Volksverschlüsselung wo fängt die geschäftliche Verwendung an ?

[BeBur]

Geschäftlich vs. Privat ist das Thema. Du hast dich nur einfach aufgrund von Unkenntnis falsch geäußert.

 

[Piktogramm]

@N.o.L.i.m.i.t. Ziel ist eigentlich die Kommunikation mit Behörden verschlüsselt zu erledigen und zu zeigen das die Person hinter der Mail ich bin, durch eben die Vorlage von einem Online Ausweis.

Was man ja eigentlich auch mit der AusweisApp erledigen könnte.

Eigentlich kann der ePerso, der jetzt nPA heißt von sich aus elektronische, qualifizierte Signaturen: https://de.wikipedia.org/wiki/Perso...d)#Qualifizierte_elektronische_Signatur_(QES)

Das wurde halt hinter ne Paywall gestellt, hoher Preis für minimalen Aufwand, keinerlei verpflichtende Nutzbarkeit, und auf technische Weiterentwicklung hat man geschissen, sodass es mittlerweile nahezu eingestampft wurde.

Das ist alles SO extrem absurd. Der nPA hat viele gute Ansätze, kann eigentlich nahezu alle modernen Anforderungen bedienen, müsste halt an moderne Richtlinien angepasst und technisch minimal erweitert werden. UND es braucht endlich die Gesetzesgrundlage, dass eine digitale Signatur vom Perso überall anwendbar sein muss für rechtssichere Kommunikation/Verträge.

Aber nein, es wird AusweisApp, BundID und sonstiger scheiß gebaut der Funktionen abermals schlecht implementiert, keine universelle Anwendbarkeit bedingt und spätestens auf EU-Ebene problematisch wird.

/Rant

########################

Volksverschlüsselung für S/MIME, taugt um vor allem festzustellen, dass die meisten Firmen nach extern kein S/MIME wollen, können, wollen können. PGP ist da mitunter erfolgreicher, bei den Firmen die es anbieten.

 

[CyborgBeta]

Du hast dich nur einfach aufgrund von Unkenntnis falsch geäußert.

Kann man diese Unterstellungen nicht lassen? Ich habe mich korrekt ausgedrückt. Und es ist völlig unklar, was die Frage des TE ist.

 

[BFF]

Und es ist völlig unklar, was die Frage des TE ist.

Steht doch hier.

nun ist die Frage was versteht Volksverschlüsselung unter Privat und geschäftlich.

Also muesste man eigentlich die Leute von Volksverschluesselung, aka Frauenhofer SIT anfragen.

Das der Thread nun komplett in die versickerten Nebenfluesse aufgedroeselt wurde, ist voellig typisch. 😎

 

[CyborgBeta]

Steht doch hier.

Für mich ist das nicht ganz so eindeutig, weil es immer wieder neue Fragen gab; teils technische, teils rechtliche und teils sich widersprechende Fragen.

 

[BFF]

Fuer mich schon. @CyborgBeta

Was versteht (das Projekt) Volksverschluesselung unter Privat und Geschaeftlich.

Anyway.
Da es in D sogut wie niemand mit dem ich "geschaeftlich" zu tun habe auf S/Mime geschweige PGP setzt ist das Thema fuer mich gegessen. Im privaten Umfeld nutzen es Einige fuer Mail.

 

[Cardhu]

Was versteht (das Projekt) Volksverschluesselung unter Privat und Geschaeftlich.

Im Zweifel interessiert doch niemanden vor Gericht was eine Plattform für Hirngespinster hat.
Wenn ich privat die Firma X anschreibe, um eine von meiner Seite aus nicht gewerbliche Sache zu erfragen, ist das nicht gewerblich.
Juckt (in einer halbwegs soliden Demokratie) das Gericht doch nicht, ob sich die Plattform ausdenkt, dass private Sachen nun gewerblich seien.

 

[Moban]

Also mir ist in diesem Thema noch zu viel unklar, geht es um Verschlüsselung, Identifizierung oder juristische Fragen ... Bin mal raus, schönen Abend noch.

Das Thema hat sich aufgebohrt, Ausgangspunkt war eigentlich nur die Frage bezüglich der Lizenz.

Kann man diese Unterstellungen nicht lassen? Ich habe mich korrekt ausgedrückt. Und es ist völlig unklar, was die Frage des TE ist.

Wie oben schon gerieben, dass Thema wurde aufgebohrt da der eigentliche Thread nicht richtig gelesen wurde. Es ging hier nur um die Verwendung und dem Verständnis was man unter Privat noch versteht.

Im Zweifel interessiert doch niemanden vor Gericht was eine Plattform für Hirngespinster hat.
Wenn ich privat die Firma X anschreibe, um eine von meiner Seite aus nicht gewerbliche Sache zu erfragen, ist das nicht gewerblich.
Juckt (in einer halbwegs soliden Demokratie) das Gericht doch nicht, ob sich die Plattform ausdenkt, dass private Sachen nun gewerblich seien.

Die Seite hat sich für mich so oder so erledigt, da das System überhaupt nicht funktioniert ein Freischaltcode habe ich nicht erhalten. Dazu wurde das ganze mit zwei unterschiedlichen Mail Adressen sowie unterschiedliche IMAP Anbieter versucht.
Für mich produktiv nicht zu verwenden, habe mir nun das Trust eID für 39 Euro gegönnt das kann auch noch PDF signieren.

 

[CyborgBeta]

Die Seite hat sich für mich so oder so erledigt, da das System überhaupt nicht funktioniert ein Freischaltcode habe ich nicht erhalten. Dazu wurde das ganze mit zwei unterschiedlichen Mail Adressen sowie unterschiedliche IMAP Anbieter versucht.

Ok, schade.

Für mich produktiv nicht zu verwenden, habe mir nun das Trust eID für 39 Euro gegönnt das kann auch noch PDF signieren.

Vielleicht hätte auch BundID GPG (Edit: Sorry, meinte PGP) genügt ... mWn kostenlos.

 

[Moban]

@CyborgBeta Bin ich mir nun nicht sicher, da ich PGP noch nie verwendet habe. Bei S/MIME wird beim Erhalt ein Symbol angezeigt und beim anklicken dann die Informationen von wem das ganze ist. Benötigt bei PGP der gegenüber keine Anwendung für PGP ?

 

[CyborgBeta]

Benötigt bei PGP der gegenüber keine Anwendung für PGP ?

Doch klar, sonst sieht dieser nur Zeichensalat.

Bei S/MIME wird beim Erhalt ein Symbol angezeigt

Auf der Seite des Empfängers ... der Absender kann nicht sehen, ob eine E-Mail gelesen wurde (afaik).

Ergänzung (20. April 2025)

How GPG works
Each user generates a public and private key pair.
The user shares their public key with others.
Others can use the public key to encrypt messages to the user.
The user decrypts the message using their private key.
The user can verify the signature of a message using the sender's public key.
Key management
GPG uses a primary keypair and additional subordinate keypairs.
The primary and subordinate keypairs are bundled together for key management.
A revocation certificate can be used to revoke a key if it is lost or compromised.
Uses of GPG
GPG is used by Linux package managers to verify the integrity of downloaded files.
GPG can be used to ensure confidentiality of exchanged messages.
GPG can be used to sign messages to prove ownership of the key.

So funktioniert GPG

Jeder Nutzer erzeugt ein öffentliches und ein privates Schlüsselpaar.

Der Benutzer teilt seinen öffentlichen Schlüssel mit anderen.

Andere können den öffentlichen Schlüssel verwenden, um Nachrichten an den Nutzer zu verschlüsseln.

Der Nutzer entschlüsselt die Nachricht mit seinem privaten Schlüssel.

Der Benutzer kann die Signatur einer Nachricht mit dem öffentlichen Schlüssel des Absenders überprüfen.

Schlüsselverwaltung

GPG verwendet ein primäres Schlüsselpaar und weitere untergeordnete Schlüsselpaare.

Die primären und untergeordneten Schlüsselpaare werden für die Schlüsselverwaltung gebündelt.

Ein Widerrufszertifikat kann verwendet werden, um einen Schlüssel zu widerrufen, wenn er verloren geht oder kompromittiert wird.

Verwendung von GPG

GPG wird von Linux-Paketmanagern verwendet, um die Integrität von heruntergeladenen Dateien zu überprüfen.

GPG kann verwendet werden, um die Vertraulichkeit von ausgetauschten Nachrichten zu gewährleisten.

GPG kann zum Signieren von Nachrichten verwendet werden, um den Besitz des Schlüssels nachzuweisen.


Übersetzt mit DeepL.com (kostenlose Version)

 

[Moban]

Doch klar, sonst sieht dieser nur Zeichensalat.


Auf der Seite des Empfängers ... der Absender kann nicht sehen, ob eine E-Mail gelesen wurde (afaik).

Dann wäre es eine doch schlechte Idee, weil ich habe eventuell zwei Private Mails im Jahr, alles andere sind Unternehmen und Behörden. Ich gehe nicht davon aus das diese auf den PGP setzen sondern dem S/MIME Standard.
Wenn hier keine extra Software erforderlich wäre, hätte ich sofort zugeschlagen, aber so weis die Person immer noch nicht ob diese von mir kommt wenn sie kein PGP verwendet.

 

[CyborgBeta]

Dann wäre es eine doch schlechte Idee, weil ich habe eventuell zwei Private Mails im Jahr,

Der dir eine Nachricht senden möchte, kann PGP verwenden oder auch nicht, beide Möglichkeiten funktionieren.

 

[Moban]

@CyborgBeta Das stimmt schon nur wenn ich zum Beispiel eine Vertragsänderung einreiche muss eben das Unternehmen oder Behörde PGP verwenden. Versende ich das ganze aber mit S/MIME wäre es nicht verschlüsselt aber wenigstens signiert ohne eine Software.
Selbst hatte ich kein Zertifikat aber konnte die Signierung dennoch aus der Mail entnehmen und schauen auf wenn das ganze ausgestellt ist. Also gehe ich davon aus das eben hier S/MIME schon einen Vorteil beim signieren hat gegenüber PGP oder ich lieg da falsch.

Wenn nun die Frage aufkommt warum das ganze, ich versendet nichts mehr postalisch, bei mir läuft alles über Mail. Ich erhalte aus Datenschutz nur keine Rückantwort bzw. bei manchen, weil eben meine Verbindung nicht verschlüsselt ist, Unterlagen werden aber akzeptiert.
Jetzt möchte ich das ganze aber so abwickeln und bei allen hinterlegen das meine Mail in Zukunft signiert ist und nur noch Aufträge erteilt werden wenn diese ersichtlich ist. Einige Dinge erledige ich mit einem Portal, aber viele sind eben auch noch über Mail gebunden. Postalische Zustellung ist bei mir somit nur noch bei vielleicht einem Schreiben im Monat, alles andere kommt via Mail und wird von Paperless verarbeitet.

 

[CyborgBeta]

Sorry, ich verwechsele die beiden Begriffe PGP und GPG immer ...

Mal ChatGPT:

Hier ist eine Zusammenfassung des Artikels: https://www.jscape.com/blog/pgp-vs-gpg-the-key-differences-explained

Der Artikel vergleicht PGP (Pretty Good Privacy) und GPG (GNU Privacy Guard) – beide Werkzeuge zur Verschlüsselung und Authentifizierung von Daten sowie zur Sicherstellung der Integrität. Dabei werden folgende wesentliche Punkte hervorgehoben:

• Beide Systeme nutzen eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung. Bei der asymmetrischen Verschlüsselung kommen öffentliche und private Schlüssel ins Spiel, während die symmetrische Verschlüsselung für die eigentliche Datenverschlüsselung genutzt wird, um die Effizienz zu erhöhen.

• PGP wurde ursprünglich von Phil Zimmermann entwickelt. Es ist ein proprietäres System, das in der Regel mit Lizenzgebühren verbunden ist und zudem kommerziellen Support bietet. GPG hingegen ist ein Open-Source-Tool, das auf dem OpenPGP-Standard basiert (definiert in RFC 4880) und kostenlos verfügbar ist. Der freie Zugang zum Quellcode ermöglicht es Nutzern, das Programm anzupassen und selbst nach Lösungen zu suchen, wobei der Support hier in der Regel durch die Community oder Drittanbieter erfolgt.

• Der Artikel beschreibt den grundlegenden Ablauf von Verschlüsselungs- und Entschlüsselungsprozessen: Zunächst werden die öffentlichen Schlüssel zwischen den Kommunikationspartnern ausgetauscht, dann wird eine Datei mittels eines einmalig generierten symmetrischen Schlüssels verschlüsselt, der anschließend mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wird. Der Empfänger nutzt schließlich seinen privaten Schlüssel, um zunächst den symmetrischen Schlüssel und dann die Daten zu entschlüsseln.

• Bei der Entscheidung, welche Lösung für ein Unternehmen besser geeignet ist, spielen vor allem Fragen rund um Lizenzierung und Support eine Rolle. Wer auf verlässlichen, offiziell angebotenen Support setzt, könnte PGP bevorzugen, während Organisationen, die auf Flexibilität und Kostenfreiheit Wert legen, eher zu GPG tendieren.

Zusätzlich werden praktische Tipps zur Verwendung beider Systeme gegeben, etwa der Schutz des privaten Schlüssels sowie regelmäßige Software-Updates zur Gewährleistung der Sicherheit.

Insgesamt bietet der Artikel einen umfassenden Überblick darüber, wie PGP und GPG arbeiten, welche historischen Entwicklungen hinter ihnen stehen und welche Faktoren die Wahl zwischen den beiden beeinflussen können.

Die zentrale Unterscheidung liegt darin, dass PGP ein proprietäres System ist, das typischerweise mit Lizenzgebühren einhergeht und offiziellen, kommerziellen Support bietet, während GPG als Open-Source‑Tool auf dem OpenPGP-Standard basiert, kostenlos verfügbar ist und vorwiegend Community- oder Drittanbietersupport erhält. Beide Systeme nutzen zwar grundsätzlich den gleichen Ansatz (eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung), doch bei der Wahl spielt vor allem die Frage nach Lizenzierung und Support eine wesentliche Rolle.

Ergänzung (20. April 2025)

@Moban Falls du Thunderbird verwendest, hättest du zwei Optionen, signieren und/oder verschlüsseln:

 

[BFF]

Signieren kannst Du immer. Egal ob PGP oder S/Mime. @Moban
Macht man ja auch um eventuell den Public Key zu tauschen.

Anyway.
Am Ende wird man feststellen das beide Prorokolle extrem selten in Behoerden zu finden sind. Mit dem Bundesland wo ich zu tun habe ist es nur der Landesdatenschutzbeauftragte welcher Beides anbietet um mit ihm per Mail verschluesselt zu kommunizieren.

 

[Moban]

@BFF @BFF also würde der Empfänger bei einer PGP signierten Mail auch ohne irgendwelche PGP Software erkennen können das der PGP auf meinen Namen beglaubigt ist ?
Wenn dem so ist wäre das eine Alternative zu meinem Vorhaben mit S/MIME, wie gesagt das Mailprogramm zeigt bei S/MIME direkt die Informationen an.

 

[BFF]

bei einer PGP signierten Mail auch ohne irgendwelche PGP Software erkennen können das der PGP auf meinen Namen beglaubigt ist ?

Er muss Deinen (beglaubigten) Public Teil auf einem PGP Keyserver gegenpruefen.
Mit TB recht einfach dort den Key zu publizieren und mit dem Keymanager zu pruefen.

 

[Moban]

Er muss Deinen (beglaubigten) Public Teil auf einem PGP Keyserver gegenpruefen. Mit TB recht einfach.

Und genau das wäre eben der Punkt, ich denke nicht das hier die Firma oder Behörde sich die Arbeit macht bei S/MIME ist es eben nicht erforderlich, die meisten Mailprogramme und gerade Outlook prüfen das auf der Zertistelle selbst.
Da bleibt dann entweder weiter munter schreiben mit Copy Paste Unterschriften, oder halt postalisch aber das möchte ich eben nicht mehr. Genau aus dem Grund hab ich mir einen Server Home aufgebaut was eben alles digital verwaltet. Somit gehe ich den obigen Weg und melde den ganzen Firmen das nur noch Anfragen mit Signierung bearbeitet werden, das S/MIME ist ja jetzt nicht so teuer. Aber danke für die Aufklärung kannte mich mit dem PGP überhaupt nicht aus.

 

[BFF]

S/Mime brauch auch eine installierte Zertifikatsroot. Und.

das S/MIME ist ja jetzt nicht so teuer.

Och doch. Das kann richtig in das Geld gehen fuer z.B. 150 Mitarbeiter einer kleinen Verwaltung bzw. fuer Wildcard-Zertifikate. Das hier,

https://www.sslmarket.de/ssl/digicert-client-premium-zertifikat

also 42 Euronen, waere fuer eine Business Adresse fuer 1 Jahr. Danach muss erneuert werden. Keine Ahnung ob es noch geht (als Behoerde) sich eine eigene Zertifikatskette aufzusetzen. Das braucht aber am Ende doch wieder wen welcher das Rootzertifikat ausstellt. Und das kostet dann richtig Kohle. Bei einer Planung damals (2010) fuer ein Landesministerium plus Teilbereiche sprach man von jaehrlich 6-stellige Betraegen wenn das Mailssytem S/MIME verschluesseln koennen sollte. Und das war nur ein Ministerium und es wird nicht billiger geworden sein.

Anyway und wie bereits getippt.
Es wird sehr schwer werden bei Behoerden einen Gegenueber zu finden wo verschluesselte Mail machbar ist. Bei Firmen mag es anders sein. Bei der DKB Bank konnte man per S/MIME mal per Mail. Das ist aber mittlerweile seit Jahren alles in die App. Was viele Andere auch machen weil kaum noch per Mail wegen der Nichtverschluesselung. Die Totgeburt DE Mail sollte das Aendern war, fuer mich, aber eigentlich mehr zum Nachteil als Vorteil. Vermutlich sogar gewollt und deswegen hab ich das nie genutzt.