Hallo & liebe Grüße an die Gemeinde

wir haben beschlossen unseren internen (Mac to Mac) & externen (Mac to PC) Firmen-Emailverkehr in Zukunft zu verschlüsseln. Das hört sich in der Presse meist ja recht einfach an aber keiner sagt einem keiner welche Software denn so am "einfachsten" zu bedienen oder auch zum einrichten ist...

Nun habe ich mir mal die GPG-Suite geladen, da man über diese Software auch recht gute Erklärungen im web findet. Ich denke mal, dass ich auf dem Mac damit auch klarkomme.

Nun suche ich aber das ungefähre Gegenstück für den PC, möglichst Vista/Win7 & 8 kompatibel.

Naja, und da verliere ich doch dann den Überblick.

Kann mir jemand mit nem' Tip helfen oder hat jemand ne' gute Seite wo Mac to PC-Verschlüsselung und andersherum verständlich erklärt wird?

Danke & schönes WE

Einfach auch ein x-beluebiges PGP tool
ist ein Anhalts Punkt

Thunderbird und dann das Plugin Enigma (oder so ähnlich). Das lädt bei Bedarf alle PGP Komponenten nach

Danke

Übrigens folgende interessante und begrüßenswerte Entwicklung in diesem Zusammenhang:

Zeit Online (22.04.2014): Gmail: Google flirtet mit Verschlüsselung
Angeblich versucht Google, PGP-Verschlüsselung besser mit Gmail zu verzahnen. Das könnte die Technik salonfähig machen, passt allerdings nicht zu Googles Geschäftsmodell.

VentureBeat (21.04.2014): Security: Google is researching ways to make encryption easier to use in Gmail
In response to Edward Snowden’s mass surveillance revelations, Google is working to make complex encryption tools, such as PGP, easier to use in Gmail.

Und wie wird dort der Privateschlüssel gehandhabt?

Hi Vewia,
ich kann nur Werbung für S/MIME machen; du brauchst keine spezielle Software und es lässt sich relativ einfach einrichten. Als kleiner Bonus läuft es auch unter iOS mit dem "nativen" Mailclient.

Einen Überblick und eine Anleitung gibt es hier:
http://www.heise.de/ct/artikel/Brief-mit-Siegel-1911842.html

Unter Windows integriert sich das nahtlos in Outlook oder Thunderbird.

micheee:

,

Nur mal so als Argument eingeworfen. Zum Beispiel.
Warum wohl hat Snowden darauf bestanden, mit dem Spiegel und dem Guardian sich per PGP/GPG auszutauschen und nicht per S/MIME?

Vielen Dank für Meldungen - werde ich mir alles am WE mal in Ruhe ansehen.

Schönes WE an alle

Der Beleg fehlt aber nach wie vor — auch wenn die Funktionsweise von S/MIME eventuell eine Kompromitierung zulassen könnte. Von daher ist natürlich GPG/PGP vorzuziehen.

Belege in Bezug auf SSL und komprommitierte/unterwanderte Zertifizierungsstellen (CAs) und Generalschlüssel existiert gleich mehrfach. Und das Thema S/MIME und CAs soll da auf wundersame Weise die Ausnahme machen? Mit welcher Begründung? Warum sollten Geheimdiesnte ausgerechnet die unbehelligt lassen? Vielleicht hören wir nur deshalb dort nicht von Belegen wie in Bezug auf SSL, die es in Form von komprimittierten CAs mit gewisser Wahrscheinlichkeit gibt, weil kaum einer S/MIME nutzt und das Thema deshalb unterhalb des Wahrnehmungsschirms der Schreibenden besteht, da S/MIME gerade vor diesem aktuellen Hintergrund sowieso niemand mehr wirklich ernst nimmt oder in Betracht zieht, weil eben ohne beglaubigende CA und selbst signiert sowieso nicht glaubhaft und mit beglaubigender (und sogar kostenpflichtiger) CA eben auch nicht mehr wirklich glaubwürdig, da eben unterwanderbar und teilweise belegt unterwandert durch Geheimdienste und gefälschte oder geklaute Root-Zertifikate?

Presse..

...und was kostet dein tolles Programm?

Mac to Mac, ist doch besser als extern Unix to BSD oder VPN gegen Windows....

Du solltest nicht vergessen


PS: Vergiß nicht das S. Jobs den Begriff PC (Personal Computer) "erfunden hat" und von dem Wort OS ganz zu schweigen!

wtf?
entweder wurde das letzte posting in einem völlig druffen/besoffenen/bekifften feierzustand verfasst oder aber es handelt sich um den bruder von DonQ

Ich nutze gnupg. OSX- das Mail Plugin, unter ios iPGMail.

Funktioniert gut.

Ch

john

Das war auch mein erster Gedanke...

Sorry!

john hat mit Punkt eins recht und das mit allen drei erwähnten Dingen....



..und DonQ ist mitnichten mein Bruder.

Hatte gestern Stress und Streit mit ähnlichen gestrickten Personen und habe mich dummerweise leider hier ventiliert.

Sorry nochmal.

Hallo Vewia,

auf dem PC hängt es stark davon ab, welches Mailprogramm eingesetzt wird.

Die Verschlüsselungsengine ist meist GnuPG bzw. gpg4win .
Jetzt hängt es davon ab, welches Mailprogramm eingesetzt wird. Bei Thunderbird gibt es das oben schon erwähnte Enigmail.
Bei Outlook bietete gpg4win schon ein Plugin, das aber im praktischen Einsatz kaum bedien- bzw. benutzbar ist.
Und Mail Bodys per Cut-n-Past in die Verschlüssungsapp hin und her zu kompieren ist wahrlich nicht alltagstauglich.

Ein bei uns bzw. unseren Kunden vielfach verwendetes Outlook Plugin ist gpg4o. Leider nicht kostenlos, aber nach meinem Daführhalten die absolut komfortabelste Lösung, PGP bzw. OpenPGP Mails zu verfassen.
Siehe

Just by two cents
iRad

Achtung, dran denken, asymmetrische Verschlüsselungsverfahren mit private Keys haben einen hohen Verwaltungsaufwand für die 1:n oder n:n Kommunikation, typisches Anwendungsbeispiel ist eher die 1:1 Nachricht.

Stell dir halt eine Mail mit drei Empfängern vor, die dann einer intern weiterleiten will.

Wo ist da das Problem?

Eine ordentliche OpenPGP Implementierung sucht sich für alle Empfänger die public keys automatisch aus. D.h. ich schreibe meine Mail wie gewohnt im Mailprogramm, setze meinen Haken auf "Verschlüsseln" und ab geht die Post.

Bei einer symetrischen Verschlüsselung ist es unmöglich, mit allen Partnern vertrauliche Passwörter auszuhandeln.

Beim Weiterleiten wird die Mail entschlüsselt und dann passend für den/die neuen Empfänger erneut verschlüsselt.
Geht alles automatisch!

Ach wie Süß
Sicherheit in einem zur Offenen Kommunikation entwickelten Netzwerk…Protokoll

iRad:
In einer idealen Welt oder in einem lokalen Team, ja.
Zwei Beispiele, wo das fehlschlagen kann: Alle Public Keys müssen bekannt sein, sobald einer fehlt, schlägt's fehl. Und jeder Teilnehmer muss PGP-fähige Clients nutzen (also z.B. kein Standard Mail auf dem iPhone).

Gute Kritikpunkte, aber für das Problem des TE - firmeninterne Kommunikation - sollten die genannten Einschränkungen doch keine Rolle spielen. Wenn sich da nicht klären lässt, wer welche Schlüssel hat, hat die Firma ein ganz anderes Problem.

Ansonsten: auch wenn alle meine Mailpartner beim Hinweis auf Verschlüsselung "äh, wozu?" sagen, wie läuft das denn mit GPG/PGP wenn man an mehrere Leute schreiben will? Sucht sich das Programm dann wirklich für alle Empfänger den richtigen Schlüssel, schickt es den schlüssellosen dann eine unverschlüsselte Mail? Oder klappt dann gar nichts? Irgendwie habe ich, vielleicht mangels Motivation, dazu noch nicht viel Informationen gefunden.

Ich weiß nicht wie es bei den GPGTools aussieht, aber gpg4o stellt sicher, dass für jeden Empfänger einer verschlüsselten Mail der Public Key vorhanden ist. Wenn eine Public Key fehlt, lässt sich die Mail nicht versenden. Der Anwender kann nun wahlweise den fehlenden Public Key sich besorgen (KeyServer, Import, ..) oder die Mail unverschlüsselt senden. Die Entscheidung liegt letztendlich beim Anwender. Aber aus Sicht der Empfänger ist es unerlässlich zu wissen, wie vertraulich die Mail übertragen wurde. Es kann nicht sein, dass ich eine verschlüsselte Mail erhalte, aber die CCs haben die identische Mail unverschlüsselt empfangen.

Kurioserweise kenne ich PGP Universel Server Installationen, die dieses "Alles oder Nichts" Prinzip ignorieren. Fehlt bei einem Empfänger der Schlüssel, so bekommt dieser die Mail unverschlüsselt. Alle anderen erhalten sie verschlüsselt.
Das mag zwar eine Konfigurationeinstellung sein, aber das so eine Inkonsequenz überhaupt möglich ist, halte ich im Bereich der Sicherheit für einen schlechten Witz.

Ich nutze auch s/mime im privaten Umfeld. Habe mir Zertifikate erstellt, die 30 Jahre gültig sind.
Klar sind meine Zertifikate nicht überprüfbar, müssen sie auch nicht sein, da nur privates Umfeld.
OS X hat für die Erstellung von s/mime Zertifikate alles an Bord (Schlüsselbund). Leider gibt es keine vernünftige deutsche Anleitung. Wenn man den Dreh raus hat, kann man für jede x-beliebige E-Mail ein Zertifikat erstellen.

Ja dann schreib doch mal eine Aleutung wenn du den Dreh raus hast
Dafür gibts hier schließlich die Rubrik "Journal"

Ich nutze selbst ein sehr gutes Programm "gpg4o". Ich bin sehr zufrieden über das Programm. Es Funktioniert einfach und leicht zuverstehen. Es erfüllt seinen Zweck!

Eine Anleitung für S/MIME hatte ich oben verlinkt.

OK, ich meine eher wie erstelle ich ein eigenes Zertifikat (Da hat ja "thomy-lg" den Dreh raus). Und unter Anleitung verstehe ich eigentlich einen Waschzettel der mir im Detail beschreibt was ich wo wie anklicken / eingeben muß. Auf dieses Forum bezogen im Speziellen: wie erstelle ich mir ein eigenes Zertifikat, wie generiere ich mir damit die Schlüssel, wie speichere ich mir die Dateien für die beiden Schlüssel ab und wie stelle ich sicher das meine Gegenseite damit was anfangen kann.

Schließlich sollen das ja nicht nur Eingeweihte verstehen und anwenden können sondern auch Leute die sich eigentlich nicht dafür interessieren aber kapiert haben das Verschlüsselung besser als Klartext ist

Hier gibt es eine Anleitung zum Erstellen von S/MIME-Zertifkaten und wie man diese unter Windows und OS X und iOS nutzen kann:

https://www.os-privacy.de/e-mails-verschlusseln-29/
https://www.os-privacy.de/e-mails-unter-windows-7-per-smime-verschluesseln-160/

Siehe auch:
Digitaler Briefumschlag: Einstieg - Emails verschlüsseln mit S/MIME

Emails verschlüsseln mit OpenPGP

Ein eigenes Zertifikat zu erstellen ist unter Mac OS X kinderleicht:

• Zertifikatsassistent starten.
• viermal auf "Fortfahren" klicken.

Fertig.

Dann hat man ein selbstsigniertes Zertifikat mit einer Gültigkeit von einem Jahr für die eigene Emailadresse.

Anm.: Als Emailadresse nimmt er die eigene aus dem Adressbuch. Gibt es mehrere nimm er die erste Mailadresse.


P.S.: Ich würde ja auch ein kurzes Journal über noch ein paar Optionen erstellen, aber bekomme hier immer nur die Meldung, dass ein Fehler aufgetreten sei.

Ein selbst signiertes S/MIME Zertifikat macht genau null Sinn. Wenn die Daten nicht durch eine vertrauenswürdige CA geprüft und bestätigt werden, kann ja niemand genau sagen ob das wirklich du bist. Ich kann mir so auch ein Zertifikat ausstellen und schreibe dann unter deinem Namen beleidigende Mails an deinen Chef.

Unter GPG kann zwar auch jeder Schlüssel für jede beliebige Mailadresse erstellen, aber deshalb gibt dort das Web-of-Trust.

Mein Beitrag war eine Antwort auf die Beiträge "MikeMuc" und "tommy-lg". Die debattierten darüber wie es geht.

Es gibt selbstsignierte Zertifikate, weil man sie sinnvoll einsetzen kann. Die Beurteilung darüber ist von Fall zu Fall verschieden und muss Du dem jeweiligen Anwender überlassen.

Wenn Du ein Web-of-Trust nutzen möchtest, bietet sich an CAcert zu benutzen.

Stimmt nicht so ganz sofern du dieses Zertifikat nur bei denen verwendest mit denen du den Schlüssel persönlich getauscht hast bzw. denen du vertraust oder in einer Firmenumgebung für den internen Mailverkehr. Da hat man nämlich "sein eigenes Trustcenter".
Aber wehe jemand leitet eine Mail "nach außen" weiter. Da könnte dann auf einmal unverschlüsselter Text aus vorher verschlüsselten internen Mails raus gehen. Muß man halt aufpassen

Seine Aussage ist dahingehend zum Schmunzeln, da er selbst sie benutzt.

Mozilla traut denen seit Jahren nicht, verweigert die Aufnahme der CAcert-Stammzertifikate in Mozillas Standard-Schlüsselring. Vor wenigen Wochen auch Debian und das Debian-basierte Ubuntu, Debian und Ubuntu haben CAcert die Vertrauenswürdigkeit gekündigt und deren Stammzertifikate aus der Distribution entfernt. In beiden Fällen mit ein Grund: CAcert verweigert trotz mehrmaliger Aufrufe und Drängen ihrer Nutzer und Kunden seit Jahren ein unabhängiges, transparentes Audit, eine Überprüfung ihrer Vertrauenswürdigkeit und Sicherheit.

Mehr dazu u.a. hier:

Mozilla Support: CAcert Root CA (Web of Trust) not part of the built-in Trusted Authorities

Mozilla Bugzilla: Bug 215243 - CAcert root cert inclusion into browser

Wikipedia (de): CAcert: Vertrauenswürdigkeit

heise (27.03.2014): CAcert reagiert auf Zertifikatsrauswurf

heise (24.03.2014): Debian und Ubuntu verzichten auf SSL-Root-Zertifikate von CAcert


Ich lese gerade hier , dass auch FreeBSD bereits 2008 Mozillas Beispiel gefolgt ist und CAcert-Stammzertifikate nicht mehr integriert mangels Vertrauen.

CAcert-Zertifikate sind damit also soviel wert in puncto Vertrauenswürdigkeit, wie selbstsignierte Zertifikate, nämlich nichts bzw. nicht viel.

sierkb
Da ich grundsätzlich Web-of-Trust-Netzwerke nicht als vertrauenswürdig betrachte, spielt das keine Rolle.

Aber darüber hattest Du schon endlos mit mir Diskutieren wollen. Ich werde mich da nicht mehr wiederholen.

Man muss die nicht zwingend persönlich tauschen, auch wenn das der optimale Fall wäre. Aber in der Regel reicht es, wenn man die Fingerprints vergleicht.

Das kannst Du selber für Dich selber ja so bewerten und halten wie ein Dachdecker. Andere sehen und bewerten das halt etwas anders als Du und haben da offenbar auch andere Erfahrungen als Du, darunter auch einige schwergewichtige Firmen. Ich wollte auch nur aufmerksam machen darauf, dass CAcert halt einen zweifelhaften Ruf hat und man die halt nicht bedenkenlos empfehlen kann und sollte angesichts der seit Jahren diese CA begleitenden Umstände. Die Gründe, warum obig genannte Software-Hersteller sie nicht anerkennen, sollte man ernstnehmen und zumindest bei Nennung von CAcert mit anführen bzw. nicht einfach verschweigen. Und abseits von CAcert gibt's halt nicht mehr viel an kostenfreiem oder günstigem Angebot, da wird's schnell recht teuer (und für so manchen zu teuer) mit den Zertifikaten.

und nur weil es etwas kostet muss das leider auch nicht bedeuten, dass NSA/GCHQ/BND nicht trotzdem ihre Finger drin haben.

Stefan S.:

+1

Sicherer und vertrauenswürdiger sind sie dadurch eben leider auch nicht. Siehe Beispiel DigiNotar und andere Negativ-Beispiele der letzten Zeit. Und neben NSA/GCHQ/BND gäbe es gibt's auch noch zahlreiche nicht-staatliche Interessenten zu nennen, die eine solche CA komprommittieren könnten und auch schon haben.

Ich weiss nicht, wie Dachdecker das halten. Aber auch das war bereits ausdiskutiert. Da ist keinen Bedarf, das noch mal von Vorne zu beginnen.

iCode:

Tue ich doch auch nicht. Ich habe lediglich zu CAcert und deren mangelnde Vertrauenswürdigkeit bzw. die in den letzten 2 Jahren eingebüßte Vertrauenswürdigkeit anderer CAs. Mehr nicht.

Ach? Dann war dein Post an mich, gar nicht an mich gerichtet.

Bevor das wieder ausartet… Schönen Muttertag.

iCode:

Wenn Du das so sehen willst, dann sieh das so.
Du kannst es demnach auch so sehen, wenn Du Dich selber nicht angesprochen fühlen magst: ich habe Dich lediglich zitiert. Und dann habe ich meine Antwort als allgemeine Info für alle auf den Tisch gelegt.

Zudem: was reagierst'n grad' so gereizt (zumindest kommt's ein bisschen so rüber)? Habe ich Dir irgendwas getan?

Neuer Text.Das Problem war doch viel Grundlegender. Das hatten wir schon vor Unzeiten geklärt.

Jetzt gibt es Käsekuchen. Es ist Muttertag.
Keine Ahnung. Ich habe nur ausdrücklich kein Interesse an Diskussionswiederholungen. Das ist wirklich verschwendete Zeit.

Guten Appetit!

Findet hier grad' doch auch gar nicht statt und ist von mir auch keineswegs beabsichtigt. Also, was hast Du?

Die Verschlüsselung firmenintern ist sicher eine gute Idee, ABER - um die gesetzlichen Aufbewahrungsanforderungen für den elektronischen Verkehr abdecken zu können, muss man von privaten Schlüsseln abraten. Entweder gibt es einen Firmenschlüssel, den alle verwenden - was schwierig werden kann bei Fluktuationen, oder es werden zentral in der Firma alle Schlüssel verwaltet. Ich habe gerade vor ein paar Wochen an einem Audit teilgenommen und es gab dabei massive Beanstandungen, weil die Firmenaccounts ziemlich krautig mit verschiedenen PGP Systemen nicht mehr alle archivierten E-Mails lesen liessen.

Oder das Gesetz ist falsch oder unzureichend formuliert und am Bedarf und an der Praxis vorbei formuliert. Gibt es ja leider gerade im Umgang mit elektronischen Medien und Sicherheit und Datenschutz zuhauf. De-Mail ist da nur die neueste Errungenschaft, die diesbzgl. völlig fehlkonstruiert und vom Gesetzgeber zur Verpflichtung gemacht worden ist.
Der Gesetzgeber ist da nicht selten falsch und unzureichend beraten worden (auch da spielen leider Interessengruppen und Firmen eine Rolle, die sich auf diese Weise in Position bringen wollen und für sich einen Vorteil daraus ziehen wollen, wenn auf diese Weise "ihre" Technologie in Gesetzestext gegossen und damit verpflichtend für alle wird). Nicht selten profitiert dann nur einer davon bzw. besonders einer, nämlich genau derjenige, der den Politikern diesen Gesetzestext quasi in die Hand diktiert hat und diese Laien davon überzeugen konnte, dass natürlich nur die seinige Lösung "die Richtige und beste" ist. Bzw. der Gesetzestext ist dann eigenartigerweise ausgerechnet so formuliert und abgesegnet, dass am Ende nur eine einzige Lösung infrage kommt -- nämlich diejenige dieses einen Herstellers oder Profiteurs.

Nicht immer und leider eher selten ist das dann auch für den Kunden, Verbraucher, Nutzer, die wirklich beste, praktikabelste und sicherste Wahl aller zur Verfügung stehenden Technologien und Mittel.

Ist das ein strukturelles Problem? Oder nicht eher ein Umsetzungsproblem? Viele Firmen haben ein Mentalitäts- und Umsetzungsproblem in puncto Sicherheit. Und das auf gleich mehreren Ebenen. Die dafür zugrundeliegende Technologie ist deswegen nicht per se falsch, sie ist nur oft falsch bzw. unzureichend umgesetzt.