Irgendetwas sagt mir, dass dieses Konzept nicht angenommen wird. Wer möchte denn eine 7-teilige E-Mail-Adresse?

Ein bisschen knackiger und prägnanter dürfte es schon sein.

Was nicht in der Pressemitteilung stand, ist dass De-Mail keine Ende-Zu-Ende-Verschlüsselung vorsieht. Damit wird - wenn überhaupt - nur von Provider zu Provider verschlüsselt. Hurra.

De-Mail ist im Kontext der aktuellen politischen Lage reiner Blödsinn, bei dem sich der Bock (Schaeuble) zum Gärtner machen will.

Es taugt in Meinen Augen höchstens als nächstes Paradebeispiel dessen was dabei herauskommt, wenn technikfremde Politiker sich mit unfähigen Wirtschaftsunternehmen zusammentun.

</rant>

*schmunzel*

da passt auch die meldung/Schlagzeile von heute,

emal addys für versand nicht mehr notwendig,
forscher stellen "neues" konzept vor: auswahl der mail addy, über datenbestand, alter, beruf…bei gepflegten datenbestand;)

Zitat: (nach meinung der forscher) wird dies nicht zu einem erhöhten spam aufkommen führen. Zitat Ende. Quelle: Süddeutsche.

on topic:

3-6 monate bis das geknackt ist,

wette 5Euro darauf.

de-mail währ der letze Dienst dem ich in irgendeiner Art und Weiße vertrauen würde.
Bei diesem weiß man ja schon von vorn herein das dort bestimmte Personen ihre Nase reinstecken werden.

Ich stimme blubblablax zu.

darüber hinaus ist ein Zugriff auf die Daten im Gefahrenfalle bereits geplant...

Das bedeutet dass Gauführer SSchäuble Zugriff auf Eure Daten und eMails hat, leichter als er es bei verschlüsselten Anbietern im Ausland hätte...

Man kann sich doch leicht ausmalen, dass der Staat dann unbeschränkten Zugriff auf die E-Mails hat. Gerade als Firma würde ich mir das als Letztes wünschen. *sick*

Der selbe Staat der für den Bundestrojaner wirbt, wird jetzt Krypto-Dienstleister und will uns allen seine eigene CA schmackhaft machen? Sorry, aber das ist wirgendwie ein Witz. Da muss man für die Nachschlüssel dann gar nicht erst auf Thawte oder Verisign zugehen sondern hat sie gleich selbst.

Nein, danke.

hehe, wenn und falls was wirklich wichtiges getauscht werden müsste, würde ich nach wie vor auf GPG / PGP setzen!!

Den GPG-Schlüssel kann man sich übrigens auch signieren lassen, so dass die Identität bestätigt ist!

Jungs, nu mal halblang. Ich denke mal, dass diese Mail-Variante wohl kaum für normalen E-Mailverkehr genutzt werden soll. Sondern für E-Mail-Schriftverkehr mit Ämtern, etc.

Oder?

Gestern im Radio haben sie gesagt, dass der Versand einer Mail über diese Adresse höchstwahrscheinlich auch Porto kosten soll - nicht so viel, wie ein normaler Brief, aber umsonst wird es wohl nicht sein.
So ein Käse... *sick*

maybeapreacher Sieht eher so aus als ob sich SMIME durchgesetzt hätte. Kann jeder Mailer out of the box. Und die Private keys gibt's auch kostenlos oder man kann sie sich selbst erstellen.

Garp2000: Zustimm, es gibt aber auch PGP/MIME, denn das Zertifikat ist bei SMIME nicht festgelegt und kann problemlos ein GPG-Zertifikat sein!

Das ist für die Tonne und dient nur den Firmen, die die Zertifikate ausstellt.

Ich finde es vor allem lustig dass gestern diese Nachricht gekommen ist:
EU will digitale Rechnungen mit gedruckten Rechnungen gleichstellen

Da haben sie doch schon festgestellt, dass es nicht geht.

Gut hätte ich das jetzt gefunden, wenn die Regierung eine kostenlose Möglichkeit geschaffen hätte, dass jeder Bundesbürger ein Zertifikat beantragen könnte, mit dem er Daten verschlüsseln kann und das Lebenslang.

Also eine Infrastruktur, auf die man sich verlassen kann und man nicht damit rechnen muss, dass man irgendwann unerschwingliche Preise zu zahlen hat.

Interessant wäre einmal, zu erfahren, welche Firmen mit der Kampagne beauftragt werden. Das riecht für mich nach einer erfolgreichen Lobbyistenarbeit. Auf Kosten des Steuerzahlers werden da sicherlich zig Millionen versenkt. Und dann auch noch kostenpflichtig. Die CDU tut Deutschland echt nicht gut. Das ist echt eine Ansammlung von moralisch verkrüppelten Hinterwäldlern (mit wenigen Ausnahmen).

Garp2000:

Hat es das wirklich?
Ich glaube, diese Diskussion hatten wir schon mal...

Also die Security-Bulletins, die ich per email von Novell/openSUSE (setze jeden beliebigen anderen Linux-Distributor) und auch von Apple bekomme, sind alle PGP-signiert und nicht per S/MIME. Und Microsoft fährt diesbzgl. zweigleisig und bietet sowohl vorzugsweise PGP als auch (erst als zweite Wahlmöglichkeit) S/MIME an: . Und auch die meisten signierten emails, die ich über meine diversen Mailinglisten erhalte, sind mehrheitlich PGP-signiert und nicht S/MIME-signiert, darunter auch emails von Apple-Entwicklern.

Der Nachteil bzw. die Vertrauensschwäche von S/MIME ist nicht nur meiner Auffassung nach der, den ihr hier weiter oben beklagt: man registriert seine Signatur bzw. hinterlegt seine Identität bei einer bestimmten CA-Autorität, bei einer bestimmten Firma oder einer bestimmten Behörde. Während hingegen bei GPG/PGP dieser zentrale Ansatz bewusst nicht beschritten wird, sondern ein Netz des Vertrauens gebildet wird, das heißt, gleich mehrere Instanzen erklären einen Schlüssel bzw. eine Signatur für vertrauenswürdig.

Bei S/MIME ist man auf Gedeih und Verderb dieser zentralen CA-Instanz, bei der man seine Signatur hat beglaubigen und hinterlegen lassen, ausgeliefert beziehungsweise MUSS ihr zwangsläufig vertrauen. Was jedoch, wenn der Fall eintreten sollte und diese auf irgendeine Weise, pleite geht, von anderen Kräften unterminiert wird oder hier Daten und Signaturen weitergegeben/verkauft werden oder irgendein Staat sich auf irgendeine Weise dort an dieser zentralen Stelle Zugang zu diesen Signatur-Schlüsseln bei dieser CA-Autorität verschafft oder verschaffen will, z.B. mittels irgendeines Generalschlüssel?

Da ist das dezentrale Netz des Vertrauens bei GPG/PGP doch wesentlich unanfälliger gegen solche nicht nur theoretisch denkbaren Gefahren.

Und ich glaube, genau deshalb kann man eben nicht sagen, dass sich S/MIME flächendeckend durchgesetzt hat -- eben weil es genügend Leute gibt, die hier etwas misstrauischer sind bzw. GPG/PGP aus diversen, u.a. den oben genannten Gründen dann doch vorziehen. Prominente Beispiele, die das u.a. so praktizieren, habe ich zu Anfang genannt.

wenn sie vernünftig wären, würden sie eine zentrale zertifizierung von pgp-signaturen anbieten.

pünkten:

Wozu sollte das gut sein? Das PGP-Keyserver-Netz ist weltweit verteilt. Speist man an einer Stelle seinen Schlüssel ein, so gleichen sich die PGP-Server weltweit untereinander alle ab und bringen sich diesbzgl. auf den neuesten Stand. Anlaufstellen gibt es genug, wie man auch trefflich ergoogeln kann: , auch eine zentrale Anlaufstelle von PGP: . Viele, viel Universitäten und Forschungseinrichtungen bieten Interfaces an, um Schlüssel zu verwalten bzw. einzuspeisen, auch der heise-Verlag bietet sowas an: und veranstaltet auf jeder CeBIT Key-Signing-Parties bzw. bietet dort vor Ort eine Möglichkeiten zur gegenseitigen Signatur bzw. zum Upload der Schlüssel.

Anlaufstellen gibt es also eigentlich genug. Eine staatliche Anlaufstelle könnte höchstens eine weitere dezentrale Stelle in diesem weltweiten Verbund sein bzw. könnte hier den Bekanntheitsgrad erhöhen bzw. verbreitern, indem dort nicht nur aufgeklärt und dafür geworben wird, sondern indem auch dort, wie woanders ebenfalls üblich, dann dezentral angeboten wird, seine Schlüssel in das weltweite PGP-Keyserver-Netz einzuspeisen.

Kennt jemand ein gutes (P)GP(G) E-mail Programm? (für mac)

Ich würde ungern das plug-in für mail nehmen da es ein Hach ist.

sylpheed bekomme ich nicht kompiliert. (unter linux finde ich bei sylpheed nicht die Möglichkeit die Signatur zu überprüfen)

das Iro:

Was soll "Hach" bitte sein? Du meinst "Hack"?
Wo liest man sowas, dass das angeblich ein Hack sein soll?

Wieso installierst Du Dir nicht die neueste GPG2-Version für den Mac von und nimmst für Apple Mail dann das neueste zugehörige Plugin GPGMail bzw. ?

Was ist daran auszusetzen?


Abgesehen davon gibt es auch für den Mac Mozilla Thunderbird, und der ist mittels Enigmail Plugin ebenfalls PGP-fähig zu machen.

Ich verstehe auch nicht, was der Blödsinn soll.
Es wäre doch so einfach, vorhandene Standards zu nutzen mit Emailadressen, die der Kunde (der Bürger) bereits hat.
Die Idee von pünktchen finde ich gar nicht übel.
Ähnlich wie bei dem Postident-Verfahren geht man mit seinem PGP-Schlüssel oder von mir aus RSA-Key zum T-Punkt (wo man ja auch die "guten" PKS-Chipkarten bekommt) oder zur Post oder zu was weiß ich für einem Amt und lässt sich seine Keys dort signieren, oder optional direkt eine Chipkarte ausstellen.
Optional könnte man dort verschiedene Chipkartenlesegeräte anbieten und die Bürger in Punkto "sicherer elektronischer Geschäftsverkehr" beraten.

Statt dessen wird wieder ein riesen Projekt aufgezogen und ein schickes Logo designed. Und dann auch noch ohne End-to-End encryption, total kompliziert und mit Bandwurmemailadressen. So ein Müll!

Hier ein Info-Filmchen zum Thema:

Man beachte das Computer-Equipment.

Ach die werden uns schon ZWINGEN das zu Nutzen - wie die Elster. Nach dem Motto alle Rechnungen dürfen nur mit de-mail verschickt werden.

sierkb

Hach ist ein Tippfehler
von

das Iro:

Ich würde das Wort "hack" hier nicht allzu wörtlich nehmen, so wie es hierzulande verstanden wird. Im Computer-Slang hat es ein viel harmlosere Bedeutung.

Hierzu verweise ich mal auf Eric Raymonds Definition von Hacker in seinem Kult-Status innehabenden Jargon File (oder auch: The New Hacker's Dictionary): bzw. .
Passend dazu die kurze Definition von hack: bzw. die längere Erklärung: .

Die Worte Hacker, to hack und a hack sind somit eigentlich positiv besetzt. Im Gegensatz zu den meist kriminell arbeitenden Crackern .

Etwas zusammenhacken bedeutet im Hacker-Slang also durchaus im Allgemeinen, etwas mal eben schnell zusammenprogrammieren oder auch etwas Größeres, Kniffliges, Gutes programmieren.

Einige namhafte Programmierer bezeichnen sich deshalb selber als Hacker, unter anderem auch Linux-Erfinder Linus Torvalds, alle diejenigen, die am Linux-Kernel mitprogrammieren, bezeichnen sich selber als sog. Kernel-Hacker bzw. haben nichts dagegen oder fühlen sich geehrt, wenn sie so bezeichnet werden. Eben weil dieser Begriff positiv besetzt ist (und nicht negativ, wie hierzulande in der Öffentlichkeit weit verstanden).

Bezogen auf GPGMail erfolgt die Warnung "...relying on Mail's private internal API. Use it at your own risks!" des Hauptentwicklers deshalb, weil Apple in der Vergangenheit ab und zu mal die API, also die Programmierschnittstellen in Mail.app geändert hat. Und damit können dann eben auch derlei Plugins, die auf die bisherige API-Struktur aufgebaut haben, entweder nicht mehr richtig laufen oder eben gar nicht mehr. Bis der betreffende Entwickler der API-Änderung Rechnung getragen hat und das Plugin der neuen Mail API angepasst hat.
Deshalb die vorsorgliche Warnung. Diese Warnung ist im Grunde zutreffend für jedes Plugin eines Software-Programmes und in diesem konkreten Fall für jedes Mail.app-Plugin, das existiert. Ändert Apple die API, müssen ggf. Plugins angepasst werden. So eben auch im Zweifel bzw. eventuell GPGMail.

In ähnlicher Form zu erleben desöfteren auch zum Beispiel beim Firefox Browser und diversen Add-Ons. Ändert Mozilla irgendwas an der Firefox API, was ein Plugin berührt bzw. ändert man die API, muss das davon berührte Plugin nachgeführt werden und auf den neuen Stand der API gebracht werden, damit es wieder einwandfrei läuft.
Nichts anderes bedeutet das für das GPGMail Plugin für Apple Mail.

Konnte ich Deine Unsicherheit/Irritation hiermit besänftigen?

Entwarnung ist also angesagt und "Immer locker durch die Hose atmen!"
Du kannst das GPGMail Plugin beruhigt verwenden. Es funktioniert wunderbar. Es ist kein "schmutziger" Hack, sondern ein sehr nützliches, positives Plugin, welches zudem eigentlich ohne echte Alternative ist, was Mail.app betrifft.

sierkb

Vielen dank für die ausführliche Erklärung.
Über die Bedeutung des Wortes war mir schon im klaren.
Es gibt auch ein "freundlicher Hacker" Symbol, einen Glider aus Conway's game of Life.
Conway's game of Life habe ich auch schon mal daher gehackt.
Das "Use it on your own risk" ist das was mich dazu gebracht hat es nicht zu verwenden.

Danke für die Erklärung, und Feedback über die Funktionalität des Plugin.

GPG hatte ich schon via macports installiert.
GPGMail funktioniert !

Das Projekt zielt wohl eher auf die elektronische Korrespondenz zwischen Bürgern, Unternehmen und Behörden in besonderen, rechtlich relevanten Situationen ab und ist damit möglicherweise eine sinnvolle Alternative zu dem bestehenden Wildwuchs behördlicher Verschlüsselungs- und Zertifizierungverfahren.

Es geht also nicht darum, dass jetzt jeder seine privaten E-Mails über die De-Mail-Server abwickeln soll (damit wäre die Infrastruktur vermutlich eh überfordert).

Ergo: Man kann es bei entsprechendem Bedarf nutzen, muss es aber nicht.

Weitermachen mit Zetern.

S/MIME und PGP/GPG kann man nicht direkt miteinander vergleichen, die Ansätze sind unterschiedlich.

PGP/GPG bietet keine Sicherheit über die Identität des Absenders. Jeder kann sich ein beliebiges Schlüsselpaar ausstellen und findet sicher auch ein paar Dödels die das gegensignieren. Um also den Wert der Gegensignierungen zu beurteilen, müßte man die Vertrauenswürdigkeit des Signierers beurteilen und seine Methodik die er zur Identitätsfeststellung benutzt. Das ist mehr oder weniger ein aussichtsloses Unterfangen.

Deswegen ist PGP/GPG eine prima Sache um verschlüsselt und signiert Nachrichten zwischen Leuten auszutauschen die sich bereits kennen. Oder die Willens sind sich bei der ersten Kontaktaufnahme irgendwie verläßlich auszuweisen. Also für den beruflichen Email-Verkehr, der mit immer neuen Partnern stattfindet, eine unpraktikable Methode, auf die man verzichten kann.

Bei S/MIME kommen dagegen Zertifikatssignierer ins Spiel, denen man per Definition vertrauen muß und i.A. auch kann. Denn keiner von denen signiert ohne Identitätsprüfung einen Schlüssel. Das trifft sogar auf die kostenlosen Web-of-Trust-Schlüssel von Thawte zu, allerdings muß man hier zwischen den personalisierten (mit Namen) unterscheiden und denen ohne. Die ohne sind ohne Identitätsprüfung signiert, die anderen jedoch mit. Der Vorteil der CAs ist, man kann hier mit ausreichender Sicherheit die Identität des (bisher unbekannten) Absenders als bestätigt annehmen, was bei PGP/GPG nicht der Fall ist. Im geschäftlichen Email-Verkehr ist deswegen nach meiner Erfahrung - sofern überhaupt signiert wird - S/MIME verbreiteter als PGP/GPG. Letzteres ist eher im "Freak"- und Privat-Bereich verbreitet.

Was wir brauchen, ist eine public key Infrastruktur. Der Schlüsssel wird einmalig mit dem postident Verfahren an die Behörden veröffentlicht und das war's. Wenn ich E-Mail Texte mit einem Mausklick per PGP verschlüsseln kann, dann brauche ich keine verschlüsselte Verbindung zwischen Sender und Empfänger. Mit der richtigen Schlüssellänge ist es nur mit sehr viel Rechen- und Zeitaufwand zu knacken.

Warum versuchen etwas Neues krampfhaft zu entwickeln anstatt vorhandenes zu nutzen.

Natürlich müssen diese o.g. Funktionen voll in ein Mail Programm integriert und "Maclike" einfach bedienbar sein.

Furzophone:

[url]Im geschäftlichen Email-Verkehr ist deswegen nach meiner Erfahrung - sofern überhaupt signiert wird - S/MIME verbreiteter als PGP/GPG. Letzteres ist eher im "Freak"- und Privat-Bereich verbreitet.[/url]

Ich habe Gegenbeispiele genannt. Oder zählt Kommunikation auf jener Ebene bzw. mit diesen Unternehmen hier seit Neuestem zu privatem email-Verkehr: , das hier: , etc.?

Bei allen jeweiligen Vor- und Nachteilen von jeweils S/MIME auf der einen Seite und GPG/PGP auf der anderen Seite -- auch das BSI kommt in seinen Dokumenten u.a. zum Schluss, dass PGP sich über S/MIME weltweit mittlerweile eine dominierende Stellung erarbeitet hat, wenn es um verschlüsselte email-Kommunikation insgesamt (also nicht unterschieden in privat und nicht-privat) angeht, Zitat: ...GnuPG ist vollständig kompatibel zu OpenPGP , dem heute weltweit am meisten genutzten Standard zur Verschlüsselung von E-Mail. ().

Auch die übrigen, recht neutralen und teilweise sehr technisch gehaltenen Dokumente (teilweise PDFs, z.B. "Grundlagen der elektronischen Signatur" ) seitens des BSI zu S/MIME, OpenPGP und zur Verschlüsselung und zur Public-Key-Infrastruktur (PKI) insgesamt sind insgesamt sehr lesens- und empfehlenswert, ein Stöbern und Nachforschen via Suche beim BSI lohnt da sicher mal für den einen oder anderen Interessierten.