Last Updated on 9 Jahren by TmoWizard
Werte Leserinnen und Leser,
über die De-Mail und was ich davon halte habe ich ja schon einige Artikel geschrieben. Unter Anderem in meinem SeaMonkey-Tutorial für Enigmail, dann daß die De-Mail jetzt durch das Gesetz auch wirklich ganz bestimmt absolut sicher ist oder daß die Bestandsdatenauskunft auch für die De-Mail gilt. Nun haben sich da Anfang des Jahres ein paar Dummschwätzer zusammengesetzt und dachten sich, daß man die De-Mail vielleicht doch Ende-zu-Ende verschlüsseln könnte:
Telekom und Fraunhofer arbeiten an Volksverschlüsselung
Ähm… da war doch was… richtig, das findet man im oben verlinkten Artikel über die gesetzlich absolut sichere De-Mail:
- Der Bundesrat hat von vorne herein eine Ende-zu-Ende-Verschlüsselung gefordert, welche jedoch
- von der BundesreGIERung abgelehnt wurde, da eine Ende-zu-Ende-Verschlüsselung das gesamte Ziel von de-Mail gefährdet!
Zitat Golem.de:
Die Bundesregierung hat der Forderung des Bundesrats nach der Ende-zu-Ende Verschlüsselung widersprochen: „Eine Ende-zu-Ende-Verschlüsselung gefährdet das gesamte Ziel von De-Mail, die einfache – und ohne spezielle Softwareinstallation mögliche – Nutzbarkeit durch die Bürger“, heißt es in der Erwiderung. Damit sich eine sichere E-Mail-Kommunikation möglichst schnell verbreite, solle De-Mail für den Anwender möglichst einfach zu nutzen sein. Daher werde bei De-Mail bewusst darauf verzichtet, dass der Anwender zusätzliche Installationen auf seinem Computer vornehmen muss.
Bisher sieht es nämlich bei der De-Mail so aus, Zitat:
Der Bundesrat äußerte in seiner Stellungnahme datenschutzrechtliche Bedenken bei der vorgesehenen Verschlüsselung und forderte die Bundesregierung auf, eine durchgehende Verschlüsselung der Daten vorzusehen. „Die Nachrichten werden zur Überprüfung von Viren und zur Prüfung, ob es sich um eine Spam-Mail handelt, kurzfristig entschlüsselt“, heißt es in der Stellungnahme. Währenddessen seien die Nachrichten einem „erhöhten Risiko des Angriffes durch unbefugte Dritte ausgesetzt“.
Ja wie jetzt? Wie arbeitet das dann das mit der Volksverschlüsselung zusammen? Zitat:
Hinter der Volksverschlüsselung verbirgt sich eine Infrastruktur, mit der Schlüssel erzeugt, zertifiziert und verteilt werden, damit Anwender eine Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand nutzen können. Den Kern bildet dabei die Open-Source-App Volksverschlüsselung. Diese soll den Nutzer bei der Authentifizierung, Erzeugung der Schlüssel und deren Einbettung in das System an die Hand nehmen.
[…]
Bei den Zertifikaten setzt die Volksverschlüsselung auf den ITU-T-Standard X.509. Das wird von Haus aus von gängigen E-Mail-Clients unterstützt. Die E-Mails werden dann über S/MIME im jeweiligen Client verschlüsselt. In Zukunft soll auch PGP unterstützt werden.
Das mit dem E-Mail-Client ist hierbei irgendwie nicht ganz richtig, doch dazu kommen wir gleich.
De-Mail ist nicht mit einem Mail-Client möglich!
Hier kommen wir dann zum springenden Punkt, denn die De-Mail geht gar nicht mit einem Mail-Client wie z. B. SeaMonkey oder Thunderbird. Das ganze Verfahren ist nämlich nicht mit dem eigentlichen Standard für E-Mails kompatibel, weswegen man ja eine De-Mail auch nicht an ein normales E-Mailkonto versenden oder damit normale E-Mails empfangen kann!
De-Mail ist nur über Webmail möglich, also mit dem Browser direkt beim jeweiligen Provider. Entsprechend geht auch die Volksverarschungverschlüsselung mit Mailvelope nur über den Browser, was nicht nur von mir als völlig unsicher bezeichnet wird. Diese Volksverschlüsselung im E-Mail-Client gilt also nur für normale E-Mails, womit wir wieder bei meinem oben verlinkten Tutorial für Enigmail angekommen sind und den Kreis endgültig ohne die De-Mail geschlossen haben!
Die De-Mail läßt sich also wie geschrieben nur im Browser mit Hilfe von Mailvelope verschlüsseln, was jedoch einen gehörigen Fehler hat:
Der Überwachung der De-Mail ist weiterhin Tür und Tor geöffnet!
Besser gesagt mit der Volksverschlüsselung ist das Überwachen der Nutzer sogar noch einfacher geworden, Zitat Heise.de:
Dort können sich Privat-Anwender gegen Vorlage eines Personalausweises oder Reisepasses eine Karte mit einer zwölfstelligen Nummer abholen. Dabei handelt es sich aber nicht um den privaten Schlüssel. Die Kennung dient der Identifikation gegenüber der Volksverschlüsselungs-Anwendung. In der Anwendung lässt sich anschließend der kryptografische Schlüssel generieren. Der private Schlüssel soll dem Fraunhofer SIT zufolge zu jedem Zeitpunkt in den Händen des Nutzers bleiben.
Man wird hier also eindeutig infiziert identifiziert, womit natürlich jegliche Anonymität im Internet verloren geht! Des weiteren muß eine entsprechende (D)E-Mail ja auch weiterhin auf Viren und andere Schadware geprüft werden, mit einer richtig verschlüsselten E-Mail geht das jedoch nicht.
Außerdem muß jeder Provider ab 10.000 Konten die sogenannte SINA-Box installieren, womit die E-Mails durchsucht und im Bedarfsfall an Dienste wie BKA, BND, MAD und andere Wichtigtuer weitergeleitet werden können…
..
.
Nanu, was ist denn mit dem WIKI-Artikel passiert? Irgendwie habe ich den anders in Erinnerung!
Na gut, ich kann auch anders:
In diesem Video wird auch richtig erklärt, daß diese Box seit 2005 bei allen Providern ab 10.000 Konten und nicht ab 100.000 Kunden installiert werden muß! So stand es auch ursprünglich in dem Artikel, da wurde wohl mal wieder zwangskorrigiert durch Druck von ganz oben. Doch zurück zum Thema.
Durch eine richtige Ende-zu-Ende-Verschlüsselung ist solch eine Durchsuchung gar nicht mehr möglich, also würden die Provider damit ja gegen das Gesetz verstoßen. Hiermit dürfte dann auch klar sein, daß es bei dieser ach so tollen Volksverschlüsselung zwangsweise eine Hintertür gibt!
Allerdings habe ich auch gar nichts anderes erwartet, nachdem ich mir einmal folgendes angesehen habe:
Fraunhofer-Verbund Verteidigungs- und Sicherheitsforschung
Zitat:
Der Schwerpunkt liegt dabei auf der Abstimmung institutsübergreifender Strategien mit den staatlichen Zuwendungsgebern und der Förderung der Zusammenarbeit mit diesen Einrichtungen und der wehrtechnischen Industrie. Die strategische Ausrichtung der Mitgliedsinstitute erfolgt vor dem Hintergrund einer zukünftigen europäischen Sicherheits- und Verteidigungspolitik.
Folglich in Zusammenarbeit mit GCHQ, DCRI, DRM, BND, MAD, BKA und anderen freundlichen Abschnorcheldiensten!
Mein Fazit:
Die „Volksverschlüsselung“ ist in Wahrheit eine Volksverarschung, welcher man absolut nicht trauen darf! Man kann dank der Registrierung wirklich eindeutig identifiziert werden, eine Anonymität für Whistleblower, schwerkranke Menschen und ihren Ärzten so wie Anwälten und ihrer Mandanten ist somit nicht gegeben!
Für die De-Mail funktioniert diese Volksverarschung nur im Browser, da auch die De-Mail selbst nur im Browser beim entsprechenden Provider verwendet werden kann. Bei Webmail kann jedoch von Sicherheit nun wirklich nicht die Rede sein, also auch hier taugt das Ding überhaupt nichts!
Eine richtige Ende-zu-Ende-Verschlüsselung ist also weiterhin nur z. B. mit Enigmail möglich, so wie ich es in meinem Tutorial für SeaMonkey erklärt habe. Alles andere ist und bleibt Bauernfängerei, damit die Provider ihre Kunden näher bei sich behalten können und die SINA-Box nicht umsonst installiert wurde!
Viele Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum
Mike, TmoWizard
#Volksverschlüsselung: So sinnfrei wie #De-Mail! von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.
Das ist alles sowieso ein Schmarrn. Wenn etwas sicher übermittelt werden soll, darf man dafür keine Emails nutzen. Ob mit Volksverschlüsselung oder ohne.
LG Sabienes
Hallöchen Sabienes!
Öhm… Kein Wunder, einer der größten Geldgeber für das Fraunhofer Institut ist ja auch der Axel-
SpinnerSpringer-Verlag!Warum? Durchgehend SSL/TLS verschlüsselt und dann noch mit PGP paßt doch, da liest keiner mehr mit! Das Problem ist hierbei jedoch, daß nicht alle Anbieter bei durchgehend SSL/TLS mitmachen.
Die Telekom und ein paar andere Provider verkaufen das jetzt sogar als etwas völlig neues, dabei macht Arcor das schon seit vielen Jahren. Immerhin gibt es das Protokoll ja schon seit 1994, also neu ist das bestimmt nicht!
Auch der Thunderbird oder eben Mail-Client von SeaMonkey beherrschen das schon schon seit den Zeiten des Netscape Communicator, das war 1997!
…
Oh! Das bedeutet ja, daß es nächstes Jahr im Juni 20 Jahre wird, daß ich diese Browser-Suite verwende! :-0 Ich werde wohl langsam alt… ;-)
Nächtliche Grüße nun aus Augsburg nach Obernburg
Mike, TmoWizard