Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Ja das ist schon richtig, eine Ende-zu-Ende Verschlüsselung für alle wäre schon wünschenswert.
Dann kommt aber wieder die Frage auf: Wie sehr kann man den Anbieter trauen, dass die Verschlüsselung mit rechten Dingen zugeht und keine Hintertürchen eingebaut wurden?
Da verschlüssel ich lieber selbst.
Das ist nicht ganz richtig. Verschlüsselung gilt als "unknackbar", wenn der Aufwand, um eine BruteForce Entschlüsselung vorzunehmen, in keiner vernünftigen Relation zum Nutzen steht, sprich wenn die Entschlüsselung viiieeel zu teuer ist. Und doch, dann gibt es unknackbare Verschlüsselungsverfahren. Niemand, auch nicht die NSA, hat die Möglichkeit, sämtlichen Datenverkehr zu entschlüsseln, der mit solchen Verfahren gesichert ist. Sie könnten bestenfalls versuchen, ein paar Rosinen zu picken. Aber Massenüberwachung wäre so nicht mal ansatzweise möglich, für niemanden.
- es egal ist, wie eine Email nun verschickt wird, da die Geheimdienste ohnehin Zugriff auf sämtlichen deutschen Datenverkehr haben
Siehe oben, wenn der Datenverkehr ordentlich verschlüsselt ist, ist das kein Problem. Klartextzugriff auf die Emailserver hat die NSA nicht, es sei denn, sie hackt die Rechenzentren, was relativ unwahrscheinlich ist und vor allem auch auffallen würde.
Ja, die NSA arbeitet mit dem BND zusammen, aber auch der hat keinen unbeschränkten Zugriff auf sämtliche Emails deutscher Provider. Ganz gut beschrieben hier: https://posteo.de/blog/posteo-zur-mär-von-der-abhör-schnittstelle
Dennoch werden wahrscheinlich nicht wenige glauben, dass damit all deren Sicherheitsprobleme gelöst sein werden...
Alle Sicherheitsprobleme nicht, aber es ist ein sehr einfacher und effektiver Schritt, zumindest wenn sichere SSL Verfahren genutzt werden. Ein viel größeres Problem sind die Egal-Nutzer, die Dienste außerhalb des deutschen Rechtsbereichs nutzen, sprich Gmail, Facebook, WA etc. Auf diese Daten dürfte die NSA sicherlich freien Zugriff haben, Verschlüsselung während der Übertragung hin oder her.
Ergänzung ()
Colonel Decker schrieb:
Wer wirklich Sicherheit will, der schaut in die c't und geht zum Beispiel zu einem Anbieter in der Schweiz, bei dem man dann schnell 10€ im Monat los wird, aber dafür auch seine Mails, seine Kontakte, und seinen Kalender sicher verwahrt hat.
Email, Kalender und Kontake bekommst du bei Posteo.de für 1 EUR/Monat. Durchgängig zugreifbar über offene Standards, wie POP, IMAP, CalDav, CardDav.
Weshalb die Schweiz als sicherer, als Deutschland angesehen wird, ist mir nicht ganz klar. Für die USA (und nur für die USA) hat die Schweiz sogar ihr Bankgeheimnis gelockert und das ist für die ganz sicher etwas höher angesiedelt, als Datenschutz in Rechenzentren.
Wer das nicht braucht und kein Geld zahlen will, der hat bei Anbietern wie Google sehr gute Sicherheit vor unbefugten Dritten, oder geht zu Microsofts Outlook.com wo man fast genauso sicher vor unbefugten Dritten ist, und dazu auch noch den Anbieter selbst nicht seine Mails zu Werbezwecken analysieren hat.
Ironie? Auf amerikanische Dienste hat die NSA 100% Zugriff. Und Mails bei kostenlosen Diensten sollen nicht analysiert werden? Bei "kostenlosen" Dienste werden immer Profile gebildet. Ob nun für externe Werbekunden oder für sich selbst. Der Betrieb der Dienste kostet nunmal Geld und das bezahlt der Kunde entweder direkt (Scheck) oder indirekt (Daten).
Ich ZAHLE zB bei freenet für meine MailACC. hat mehrere Gründe. Der wichtigste: gmx muss per Vertrag für die Sicherheit meiner Daten sorgen. Kontrollieren kann ich das natürlich nicht, aber allemal besser als nen freemail Account. (Posteo hatte ich auch überlegt, aber mich dagegen entschieden, kA mehr wieso)
Fakt ist, dass mit dem Siegel besondere Sicherheit suggeriert wird, was falsch ist. Fakt ist auch, dass das ganze nichts neues, außergewöhntliches oder extra implementiertes ist. Die haben einfach nur für bestimmte Hoster die Übertragung eingeschränkt.
hm... Nein. Ende zu Ende Verschlüsselung würde bedeuten, dass der Browser (im Falle von Webmail) die Entschlüsselung vornehmen müsste. D.h. man bräuchte ein Browser-Plugin (opensource natürlich), dass den verschlüsselten Privatekey von einem Server lädt und damit die Mails von GMX & Co via API abruft und entschlüsselt. Funktioniert ohne Plugin garantiert nicht, bzw wird End2End-Encrpytion ad absurdum geführt.
Mobile Clients am Handy würden an PGP auch scheitern ohne eigene PGP-Mail-App (die es so noch nicht gibt).
BlooDFreeZe schrieb:
@Rexus: wie S.Kara beschrieben: Das ist ja das tolle an dem Verfahren. Das Ding heißt ja nicht umsonst Public Key Man hätte hier also wirklich was bewirken können....
Hätte man das? Das flächige Implementieren von PGP hätte wohl ein Vielfaches von dem gekostet, was die gemacht haben. (Nachdem die eigentlich nur etwas an der Konfig gedreht haben, war der Aufwand wohl defacto null)
@S.Kara: Ein Script-Kiddy mit Zugang zum Backbone... Client2Server war auch davor schon verschlüsselt. Das Problem ist, wer sich Zugang dorthin verschaffen kann, hat wohl auch die Mittel RC4 außer Kraft zu setzen. Aus einem ähnlichen Grund ist normales StartTLS auch ein Papiertiger.
Natürlich wäre das ein Aufwand gewesen und würde so nicht von überall funktionieren (webmail z.B. wie gesagt nur mit Plugin und jeder muss sein Zertifikat reinladen). Dann wärs aber auch mal ein Siegel wert gewesen Es muss ja nicht von heut auf morgen wirklich jede Mail verschlüsselt sein. Von mir aus auch für 1€ im Monat o.ä.. Da hätten sie sich auch mal von so ziemlich allen Anbietern, gerade auch den US Anbietern, absetzen können. Naja gut, wahrscheinlich wäre De-Mail für sowas die bessere Möglichkeit gewesen.
klickt man auf login ist die seite nicht verschlüsselt, fürchterliche Webseite !
Ergänzung ()
MurphsValentine schrieb:
Schon interessant wie viele hier wieder irgendwelche MailProvider alá GMX, freenet, GMail, Yahoo oder wie sie alle heißen nieder machen.
Bei manchen habe ich echt das Gefühl, sie haben ein Diplom in IT-Sicherheit.
OMG ! muss schön sein unwissend zu sein, ich kenne sogar jemanden der gesagt hat, wenn ich eine email als geschäftsemail haben möchte dann setzte ich meinen eigen server auf ... ich verlass mich doch nicht auf anbieter die meine email einfach abschalten, geschweige von der sicherheit der privaten emails
der kann das ja auch, und das sicher nicht mit einem Windows ... ich glaube er würde dann nachts wach liegen
Ergänzung ()
DeusoftheWired schrieb:
Um welchen Anbieter ging es denn bei dir, was genau war das Problem bzw. wie lautete die Fehlermeldung?
Bevor ich doch sensitive Daten versende, überlege ich mir doch, über welchen Kanal ich das mache. Wie sicher ist der, was gibt es für ein Risikio, und wie hoch wäre der Impact eines Verlustes, bzw. eines unerlaubten Einsehens in meine Post? Ich meine nur: Liebe Konsumenten eines Gratis Providers: Schaltet doch mal euer Hirn ein. Mein Spam darf von mir aus schon mitgelesen werden. Sende ich jedoch geheime Daten über einen offenen Kanal, dann ... tja, selber schuld!
Ich betreibe berurflich eine sehr grosse Mail-Infrastruktur, welche von "forced-TLS" (B2B) über persönliche Zertifikate für Verschlüsselung bis hin zur RSA-Token-Authentication vom WAN alles beinhaltet und trotzdem dürfen (sollen) keine businesskritische Daten versendet werden.
klickt man auf login ist die seite nicht verschlüsselt, fürchterliche Webseite !
Ergänzung ()
OMG ! muss schön sein unwissend zu sein, ich kenne sogar jemanden der gesagt hat, wenn ich eine email als geschäftsemail haben möchte dann setzte ich meinen eigen server auf ... ich verlass mich doch nicht auf anbieter die meine email einfach abschalten, geschweige von der sicherheit der privaten emails
der kann das ja auch, und das sicher nicht mit einem Windows ... ich glaube er würde dann nachts wach liegen
Ergänzung ()
KabelBW benutzt pop smtp nicht das von dem ich erst hier erfahren habe pop3s
Ich benutze dann den weblogin, einen Tipp hab ich dann auch noch.
Ich klicke nie auf url die auf den login hinweisen, dazu benutze ich dann IMMER das Lesezeichen mit https !
Ich hab mir jetzt deinen Post 3 mal aufmerksam durchgelesen, aber ich versteh bis auf wilkürliche Beleidigungen oder "Klugscheißerei" ehrlich gesagt nichts.
Vorallem aber kapier ich nicht warum du mich zitierst und dann etwas schreibst was das Zitat einfach unnötig macht.
Du bezeichnest mich als unwissend, dann kommst du mit irgendjemanden um die Ecke, der irgendwas über Firmenmails mal gesagt hat und dann irgendwas mit nem Anbieter und Windows.
Satzbau war nie so deine Stärke?
Mal ganz davon abgesehen steht in meinem Zitat nirgendswo was in dem ich sage, dass die EMail Provider die ich genannt habe die absolut sicheren sind.
Marco^^ schrieb:
FALLS RSA unsicher ist, dann wird in echtzeit entschlüsselt, die Rechnenpowah haben die ...
Und dann kommst du mit einem Gegenargument, das mit "falls" beginnt. Sehr stichhaltig.
Noch dazu haben sie keine Rechenpwah sondern Rechenpower.
Und ob sie das wirklich tun, dürften wir hier alle am wenigsten wissen.
Obwohl du wahrscheinlich schon....
Thema Echtzeitentschlüsselung:
Einen Algorithmus, dessen Cipher Text in Echzeit entschlüsselbar ist sollte man sicher nicht hernehmen um interessante Informationen auszutauschen. Solange aber nicht klar ist, was dafür an Rechenleistung nötig ist bringt die Information nur bedingt was:
Angenommen, ich muss ein ganzes Rechenzentrum anschmeißen, um ein einziges Telefongespräch abzuhören. Dann werde ich das sicher nicht flächendekend und anlasslos machen (und genau da liegt für mich das Problem).
Wie karamba das schon erklärt hat kommt es halt immer darauf an, wieviel Rechenzeit einem die zu entschlüsselnde Information wert ist.
es ist heute möglich, die e-mails ohne Verschlüsselung in Echtzeit zu lesen, also genau in dem Moment wo der Sendeknopf gedruckt wird, wird die e-mail "erst" gesendet ...
Nach einem Kommentar von einem aus einem Bericht, ist es sogar möglich, BEVOR Du auf "senden" klickst die Nachricht lesen zu können.
Wie das funktioniert kann ich Dir nicht nennen, dazu müsste ich das nochmal genauer nachlesen.
In der letzten Zeit hab ich so viele Berichte und interviews gesehen, das ich kaum noch weis wo ich was gesehen habe :/
Die RFC, also die Regel für diesen Standard zu SMTPS, stammt aus dem Jahre 1999. 15 Jahre später setzt man also jetzt diesen Standard um, der sowieso schon von den meisten Email-Providern seit Jahren umgesetzt ist und eine Sicherheit von wieviel auf einer Skala von 1-10 bietet? Richtig. NULL.
@Furian: es geht hier nicht nur um die Verbindung von Client zu Server - da ist SMTPS tatsächlich schon seit langem (optinal) verfügbar - sondern auch um die Verbindung der Server untereinander (also gmx zu t-online) und da scheint das leider noch nicht der Standard zu sein.
Ändert aber nichts daran, dass das - wie du schon gesagt hast - schon längst standard sein sollte und kein extra beworbenes Feature.
Falls das ordentlich umgesetzt werden sollte, würde es die Sicherheit gegenüber dem Klartextaustausch übrigens sehr wohl erhöhen. Ob das der Fall ist kann ich nicht sagen, aber der Standard gäbe das meines Wissens durchaus her.
Erzwungenes SSL ist neu. Stolz darauf sein kann man sicher nicht, aber es erhöht die Sicherheit dennoch (bzw. hebt sie auf das Niveau wo es schon lange sein sollte)
Super Thread mit tollen Beiträgen!
Habe ich das jetzt richtig verstanden, dass posteo mit die günstigste Lösung ist für Ottonormalverbraucher, der möglichst sicher gehen will?
Vielen Dank
