Solange Leute den Wert eines Schlüssels nicht erkennen und zu blöd sind, diese bei einer Neuinstallation zu sichern oder wie ganz "normale" Daten wie Bilder oder was auch immer zu behandeln, wird sich das nicht durchsetzen ... wie oft hab ich Leuten schon einen Zugang zu nem SSH-Server eingerichtet (git) oder bei der Mail-Verschlüsselung geholfen, damit dann paar Monate später sowas kommt wie "kannst du mir die Zugangsdaten nochmal schicken" und so weiter.
Ein anderes schönes Beispiel sind solche Sachen wie z.B. die Zugangsdaten für T-Online oder andere Internet-Provider.
Ich kann es schon gar nicht mehr zählen, wie oft ich bei Leuten saß und versucht habe einen neuen DSL-Router ohne Zugangsdaten einzurichten. Meistens verschlampen die Leute die Zugangsdaten, anstatt sie irgendwo auffindbar abzuheften. In einem besonders krassen Fall, habe ich die Zugangsdaten zweimal innerhalb eines Jahres neu bestellen müssen (Das erste Mal wurde der alte Router gegen ein moderneres Modell ersetzt, das zweite Mal ein defektes Gerät ersetzt).
Das Sichern des Schlüssels ist eine wichtige Sache, ohne Frage. Was aber, wenn man den gar nicht nutzen kann? Viele nutzen, mich durchaus eingeschlossen, Smartphones und/oder Webmailer. Wenn da keine Schnittstelle oder Möglichkeit besteht, mit der Schlüssel genutzt werden kann, nutzt die beste Verschlüsselung nichts. Der o.g. Ansatz hört sich jedoch umsetzbar an, auch unter den Oberflächen.
Es muss sich natürlich der private Schlüssel auf dem Smartphone befinden. Bei einem Verlust des Smartphones kann so ein Dritter an den Schlüssel kommen. Aber diese Gefahr wird wohl immer bestehen. Falls das also die Begründung sein sollte, verstehe ich das 'noch' in deiner Aussage nicht.
Oder gibt es noch andere Dinge die die Nutzung von Verschlüsselung auf einem Smartphone unsicherer als auf einem 'normalen' Computer machen?
Von not important am Fr, 21. Oktober 2011 um 18:56 #
Viele Verschluesselungstechniken betrachten nur den einfachen Fall mit genau einem Sender und einem Empfaenger. In der Realitaet hat jedoch ein wesentlicher Prozentsatz aller Mails mehrere Empfaenger (CC, BCC, etc.). Wie soll da eine sinnvolle, einfache und sichere Verschluesselung funktionieren?
Die Email muss eben für jeden Empfänger separat verschlüsselt werden. Das kann ja 'unter der Haube' passieren, sodass der Benutzer nichts davon merkt. Hier sehe ich also nicht das Problem.
Die Email wird einmal verschlüsselt. Der Schlüssel dieser Verschlüsselung wird einmal pro Empfänger verschlüsselt. Das ganze wird dann um die Welt geschickt.
Hi, Du scheinst da mehr zu wissen - wieso wird nicht direkt die Nachricht mehrfach verschlüsselt? Schließlich sind die meisten E-Mails ja auch nicht so groß ...
Schon, aber es wäre einfach mehr Aufwand und es hätte keine Vorteile demgegenüber. Der gleiche Inhalt soll doch für alle im To,CC,BCC zugänglich sein, warum sollte man ihn dann jedes Mal komplett neu verschlüsseln, außerdem kostet gute Verschlüsselung immer Rechenleistung.
Im Detail: Die aktuell bei E-Mail verwendeten Verschlüsselungsverfahren sind, weil asymmetrische Verschlüsselung im Vergleich zu symmetrischer viel langsamer sind, immer Hybrid-Verfahren. Die Nachricht wird also mit einem zufälligen symmetrischen Schlüssel verschlüsselt und dieser Schlüssel dann mit dem öffentlichen Schlüssel des Empfängers. Da liegt es einfach nahe einfach bei mehreren Empfängern nur den letzten Schritt zu wiederholen. Denn der symmetrische Schlüssel ist ja zufällig und damit nur für die eine Nachricht gültig. Den dürfen also alle Empfänger ruhig kennen.
Eine Mail die an mehrere Personen geht muß als halböffentlich gesehen werden, dann ist Verschlüsselung sowieso hinfällig.
Wie bitte? Sinn einer Verschlüsselung ist es, daß die Informationen Unbefugten nicht zugänglich werden, falls sie die Mail z.B. auf dem Transportweg mitlesen können.
Ob diese Mail an 2, an 5 oder an 1000 Leute geht, ist dabei völlig egal. Dadurch wird diese Mail nicht "öffentlich", wenn sie nur für einen bestimmten Personenkreis bestimmt ist. Und genau dann bietet sich Verschlüsselung zur Sicherung selbstverständlich an.
Daß natürlich eine Plaudertasche, die das ganze dann in die Öffentlichkeit pustet, ausreicht, ist klar, das kann Dir aber auch bei einem einzigen Empfänger passieren.
> Sinn einer Verschlüsselung ist es, daß die > Informationen Unbefugten nicht zugänglich werden, > falls sie die Mail z.B. auf dem Transportweg mitlesen > können.
Schon aber dafür ist keine Applikationsebenenverschlüsselung verantwortlich (eben aus genannten Gründen) sondern eine Transportlayerverschlüsselung.
Solange Leute den Wert eines Schlüssels nicht erkennen und zu blöd sind, diese bei einer Neuinstallation zu sichern oder wie ganz "normale" Daten wie Bilder oder was auch immer zu behandeln, wird sich das nicht durchsetzen ... wie oft hab ich Leuten schon einen Zugang zu nem SSH-Server eingerichtet (git) oder bei der Mail-Verschlüsselung geholfen, damit dann paar Monate später sowas kommt wie "kannst du mir die Zugangsdaten nochmal schicken" und so weiter.
Ein anderes schönes Beispiel sind solche Sachen wie z.B. die Zugangsdaten für T-Online oder andere Internet-Provider.
Ich kann es schon gar nicht mehr zählen, wie oft ich bei Leuten saß und versucht habe einen neuen DSL-Router ohne Zugangsdaten einzurichten. Meistens verschlampen die Leute die Zugangsdaten, anstatt sie irgendwo auffindbar abzuheften. In einem besonders krassen Fall, habe ich die Zugangsdaten zweimal innerhalb eines Jahres neu bestellen müssen (Das erste Mal wurde der alte Router gegen ein moderneres Modell ersetzt, das zweite Mal ein defektes Gerät ersetzt).
Das Sichern des Schlüssels ist eine wichtige Sache, ohne Frage. Was aber, wenn man den gar nicht nutzen kann? Viele nutzen, mich durchaus eingeschlossen, Smartphones und/oder Webmailer. Wenn da keine Schnittstelle oder Möglichkeit besteht, mit der Schlüssel genutzt werden kann, nutzt die beste Verschlüsselung nichts.
Der o.g. Ansatz hört sich jedoch umsetzbar an, auch unter den Oberflächen.
emails verschlüsseln von einem smartphone aus funktioniert, würde ich aber nicht machen, weil noch zu unsicher.
Inwiefern unsicher?
Es muss sich natürlich der private Schlüssel auf dem Smartphone befinden. Bei einem Verlust des Smartphones kann so ein Dritter an den Schlüssel kommen. Aber diese Gefahr wird wohl immer bestehen. Falls das also die Begründung sein sollte, verstehe ich das 'noch' in deiner Aussage nicht.
Oder gibt es noch andere Dinge die die Nutzung von Verschlüsselung auf einem Smartphone unsicherer als auf einem 'normalen' Computer machen?
weil man in ein smartphone um ein stück einfacher eindringen kann als in einen arbeitsplatzrechner mit firewall und hinter einem router.
Viele Verschluesselungstechniken betrachten nur den einfachen Fall mit genau einem Sender und einem Empfaenger. In der Realitaet hat jedoch ein wesentlicher Prozentsatz aller Mails mehrere Empfaenger (CC, BCC, etc.). Wie soll da eine sinnvolle, einfache und sichere Verschluesselung funktionieren?
Die Email muss eben für jeden Empfänger separat verschlüsselt werden. Das kann ja 'unter der Haube' passieren, sodass der Benutzer nichts davon merkt. Hier sehe ich also nicht das Problem.
Die Email wird einmal verschlüsselt. Der Schlüssel dieser Verschlüsselung wird einmal pro Empfänger verschlüsselt. Das ganze wird dann um die Welt geschickt.
Hi, Du scheinst da mehr zu wissen - wieso wird nicht direkt die Nachricht mehrfach verschlüsselt? Schließlich sind die meisten E-Mails ja auch nicht so groß ...
Hi,
die Email wird fuer jeden Empfaenger einzeln verschluesselt _und_ versendet - da ja dessen/deren oeffentlicher Schluessel verwendet wird.
Hallo,
Schon, aber es wäre einfach mehr Aufwand und es hätte keine Vorteile demgegenüber. Der gleiche Inhalt soll doch für alle im To,CC,BCC zugänglich sein, warum sollte man ihn dann jedes Mal komplett neu verschlüsseln, außerdem kostet gute Verschlüsselung immer Rechenleistung.
Im Detail:
Die aktuell bei E-Mail verwendeten Verschlüsselungsverfahren sind, weil asymmetrische Verschlüsselung im Vergleich zu symmetrischer viel langsamer sind, immer Hybrid-Verfahren. Die Nachricht wird also mit einem zufälligen symmetrischen Schlüssel verschlüsselt und dieser Schlüssel dann mit dem öffentlichen Schlüssel des Empfängers. Da liegt es einfach nahe einfach bei mehreren Empfängern nur den letzten Schritt zu wiederholen. Denn der symmetrische Schlüssel ist ja zufällig und damit nur für die eine Nachricht gültig. Den dürfen also alle Empfänger ruhig kennen.
Gruß,
CG909
THX!
Eine Mail die an mehrere Personen geht muß als halböffentlich gesehen werden, dann ist Verschlüsselung sowieso hinfällig.
Ein Firmenrundschreiben an 200 Mitarbeiter ist defakto nunmal öffentlich, egal darunter steht "nur firmenintern".
Wie bitte? Sinn einer Verschlüsselung ist es, daß die Informationen Unbefugten nicht zugänglich werden, falls sie die Mail z.B. auf dem Transportweg mitlesen können.
Ob diese Mail an 2, an 5 oder an 1000 Leute geht, ist dabei völlig egal. Dadurch wird diese Mail nicht "öffentlich", wenn sie nur für einen bestimmten Personenkreis bestimmt ist. Und genau dann bietet sich Verschlüsselung zur Sicherung selbstverständlich an.
Daß natürlich eine Plaudertasche, die das ganze dann in die Öffentlichkeit pustet, ausreicht, ist klar, das kann Dir aber auch bei einem einzigen Empfänger passieren.
> Sinn einer Verschlüsselung ist es, daß die
> Informationen Unbefugten nicht zugänglich werden,
> falls sie die Mail z.B. auf dem Transportweg mitlesen
> können.
Schon aber dafür ist keine Applikationsebenenverschlüsselung verantwortlich (eben aus genannten Gründen) sondern eine Transportlayerverschlüsselung.