Hallo,

ist es möglich eingehende Emails zu verschlüsseln?

Client: Thunderbird (Linux, OSX, win XP)
Server: Debian, exim4 (vServer)

Client seitig habe ich im Internet noch nichts gefunden um eingehende Emails zu verschlüsseln, deswegen denke ich, dass es wohl Server seitig leichter zu realisieren ist.

Ich stelle mir das in etwa so vor, dass unverschlüsselte eingehende Emails mit dem public key vom Email Kontoinhaber (sofern hinterlegt) verschlüsselt werden.

Ist so etwas denkbar / machbar? Hat jemand einen interessanten Link bzw. Tipp wo ich mich einlesen sollte?

1) Wo liegt der Sinn in dem ganzen?

2) Warum nicht einfach das komplette Benutzerhome verschlüsseln, dann ist zusätzlich zu den Emails alles verschlüsselt was an daten rumfliegt.

mfg
cane

>>1) Wo liegt der Sinn in dem ganzen?

Ich bekomme div. Emails von Personen / Firmen etc. die ich nicht dazu bringen kann die Emails zu verschlüsseln (ebay, paypal, onlinebanking)

Mich stört es, dass alle Emails auf dem Server unverschlüsselt liegen. Jeder der zugriff auf den Server hat "könnte" die Emails lesen. Das stört mich bei den wenigen leuten die einen Account mit entsprechenden Rechten auf dem Server haben nicht, da ich weiß das keiner das machen würde.

Allerdings hat auch der Server Hoster zugriff auf den vServer. (und das ohne das ich dem mein geändertes root Passwort mitgeteielt habe)

2) Warum nicht einfach das komplette Benutzerhome verschlüsseln, dann ist zusätzlich zu den Emails alles verschlüsselt was an daten rumfliegt.

Verschlüsseln der Home Verzeichnisse, der Festplatten auf dem Server nützt nur dann was wenn der Server aus ist. Wenn das System läuft bringt das nichts weil die Festplatten / Ordner dann im System eingehängt sein müssen.

Verschlüsseln auf den Clients ist kein Problem wird auch gemacht aber dann dürften die eMails nicht auf dem Server liegen bleiben und das ist, wenn man von verschiednen Orten die Emails lesen möchte, nicht machbar.

Das ist IMO nur aufwendig und nicht sonderlich praktikabel machbar, wenn Du da nicht zuviel Zeit reinstecken willst und ein derart hohes Sicherheitsbedürfnis hast such dir einen vertrauenswürdigeren Anbieter.

BTW kann der Vserver die Emails auch einfach auf dem eg von Ebay, Paypal etc. zum Server mitsniffen, dein Vorhaben ist also unnütz.

mfg
cane

Hi Alexander,

dein Vorhaben ist aus den von Cane erwähnten Gründen nicht nur unnützt, sondern du baust damit den größten möglichen "Kryptoverstoß". Sozusagen den Krypto-GAU.

Der Angreifer, nennen wir ihn der Einfachheit halber "Wolfgang" hat deine Mails im unverschlüsselten Zustand abgegriffen. Jetzt holt er sich wenige Minuten später noch die gleichen Daten im verschlüsselten Zustand.
Wolfgang freut sich: du hast ihm die Ausgangsdaten für einen erfolgreichen "known Plaintext-Angriff" auf dem Silbertablett geliefert.

Was mich wundert: Ein derartiges Ansinnen hatte ich viele Jahre nicht mehr gehabt, und jetzt innerhalb weniger Tage gleich 2x ... ???
hier: http://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=40884

MfG Peter

Edit... gelöscht ...hatten Cane und Peter eh schon gesagt ... sorry...

Kannst also praktisch nur deinen eigenen Server zuhause aufstellen ....

Der Angreifer, nennen wir ihn der Einfachheit halber "Wolfgang" hat deine Mails im unverschlüsselten Zustand abgegriffen. Jetzt holt er sich wenige Minuten später noch die gleichen Daten im verschlüsselten Zustand.
Wolfgang freut sich: du hast ihm die Ausgangsdaten für einen erfolgreichen "known Plaintext-Angriff" auf dem Silbertablett geliefert.

Dann hätte sich Wolfgang aber sehr viel Arbeit für etwas gemacht was er auch leichter hätte haben können. Wolfgang bräuchte sich nur den Public key besorgen (Keyserver / Webseite / etc) und könnte dann beliebig viele texte verschlüsseln und probieren damit den Private key zu errechnen.

Das Argument zieht also nicht!

Gegen das mitsniffen von Emails kann ich hingegen nichts machen, sofern die Email nicht verschlüsselt bzw. über eine sichere Verbindung übertragen wird. Zur zeit könnte jemand der sich Zugriff zu dem Server verschafft hat alle meine Emails lesen sprich Emails der letzten 7 bis 8 Jahre. Dagegen würde ich gerne etwas machen. Die Gefahr, dass ein Angreifer neue Nachrichten mitlesen kann, ist mir bewusst. Nur sollte der Angreifen nicht auch noch meine ganzen alten Emails lesen können.


vertrauenswürdigeren Anbieter / eigenen Server zuhause aufstellen:
Ist eine Möglichkeit die aber auch nicht unbedingt mehr Sicherheit bringt und vor allem um einiges Teurer sein wird.


Das ist IMO nur aufwendig und nicht sonderlich praktikabel machbar,
Theoretisch könnte ich mir ein Shellscript schreiben welchen die Email Ordner auf neue Nachrichten überprüft und diese mit GnuPG verschlüsselt. Das ganze in einem Cronjob; fertig. Allerdings hatte ich gehofft die Email vor dem ablegen im Email Verzeichnis verschlüsseln zu können. Damit es nicht zu Konflikten mit den Clients kommt, ausserdem müsste das Script dann immer erst nach neue Nachtichten Suchen. Gibt es bei Exim4 die Möglichkeit ein entsprechendes Script vor dem Ablegen auszuführen?

Wolfgang bräuchte sich nur den Public key besorgen (Keyserver / Webseite / etc) und könnte dann beliebig viele texte verschlüsseln und probieren damit den Private key zu errechnen.

Ich gebe dir völlig Recht!
Wolfgang könnte versuchen, mit dem public key meinen private key zu errechnen. Wie heißt es denn so schön: Versuch macht kluch ... .

Bist du dir eigentlich bewusst, dass ein Gelingen dieses Versuches in annehmbarer Zeit das Ende jeglicher (asymmetrischen) Kryptologie bedeuten würde? Zur Zeit und für die nächsten paar Jahre sieht es aber noch so aus, dass ich mir darüber keine Gedanken machen muss und meinen Job nicht verliere ... .

Vielleicht solltest du dich hinsichtlich dieses Themas noch etwas belesen.

MfG Peter

Beachte auch dass zum Verschlüsseln per PGP auch immer ein Passwort notwendig ist. Wenn Du erstens das Passwort des Absenders kennst und dieses zweitens auch noch lesbar in ein Script verpackst kannst Du das Ganze auch gleich lassen.

Da ist es dann doch einfacher die Mails auf einer verschlüsselten Partition abzulegen und diese nach Gebrauch auszuhängen. Oder Du verwendest encfs. Dieses Fuse- Dateisystem kann, wenn von einem User eingehängt, auch im laufenden System von root nicht eingesehen werden.

Nope, zum Verschlüsseln von Mails mit dem Public Key benötigst du keine Passphrase.

Das ist ja das Attraktive an der Idee des TE: er muss auf dem Server nur seinen Public Key liegen lassen der sowieso frei zugänglich ist.


Wenn ich mich recht erinnere haben viele Mail-Serverprogramme doch "Filter" Schnittstellen die zum Beispiel für Scans mit ClamAv oder anderen Virenscannern benutzt werden.. was wenn du über diesen Filter alle eingehenden Mails abgreifst und zusätzlich / statt eines Scans eine GpG Verschlüsselung drüberlaufen lässt ? Die Originalmail musst du dann aber praktisch "shreddern".... Ich habe so etwas nie getan, aber eigentlich ... könnte das doch klappen ?

Die Passphrase (bzw. bei Chipkarten die PIN) benötigst du beim Versenden selbstverständlich nur zum Signieren, da dieses mit dem secret key erfolgt. Zum Verschlüsseln wird immer nur ein (oder mehrere) public key benutzt.

Selbstverständlich gibt es Gateways, welche jeden aus- und eingehenden Mailverkehr nicht nur nach Malware scannen, sondern auch gleichzeitig für die darin eingetragenen Empfänger verschlüsseln und wenn gewollt, mit dem secret key der Firma signieren. Das gleiche Gateway entschlüsselt ankommende Mails mit dem gleichen secret key und leitet die entschlüsselten Mails an den jeweiligen internen Empfänger weiter. Der secret key ist dann entweder passwortlos oder das PW steht in einer config-Datei. Die o.g. Technik ist dann entsprechend zu sichern.

All das ist Stand der Technik und bei Firmen, welche keinen Wert auf End-to-end-Verschlüsselung legen, aber trotzdem ihre Mails sichern wollen, übliche Praxis. Dagegen ist auch absolut nichts zu sagen! Diese Variante bringt sogar für die Firma nicht zu vernachlässigende Vorteile: Scannen nach Malware aber auch die Möglichkeit Mails auf den Abfluss vertraulicher Daten zu überwachen. Beides geht ja logischerweise nur im entschlüsselten Zustand.

Theoretisch könnte man das Verfahren auch "umpolen", also eingehende offene Mails intern verschlüsselt ablegen.
Aber da ich dieses Vorgehen sowohl als sinnfrei und gleichzeitig als einen groben Verstoß gegen sämtliche Regel der Kryptografie betrachte, will ich dazu nichts mehr sagen.

MfG Peter

Eine Frage zu dem Angriffszenario das du mit "grobem Verstoß gegen alle kryptographischen Regeln" bezeichnest habe ich noch:

Da der "public key" veröffentlicht ist kann doch jeder mit jedem veröffentlichten public key beliebig viele verschlüsselte Nachrichten erzeugen. Er hat somit für einen Angriff auf ein unsymmetrisches Verfahren beliebig viele Möglichkeiten sich unverschlüsselten Text und den dazu gehörigen verschlüsselten Text zu generieren...

Wenn das Verfahren so in praktikabler Zeit angreifbar wäre .. wäre es wenig wert...


Das Verfahren das dem TE vorschwebt schützt lediglich vor einem gelangweilten Admin der evtl. noch auf der Platte "herumstöbert", aber nicht genügend kriminelle Energie besitzt eingehende Mails zu kopieren... wenn den Benutzern klar ist dass das Verfahren nicht wirklich sicher ist .. ist es doch OK ?

Nope, zum Verschlüsseln von Mails mit dem Public Key benötigst du keine Passphrase.

Oh, verd... stimmt! Da hatte ich was mit signieren verwechselt. :o

Also so betrachtet spricht aus meiner Sicht auch nichts dagegen. Ich würde mich das Einfachheit halber darauf beschränken die Mails statt mit dem Schlüssel des Absenders mit dem eigenen Schlüssel zu verschlüsseln. Zum entschlüsseln bräuchtest Du ja sonst den secret Key des Absenders. :ugly:

Also ich würde es nicht machen : Aufwand zu tatsächlichem Nutzen ... das Verhältnis passt hinten und vorne nicht... lieber zu einem Serveranbieter mit gutem Ruf gehen...

web.de hat zum Beispiel einen recht guten Ruf..

Da der "public key" veröffentlicht ist kann doch jeder mit jedem veröffentlichten public key beliebig viele verschlüsselte Nachrichten erzeugen. Er hat somit für einen Angriff auf ein unsymmetrisches Verfahren beliebig viele Möglichkeiten sich unverschlüsselten Text und den dazu gehörigen verschlüsselten Text zu generieren...

Selbstverständlich kann "Wolfgang" das machen. Dafür kann er meinen öffentlichen Schlüssel gern nutzen. Er heißt ja nicht umsonst "öffentlich". Das Problem sind nur die von dir bereits erwähnten "beliebig vielen Möglichkeiten".

Dieses Szenario ist der alltbekannte "Brut-Force-Angriff". Du probierst einfach "mal schnell" alle Möglichkeiten durch und statistisch nach der Hälfte aller Möglichkeiten bist du am Ziel. Hast du Glück, sind etwas weniger Versuche nötig, hast du Pech ist es die letzte Variante.

Kleiner Geheimtipp (nicht weitersagen!): Auf diese Weise kannst du wirklich jede Verschlüsselung (bis auf das so genannte "one-time-pad) brechen! Irgendwann ... .
Das Dumme ist nur, dass es bei den heute üblichen 256/512 bit (symm. Verschlüsselung) bzw. 2K/4K (asymm. Verschlüsselung) ein "klein wenig" dauern wird.

Tatsache ist auch, dass der von mir erwähnte "known plaintext-Angriff" (ein Angriff auf der Grundlage eines dem Angreifer bekannten unverschlüsselten Textes und dem gleichen Text in verschlüsselter Form) mehrere Größenordnungen einfacher und schneller ist.

Warum werden heute beträchtliche Summen investiert, um Informationen auf dem Quellsystem im unverschlüsselten Zustand abzugreifen? (Ich benutze das "Reizwort" bewusst nicht, denke aber auch an Tempest-, Keylogger- und andere Angriffe, bis hin zur Mikrokamera und dem Auswerten der Spiegelungen deiner Brille) Es ist eben bei den heute für jedermann verfügbaren Mitteln der Datenverschlüsselung einfach nicht mehr möglich, die Verschlüsselung in einem sinnvollen Verhältnis von Aufwand und Nutzen zu brechen.

4 Bemerkungen zum Schluss:
1. die meisten Fehler werden durch die Anwender selbst gemacht ... .
2. ich bin mit keinem Wort darauf eingegangen, dass in der Regel hybride Verschlüsselung genutzt wird und
3. kein Wort zur Quantenkryptologie ...
4. im privaten Umfeld darf jeder so viele Fehler machen, wie er möchte ... .

MfG Peter

Ich steh ein wenig auf dem Schlauch:

Wo liegt der Unterschied zwischen den "Known Plaintext" Angriffen wenn im einen Falle am Posteingang der unverschlüsselte Text und auf der Platte der verschlüsselte Text abgegriffen wird.. (TE Problem)


Und ich im anderen Falle den verschlüsselten Text mithilfe des bekannten öffentlichen Keys der Zielperson aus eigenem unverschlüsseltem Text selbst generiere ?

In beiden Fällen habe ich unverschlüsselten Text und die zugeordneten verschlüsselten Varianten des Textes zur Verfügung ...

Das ist der Teil den ich nicht verstanden habe. Klar ist dass wenn das mit vernünftigem Aufwand knackbar wäre die asymmetrischen Verfahren vom Markt wären ...

Liefert mir jemand den gleichen Text sowohl verschlüsselt als auch unverschlüsselt, kann ich auf einfache Art den zur Entschlüsselung benötigten Schlüssel berechnen. (Ohne hier "Einfach" zu definieren.) Diesen Angriff gibt es sowohl bei der symmetrischen als auch bei der asymmetrischen Verschlüsselung. Bei letzterer bekomme ich natürlich erst einmal nur den symm. Sessionkey heraus. Aber der Kryptoanalytiker freut sich schon darüber sehr ... .

Deine zweite Frage berührt das Grundprinzip der asymm. Verschlüsselung. Aus dem secret key wird mit einem schnellen math. Verfahren der (eine dazu gehörende) publik key berechnet. Den umgekehrten Weg gibt es aber nicht. Du erhältst immer "unendlich" viele Möglichkeiten. Es bleibt dir dann wieder nur den "brutale Angriff" mit dem Durchtesten aller Möglichkeiten.
Oder: es ist sehr wohl möglich, aber eben eine Frage der Zeit.


So, ich habe gerade einen "Seitenblick" und eine Bemerkung in der Art "... musst du denn auch am Wochenende arbeiten ..." erhalten.
Ich empfehle, das WE bei weiteren dringenden Fragen mit Hilfe von Wikipedia zu überbrücken. :-)


MfG Peter

Frauen haben manchmal was Katzenartiges ... :D

Den Unterschied dazwischen Original und Verschlüsselten Text geliefert zu bekommen...

Oder den verschlüsselten Text direkt mit dem Public Key selbst zu erzeugen habe ich zwar nicht kapiert, ist aber auch nicht wirklich so wichtig ...

Ein paar Argumente um im Freundes und Bekanntenkreis verschlüsselte Mails salonfähig zu machen wären nicht schlecht... irgendwie kriege ich die Leute nicht so richtig überzeugt ;)

Schau mal hier:
http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift

MfG Peter (und schon wieder weg, noch scheint die Sonne und lockt ...)

Kannst bestimmt einen Filter erstellen, der unverschlüsselte Mails gleich in das Spam Verzeichnis verschiebt. Das müsste sie langfristig überzeugen, zumindest wenn Du ihnen beim Konfigurieren der Verschlüsselung behilflich bist.

@Peter: recht hast du, ich komme auch gerade vom Radfahren zurück :D war echt klasse....

Jetzt ist aber die Hausarbeit dran.

Als Außenstehender kann ich die Kombination gpg4win mit Thunderbird und dem Enigmail Add On (die du verlinkt hast) auch nur empfehlen: habe ich neulich auf dem Rechner meiner Eltern eingerichtet... nur mein Bruder sträubt sich noch standhaft gegen Thunderbird.. verwendet lieber Webmailer.... aber ich schätze über den bayes Filter und das spamverseuchte Mailkonto seiner Frau kriege ich den auch noch :D

(Wenn ich auf einem Windows Rechner jemandem mit der Einrichtung von E-Mail helfe ist grundsätzlich der Thunderbird im Spiel...)

Die Wikis zur Verschlüsselung hatte ich übrigens gelesen, auch die etwas ausführlicheren Artikel zum Thema bei Wikipedia.

Kann ich bestätigen: GPG4Win und Enigmail sind eine sehr zuverlässige Kombi. Im Büro nutze ich PGP Desktop. Rennt auch sehr gut.

Ich gebe dir völlig Recht!
Wolfgang könnte versuchen, mit dem public key meinen private key zu errechnen. Wie heißt es denn so schön: Versuch macht kluch ... .

Bist du dir eigentlich bewusst, dass ein Gelingen dieses Versuches in annehmbarer Zeit das Ende jeglicher (asymmetrischen) Kryptologie bedeuten würde? Zur Zeit und für die nächsten paar Jahre sieht es aber noch so aus, dass ich mir darüber keine Gedanken machen muss und meinen Job nicht verliere ... .

Vielleicht solltest du dich hinsichtlich dieses Themas noch etwas belesen.


OMG! bitte erkläre mir den Unterschied! Was bitte hat Wolfgang davon die Nachricht erst unverschlüsselt und dann verschlüsselt abzugreifen?!

Wieso sollte sich Wolfgang überhaupt die mühe machen?! Wenn er die Ausgangsdaten für einen
known Plaintext-Angriff auch selber erzeugen kann? Er kann sich mit meinem public key beliebig viele Texte verschlüsseln und hätte dann beliebig oft den unverschlüsselten und den verschlüsselten Text?!

Wie du selber schreibst wird er dafür die nächsten paar Jahre brauchen. Sprich in den nächsten paar Jahren wären dann auch die auf den Server verschlüsselt abgelegten Nachrichten sicher. (sofern Wolfgang nicht schon die letzten 7 bis 8 Jahre meinen Server mitgesnifft hat ;) ) Wenn die Emails aber im Plaintext rumfliegen würden, müsste Wolfgang nicht die nächsten paar Jahre warten sondern könnte sofort anfangen die Emails zu lesen!


Aber da ich dieses Vorgehen sowohl als sinnfrei und gleichzeitig als einen groben Verstoß gegen sämtliche Regel der Kryptografie betrachte, will ich dazu nichts mehr sagen.

Wieso sollte es sinnfrei sein, seinen bisherigen Datenbestand zu Sichern? Es dreht sich hier um eine Sicherung des bestehenden Datenbestands und einer Sicherung von neuen Daten. Das neue Emails ab dem Zeitpunkt wo jemand einen sniffer dazwischen setzt nicht mehr sicher sind will ich nicht bestreiten, aber das sind sie weder mit noch ohne nachträglicher Verschlüsselung!

Fazit:

Ich weiß jetzt,


dass ich mit dem vorhaben einen Krypto Super-Gau begehe (klasse)
dass der Zeit- / Nutzenaufwand sich nicht lohnen soll
dass ich mir einen Vertrauenswürdigen Anbieter suchen soll
dass web.de sicher und vertrauenswürdig sein soll


Was ich leider nicht weiß ist, wie ich meinen Exim4 so erweitere, dass eingehende unverschlüsselte Emails bei bedarf (Emailkonto abhängig) verschlüsseln werden, aber das ist ja auch nebensächlich ;)

What ever! Danke für die Hilfe, ich bin nun schlauer als vorher und werde mich jetzt auf die Suche nach einem Experten Forum machen... Thema kann geschlossen werden!

Schau dir GNU Anubis an.

http://www.gnu.org/software/anubis/manual/html_node/MDA-Mode.html

Alexander: Und der Hinweis die Schnittstelle über die in der Regel die Virenscanner in die MTA's eingebunden werden zur Verschlüsselung zu nutzen hat auch nichts gebracht ? Oder hast du den überlesen... benötigt natürlich einiges an RTFM ...