Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 24

Thema: Schlüsselserver

  1. #1
    naraesk
    Gast

    Schlüsselserver

    Guten Abend,
    ich arbeite mich gerade in das Thema Signieren / Verschlüsseln von Mails ein. Dazu eine kleine Verständnisfrage zu Schlüsselservern, denn von denen scheint es ja eine ganze Menge zu geben.
    Wenn ich meinen öffentlichen Schlüssel also auf den Server foo exportiere, kann ich davon ausgehen, dass mein Gegenüber diesen automatisch findet, auch wenn er vielleicht ein Outlook hat? Nicht das dort nur auf dem Server bar gesucht wird.
    Also macht es einen Unterschied auf welchem ich hochlade, oder synchronisieren die alle miteinander?

    Danke.
    Geändert von naraesk (18.03.10 um 00:15 Uhr)

  2. #2
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.639
    Leider nicht.

    (zumindest nicht alle .. zumindest nicht nach meinen Experimenten).

    Dein Kommunikationspartner muss also den gleichen Schlüsselserver (evtl. unter anderen) in seinem Verschlüsselungsprogramm eingestellt haben wie du.

    In der Praxis wirst du ihn wohl meist deinen Public Key einfach mailen und dann per Telefon den Fingerprint abgleichen...


    Da viele Keys ohne "Verfalldatum" eintragen und dann evtl. ihren privaten Schlüssel verlieren kann es auch gut sein dass du jemandem eine Mail schickst die niemand mehr lesen kann falls sein Key schon etwas älter ist ....


    Welches Mailprogramm er verwendet sollte egal sein. Outlook habe ich nicht probiert da das damals nur Mime konnte.. und ich nur einen GPG Key habe ...
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  3. #3
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    nur als kleine anmerkung, gnupg oder pgp sind mit outlook nahezu unbenutzbar.
    der neue pgp-plugin für outlook soll zwar endlich einfacher zu bedienen sein, an die einfachheit von s/mime kommt er aber bestimmt nicht heran. :-(

    //richard
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

  4. #4
    naraesk
    Gast
    Ich habe es befürchtet, alles andere wäre ja auch zu einfach.
    Gibt es ein wenigstens ein paar empfehlenswerte Server, bei denen man eine recht große Trefferwahrscheinlichkeit hat?

  5. #5
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.639
    Ich kann dir da nicht helfen.. nachdem ich es nicht geschafft habe Freunde und Bekannte vom Nutzen verschlüsselter oder signierter Mails

    (
    Ich kann das Attachment nicht öffnen !
    .. als Standardantwort auf signierte Mails ... )

    zu überzeugen habe ich bestimmt schon ein Jahr lang keine verschlüsselte Mail mehr verschickt... falls das bei dir besser klappt poste doch hier wie du es geschafft hast, dann versuche ich es nochmal ....
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  6. #6
    naraesk
    Gast

    Dazu wäre es halt gut zu wissen, wie man das für den gegenüber am einfachsten und plattformübergreifend gestalten kann, Wenn Outlook nur schwer mit PGP zurecht kommt, ist das ja schon einmal nicht sehr förderlich.

    Habe mir Outlook 2007 gerade einmal angeschaut: im "Vertrauensstellungscenter" [sic!] gibt es ein paar Optionen zu s/mime, aber kein Wort von PGP, ist wohl ein Add On, welches man nachinstallieren muss. Outlook bietet da noch "Digitale IDs" an, aber das ist wohl irgendein Microsoft- Eigenbau, oder?
    Geändert von naraesk (18.03.10 um 01:00 Uhr)

  7. #7
    Datasette Avatar von gropiuskalle
    Registriert seit
    Nov 2006
    Ort
    West-Berlin
    Beiträge
    2.681
    Gibt es ein wenigstens ein paar empfehlenswerte Server, bei denen man eine recht große Trefferwahrscheinlichkeit hat?
    Ich würde sagen, dass http://pgp.mit.edu/ der Klassiker ist. Ansonsten ist Verschlüsselung mit Thunderbird und Enigmail wirklich auch für den Laien recht einfach einzurichten - allerdings sollte man das Prinzip durchaus kapiert haben, sonst kommt man durcheinander. →Diese Seite erklärt es ganz gut (könnte man ja mal übersetzen und der Schwiegermutter zuschicken oder so was). Ich habe mit dieser Kombination durchaus ein paar "unbedarfte" rumkriegen können.
    Geändert von gropiuskalle (18.03.10 um 01:54 Uhr) Grund: bugfixes & mehr

  8. #8
    Registrierter Benutzer
    Registriert seit
    Apr 2008
    Beiträge
    352
    eines sollte man auch noch dazu sagen :
    auf dem mit.edu server und den meisten anderen kannst du deinen Schlüssel nicht löschen lassen (warum, steht dabei, wenn's du's probierst). Und der Haken mit den Keyservern ist, dass die von Spammern gemolken werden können. Also brauchst du einen guten Spamfilter oder schickst deinen Schlüssel eben per mail an die paar Leute, die mit verschlüsselten Mails was anfangen können. Damit verhinderst du zumindest, dass ein paar Spammails erst gar nicht durch's Netz geschickt werden.

  9. #9
    Datasette Avatar von gropiuskalle
    Registriert seit
    Nov 2006
    Ort
    West-Berlin
    Beiträge
    2.681
    Und der Haken mit den Keyservern ist, dass die von Spammern gemolken werden können.
    Das klingt zwar nachvollziehbar, aber deckt sich komischerweise keinesfalls mit meinen Erfahrungen. Ich habe auf diesem server Schlüssel für drei Mailadressen hinterlegt, von denen zwei so gut wie nie Spam erhalten, eine Adresse ist von mir bewusst als Spam-Mülleimer angelegt worden (welche ich ggf. bei Bestellungen und dergleichen angebe).

  10. #10
    Linux auf Laptop nutzer Avatar von ThE_FiSh
    Registriert seit
    Jan 2005
    Beiträge
    826
    Zitat Zitat von gropiuskalle Beitrag anzeigen
    Das klingt zwar nachvollziehbar, aber deckt sich komischerweise keinesfalls mit meinen Erfahrungen. Ich habe auf diesem server Schlüssel für drei Mailadressen hinterlegt, von denen zwei so gut wie nie Spam erhalten, eine Adresse ist von mir bewusst als Spam-Mülleimer angelegt worden (welche ich ggf. bei Bestellungen und dergleichen angebe).
    Und wieder bin ich die Ausnahme - nachdem mein key auf nem keyserver landete - war das spam aufkommen so hoch das ich die mailadresse irgendwann zu den akten legte bzw löschte .... ist schon nen paar jährchen herr und es mag sein das die spamfilter da noch nicht so gut waren, aber seitdem lass ich das mit dem keyserver

    ich mach das eigentlich immer so:
    1. ICQ/Jabber usw. kontakt (das ganze verschlüsselt mit OTR)
    http://de.wikipedia.org/wiki/Off-the-Record_Messaging

    2.Austausch der schlüssel über IM - oder sftp an - schlüssel getauscht - sftp aus

    und dann kann man mailen

    PS: es gibt übrigens auch SE programme wie maltego die gebrauch von keyservern machen um emails zu bestimmten personen zu finden .... nur so als denkanstoss
    Is the audience listening?
    Wissen ist die (einzige) Ressource, die sich vermehrt, wenn sie geteilt wird!
    http://tinyurl.com/ln5njc

  11. #11
    Datasette Avatar von gropiuskalle
    Registriert seit
    Nov 2006
    Ort
    West-Berlin
    Beiträge
    2.681
    Ob man spam erhält oder nicht ist von vielen Faktoren abhängig. Ich habe zwei Mailadressen, die bereits seit mehreren Jahren auf oben genannten Keyserver liegen, die haben zusammen gerade mal *drei* spams erhalten (mit der dritten Adresse gehe ich recht sorglos um)... Wie gesagt: ich fände es eigentlich logisch, wenn Keyserver von Spambots abgeerntet werden, aber irgendwie scheinen meine Adressen weniger interessant zu sein.

  12. #12
    Registrierter Benutzer Avatar von /dev/null_Peter
    Registriert seit
    Nov 2006
    Beiträge
    207
    Hi naraesk,

    schön, dass du dich mit dem Thema befasst ... .
    Es ist zwar schon viele Jahre her, dass ich PGP bzw. GnuPG den Rücken gekehrt habe und mich ausschließlich mit S/MIME befasse, dafür aber sowohl beruflich als auch privat sehr intensiv ... .

    Hier wenn du willst, was zum Nachlesen: FAQ-Beitrag Thunderbird-Wiki

    Es war tatsächlich mal so, dass sich die (PGP-)Schlüsselserver synchronisiert haben. 1x bei Heise auf der c' bit signieren lassen, finde ich meinen 15 Jahre alten PGP-Schlüssel noch heute auf den gängigen Keyservern weltweit. Aber wie es aussieht, ist man davon wohl abgegangen.

    Eine richtige Notwendigkeit für derartige Schlüsselserver sehe ich aber auch kaum noch. Klar, wenn ich im Intranet eine Mail an einen Empfänger schreibe, dann holt sich mein LoNo-PlugIn das Zertifikat des Empfängers vom Verzeichnisdienst, prüft per Sperrliste oder OCPS die Gültigkeit, usw.
    Wenn wir im Internet eine verschlüsselte Kommunikation aufbauen wollen, dann schicken sich die beiden Partner eine signierte Mail - und die nächste Mail kann dann verschlüsselt werden. Und an einen mir völlig Unbekannten habe ich noch nie "einfach so" eine verschlüsselte Mail geschickt. Jeder moderne Mailclient beherrscht heutzutage S/MIME und kann empfangene Zertifikate problemlos automatisch importieren.
    (Ich schreibe über S/MIME! Und ich gehe dabei von vertrauenswürdigen Herausgebern der Zertifikate aus. Bei "Kostnix-Zertifikaten" bzw. selbstsignierten Zertifikaten muss man natürlich noch etwas für die Prüfung der Vertrauenswürdigkeit tun, aber hier reicht schon der bewusste Anruf.)

    Sicherheit Schlüsselserver hinsichtlich Abgreifen der Mailadressen:
    Schlüsselserver für X.509-Zertifikate basieren heute wohl ausschließlich auf Verzeichnisdiensten wie openLDAP u.ä..
    Hier ist es problemlos möglich und auch üblich, den Bots das Leben arg zu erschweren. I.d.R. muss entweder der cn, der vollständige Familienname oder die komplette Mailadresse zur Suche eingegeben werden. Teilstrings kann man auf eine Mindeszahl an notwendigen Zeichen begrenzen, und auch die Anzahl der Suchläufe pro IP und Zeiteinheit kann auf ein vernünftiges Maß eingestellt werden.
    Und den Admins eines TrustCenter ist ein IDS auch kein unbekanntes Wesen (oder sollte es zumindest nicht sein ... .).

    PGP bzw. GnuPG versus S/MIME:
    Ich will hier keinesfalls die uralte Diskussion wieder hochpuschen. Bitte nicht!
    PGP war eben einfach ab 1991 als "Kryptografie für die Massen" vorhanden. S/MIME dagegen war die Lösung für Behörden und Firmen. Und Zertifikate gab es nur käuflich.
    Mittlerweile ist es auch dem ONU möglich, sich ein kostenloses Zertifikat zu beschaffen oder (weniger für den ONU) sich mit guten Tools selbst herzustellen. Und jeder moderne MUA beherrscht S/MIME von Hause aus.
    Mich freut es ... .

    Akzeptanz:
    Da habe ich gerade heute einen meiner vielen Beiträge dazu im Thunderbird-Forum getippt: Forenbeitrag Akzeptanz

    HTH

    MfG Peter
    openSuSE tumbleweed, Kernel 4.12.x-x-desktop x86_64, KDE 4.14.x, Thunderbird 52.2.x
    S/MIME, denn _ich_ will bestimmen, wer meine Mails lesen kann.
    Schau mal: www.thunderbird-mail.de

  13. #13
    Datasette Avatar von gropiuskalle
    Registriert seit
    Nov 2006
    Ort
    West-Berlin
    Beiträge
    2.681
    Hat S/MIME denn irgendwelche Vorteile gegenüber PGP / GPG? Ich bin mit GPG eigentlich sehr zufrieden...

  14. #14
    Registrierter Benutzer Avatar von /dev/null_Peter
    Registriert seit
    Nov 2006
    Beiträge
    207
    [OT]
    Denn es passt ja nicht zum Thema, und ich wollte und will ja auch nicht ...

    Es gibt mehr Gemeinsamkeiten als Trennendes.
    Beides eine Kombination aus symmetrischer und asymmetrischer Kryptografie.
    Beides verwendet die gleichen oder ähnlichen Verfahren.
    Du musst dich immer vor allem am Umfeld orientieren, denn allein ...
    Und kompatibel ist es auch nicht, leider ... .

    Der große Unterschied ist, dass ein TrustCenter bei Zertifikaten für qualifizierte Signaturen garantiert!, dass die vom Gesetz vorgeschriebene Identifizierung der Person vorgenommen wurde. Viele TC führen diese Personenidentifizierung in gleicher Qualtität auch für Zertifikate für fortgeschrittene Signaturen durch.
    Wir garantieren also, dass in einer Signatur, wo "Meier drauf steht", auch "Meier drin ist". Und das eben auch beweissicher.

    Und entgegen landläufiger Meinung werden selbst bei einem "Kostnix-Zertifikat" die privaten Schlüssel nicht vom Trustcenter, sondern von der Kryptoengine des Browsers des beantragenden Nutzers erzeugt. Der Browser schickt einen Zertifikatsrequest (public-Key + Nutzerdaten) an den Server, dieser signiert das ganze mit dem private-Key des Herausgebers und schickt das Zertifikat zurück. Der Browser kombiniert das dann wieder zu einer exportierbaren Schlüsseldatei.
    (Für Chipkarten und andere Sachen gibt es auch andere Lösungen.)

    Und: Ich betrachte die Anwendung als einfacher. Aber das mag Ansichtssache sein.
    Nur so viel: Mein Thunderbird hat so viel "Eigenintelligenz", dass ich mir keine Gedanken mehr machen muss, an wen ich verschlüsselt schicken kann, und an wen nicht.
    [/OT]

    Ich hoffe, meine Moderatorenkollegen lassen diesen kleinen Abschweifer zu :-)

    MfG Peter
    openSuSE tumbleweed, Kernel 4.12.x-x-desktop x86_64, KDE 4.14.x, Thunderbird 52.2.x
    S/MIME, denn _ich_ will bestimmen, wer meine Mails lesen kann.
    Schau mal: www.thunderbird-mail.de

  15. #15
    Datasette Avatar von gropiuskalle
    Registriert seit
    Nov 2006
    Ort
    West-Berlin
    Beiträge
    2.681
    Hm okay, danke für die Erläuterung - ich bleibe vorerst bei GPG, S/MIME scheint mir vor allem in Unternehmenszusammenhängen einen Mehrwert zu bieten, für meine privaten Mails hole ich mir die Vertrauenswürdigkeit selber ab. Zudem lässt Thunderbird ja beide Varianten auch zeitgleich zu (und die Ausrede, dass die Einrichtung einen unangemessenen Aufwand nach sich zieht, würde ich bei beiden Methoden nicht gelten lassen, also Leute: schaut es Euch mal näher an, ist echt nicht schwer).
    Geändert von gropiuskalle (31.03.10 um 16:55 Uhr) Grund: bugfix

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •