1 „Gefällt mir“
Bin ich der erste die hier was wissenschaftliches zu Erdnüssen schreibt?
Also, gesalzene Erdnüsse schmecken sehr gut sind aber nicht so gut für den Blutdruck.
Danke für den Beitrag, war sehr gut. Die Anbieterübersicht sehr schön.
Zu S/MIME und PGP hätte es mir persönlich noch etwas ausführlicher sein können.
Erdnüsse sind was Großartiges! (außer man ist allergisch)
Was hättest du dir zu S/MIME oder PGP denn zusätzlich gewünscht? Wenn es nicht den Rahmen sprengt, kann man ja hier einen Nachtrag dazu machen 
Warum empfiehlst du Tuta und Proton nicht…? Nur weil sie keine freien Protokolle verwenden oder weil sie PGP nicht unterstützen? Liegt es an der eingeschränkten Clientt-Auswahl?
Tuta und Proton umgehen das Problem der umständlichen Nutzung von PGP, indem sie eine serverseitige Verschlüsselung der Mails ohne zutun des Anwenders nutzen. Find ich auch überhaupt nicht verwerflich, weil beide ihren Code bei Github reinstellen und somit einer externen Kontrolle unterzogen sind.
Die Krux an PGB ist, dass es viel zu wenig Leute anwenden, aufgrund der schlechten Handhabung. Was nützt es mir PGP zu nutzen, aber der Empfänger meiner Mail das nicht implementiert hat oder kennt (80% der Anwender). Und jedesmal schon mit dem Public Key überfordert ist oder der Server wo dieser drauf liegt, mal wieder nicht erreichbar ist. Wenn der Nicht-PGP Geek in einer neuen Mail (nicht Antwortmail) auf die verschlüsselte E-Mail antwortet, bekomme ich diese unverschlüsselt, weil derjenige es ja nicht verwendet. Somit wurde das ganze schön ausgehebelt.
Was passiert mit dieser Mail? Sie landet unverschlüsselt in mein Mailprogramm. Passiert bei Tuta nicht. Jede unverschlüsselte, eingehende E-Mail wird erstmal auf deren Server verschlüsselt, dann verschlüsselt in mein Postfach abgelegt und nur über meinen Tuta-Client entschlüsselt. Eine Entschlüsselung funktioniert nur mit meinem Key. PW und Client.
Und das alles ohne Public-Key Gedöns, Zertifikate und sonst irgendeinem Aufwand. Das ist nach meiner bescheidenen Meinung die Zukunft der E-Mail Verschlüsselung auf privater Anwenderebene. Wobei es natürlich auch gewerblich immer mehr Firmen nutzen… z.B. https://www.comcrypto.de/
Natürlich sollte der Anbieter seinen Code offen und diverse Audits bestanden haben. Das ist die Voraussetzung. Das wichtigste Argument der Kritiker. was sie sich auch nicht nehmen lassen, ist natürlich die Vertrautheit und angeblich fehlender Kontrolle der angewendeten Techniken usw… Allerdings besteht unser ganzes Leben auf Vertrauensbasis… Ich muss dem Busfahrer vertrauen, dass er nicht absichtlich in Graben fährt, dem Dcc der mich operiert, der Fleischer mich nicht mit Gammelfleisch vergiftet oder meinem Arzt, der all sein Wissen über micht nicht an andere weitergibt.
Die Zeiten sich mit PGP und S/MIME rumschlagen zu müssen, sind vobei. Es wurde genug erklärt wie es funktioniert und über die damit verbundene Sicherheit gesprochen… jahrelang… Aber nutzen tun es trotzdem nur 10-20% private Anwender und wahrscheinlich nur jede vierte Firma… keine Ahnung…
Zwecks Signatur bei deutschen Behörde… Die Gerichte empfangen nur noch Emails von zertifizierten DE-Mail Accounts. Das heißt, wenn man keine DE-Mail Adresse hat, ist eine Kommunikation per Mail nicht möglich… Wenn man einen Account eingerichtet hat, ist eine Signatur nur noch bei Anhängen (PDF, DOC…) erforderlich. Aber hier reicht die eingescannte eigene Unterschrift als jpg… Diese im Adobe als E-Signatur speichern und auf den Dokumenten diese dann einfügen.
Da braucht man nicht erst irgendwo was beantragen. Aufgrund des Anmeldeprozederes bei DE-Mail (Ident über Perso) sind alle E-Mails von dieser DE-Mail Adresse automatisch zertifiziert. Man kann auch Empfangsbestäigung und Sendebestätigung für jede Mail zusätzlich anfordnern, wenn es um Fristen geht.
Allerrdings ist der Anmeldeprozess ziemlich auwändig und umständlich. Und man muss für Empfangs- und Sendebestätigung mind. 15 cent zahlen (je nach Anbieter). Am Anfang musste man sogar für E-Mail bezahlen, weil DE-Mail quasi Post mit Briefmarke verschickt, oder sows in der Art. Mittlerweile kann man die Mail umsonst verschicken…
DE-Mail hat sich nie durchgesetzt, wird sich auch so wie es jetzt ist nicht durchsetzen. Allerdings braucht man es dringend für E-Mail Verkehr mit Gerichten…
Weil sie die Kunden in durch das für mein dafürhalten irreführende Marketing um at-rest-Verschlüsselung in falscher Sicherheit wiegen. Zudem ist bei Protonmail ein Maildir nur über die IMAP-Bridge abrufbar, die Premium erfordert. Das führt zu einem gewissen Grad von vendor Lock-in.
Genau das meinte ich nämlich. Im Fazit wird darauf auch nochmal eingegangen. Die Verschlüsselung muss Ende-zu-Ende sein, sonst bringt sie nichts. Protonmail kann einfach bei einem Gerichtsbeschluss die Mails ausleiten und eine unverschlüsselte Kopie an die Behörden geben.
PGP ist zum Glück dezentral und die Server tauschen Public keys untereinander aus
Das ist eben das Problem und neu ist das beim besten Willen auch nicht. Dovecot hat seit Urzeiten die mail_crypt extension die ebenfalls genau das macht. Trotzdem hat der Anbieter Zugriff auf den Klartext und damit ist der Sinn einer Verschlüsselung schon verfehlt.
https://lacre.io/ ist nach meinem dafürhalten eine bessere Lösung. Das macht das gleiche wie Tuta und Proton, aber mit einem offenen Protokoll, das zudem noch mit existierenden Standards kompatibel ist. Gibt auch nur Verschlüsselung at-rest, aber immerhin nicht mit einem symmetrischen Verfahren.
Tendenziell vermutlich noch weniger
Tut mir leid, aber ich fürchte, du hast den Unterschied zwischen Ende-zu-Ende-, Transport- und Speicher-Verschlüsselung noch nicht ganz verstanden. PGP und S/MIME sind Ende-zu-Ende. Zu keinem Zeitpunkt hat dein Anbieter Zugriff auf den Inhalt deiner Mails. Zusätzlich dazu, sind es auch noch ordentliche Signaturen, die dem Empfänger die Identität des Absenders bestätigen, wie es serverseitige Signaturen wie DKIM nicht können. Deshalb bringt auch eine serverseitige Signatur wie von den Volldeppen bei Hornet Security nix.
De-Mail ist eine Plage und das Konzept an sich ist komplett dämlich. Einfach ein „Bürgerzertifikat“ mit dem Perso verknüpfen und damit rechtssichere Signaturen ermöglichen? Nee! Damit kann man nicht genug Geld verdienen! Aber das sollte kein Rant über De-Mail werden. Das hat Linus Neumann schon zu gut zusammengefasst: https://www.youtube.com/watch?v=p56aVppK2W4
Aber auf jeden Fall danke, dass du meinen Eindruck bestätigst, dass ProtonMail und Tuta durch ihr Marketing ihre Kunden in falscher Sicherheit wiegen.
Ich nutz ja gottseidank Tuta und Posteo… Hab somit von beiden Seiten etwas…
Der Unterschied zur Transportverschlüsselung und Ende-zu-Ende ist mir schon klar… Ich bezog mich auf die manuelle Verschlüsselung (PGP ) und der Integritätsprüfung bzw. Signatur (S/MIME). Mit Transportverschlüsselung muss der Anwender sich nicht rumschlagen, die wird ja eh automatisch durchgeführt.
Dass der Anbieter keinen Zugriff auf den Inhalt der Mails ist aber auch nicht korrekt… Könnte man auch als falsches Werbeversprechen deklarieren um Kunden falsche Sicherheit zu bieten… Um bei Posteo die Verschlüsselung zu aktivieren, muss man seinen Public Key an eine interne Posteo-Adresse per Mail im Anhang schicken
Theoretisch hätten die Posteo-Admins somit auf jeden einzelnen Public-Key der Kunden Zugriff…
Beide Technike haben ihre Vor- und Nachteile… PGP ist genauso nicht perfekt und nicht ohne Grunde hat sich das nie so richtig durchgesetzt. Der Ansatz ist vielleicht hervorragend, aber die Umsetzung ist eben suboptimal. Das Pubklic-Key-Verfahren wurde schon zum Zeitpunklt der Veröffentlichung kritisch gesehen, was Anwendbarkeit berifft. PGP soll ja eigentlich eine einfache und sichere Verschlüsselungstechnologie dem Nutzer zur Verfügung stellen. Aber genau das ist es eben nicht… Und wird es so auch nie werden. Da kann die Verschlüsselung noch so sicher und unüberwindbar sein, wenn die Nutzbarkeit schlecht ist, dann ist es nunmal so.
Somit müssen Wege für Alternativen gefunden werden… OpenPGP ist nicht ultimativ einzigartig… Aber von vornherein schon Alternativen als schlecht darzustellen, ist genau der falsche Weg. Es gibt immer Dinge., die man kritisieren kann… Wenn man nicht nur das Salz in der Suppe sucht, kann man aus beiden Techniken den für sich besten Nutzen ziehen…
Ich könnte genauso sagen, Posteo und Mailbox sind schlecht weil sie auf Technik setzen, die sich nach soviel Jahren nie durchgesetzt hat, was Nutzeranzahl betrifft und somit das Risiko eingehen, keine Alternative zu haben. Wenn ich nämlich den PublicKey Posteo nicht zur Verfügung stell, dann findet auch keine Verschlüsselung der E-Mails statt+
Und hier beginnt der Ansatz, einen zweiten Weg anzubieten der es trtotzdem ermöglicht eine Verschlüsselung stattfinden zu lassen.
Auf dieser Webseite gibt es Argumente für eine Serverseitige Verschlüsselung ohne den Marketingkontext bemühen zu müssen. Da ist zusätzlich noch der Transportverschlüsselungs-Flaschenhals dabei… Also geht nicht nur um die Email ansisch, sondern auch dem sicheren Transport und Mailserver
https://www.comcrypto.de/traditionelle-verschluesselung-fuer-mail.html
Da gehe ich komplett mit. Für Otto den Normalverbraucher ist wenn, dann eher S/MIME die bessere alternative. Durch die zentralen CAs, sieht es da UX-seitig deutlich besser aus. Leider ist aber auch S/MIME mit seinen relativ kurzen Key-Lifetimes nicht optimal. Und beide haben eine gravierende Schwachstelle: Nutzer müssen sich um ihre Keys kümmern. Die gleichen Nutzer, die im dümmsten Fall das Passwort als Post-it am Bildschirm hängen haben. Da hilft aber nicht mehr und mehr Technologie, die dem Nutzer alles abnimmt. Ich würde sagen, es braucht mal etwas in Gegenrichtung, um den Nutzern klarzumachen „hey, manchmal ist es ganz gut, wenn du den Computer bedienst, und nicht andersherum“.
Der Punkt ist: PGP und S/MIME sind E2EE, eine Lagerungs-Verschlüsselung wie bei Tutron ist eben keine Alternative dazu.
Das mag im Firmen-Kontext durchaus eine interessante Lösung sein. Leider ist mir aber keine vernünftige Alternative zu S/MIME und PGP bekannt. Also eine, die ordentlich unterstützt wäre.
Hi Zusammen hier im Forum (mein erster Beitrag - von daher ein kurzes Hallo).
Das Thema interessiert mich auch sehr und ich freue mich das es so einen schönen Beitrag auf der Website bekommen hat. Danke dafür (und die weiteren Beiträge die es hier so gibt.)
Bzgl.:
Wieso ist es denn so, dass Proton hier ausleiten kann und was können sie genau ausleiten? Das sind doch dann verschlüsselte Mails mit „offenen“ Header bzw. Metadaten.
Oder meinst Du, sie speichern vor dem verschlüsseln alles noch einmal und leiten dann gezielt aus, wenn die Anfrage dazu kommt? Das wäre ziemlich krass und würde Proton total unnütz machen - zumindest für diesen Part.
Was ich noch ganz gut finde ich natürlich Tracking Protection und Link-Korrekturen - das macht ja auch nicht jeder Anbieter.
Fastmail ja schon wobei auch nicht vollständig (aber immerhin Image-Proxying ist dabei), iCloud Mail mit seinen private Relay für Mails schon etwas mehr und ansonsten weiß ich nicht, ob es noch jemand macht.
Wie kommt es generell, dass Du Migadu empfiehlst? An sich finde ich die auch gut, aber ein kl. Anbieter (2 Personen, oder?) mit angemieteten Servern bei OVH Zentren und dann sagen sie noch, dass sie noch nicht einmal die Server-Festplatten mit Vollverschlüsselung sichern….). Ist das nicht etwas „schwierig“?
Doch gibt es… Den Inhalt der Mail in klingonisch oder Selbstzerstörung nach einer gewissen Zeit. 
Abstreitbarkeit wäre eine Möglichkeit E-Mail vor Fremdeinblick zu schützen. Gelesene Emails landen in einem versteckten Ordner an einem willkürlichen, wechselnden Ort im Client. Nur der Besitzer weiß, in welchen verschachtelten Ordner oder Bereich die Mails sich befinden. Bekommt die nur mit PW zu gesicht…
Oder einfach mal weniger sensible Sachen per Mail versenden… Und da ist auch die Frage, wovor schützen wir uns…? Ist es nötig jede Mail verschlüsseln zu müssen, wenn in einer belangloses Zeug steht oder nächste Woche schon gar nicht mehr aktuell ist…
Emails sind wie Postkarten. Sie kommen mit Adressdaten etc. Bei deinem Provider an. Protonmail verschlüsselt sie nach Erhalt und stellt sie dir zu. Vor dem Verschlüsseln, kann die mail aber kopiert werden. Wenn der Inhalt Verschlüsselt ist (Stichwort SMIME/PGP), dann bringt das halt nur herzlich wenig. Ob sie ausleiten, vermag ich nicht zu sagen. Würde aber spontan annehmen nur mit Gerichtsbeschluss.
Und wenn, dann wahrscheinlich „vor“ dem Verschlüsseln (sofern es keine internen Mails sind von Proton zu Proton - da ist es ja „angeblich“ nicht möglich).
Das würde ich sagen muss jeder für sich entscheiden. Meine Mails werden grundsätzlich signiert. Verschlüsselt werden sie, wenn ich zuvor mit dem Absender schonmal verschlüsselt kommuniziert habe. Ich hab aber auch ein Simplelogin proxy, das eingehende Mails mit PGP verschlüsselt. (Hauptsächlich damit im Falle eines kompromittierten Postfaches nicht automatisch alles andere auch kompromittiert ist)
Logisch. Und ich kann mir vorstellen, dass interne mails komplett verschlüsselt sind. Da ist dann mit kopieren logischerweise nix.
@mpldr Hier der Part interessiert mich doch schon sehr. Hast Du gute Erfahrungen mit Migadu gemacht? Oder wie kommt es zu deren Empfehlung generell?
Anbei angehangen ein wenig meine Kritik gegenüber dem Dienst.
Wie siehst Du das?
Sorry, den Part hatte ich komplett überlesen 
Es kommt immer auf das eigene Threat-Modell an. Für mich ist es komplett in Ordnung, wenn die Platte nicht verschlüsselt ist. Und dass es eine kleine Bude ist, macht es für mich nur umso besser. Damit sind die auch viel weniger Ziel für DDoS und du landest nicht wegen einer Spamwelle eines anderen Nutzers auf einer Blockliste. Zusätzlich hast du beim Support im Zweifel sofort jemanden dran der dein Problem zielgerichtet löst.
Aber bei kleinen Anbietenr (Ein- bis Zweimannprojekt) ist das Risiko höher, dass der Dienst ohne Vorankündigung vom Markt verschwinden kann. Vorallern wenn es nur ein Hobbyprojekt st. War ja bei Secure-Mail damals so.
Bei Dismail kann man sich z.B. nicht mehr neu registrieren, weil die Anzahl der Benutzer an die Grenze der Administration gekommen ist. Das ist auch so ein Einmann-Projekt.
S/MIME hab ich zb noch nie benutzt. Fands aber interessant mit dem signieren.
Ja was nicht den Rahmen sprengt gute Frage.
Kurz Handling beschreiben, Links zu Zertifikaten/Key Servern usw, Möglichkeiten.
Mich würde das interessieren, ob das auch für die breite Masse interessant wäre kann ich natürlich nicht sagen.
Vielleicht kann man auch eine weekly/monthly Technikrubrik machen?
Sie bringt schon was bei Hackern.
Aber ja gegen Gerichtsbeschluss hilfts nicht.
Dafür stehts in der Schweiz, dürfte schwieriger werden als bei deutschen Anbietern. Was ein generelles Problem bei deutschen Anbietern ist.
Ende zu Ende kann auch in die Irre führen wenns vom Anbieter kommt und kein Standard. Dann kann der dir einfach das passende unterjubeln. Ich sag mal Whatsapp.
Das Thema Sicherheit hat viele Aspekte wie man sieht.
Wäre auch nochmal ein eigenes Thema. 
Ich nutze Proton, weils eine gute kostenlose Mail gibt.
Etwas unschön sind aber die nicht von Hause aus Standardprotokolle.
Von daher fand ich die Einstufung passend.
Wie sieht euer Briefkasten aus? Klein, rechteckig, wenn was drin ist, nehmt ihr es raus und packt es hin, wo es hingehört. Diese einfache Regel befolgen viele bei ihrem Mailpostfach nicht. Ich kann es durchaus verstehen: Bei 6862 Mails, davon 4562 ungelesene, hätte ich auch keine Lust.
Ich warte immer bis ich paar tausend Mails angesammelt habe und verschiebe die dann alle in den „old“ Ordner. Danach lasse ich wieder tausende anstauen.