Brauche Hilfe beim Verschlüsseln

Hallo,
Nach der crypto Party, die ich leider verpasst habe, drehen sich meine Gedanken mal wieder um Verschlüsselung von Mails. Dazu habe ich folgendes Setup und Anforderungen:

1. Windows 8 Tablet 10 Zoll mit Windows Mail App

2. Android 4.4 mit 4,7 Zoll und gmail app

Anforderungen:
Möglichkeit von Tablet und Smartphone verschlüsselte Mails zu schicken und zu empfangen.
Möglichkeit zumindest auf dem Tablet die Suchfunktion zu nutzen
Inline Funktion zum Ver-, Entschlüsseln und. Signaturen überprüfen
Keine apps, in die man den Text kopieren muss zum Ver-, Entschlüsseln, das ist so umständlich, das mach ich eh nie
Gleicher Schlüssel auf Smartphone und Tablet.

Smartphone ist eher gedacht um in Ausnahmefällen die Mails zu checken und zu beantworten, muss aber trotzdem funktionieren.

Die Lösung fürs Tablet sollte schon touch-geeignet sein...

wer kann mir etwas empfehlen?

Hab eine interessante Sache gefunden: Symantec Email Desktop Encryption. Erledigt die ganze Sache im Hintergrund, funktioniert leider nicht mit der Windows Mail App und ist Closed Source.

Verwendet das irgendjemand und kann einen Erfahrungsbericht geben? Wo finde ich die OpenSource Alternative?

Ich glaube kaum, dass du mit Windows-Bordmitteln eine gescheihte Verschlüsselung hinbekommst. Microsoft steht diesbezüglich garantiert unter der Fuchtel der NSA und wird es vermutlich selbst mit eigenem Durchsetzungsvermögen nicht gebacken bekommen, eine wirksame Verschlüsselung für eigene Software - ohne Hintertüren - durchzusetzen.

Ich persönlich nutze Thunderbird mit Enigmail-Plugin und bin sehr zufrieden.

Mit der Voraussetzung brauche ich gar keine Verschlüsselungssoftware auf Windows einzusetzen und auch mein Mailprogramm nicht zu wechseln, richtig?

Es gibt mit gpg4win ein OSS Paket für Windows, das auch ein Plugin für Outlook mitbringt. Das widerlegt zunächst mal die Aussage von Sigurd. Wobei ich da nicht vollständig widersprechen möchte, allerdings haben die Geheimdienste andere Möglichkeiten, als MS zu zwingen, irgendwas derart offensichtliches durchzudrücken.

Dass hier keine Schnittstellen für solche Zwecke geschaffen werden, ist bei MS eher das altbekannte hausgemachte Problem, beim Entwickeln der Software nicht an die Nutzer zu denken.

Ich lehne mich mal weit aus dem Fenster und behaupte, dass Windows 8 auf dem Tablet nicht darauf ausgerichtet ist, irgendwelche andere Software als die Mitgelieferte irgendwie sinnvoll zu unterstützen. Vielleicht kannst du zwar einen Thunderbird installieren, den kannste dann aber nicht mehr mit deinen Wurstfingern bedienen, und die ganzen Metro-Faxen mit irgendwelchem Geblinke wenn ne neue Nachricht kommt, kannst auch vergessen.

Darum würde ich in dem Fall für einen vernünftigen Browser sowie webbasierte Software auf dem eigenen Server plädieren. Da kann dein PGP-Schlüssel liegen und die Verbindung von Server zu Endgerät wird durch dein selbst signiertes SSL-Zertifikat abgesichert.

Für Android gibts übrigens mit K9-Mail ein dem nativen Android-Mailclient (inzwischen wieder) optisch in nichts nachstehenden Client, der auch nativ PGP kann.

Ich hab ja nicht von Windows alleine gesprochen. Am Betriebssystem an sich kann man erstmal nichts aussetzen. Es ist eben ein funktionierendes Betriebssystem, wenn auch im Rahmen gewisser Grenzen, was die Systemkontrolle betrifft.

Was Verschlüsselung angeht, ist das stärkste Argument, das man finden kann, einfach mal das, dass jeder den Quelltext vollständig einsehen kann, wenn er denn möchte. Sicherheitslücken bzw. Hintertüren werden so oftmals schnell erkannt (Ausnahmen bestätigen die Regel). Bei freier Software ist dies der Fall.

In meinen Augen erweckt daher nur diejenige Software Vertrauen, deren Quelltext öffentlich zugänglich ist, weil man so den Erschaffern zumindest den Vorwurf absprechen kann, dass sie in punkto Verschlüsselung tatsächlich minderwertige Software liefern wollen. Für mich hat dieser Vorwurf oberste Priorität. Wer dem widerspricht, ist in meinen Augen naiv.

Dieser Beitrag wurde von Sigurd: 28 Jan 2015, 21:19 bearbeitet

Sehr schön, dann haben wir ja einen Teil des Problems gelöst. K9-Mail ist zwar etwas hässlich (wie immer, man kann zwar alles irgendwie einstellen, an einen bezahlten Designer kommt man aber nicht ran, vgl. Gmail-App), aber gut, für den Einsatzzweck: Ausnahmsweise geht es schon.

Windows 8 ist in der Tat schon drauf ausgelegt, dass man auch ganz viel neue Software installiert. Ich kann auch ohne Probleme Thunderbird und was weiß ich installieren. Allein Thunderbird ist halt auf Desktop Only ausgelegt, deswegen ist es nicht so spannend das Ding zu nutzen.

Die Idee von Symantec finde ich recht gut, dass sich einfach in den Emailverkehr gehängt wird, verstehn aber nicht, warum da eine Bindung an ein spezielles Programm gebunden ist.

Die Variante mit eigenem Server klingt kompliziert, was kaufen, selber einrichten, selber drauf achten, das klingt nicht nutzerfreundlich

Du forderst aber auch ganz schön viel auf einmal. Sicherheit und Nutzerfreundlichkeit… Realitätsabgleich: es war noch nie einfach, sich dem Mainstream abzuwenden. Solange wir gegen die NSA und Facebook* kämpfen, werden wir wohl erstmal das nehmen müssen was da ist. Hinterherwerfen wirds uns keiner.

Ich würde sagen, du nimmst n Haufen Geld in die Hand und bezahlst gute Designer und Entwickler, um den perfekten Chatclient zu bauen. Leute wie Mark Shuttleworth und Elon Musk haben gezeigt, wie es geht.


* die NSA steht hier sinnbildlich für staatliche und Facebook für privatwirtschaftliche Verletzung der Privatsphäre

Brauch ich nicht, gibt's schon. Nennt sich Textsecure oder Whatsapp. Textsecure beweist wunderbar, dass es als one-man-show geht und Whatsapp, dass es für alle geht. PGP/Symantec zeigt, wie man transparente Verschlüsselung für Emails baut, und Microsoft zeigt, wie man Mobilgeräte verschlüsselt ohne den Nutzer damit zu belasten. Threema zeigt, wie man einfachst den Schlüssel des anderen verifizieren kann.

Also nein, Verschlüsselung muss nicht schwierig oder hässlich sein.

Hätte ich eine Affinität zu Design würde ich mich ja auf so ein Projekt draufsetzen, und hätte ich eine Menge Geld würde ich es in die Hand nehmen. Dafür muss ich aber noch mehr verdienen.

So ist das einzige, was mir bleibt nachzufragen

Da von Whatsapp, Threema, der PGP-Implementierung von Symantec und dem Verschlüsselungsalgorithmus von Microsoft der Quellcode nicht offen liegt, sind diese Argumente ungültig. Zu glauben, dass dort keine NSA-Backdoor drin wär, ist nichts als naiv.

Einzig Textsecure scheint ok zu sein. Das ist leider nur für die Android-Plattform verfügbar, was die Sache ebenfalls wieder massiv einschränkt.

Wie gesagt, wenn du nicht von anderen abhängig sein willst, hilft nur selber machen:

• Raspberry-Pi mit raspbianin die Bude stellen
• dynamic DNS drauflegen
• ejabberdXMPP-Server installieren
• weechat mit BitlBee als Client installieren
• Glowing Bear als Webfrontend oder weechat für Android installieren
• SSL-Zertifikat besorgen

Die nächste Cryptoparty beim C3D2 kannst du nutzen, um dich für CACert beglaubigen zu lassen, dann kannst du dir sogar signierte SSL-Zertifikate anlegen.

Danke für das Zusammentragen der Informationen. Ich kann damit leider nichts anfangen.

Dass die closed source Varianten mitunter ein Problem darstellen istmir bewusst. Mein Ansatzpunkt ist ein anderer. Wenn es schon Implementierungen gibt, dann ist es auch für open source Entwickler möglich.

Gpg4win werde ich mir mal anschauen, vielleicht läuft das ja mit Windows Live Mail, das ist wenigstens halbwegs touch-bedienbar. Thunderbird geht da leider gar nicht.

Da kommt hinzu, dass du gegen einen bestehenden Markt ankämpfen musst und das auf allen Plattformen.

Weiterhin: Es muss dem Nutzer etwas Unverwechselbares bieten. Threema machts - wie du schon gesagt hast - gerade vor, dennoch würde ich mir wünschen, dass eben diese Software Open Source wäre.

Damit stehen wir wieder an Anfang... wer finanziert sowas, ohne später Kapital damit machen zu wollen?

Wogegen du hauptsächlich kämpfen musst, ist die Faulheit der Nutzer. Weswegen ist das iPad so populär? Weil es einfach ist.

Und meinetwegen können die auch Geld damit machen. Ist mir sogar lieber, das sichert, dass es weiter entwickelt wird. Spricht ja nichts dagegen es trotzdem Open Source zu machen. Denke in Zeiten der Appstores ist die Chance eh gering, dass es in großem Ausmaß selber kompiliert wird. Allen anderen Umgang kann man ja per Lizenz verbieten. Offen gelegter Quellcode reicht ja zur Überprüfung aus.

Gegen wen willst du dich denn schützen? Je nachdem wie die Antwort ausfällt reicht verschlüsseln auf Anwendungsebene irgendwann leider nicht mehr aus.

Geht nur darum, dass nicht alles als Beifang anfällt. Dass ich für beste Sicherheit auf mobile Computing verzichten muss, ist mir schon bewusst.