, aber das Beispiel aus dem Blog
beschreibt genau das.


/Florian

Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Patrick Ben Koetter-2
* Florian Streibelt <[hidden email]>:

> On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote:
>
> > Hi @ll, weil es grade durch die Medien getrieben wird
> >
> > https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/
>
> Hmm,
>
> was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar
> proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem
> caching ohne eigene Kosten.
>
> Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne
> aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen
> hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass
> die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu
> hinterlegen.

Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch
teuer und ggf. nicht lohnenswert für Spammer.

> Disclaimer: Habe den Draft noch nicht gelesen, aber das Beispiel aus dem Blog
> beschreibt genau das.

Der Blog beschreibt den Verteilmenanismus. Was fehlt sind Tools, die sich im
Hintergrund um das Update, die Suche etc. der Keys kümmern. Erst wenn die da
sind, bietet PGP einen brauchbaren Komfort.

Dann kann man sich auf seine Aufgabe konzentrieren und muss sich nicht dauernd
die Werkzeuge verwalten. Wir haben wirklich tolle Werkzeuge am Start, aber wir
vergessen dabei allzu häufig, dass die Anwender "mit dem Computer" arbeiten
wollen und nicht "am Computer". Wenn wir das in unsere Köpfe reinbekämen und
umsetzen würden, hätte die ganze Open Source Szene die Akkzeptanz in der Masse
die sie sucht.

p@rick



--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Florian Streibelt
On So, 01 Mär 2015 at 13:36:27 +0100, Patrick Ben Koetter wrote:

> Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch
> teuer und ggf. nicht lohnenswert für Spammer.

Und hash berechnen ist billiger als ne mail loszusenden, zumal ich bei einem
negativen cache hit im dns das senden spare und wenn ich mailbots habe die
hinter demselben resolver hängen nur einer von beiden die adresse mal getestet
haben muss. (je nachdem ob der resolver negativ cached und wie lange,
details...)

Zum einen sind hashes nicht mehr teuer - werden in hardware berechnet und wir
haben Dateisysteme die darauf beruhen. Mein Punkt ist, dass nur der localpart
eingeht - ich also sogar nur einmal max.mustermann berechnen muss, und dann
gegen jede domain testen kann ob es die adresse dort so gibt.

Was mich noch interessiert, aber dazu muss ich den draft lesen, ist ob sie
darübe jetzt in widerspruch zu den email RFC's laufen, so dass der localpart
jetzt auch auf seite des rfc nicht mehr case sensitiv ist. Bisher war bei
genauer auslegung der RFC in meiner Erinnerung ein .lower() auf dem localpart
nämlich nicht erlaubt.



/Florian
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Michael Ströder
In reply to this post by Patrick Ben Koetter-2
Patrick Ben Koetter wrote:

> * Florian Streibelt <[hidden email]>:
>> On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote:
>>
>>> Hi @ll, weil es grade durch die Medien getrieben wird
>>>
>>> https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/
>>
>> was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar
>> proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem
>> caching ohne eigene Kosten.
>>
>> Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne
>> aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen
>> hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass
>> die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu
>> hinterlegen.
>
> Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch
> teuer und ggf. nicht lohnenswert für Spammer.
???

Spammer probieren auf meinem kleinen Mail-Server alle möglichen local-parts
durch. Dagegen ist die Hash-Berechnung doch superbillig!

Ausserdem kann man an den DNS-Abfragen bereits erkennen, auf welcher
E-Mail-Adresse jemand sich einen Schlüssel besorgt. Und ich befürchte, dass
Implementierungen sich später nur noch auf DNSSEC (Root unter reiner
US-Kontrolle) verlassen so wie's ja jetzt auch schon bei DANE-SMTP passiert.

Ich persönlich kann der ganzen DNSSEC/DANE-Euphorie nicht so recht was abgewinnen.

Ciao, Michael.


smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Patrick Ben Koetter-2
* Michael Ströder <[hidden email]>:

> Patrick Ben Koetter wrote:
> > * Florian Streibelt <[hidden email]>:
> >> On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote:
> >>
> >>> Hi @ll, weil es grade durch die Medien getrieben wird
> >>>
> >>> https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/
> >>
> >> was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar
> >> proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem
> >> caching ohne eigene Kosten.
> >>
> >> Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne
> >> aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen
> >> hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass
> >> die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu
> >> hinterlegen.
> >
> > Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch
> > teuer und ggf. nicht lohnenswert für Spammer.
>
> ???
>
> Spammer probieren auf meinem kleinen Mail-Server alle möglichen local-parts
> durch. Dagegen ist die Hash-Berechnung doch superbillig!

Stimmt. Da kann er aber auch einen HKS-Server 'harvesten' und dann an die
Adressen senden. Ich denke, dass das so oder so keinen grossen Einfluss haben
werden wird.


> Ausserdem kann man an den DNS-Abfragen bereits erkennen, auf welcher
> E-Mail-Adresse jemand sich einen Schlüssel besorgt. Und ich befürchte, dass
> Implementierungen sich später nur noch auf DNSSEC (Root unter reiner
> US-Kontrolle) verlassen so wie's ja jetzt auch schon bei DANE-SMTP passiert.
>
> Ich persönlich kann der ganzen DNSSEC/DANE-Euphorie nicht so recht was abgewinnen.

Weshalb nicht?

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Robert Schetterer-2
In reply to this post by Florian Streibelt
Am 01.03.2015 um 13:47 schrieb Florian Streibelt:

> On So, 01 Mär 2015 at 13:36:27 +0100, Patrick Ben Koetter wrote:
>
>> Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch
>> teuer und ggf. nicht lohnenswert für Spammer.
>
> Und hash berechnen ist billiger als ne mail loszusenden, zumal ich bei einem
> negativen cache hit im dns das senden spare und wenn ich mailbots habe die
> hinter demselben resolver hängen nur einer von beiden die adresse mal getestet
> haben muss. (je nachdem ob der resolver negativ cached und wie lange,
> details...)
>
> Zum einen sind hashes nicht mehr teuer - werden in hardware berechnet und wir
> haben Dateisysteme die darauf beruhen. Mein Punkt ist, dass nur der localpart
> eingeht - ich also sogar nur einmal max.mustermann berechnen muss, und dann
> gegen jede domain testen kann ob es die adresse dort so gibt.
>
> Was mich noch interessiert, aber dazu muss ich den draft lesen, ist ob sie
> darübe jetzt in widerspruch zu den email RFC's laufen, so dass der localpart
> jetzt auch auf seite des rfc nicht mehr case sensitiv ist. Bisher war bei
> genauer auslegung der RFC in meiner Erinnerung ein .lower() auf dem localpart
> nämlich nicht erlaubt.
>
>
>
> /Florian
>

also real wuerde ich behaupten mind 95 % des Spams sind immer noch "fire
and forget", bei klasssichen Spam gehts einfach nur um Masse
und ausreichen Resourcen sind fuer gewoehnlich vorhanden.
Ich hab hab das seit Jahren im Auge, im Detail hat sich da schon was
getan....aber ansonsten ist es "Geschaeft wie immer"


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Florian Streibelt
On So, 01 Mär 2015 at 15:33:47 +0100, Robert Schetterer wrote:

> also real wuerde ich behaupten mind 95 % des Spams sind immer noch "fire
> and forget", bei klasssichen Spam gehts einfach nur um Masse
> und ausreichen Resourcen sind fuer gewoehnlich vorhanden.
> Ich hab hab das seit Jahren im Auge, im Detail hat sich da schon was
> getan....aber ansonsten ist es "Geschaeft wie immer"

ACK. Mich wundert halt nur, dass man beim Neudesign das nicht anders gelöst
hat. Alle sagen einem, man solle VRFY deswegen abschalten, und dann kommt so
ein Protokoll ;)

Schönen Sonntag noch,

  /Florian
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Robert Schetterer-2
Am 01.03.2015 um 16:44 schrieb Florian Streibelt:

> On So, 01 Mär 2015 at 15:33:47 +0100, Robert Schetterer wrote:
>
>> also real wuerde ich behaupten mind 95 % des Spams sind immer noch "fire
>> and forget", bei klasssichen Spam gehts einfach nur um Masse
>> und ausreichen Resourcen sind fuer gewoehnlich vorhanden.
>> Ich hab hab das seit Jahren im Auge, im Detail hat sich da schon was
>> getan....aber ansonsten ist es "Geschaeft wie immer"
>
> ACK. Mich wundert halt nur, dass man beim Neudesign das nicht anders gelöst
> hat. Alle sagen einem, man solle VRFY deswegen abschalten, und dann kommt so
> ein Protokoll ;)


Nun es sollen ein paar Schwaechen eines verhandenen Verfahrens
verbessert werden. Ich glaube im Entwurf steht nicht "ich verspreche dir
einen Rosengarten" *g

Da wird sich sicher noch viel tun in Zukunft, ich bin allerdings
skeptisch ob jemand den "heiligen Gral" der Email Verschluesselung
finden wird. Aber sicherlich werden etliche versuchen dir einen zu
verkaufen *g. Moeglicherweise wird es aber ein "gut genug" geben das
"besser" ist als die jetzigen Verfahren.


>
> Schönen Sonntag noch,
>
>   /Florian
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

J. Fahrner

Am 01.03.2015 um 17:27 schrieb Robert Schetterer:
> Da wird sich sicher noch viel tun in Zukunft, ich bin allerdings
> skeptisch ob jemand den "heiligen Gral" der Email Verschluesselung
> finden wird. Aber sicherlich werden etliche versuchen dir einen zu
> verkaufen *g. Moeglicherweise wird es aber ein "gut genug" geben das
> "besser" ist als die jetzigen Verfahren.

Ich verstehe nicht warum man ständig an dem PGP rumbastelt, das wird
doch nie massentauglich. S/MIME ist doch da viel geeigneter. Erstens ist
es in jedem besseren Mailclient von Haus aus drin, und die Schlüssel
werden automatisch verwaltet. Eigentlich perfekt. Einziges Problem: die
Zertifikate zu bekommen ist umständlich und teuer. Da sollte man mal was
verbessern.

Gruss
Jochen

Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Robert Schetterer-2
Am 01.03.2015 um 19:52 schrieb J. Fahrner:

>
> Am 01.03.2015 um 17:27 schrieb Robert Schetterer:
>> Da wird sich sicher noch viel tun in Zukunft, ich bin allerdings
>> skeptisch ob jemand den "heiligen Gral" der Email Verschluesselung
>> finden wird. Aber sicherlich werden etliche versuchen dir einen zu
>> verkaufen *g. Moeglicherweise wird es aber ein "gut genug" geben das
>> "besser" ist als die jetzigen Verfahren.
>
> Ich verstehe nicht warum man ständig an dem PGP rumbastelt, das wird
> doch nie massentauglich. S/MIME ist doch da viel geeigneter.

ich bin da nicht up2date aber soweit ich erinnere gibt es auch was
aehnliches fuer s/mime mit dnssec


Erstens ist
> es in jedem besseren Mailclient von Haus aus drin, und die Schlüssel
> werden automatisch verwaltet. Eigentlich perfekt. Einziges Problem: die
> Zertifikate zu bekommen ist umständlich und teuer. Da sollte man mal was
> verbessern.

Irgendwo faengt man immer an, Verfahren die umstaendlich und teuer sind
haben fuer den Massenmarkt per se keine Chance.

Ich denke man muss die Kirche im Dorf lassen , lange Zeit hat sich auf
diesem Gebiet gar nichts bewegt, jetzt geht es wenigstens "etwas" voran.

>
> Gruss
> Jochen
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Christian Boltz-2
In reply to this post by J. Fahrner
Hallo Jochen, hallo Leute,

Am Sonntag, 1. März 2015 schrieb J. Fahrner:
> [S/MIME] Eigentlich perfekt. Einziges Problem: die
> Zertifikate zu bekommen ist umständlich

Umständlich. War da nicht was? Ach ja, PGP ;-)

Du willst also eine umständliche Software / Verschlüsselungsmethode
durch eine andere ersetzen.

> und teuer.

Teuer ist S/MIME auch noch?

Ein Mathematiker würde jetzt wohl argumentieren, dass PGP dann wohl
besser (oder zumindest weniger schlecht) ist, weil es "nur" umständlich
ist *eg*

> Da sollte man mal was verbessern.

Äh, ja ;-)

*SCNR*

Ich sage nicht, dass die GPG-Schlüsselverteilung per DNS _die_ Lösung
ist, aber es ist auf jeden Fall ein brauchbarer Ansatz. Sogar ohne
DNSSEC steigert es die Chancen, den richtigen Schlüssel zu bekommen ;-)


Davon abgesehen: wenn jemand so wichtig ist, dass es gefälschte
Schlüssel (egal ob GPG oder S/MIME) von ihm gibt _und_ gleichzeitig
Mails an ihn abgefangen werden (nur so richten mit falschem Schlüssel
verschlüsselte Mails einen Schaden/Datenleck an) _und_ Du sensibles
Material an denjenigen schicken willst - naja, dann solltest Du
definitiv auf anderem Weg den Schlüssel validieren.

Bei so einer Zielperson findet sich garantiert auch eine
Zertifizierungsstelle, die ein falsches S/MIME-Zertifikat für ihn
ausstellt (und/oder dazu gezwungen wird).


Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen
Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?


Gruß

Christian Boltz
--
> I'd like to see systemctl accepting "abbreviated" service names, as
> in without the ".service" which is so very redundant, for starters.
You must love the speed we implement your wishes!
Frederic went ahead and commited your wish like... 6 months ago or so :)
[> Claudio Freire and Dominique Leuenberger in opensuse-packaging]

Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Michael Ströder
Christian Boltz wrote:
> Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen
> Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?

Ganz einfach durch eine signierte E-Mail.
Dein Kmail und die S/MIME-fähigen MUAs anderer Listenteilnehmer müssten meins
extrahieren können.

In einer signierten E-Mail werden übrigens auch die sog. S/MIME Capabilities
mitgesendet, d.h. die symm. Cipher die des Senders aktueller MUA verwenden kann.

Ciao, Michael.


smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

J. Fahrner

Am 02.03.2015 um 00:20 schrieb Michael Ströder:

> Christian Boltz wrote:
>> Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen
>> Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?
> Ganz einfach durch eine signierte E-Mail.
> Dein Kmail und die S/MIME-fähigen MUAs anderer Listenteilnehmer müssten meins
> extrahieren können.
>
> In einer signierten E-Mail werden übrigens auch die sog. S/MIME Capabilities
> mitgesendet, d.h. die symm. Cipher die des Senders aktueller MUA verwenden kann.
>
> Ciao, Michael.
>

Exakt so ist es. Einfacher geht's doch nicht mehr! So muss es sein.

Mozilla will ja in Kürze eine eigene CA betreiben, aber ich befürchte
nur für Server-Zertifikate. Von S/MIME-Zertifikaten lese ich in der
Ankündigung nix. :-(

--
Mit besten Grüßen
Joachim Fahrner

Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

lst_hoe02
In reply to this post by Christian Boltz-2

Zitat von Christian Boltz <[hidden email]>:

> Hallo Jochen, hallo Leute,
>
> Am Sonntag, 1. März 2015 schrieb J. Fahrner:
>> [S/MIME] Eigentlich perfekt. Einziges Problem: die
>> Zertifikate zu bekommen ist umständlich
>
> Umständlich. War da nicht was? Ach ja, PGP ;-)
>
> Du willst also eine umständliche Software / Verschlüsselungsmethode
> durch eine andere ersetzen.
>
>> und teuer.
>
> Teuer ist S/MIME auch noch?
>
> Ein Mathematiker würde jetzt wohl argumentieren, dass PGP dann wohl
> besser (oder zumindest weniger schlecht) ist, weil es "nur" umständlich
> ist *eg*
>
>> Da sollte man mal was verbessern.
>
> Äh, ja ;-)
>
> *SCNR*
>
> Ich sage nicht, dass die GPG-Schlüsselverteilung per DNS _die_ Lösung
> ist, aber es ist auf jeden Fall ein brauchbarer Ansatz. Sogar ohne
> DNSSEC steigert es die Chancen, den richtigen Schlüssel zu bekommen ;-)
>
>
> Davon abgesehen: wenn jemand so wichtig ist, dass es gefälschte
> Schlüssel (egal ob GPG oder S/MIME) von ihm gibt _und_ gleichzeitig
> Mails an ihn abgefangen werden (nur so richten mit falschem Schlüssel
> verschlüsselte Mails einen Schaden/Datenleck an) _und_ Du sensibles
> Material an denjenigen schicken willst - naja, dann solltest Du
> definitiv auf anderem Weg den Schlüssel validieren.
>
> Bei so einer Zielperson findet sich garantiert auch eine
> Zertifizierungsstelle, die ein falsches S/MIME-Zertifikat für ihn
> ausstellt (und/oder dazu gezwungen wird).
>
>
> Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen
> Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?
>
Durch ein digital signierte E-Mail z.B.
Hat den Vorteil das es sogar in größerem Maßstab problemfrei  
funktioniert und gleichzeitig den Absender und den Inhalt einer Mail  
verifiziert. Keyserver gibt es zwar auch, allerdings selten genutzt  
weil die Verteilung per E-Mail deutlich einfacher ist. Demnächst soll  
mit SMIMEA auch ein DNSSEC basierter Verteildienst standardisiert  
werden...

Gruß

Andi



smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Michael Ströder
In reply to this post by J. Fahrner
Joachim Fahrner wrote:

>
> Am 02.03.2015 um 00:20 schrieb Michael Ströder:
>> Christian Boltz wrote:
>>> Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen
>>> Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?
>> Ganz einfach durch eine signierte E-Mail.
>> Dein Kmail und die S/MIME-fähigen MUAs anderer Listenteilnehmer müssten meins
>> extrahieren können.
>>
>> In einer signierten E-Mail werden übrigens auch die sog. S/MIME Capabilities
>> mitgesendet, d.h. die symm. Cipher die des Senders aktueller MUA verwenden kann.
>
> Exakt so ist es. Einfacher geht's doch nicht mehr! So muss es sein.
Letztlich hat die Crypto-Fan-Fraktion mit der Diskussion
S/MIME-ist-böse-und-nur-PGP-ist-das-einzig-wahre-Nerd-Tool flächendeckende
Ende-zu-Ende-Verschlüsselung wirksam verhindert.

> Mozilla will ja in Kürze eine eigene CA betreiben, aber ich befürchte
> nur für Server-Zertifikate. Von S/MIME-Zertifikaten lese ich in der
> Ankündigung nix. :-(

Man muss das beobachten.

Momentan sind mangels Nachfrage die S/MIME-Aktivitäten bei Mozilla ziemlich
tot. Wenn sich ein paar Leute für ernsthafte Arbeiten zusammenfinden bin ich
gerne dabei.

Ciao, Michael.


smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

lst_hoe02

Zitat von Michael Ströder <[hidden email]>:

> Joachim Fahrner wrote:
>>
>> Am 02.03.2015 um 00:20 schrieb Michael Ströder:
>>> Christian Boltz wrote:
>>>> Apropos: Wie komme ich überhaupt zum S/MIME-Zertifikat meines künftigen
>>>> Kommunikationspartners? Gibt es da auch Keyserver, DNS-Einträge o. ä.?
>>> Ganz einfach durch eine signierte E-Mail.
>>> Dein Kmail und die S/MIME-fähigen MUAs anderer Listenteilnehmer  
>>> müssten meins
>>> extrahieren können.
>>>
>>> In einer signierten E-Mail werden übrigens auch die sog. S/MIME  
>>> Capabilities
>>> mitgesendet, d.h. die symm. Cipher die des Senders aktueller MUA  
>>> verwenden kann.
>>
>> Exakt so ist es. Einfacher geht's doch nicht mehr! So muss es sein.
>
> Letztlich hat die Crypto-Fan-Fraktion mit der Diskussion
> S/MIME-ist-böse-und-nur-PGP-ist-das-einzig-wahre-Nerd-Tool flächendeckende
> Ende-zu-Ende-Verschlüsselung wirksam verhindert.
So ist. Außer Nerds versteht dabei doch eh keiner die Hintergründe,  
deshalb wird einfach *beides* in die Tonnen gekloppt.

>> Mozilla will ja in Kürze eine eigene CA betreiben, aber ich befürchte
>> nur für Server-Zertifikate. Von S/MIME-Zertifikaten lese ich in der
>> Ankündigung nix. :-(
>
> Man muss das beobachten.
>
> Momentan sind mangels Nachfrage die S/MIME-Aktivitäten bei Mozilla ziemlich
> tot. Wenn sich ein paar Leute für ernsthafte Arbeiten zusammenfinden bin ich
> gerne dabei.
>
> Ciao, Michael.
Das wäre wirklich mal ein Fortschritt wenn sich bei TB wieder mal was  
bewegen würde.

Gruß

Andi



smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: PGP-Schlüssel einfach und sicher verteilen

Patrick Ben Koetter-2
In reply to this post by Michael Ströder
* Michael Ströder <[hidden email]>:
> Momentan sind mangels Nachfrage die S/MIME-Aktivitäten bei Mozilla ziemlich
> tot. Wenn sich ein paar Leute für ernsthafte Arbeiten zusammenfinden bin ich
> gerne dabei.

Definiere 'ernsthaft'. Was wäre denn Dein Ziel? Eine Integration von SMIME
über DNSSEC-retrieval/storage?

p@rick



--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
12