Aktionismus mit dem Wunsch dem Kunden ein falsches Sicherheitsgefühl zu geben. Aber das passt ja zu den beteiligten Firmen gut.

Ja und den Schlüssel dazu haben sie der NSA auch schon geliefert

Als würde dies irgend etwas ändern.....

Sinnlos, die NSA hat ja einen Webzugang zu Rastern, Nachschlüssel inklusive. Wegen der posen Terroristen.

Netzpolitik.org (09.08.2013): E-Mail made in Germany: Deutsche Telekom, Web.de und GMX machen SSL an und verkaufen das als “sicher”

Klasse Aktion! Weiter so.

Verschlüsselung auf dem Transportweg (SSL/TLS) zwischen Sender und Mail-Server sowie zwischen den Mail-Servern der zwei Firmen untereinander ist schon mal ein guter Anfang.

Die ganzen abwertenden Kommentare zu dem Thema sind mir ein Rätsel.
ENDLICH werden hier die Kanäle verschlüsselt! Marketing hin oder her, mit Gmail oder iCloud habe ich das nicht (oder?).
Die Aussage, dass Kommunikation dadurch nicht sicherer wird, ist ja wohl eine Frechheit.

Und nun steigt alle brav auf die erwähnten Anbieter um, denn unsere eigene Stasi wird bestimmt nicht mitlesen, GANZ SICHER!

Unser Geheimdienst darf sogar mitlesen wenn eine richterliche Anordnung besteht. Die USA können dann aber nicht mehr so einfach mitlesen.

Immerhin: Sichere Kommunikation wird langsam ein Thema.
Danke, Snowden!

Aber eben mehr auch nicht. Es ist damit nur der kleinste als sinnvoll zu erachtende Teil geschehen. Immerhin besser als ganz ohne wie bisher. Aber das reicht nicht. Erklärung im Folgenden:

Es ist damit nur der Transportkanal verschlüsselt, nicht die Nachricht selbst, die durch diesen Kanal durchgeschickt wird. Somit kann, wenn Du an diesen Schlüssel gelangst (Hack-Angriff, Diebstahl, kompromittierter Schlüssel, Zwang des Providers seitens Behörden und Geheimdienst zur Herausgabe des Schlüssels bzw. Herausgabe des Generalschlüssels) auf den unverschlüsselten Inhalt zugegriffen werden. Und das ist in der Vergangenheit durchaus auch schon geschehen, es gibt zur Genüge geknackte SSL-Verbindungen, die genau das gezeigt haben.

Dass diese SSL-Verschlüsselung überhaupt jetzt erst standardmäßig angeboten wird und nicht schon längst seit Jahren und daraus jetzt so ein großer Heiopei gemacht wird mit der Kernaussage, das Ganze sei jetzt sicherer, man werde dabei schon auf die Zuverlässigkeit der Provider vertrauen und dass sie diese SSL-Schlüssel nicht aus den Händen geben nur bei ganz begründeten Verdachten und unter Vorlage einer richterlichen Bescheinigung, ist eigentlich ein Hohn -- erst recht vor dem Hintergrund, dass die NSA genau das eben schon versucht und gemacht hat und verschiedene Provider auf Herausgabe dieser SSL-Schlüssel gedrängt hat. Einige Provider haben eigener Aussage nach widerstehen können (noch). Wieviele hingegen sind eingeknickt und haben sich dem gebeugt?

Doch. GMail hat schon seit längerem SSL-Verschlüsselung für den Transportweg standardmäßig aktiviert. Man müsste es manuell ausschalten (was tunlichst nicht empfohlen ist).

Wer bei Webmail darüberhinaus es nicht nur beim Verschlüsseln des Transportwegs per SSL belassen will, sondern der auch die eigentlichen Inhalte, die Nachrichten, die in diesem verschlüsselten SSL-Transport-Kanal transportiert werden, selbst nochmal verschlüsseln will, der schaue sich mal dieses Browser-Plugin dafür näher an:

Mailvelope

Somit ist das Ganze doppelt verschlüsselt: Einmal der Transportwegs selber als verschlüsselter SSL-Tunnel, und einmal die Nachricht selber, die diesen Tunnel durchquert.

Wird der Transport-Tunnel geknackt/entschlüsselt durch Einbruch oder einen Nachschlüssel, so ist immerhin immer noch das Wichtigste, die Nachricht selber, verschlüsselt. Und im fall von OpenGPG haben hierzu allein Sender und Empfänger die notwendigen Schlüssel zum Ver- und Entschlüsseln, und niemand sonst.

Es ist bezogen auf die vollmundigen Aussagen dieser Werbe-Kampagne leider die bittere Wahrheit, Augenwischerei und eben Marketing, um hier lange Versäumtes zu kaschieren.
Da SSL-Verschlüsselung eben leider nicht mehr als 100% sicher anzusehen ist und eben gerade die NSA derzeit zeigt und gezeigt hat, dass sie sich über die Provider und Zertifizierungsstellen Zugang zu den Schlüsseln bzw. Nachschlüsseln verschaffen kann und das zuweilen auch tut. Es nützt somit die beste Transportverschlüsselung per SSL nix, wenn dann die NSA oder ein anderer Geheimdienst oder Behörde ankommt und vom Provider dazu den Schlüssel bzw. Nachschlüssel ausgehändigt bekommt oder sie sich den anderweitig beschaffen. Gleiches auch mit Hackern, die gefälschte oder kompromittierte SSL-Zertifikate nutzen, um da reinzukommen. Wie oft hat es in jüngster Vergangenheit allein deswegen schon Browser- und Betriebssystem-Updates aller Hersteller geben müssen, weil eben bestimmte wichtige SSL-Zertifikate, also genau jene, die für so einen verschlüsselten Transportkanal verwendet werden, geknackt bzw. unsicher geworden waren oder ein ganzer Zertifikatsaussteller unglaubwürdig geworden ist und man ihm nicht mehr vertrauen kann.

Deshalb: besser auch die Nachricht selber verschlüsseln. Und nicht allein nur den Transportkanal, durch den diese Nachricht geschickt wird.

Diverse Anbieter (meiner z.B.) bieten das schon lange, ohne daß sie dafür so ein Marketingrummel und Label veranstalten müssen. Das sollte eigentlich schon
lange lange selbstverständlich sein.

Eigentlich sollten sie eher dafür verprügelt werden, wenn sie dieses Feature jetzt erst aktivieren. Und anstatt es reuhmütig still und leise machen, tun sie so, als hätten sie sonstwas innovatives getan. Marketing ist zum

aa:

+1

Es löst zwar keines der existierenden Probleme, aber ich finde es dennoch gut!

Prinzipiell gilt: Wenn du etwas verschlüsseln kannst, ohne enormen Aufwand und ohne gravierende Nachteile in Kauf nehmen zu müssen, dann verschlüssele auch! Im schlechtesten Fall nützt es gar nichts, dann stehst du aber auch nicht schlechter da, als wenn du nicht verschlüsselt hättest, oder? Im besten Fall hingegen hilft es aber sogar. Darum ist verschlüsseln vom Grundprinzip her gesehen niemals die falsche Entscheidung, außer es gibt wirklich gute Gründe, die dagegen sprechen, und das ist eher sehr selten der Fall.

Mecki:

Ja. Doch wird hier eigentlich Selbstverständliches an die große Glocke gehängt und groß mit der Trommel geschlagen, als wäre es was weiß ich für eine Sensation und Innovation. Eigentlich ist's blamabel und ein Armutszeugnis für die betreffenden Anbieter, dass die jetzt erst damit rumkommen, die aktuelle NSA-Debatte zum Anlass nehmen, das sogar diesbzgl. extra als Anlass für vermehrtes Nachfragen danach herausstellen, als würden sie ihren Nutzern da ein irre großes Geschenk machen und dafür gelobt werden müssen. Sie haben sich hiermit jedoch eher die Blöße gegeben, es nicht schon längst seit Jahren als Selbstverständlichkeit angeboten zu haben -- und zwar stillschweigend und als normale Selbstverständlichkeit und ohne großes Getöse. Stattdessen fangen die jetzt erst damit an. Und die Kommunikation über diese Provider wird damit höchstens ein kleines Stückchen sicherer, aber noch lange nicht sicher (und genau das versprechen sie ja vollmundig).

Viel Trara um eigentlich nichts bzw. eigentlich Selbstverständliches.
Man mag ihnen zurufen: "Guten Morgen, seid ihr auch schon wach? Wir haben schon mal angefangen zu frühstücken. Bis ihr in die Hufe kommt, ist der Tag schon vorbei..."
Natürlich lieber verspätet als nie. Trotzdem. Viel Lärm um nix. Sowas, solche eigentlichen Selbstverständlichkeiten macht man still und leise, erst recht, wenn man Nachzügler ist und zu den Zuspätgekommenen der Party zählt. Da macht man eigentlich keine große Aktion draus und ruft nicht noch lauthals in die Party-Menge "Hallo, hier komm' jetzt ich, alle Aufmerksamkeit zu mir!".

Man solltes noch mal sehr deutlich sagen: hier geht es um TRANSPORTVERSCHLÜSSELUNG. Das kann nur verhindern, daß jemand so ohne weiteres den Datenverkehr zwischen zwei Teilnehmern mitlesen kann. Es verhindert NICHT, daß jenand die Daten bei den Endpunkten lesen kann. Dafür benötigt man Inhaltsverschlüsselung wie PGP oder SMIME.

Und diese Transportverschlüsselung gibt es schon sehr lange zwischen Mail-Client und IMAP bzw. SMTP. Nur wurde diese Transportverschlüsselung bislang zwischen den Mailanbietern nur von wenigen benutzt. Und das schlimme daran war: wenn der eigene Anbieter die SMTP-Strecke zum anderen Anbieter verschlüsseln wikl ind der bietet aber keine Verschlüsselung an, dann geht es also unverschlüsselt durch das Netz. Und DAS ist die schweinerei, daß die sich jetzt hier hinstellen und so tun, als täten sie was tolles. Die machen das Jahre zu spät. Das ist längst Stand der Technik.

Und diese Anzeige, ob die Mail nun verschlüsslt übertragen werden würde ist bestenfalls nett. Eigentlich kaschiert es nur die Unzulänglichkeiten der Anbieter, die es schon seit Jahren per Default hätten machen müssen.

aa:

+1

aa
+1 Sehe ich genauso.
sierkb
Nur als Ergänzung zu Deiner Antwort bezüglich G-Mail: Wenn ich nicht irre verwenden auch die iCloud-Dienste, incl. E-Mail, standardmäßig SSL.

sierkb:
Danke für die Erklärung.

Können die Anbieter überhaupt für eine Ende-zu-Ende Verschlüsselung sorgen? Oder wo ist noch Bedarf?

Prüf's nach, dann weißt Du es.
Ich benutze weder iCloud noch sonst irgendeinen anderen Cloud-Dienst, aus Prinzip nicht. Ich kann Dir dazu also keine schnelle Antwort geben.

bluejayde67:

Nachtrag:

Abgesehen davon hatte Apple gerade dieser Tage ja ein Problem mit kompromittierten Developer-Zertifikaten aufgrund eines Hacker-Angriffs (mit denen man schlimmstenfalls auch noch woanders reinkommen oder diese per Unterschrift durch dieselben benutzen könnte, um innerhalb Apples Infrastruktur noch woanders reinzukommen als nur auf die Developer-Server). Soviel also zur Sicherheit der Infrastruktur und Server bei Apple (war nicht letztes Jahr erst ein iTunes-Developer-Server betroffen, auf dem eingebrochen worden war?). Apple ist offenbar diesmal noch davongekommen, diesmal waren es "nur" Developer Zertifikate. Ob's dabei bleiben wird? Ob die iCloud-Server in dieser Hinsicht unangetastet bleiben werden? Sicherlich sind sie ein enorm attraktives und lohnenswertes Angriffsziel ob der Daten, die da drauf sind. Ebenso auch Apples Server mit den ganzen Apple IDs, die ja der Schlüssel zu allen möglichen Daten und Nutzerdaten sind, hat man den nebst zugehöriger Passworte, gibt's da kein Halten mehr.

Sie können bzw. könnten. Würde für sie halt ein wenig mehr Aufwand im Sinne des Kunden bedeuten. Diesen Aufwand scheuen viele, weshalb es derzeit auch nur wenige Anbieter gibt, die sowas anbieten. Zwei davon, Lavabit und Silent-Circle, beide in den USA ansässig, haben heute dicht gemacht, weil die zu sehr von der NSA belagert waren: . Als weiterer Anbieter von echter Ende-zu-Ende-Verschlüsselung, diesmal mit Sitz im USA-fernen Schweden ist er hier: CounterMail . Derlei Anbieter gibt es auf der Welt leider wohl nicht oft (vielleicht nimmt das ja jetzt unter den aktuellen Ereignissen zu), weshalb das Schließen der Mail-Dienste bzw. Dienste von Lavabit und Silent-Circle jetzt so reinhauen dürfte. Aber vielleicht wachsen deswegen jetzt erst recht welche aus dem Boden. Möglichst woanders als in den USA.

Und dann ist da ja auch noch der Benutzer selber, der mit seinen Clients in eine solche abgesicherte Struktur nahtlos einhaken muss, damit Ende-zu-Ende-Verschlüsselung lückenlos gewährleistet ist.

Oberflächliche Heuchelei um den User in Sicherheit zu wiegen! Sinnlos!

sierkb: Was haben die Mail-Provider mit Ende-Zu-Ende-Verschlüsselung zu tun? Das hab ich in dieser Sache nicht so ganz verstanden. Normalerweise sollten die verschlüsselten Mails doch völlig transparent für den Anbieter sein. Außerdem, wenn der Anbieter was damit zu tun hat hat man es doch eher mit einem Mail-System wie de-mail zu tun, was im grundegenommen ein völlig eigenständiges und zum Herkömmlichen inkompatibles Mailsystem ist.

Oder wie ist das gemeint? Vielleicht hast du ja ein paar schöne Links für einen _schnellen_ Überblick? (Ich hatte dafür bislang keine Zeit.)

aa:

Bezieht sich vor allem auf Webmail im Browser, das auf jeder Plattform von überall her genutzt werden kann und auch soll.
Lies Dir doch einfach mal auf den Anbieterseiten der im Folgenden Genannten durch, was CounterMail (das z.B. einen USB-Stick mit OpenPGP nutzt, ohne den ein Einloggen in die WebMail-Oberfläche gar nicht möglich ist ), LavaBit (Korrektur: da ist nicht mehr viel zu sehen, die haben komplett dichtgemacht) und Silent-Circle diesbzgl. als Service anbieten bzw. wie deren Absicherung funktioniert. Oder wie Mailvelope funktioniert (als Browser-Plugin, das per JavaScript-Bibliothek OpenPGP.js OpenPGP-Funktionalität bereitstellt und nahtlos in die Weboberflächen bekannter Anbieter integriert). Vielleicht siehst Du ja dann klarer.

Ich hab nachher erst Zeit das zu lesen, aber: dann funktioniert das nur über deren Web-Interfaces (wer will denn schon Web-Interfaces?)? Und die haben dann meine Schlüssel?!? Will man das? Klingt nicht wirklich so.

sierkb

Bin im Moment auch im Stress, deswegen hab ich die Posts nur schnell überflogen. Hab da was mit Gmail gelesen.
Kurze Frage : Ist Gmail zur Zeit "sicherer" als Telekom und GMX ?

Schicke meinen Dank schon im vorraus.

Wenn ich nicht falsch liege: Ja. Wenigstens in Bezug auf GMX. Bzgl. Telekom weiß ich grad' nicht, auf welche Weise genau die den Transport verschlüsseln.
Siehe u.a. auch:

ZDNet (24.11.2011): Google verbessert Sicherheit von SSL für Google Mail
Wikipedia (de): Diffie-Hellman-Schlüsselaustausch
Wikipedia (de): Folgenlosigkeit (Kryptographie), perfect forward secrecy (PFS):

BRAVO!

Diese Massnahme ist nicht 100 % sicher. Doch das ist doch mal besser als gar nichts! Ich finde es absolut richtig, dass auch mit dem Argument der Sicherheit kräftig die Werbetrommel gerührt wird. Egal wer dies macht. Die Sache muss nun den Laien (mindestens 90 % der Bevölkerung) verkauft werden. Das geschieht nur, wenn die grossen und kleinen der Branche auf die Problematik aufmerksam machen!

Alle diejenigen, die hier meckern kann ich durchaus verstehen. Es sind nämlich diejenigen Leute, welche nun gemerkt haben, dass sie schon sämtliche Privatsphäre verloren haben und intimste Details den Amerikanern preisgegeben haben. Diese können nun nur noch resignieren und über jegliche Bemühungen in Sachen Sicherheit herummeckern. Diese Leute tun mir leid. Es ist zu spät, diese Leute haben kein Privatleben mehr.

Danke Dir, werd mich zur späteren Stunde schlau machen.

War grad' eben in den 20 Uhr-Nachrichten der tagesschau. Eigentlich traurig, dass das überhaupt zum Thema gemacht werden muss und dass erstmal was passieren muss, das die Welt bewegt wie der aktuelle Snowden-Fall bzw. die NSA-Geschichte.

Warum existiert sowas nicht unaufgefordert und völlig selbstverständlich und wird dem Nutzer ohne viel Aufhebens völlig selbstverständlich zugestanden, sprich: warum ist es immer noch normal, NICHT zu verschlüsseln, statt völlig selbstverständlich immer und alles zu verschlüsseln -- grundsätzlich und als völlig normale Selbstverständlichkeit wie eben das tägliche Zähneputzen oder das Schuhezubinden? Einen Brief, den ich per Post verschicke, stecke ich auch selbstverständlich in ein Briefkuvert, um ihn vor neugierigen Blicken zu schützen. Das ist seit Jahrhunderten so ein Selbstläufer, so selbstverständlich, da denkt niemand mehr drüber nach, sondern macht es einfach. Genauso, wie man, weil man eben privat bleiben will und sowas eben nicht vor aller Augen machen möchte, die Türe hinter sich zu macht oder sich abseits von der Menge ein ruhiges Plätzchen sucht, wenn man mal aufs stille Örtchen gehen will/muss. Weil man es eben so macht. Warum hört diese Selbstverständlichkeit bei der elektronischen Kommunikation eigentlich auf, und muss dort den Menschen erst wieder extra anerzogen werden?