[Yournightmare]

Die Drosselkom stellt Mails auf SSL um... weitere Anbieter folgen.

Hier werden Fragen beantwortet und es gibt Anleitungen für verschiedene
Mailprogramme.

[Stefan_der_held]

SSL ist ja schön und gut...

ABER:

Dies ist ja nur die Verbindung zwischen abrufenden Client und dem Server betreffend. Der ganze restliche übertragungsweg erfolgt unverschlüsselt.

Der einzige Vorteil dieses Prozesses ist - meine Meinung -:

Die Logindaten werden verschlüsselt übertragen.

Man darf nie vergessen, dass E-Mails maximal unter das Postkartengeheimnis fallen da sie im Klartext übertragen werden.

[Sturmovik]

Aber die Postkarte kann jetzt keiner mehr sehen

Terrorkom sagte:

unverschlüsselter Transport ist, als ob man eine Postkarte durch eine durchsichtige Röhre von A nach B schicken würde. Durch die Initiative wird die Postkarte jetzt durch eine schwarze Röhre geschickt, so dass niemand während des Transports mehr mitlesen kann.

[RalphS]

Klarer Fall von Augenwischerei. Vorteile seh ich da gar keine - naja, halt, so ganz stimmt das nicht: wenn die unverschlüsselte Kommunikation abgeschaltet wird, kann dann kein "kleiner" Bösewicht die Verbindung abhören und müßte anderweitig Zugriff auf die Mail erhalten. Das ist ja auch schon mal was.


Aber hier mit den "aktuellen News" und "von wegen Spionage und so", naja, irgendwie schlägt das dem Faß den Boden aus.

Fairerweise: es steht auch wirklich da "während des Transports". So ein bißchen nebenher, klar, wo es nicht so auffällt, aber...

Nur, wenn die Mail dann dort angelangt ist... bleibt viel Zeit für den interessierten Geheimdienstmitarbeiter - insbesondere dann, wenn alle schön IMAP nutzen (wie ja weiter oben angepreist wurde).

Dieser Beitrag wurde von RalphS bearbeitet: 17. August 2013 - 12:20

[Lastwebpage]

SSL bzw. HTTPS, ist meines Erachtens nur dann sinnvoll, wenn man irgendwelche Bedenken bezüglich des direkten(*) Übertragungsweges hat. (*=auf öffentlichen PCs könnten auch Keylogger o.ä. installiert sein, da nützt eventuell eine HTTPS Eingabe des Passwortes auch nichts)

Mein Lieblingsthema ist hier Facebook.
Wenn man alleine vor seinem Heim-PC sitzt der direkt an die Internetleitung angeschlossen ist, selbst wenn das über eine verschlüsselte WLAN Leitung passiert, was hat man dann von HTTPS? Tja hhmmmhhh...
Es wird einem auf Facebook aber mit ziemlicher Beharrlichkeit nahegelegt, dass HTTPS ja soviel besser und sicherer sei. Ich denke mal so, dass die Anzahl derer die auf irgendwelchen FB Apps Seiten ihre Logindaten eingegeben haben, dürfte nach der Einführung von HTTPS auf FB deutlich gestiegen sein, da HTTPS ja soviel sicherer ist... (Und in der Tat, einige Methoden um seinen Account wieder zu bekommen, wurden es nach HTTPS auf FB eingeführt, ein Schelm wer da einen Zusammenhang sieht)

Selbiges befürchte ich auch bei Telecom/UnitedMedia.
1)Es ist ja jetzt soviel "sicherer", also kann man ja jetzt bedenkenlos alle Anhänge seiner EMails öffnen.
2)Es soll ja irgendeine Art der Anzeige geben, wie die das aber z.B. in Outlook umsetzen wollen ist mir schleierhaft, die mir anzeigt das die Mail "vertrauenswürdig" ist. Siehe 1) das mit den Anhängen oder Pishingseiten, und was macht der normale User mit "unzuverlässigen" Mails?
3)Ich warte dann nur auf den Tag, bis auf WF die Meldung auftaucht, "10000 Passwörter bei Web.de entwendet"
4)Oder wann bekannt wird, dass z.B. die Staatsanwaltschaft oder die Polizei, gegen jemand komplett unschuldigen ermittelt, obwohl die Mails damit verschickt wurden. (Die Hilfe-Seite der Telekom erweckt nämlich den Eindruck, als würde dieses System vor jeglichem Zugriff auf eMails schützen)

Nicht nur, dass das Augenwischerei ist, nein, für den unbedarften Otto-Normal-Verbraucher erachte ich einige Punkte sogar als etwas gefährlich.

[RalphS]

Nun ja, irgendwas muß da ja in den Headerinformationen dazugekommen sein, denn die T schreibt ja was davon, daß entsprechende Mails besonders ausgewiesen werden. Das ginge dann ja nur über die Headerinfos.


Und, damit keine Mißverständnisse auftreten: SSL befindet sich auf Transportebene über IP; das heißt praktisch, daß verschlüsselte Daten solange verschlüsselt bleiben, bis sie am Bestimmungsort angekommen sind.

Der Heimnutzer, der den PC allein nutzt, profitiert da also durchaus davon.

Was SSL aber nicht leistet, ist eine durchgängige Verschlüsselung. Anhand eines Beispiels:

- Die Daten werden am Brower im Klartext eingegeben (sonst könnte man das ja selber nicht mehr lesen, was man grad geschrieben hat)

- Wenn man auf "Senden" klickt, werden die Daten verschlüsselt, BEVOR sie ins Kabel gesteckt werden.

- Die Daten BLEIBEN unterwegs verschlüsselt, egal, ob da ein oder hundert Router dazwischen stehen.

- Der ZIELrechner, also der Webserver, an den die Daten geschickt wurden, empfängt die Daten(1) entschlüsselt sie (2) - dann liegen sie wieder im Klartext vor -- und zeigt sie dann an(3). An der Stelle sind wieder für jedermann lesbar, der Zugriff darauf hat - normalerweise ist das irgendeine Datenbank.


Wenn jemand an der Leitung schnuppert, kann derjenige die Daten nur dann lesen, wenn er ein passendes Zertifikat dafür hat - keine echte Hürde für Geheimdienste, aber (im Normalfall) für den gemeinen Kriminellen fast unüberwindbar.

Dieser Beitrag wurde von RalphS bearbeitet: 18. August 2013 - 11:23

[Holger_N]

Ich kopiere mal rein, was mir dazu neulich im Smalltalk eingefallen war.

1. Wenn ich eine Postkarte verschicke, hat auch jeder die Möglichkeit diese unterwegs zu lesen.
2. Stecke ich die Karte in einen Umschlag und klebe ihn nicht zu, dann schließe ich die Möglichkeit des versehentlichen Informationsaustausches aus. Also man liest ja nicht den kompletten Text so aus Versehen aber man nimmt ja unter Umständen als Briefträger schon die Information wahr, dass beispielsweise der Sohn an der Ostsee im Urlaub ist. Trotzdem muß man das Vertrauen haben, dass niemand unterwegs die Karte aus dem Umschlag nimmt.
3. Klebe ich dann den Umschlag noch zu, erschwere ich lediglich, dass die Karte aus dem Umschlag genommen wird.
4. Versiegele ich den Umschlag, mache ich es nur schwieriger, dass die Karte unbemerkt aus dem Umschlag genommen wird.
5. Schreibe ich auf der Karte verschlüsselt in einer "Geheimschrift" hängt die Sicherheit meiner Information davon ab, wie geheim meine Geheimschrift ist.

Das kann man sich im Postverkehr normalerweise problemlos vorstellen, man kann die Risiken einschätzen und keiner käme auf die Idee, die Postkarte wegen des vorhandenen Risikos so schlecht zu machen, wie aktuell die normale E-Mail. Die aktuelle Sicherheitsdisdussion um die Mails ist für mich, als würde man in meinem Postbeispiel nun wegen der vorhandenen Risiken empfehlen, eine einfache Urlaubskarte mit "Mir geht es gut, Wetter ist toll. Viele Grüße Euer Holger" in Geheimschrift zu schreiben in einen Umschlag zu stecken, zuzukleben und zu versiegeln, vor Allem wenn der Postbote aus dem Ausland außerhalb der EU kommt.

Wichtig ist meines Erachtens weniger die größtmögliche Sicherheit, sondern einfach nur, dass dem User die Risiken bewußt sind und er sich einfach nur vorstellen kann, was da wie fuktioniert.

Dieser Beitrag wurde von Holger_N bearbeitet: 18. August 2013 - 11:27

[RalphS]

Naja, Siegelbruch ist schon ein klitzekleines wenig schlimmer als einfaches Aufrupfen.

- Was allerdings nichts an der Tatsache ändert. SSL heißt hier - in etwa, es paßt nicht 100%ig --- daß man eine Postkarte in einen nicht-verklebten Briefumschlag steckt; einfaches Angucken wird verhindert, aber wer das wirklich will, kommt an die Postkarte ran.

Das mit der schwarzen Röhre paßt, nebenbei bemerkt, auch nicht: man sieht die verbriefumschlagte Postkarte durchaus auf ihrem Weg.

Allerdings hängt das persönliche Siegel an diesem offenen Briefumschlag dran, und zwar so, daß Karte und Umschlag nicht voneinander getrennt werden können. Das kann nur der Empfänger... und derjenige, der vom "Signatur-Bauer" dazu befugt wurde.

[Holger_N]

Ich will nicht direkt die Methoden untereinander vergleichen, sondern nur das Bewußtsein dafür. Wenn ich einen Brief zuklebe oder eine einfache Karte verschicke, dann kann ich den Unterschied einschätzen, wie schwer es für den Postboten ist, sich die Inhalte zugänglich zu machen. Ich kann mir das vorstellen, wie das in der Praxis funktioniert und wie "kompliziert" das eine im Vergleich zum Anderen ist.

Bei einer normalen Mail und einer verschlüsselten Mail kann ich mir das aber nicht mehr vorstellen. Da fehlt mir (bzw. vielen anderen auch) das Verständnis für den technischen Unterschied. Ich kann nicht einschätzen, ist es doppelt, zehnmal oder hundertmal so schwer, an den Inhalt zu kommen.

Ich will nicht eine bestimmte Form der Mail mit einer bestimmten Form des Postweges vergleichen.

[Blanko4]

Heißt das eigentlich das es nicht viel bringt die E-Mails mit SSL zu verschlüsseln.
Bin bei T-online und wenn ich dort ohne verschlüsselung einstelle wird mein Passwort verschlüsselt,reicht das
oder doch lieber SSL verschlüsselung.

[Sturmovik]

Verschlüsselt ist immer besser als unverschlüsselt.
Bei der t-offline wird jetzt eben die Verbindung zum Mailserver der Telekom verschlüsselt, dann wars das aber auch.

[Yournightmare]

Zitat (Sturmovik: 18. August 2013 - 13:44)

Verschlüsselt ist immer besser als unverschlüsselt.
Bei der t-offline wird jetzt eben die Verbindung zum Mailserver der Telekom verschlüsselt, dann wars das aber auch.

Also immerhin besser als zuvor. Dann verstehe ich Argumentation nicht, dass es
sich nur um Augenwischerei und halben Kram handelt, wie von einigen propagiert.

[Sturmovik]

Die Argumentation dreht sich m.E. um die Werbeaussage des "Email made in Germany" Kartells, dass dies eine hundertprozentig schnüffelsichere Variante der Email ist.
Dem ist aber nicht so.

Es ist zwar besser als das bisherige Offene-Hose-Verfahren, aber eben nicht so sicher wie es der Anbieter bewirbt.

[Yournightmare]

Zitat (Sturmovik: 18. August 2013 - 14:50)

Die Argumentation dreht sich m.E. um die Werbeaussage des "Email made in Germany" Kartells, dass dies eine hundertprozentig schnüffelsichere Variante der Email ist.
Dem ist aber nicht so.

Es ist zwar besser als das bisherige Offene-Hose-Verfahren, aber eben nicht so sicher wie es der Anbieter bewirbt.

Das kann ich der Werbeaussage so wie von dir beschrieben nicht entnehmen.
Eine freie Interpretation bleibt ja überlassen wie es beliebt.
Außerdem sollten bei jedem halbwegs wachen Verstand die Alarmglocken bimmeln
wenn von 100% Sicherheit die Rede ist.
Egal, es ist ja sowieso ein Volkssport geworden alles in Frage zu stellen und
hinter jedem neuen Gebüsch Gespenster zu vermuten.

Klartext: Diese Nörgeleien gehen mir mächtig auf den Keks!

[Holger_N]

Also wenn der Geheimdienst meine zu 50% sicheren Mails liest, dann ist das nicht so schlimm als wenn er die ganz ungesicherten liest?