De-Mail - Schäuble-Mail? / discussion
Forum » Diskussionen / Per page discussions » De-Mail - Schäuble-Mail?
Started by: Automatic
On: 1255063527|%e %b %Y, %H:%M %Z|agohover
Number of posts: 6
rss icon RSS: New posts
This is the discussion related to the wiki page De-Mail - Schäuble-Mail?.
Unfold all | Fold all | +More options
fold
Jeena (guest) 1255078619|%e %b %Y, %H:%M %Z|agohover

Ich verstehe nicht so richtig wo jetzt da diese Sicherheit ist. Es werden doch "nur" die gleichen Techniken wie bisher auch schon verwendet, was hindert mich daran das Passwort auszuspähen um da jemandens Mails lesen zu können, oder gar einfach eine Mail von angeblich diesem Account zu verschicken?

reply | options
unfold by Jeena (guest), 1255078619|%e %b %Y, %H:%M %Z|agohover
fold
Re:
StefanMStefanM 1255085928|%e %b %Y, %H:%M %Z|agohover

Hallo Jeena,

Es werden doch "nur" die gleichen Techniken wie bisher auch schon verwendet, was hindert mich daran das Passwort auszuspähen um da jemandens Mails lesen zu können, oder gar einfach eine Mail von angeblich diesem Account zu verschicken?

Gegen Phishing sind De-Mail-Accounts nach dem, was ich an technischen Details dazu finden konnte, nicht sicherer als herkömmliche Mail-Accounts. Wenn von "außen" eine Anfrage an eine De-Mail-Adresse ergeht mit der Bitte um irgendwelche Zugangsdaten, und der De-Mail-User sendet die brav als Reply, dann wüsste ich nicht, was das De-Mail-System dagegen ausrichten könnte.

Was das Faken von De-Mail-Adressen betrifft: da habe ich leider auch nicht ganz durchgeblickt: einerseits heißt es, dass zum Versand einfach nur SMTP erforderlich sei. Andererseits wird von einer SSL-geschützten, also fingerabdruck-gesicherten Ende-zu-Ende-Verbindung vom Sender bis zum Empfänger geredet. Dazu müsste aber eigentlich der User wieder über so was wie PGP verfügen. Davon war jedoch keine Rede. Vielleicht finden wir ja noch jemanden, der uns da mal aufklärt …

viele Grüße
Stefan Münz

reply | options
unfold Re: by StefanMStefanM, 1255085928|%e %b %Y, %H:%M %Z|agohover
fold
Verfahren ist "bürokratisch"
Elmar Baumann (guest) 1255110924|%e %b %Y, %H:%M %Z|agohover

Hallo,

ich bin der Meinung, ein nicht internationalisiertes, untransparentes Verfahren verdient kein Vertrauen.

Auf die Schnelle würde ich vorschagen: Auswahl bekannter Verschlüsselungsalgorithmen auf der Client-Rechnerseite, implementiert in den E-Mail-Clients (Thunderbird, …), beispielsweise GPG mit 2048 Bit Schlüssel.

Private und öffentliche Schlüssel sind gespeichert auf einer Chipkarte, die ausgelesen wird von einem Kartenlesegerät mit eigener Tastatur (PIN-Eingabe), wobei die Karte bei 3-maliger Fehleingabe irreversibel gesperrt wird.

Diese Karten könnten von "offiziellen Stellen beglaubigt" werden.

Eine Verschlüsselung, die nur der Empfänger entschlüsseln kann sowie eine verifizierbare Signatur sind notwendig, aktuell aber leider sehr selten (welche Bank bietet/nimmt GPG-Schlüssel an zum Senden von E-Mails oder Kontoauszügen?), nicht zuletzt wegen der mangelnden standardisierten Integration in E-Mail-Clients, eines Zertifizierungsverfahrens und vielleicht wegen der Kosten eines geeigneten Chipkartenlesegeräts.

Grüße,
Elmar

reply | options
unfold Verfahren ist "bürokratisch" by Elmar Baumann (guest), 1255110924|%e %b %Y, %H:%M %Z|agohover
fold
Unsinn aus der Generation Analog
CRen (guest) 1255132888|%e %b %Y, %H:%M %Z|agohover

Beim DE-Mail-Konzept sieht man doch sofort, dass da absolut keine Substanz hinter ist. Probleme, die jeden Mailaccount treffen (können) wie Spam und Phishing werden auch bei staatlich zertifizierten E-Mails nicht gelöst. Man stelle sich nur das Chaos vor, wenn jemand seine DE-Mailadresse an einen Phisher verliert. Denn der kann die vermeintlich sichere Adresse für deutlich mehr Unfug missbrauchen, als es ohnehin der Fall ist. Der perfekte Identitätsklau, Persönlichkeitsdiebstahl bekäme damit eine völlig neue Relevanz!

reply | options
unfold Unsinn aus der Generation Analog by CRen (guest), 1255132888|%e %b %Y, %H:%M %Z|agohover
fold
Re: Unsinn aus der Generation Analog
StefanMStefanM 1255166850|%e %b %Y, %H:%M %Z|agohover

Hallo CRen,

das Orientieren an über 30 Jahre alten und längst als technisch überholt geltenden Standards, insbesonders an SMTP, ist auf jeden Fall problematisch — nicht jeder Standard ist gut, nur weils ein Standard ist. Da hätte man vielleicht besser mal die Möglichkeiten etwa von XMPP ausgelotet und vielleicht sogar dessen Erweiterungen in Form von Wave. Wobei ich allerdings nicht beurteilen kann, ob diese Protokolle spam-sicherer sind. Vielleicht ist so was ja sogar abgewägt worden, doch am Ende siegte wohl das Argument, dass man sich an dem orientieren müsse, was jeder hat und jeder kann, sprich: Mailen mit Outlook. Der Schuss könnte jedoch eben dadurch nach hinten losgehen.

viele Grüße
Stefan Münz

reply | options
unfold Re: Unsinn aus der Generation Analog by StefanMStefanM, 1255166850|%e %b %Y, %H:%M %Z|agohover
fold
Falsches Problem gelöst
Josef (guest) 1255169830|%e %b %Y, %H:%M %Z|agohover

Schade… Es wird nach bisherigem Stand nichts herauskommen: Wenn man sich den parallelen Spiegel-Artikel "Lasche Passwörter – So sichert man seine Web-Konten (nicht)" ansieht stellt man - wie so oft - fest, daß die jüngsten Phising-Berichten wenig mit Sicherheit und viel mit Anwender-Fehlern zu tun hatten.

Vielleicht wäre eine Aufklärungskampagne nützlicher als eine "neue" Technologie-Welle?

Viele Grüße,

Josef

reply | options
unfold Falsches Problem gelöst by Josef (guest), 1255169830|%e %b %Y, %H:%M %Z|agohover
New post
page_revision: 6, last_edited: 1256504258|%e %b %Y, %H:%M %Z (%O ago)
EditRate (0)Tags History Files Print Site tools+ Options
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License