Heul nicht! Sag was!

auf was man alles achten muss :-)

Naja, http (ohne s) überträgt alles im Klartext :-)

Heisst das, im Fall von Google Mail genügt die Benutzung von SSL? Weil laut Wikipedia ist https auch nichts anderes als ein Asymmetrisches Kryptosystem...

das weiß ich nicht. zur "beruhigung" benutze ich das hier. das schließt gmail mit ein.

http://firegpg.tuxfamily.org/index.php?page=install

@diskostu: Keinesfalls. Die https-Verschlüsselung besteht nur zwischen dir und dem Google-Server. Der schickt die Mail dann im Klartext raus.

Wenn man sich per https mit einer Website verbindet, ist die übertragene Information zwischen Webserver und Browser verschlüsselt.
Betrachte ich meine EMails auf googlemail.com per https, kann niemand mitlesen. Die EMails selber sind allerdings nicht verschlüsselt, sofern das nicht explizit gemacht wurde! Wenn also Alice an Bob eine unverschlüsselte EMail schickt, die sich Bob dann über https im Webinterface von googlemail.com ansieht, ist nur die Strecke Bob - Google verschlüsselt. Schickt Alice an Bob eine PGP-verschlüsselte EMail, die sich Bob über https ansieht, ist die kommunikation sicher: selbst wenn jemand den Transport der EMail von Alice zu googlemail.com belauschen würde, wäre die EMail immer noch verschlüsselt. Man darf die Verschlüsselung der EMail nicht mit der verschlüsselten Informationsübertragung zwischen Webserver und Browser verwechseln; das sind unterschiedliche Ebenen.

Also: auf die Webinterfaces von Mail-Hostern immer (wenn möglich) per https zugreifen. (Zumindest vertrauliche) EMails zusätzlich per PGP verschlüsseln.

https wäre z.B. ein feines Feature für die BooCompany.

Kostet aber: je nach Anbieter um die 150 US$ und mehr. Gilt dann auch nur für ein Jahr und muß entsprechend verlängert werden.

nee, soweit ich das verstanden habe, genügt ein public key allein eben nicht.

oder? he, experten?

Mit Verlaub, aber das ist Blödsinn. Der public key ist ausschließlich zum Verschlüsseln da, der private key zum Entschlüsseln (Details) Es kann also nur jemand "mitlesen", der den private key hat.

oder so :-)

heisst also:

will mir einer ne verschlüsselte email schreiben, braucht er den public key. und ich brauche meinen private key, um das lesen zu können.

Janz jenau. Und der public key liegt der Bequemlichkeit halber auf einem öffentlichen Keyserver. Oder Du hängst ihn an Deine unverschlüsselten Mails als signature an. Oder Du bastelst einen Link auf Deiner Website.

ha, ich habs verstanden

Grad wurde ich bei mir über die Vorgehensweise aufgeklärt. Nun habe auch ich es begriffen. ;) Also werde ich es dir, Lanu, gleich machen und meinen öffentlichen Schlüssel bei mir im Blog publizieren.

Ich bitte um Entschuldigung für diese Verwirrung, die ich mit meinem Posting wohl verursacht hatte.

ich steh auf bildungsbloggen. ;-)

und wieder haben wir alle etwas gelernt

das ist ja vielleicht sogar das Schöne am Bloggen... dass es hin und wieder Menschen gibt, die noch mehr als wir wissen :) und dieses Wissen sogar weitergeben! :)

noch ein grund mehr dafür, dass journalisten keine blogger sein können ;-)

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.5 (GNU/Linux)

hQEOA6GsUrjw25y5EAP+Ma2PZI6aavra5hfioz40zlDau3BgLLqYdPWLLNhZdY/i
UdWo7UK//FbPYm6140uCtwwtDMRBnyy6a3+a9bkM1yAKUDhRZxJQvUwaUkXRoCyd
NpLnDcrJdEhSwDQDVg8VeMl/ULt1jYpdl1zZe9R1JCg+QZrB2//BhjPfEW8Tgh8E
AJaKreZmH7ymfh7JS9LM+iqcCxUFxCZizxofeWNIwp9+E4MT7CPkLFNS3vdomwlw
/Ik6f1dPIo4hTec/YTA4Y8lbgxTt0uUCjx66XwnfDyW8b8pxSyUd+NKCKXxz7+cS
UPlP8q77D2VRrc2HHeuZuIYcQlFs95YcO4TNrx58KQDRhQEOAwiWiZUiN8G3EAP+
LpvY/mIErKsmOp3a1HNUaOtRtx26E6ji6bwTKHKbBKVPlyH7t9DE/zWONLaKygoF
UpatRJp/liIGgkHy2fnBXAcqM1cp9x9fqLYKRaPGkGPhYQj/uKGhhMOXFbiE8ID0
pWCJWuDrvLzasTF3WsQlbiYQHdpxVn+BA5jOoVnqSSMD/3KWvT85W5VsnraYSdtZ
NpJzmXrYGnGuGWLKCOUCFin0uK3oEy+E4wNgfr5Uew7QnYPXnK5muzR+lT2Y9+EC
09vtWlWgwof4rJaZ2xaKb6RsMSfvLrIo6pJaPOE/5xWZzkgYwi3SNBbOfbBgl19m
9SOvPWjlVx7u0ryhmf21yAH90rEBXrZFDhVfvdsIhjychT/5Sq0M5hhe+CHOrmQE
UIZebUHlxZEKqyIz63IomS4BnBZ/E1o0RHcQ6K214t+iYtqaX4NBTH7/Li2mUvH0
WX5Pr+RXo/2TZI+C5A3eNNg24cL/ylcmxYSKtkol+icRO8awP6LU8kgac+ck7pnH
3DkZ/TAPG6F2wQz2Tz6deuZROkRqV5lehpkKUZXLGG+T4NP1PhdaaVdU//tM/bSW
x/3tsV0=
=bpoV
-----END PGP MESSAGE-----

Mal sehen, ob es klappt! Meinen Schlüssel findest du zum Antworten bei mir. ;)

herrlich, es funktioniert

martina, deinen key finde ich aber nicht.

"The requested URL /uploads/kontact.asc was not found on this server."

meine mails und botschaften im blog werde ich niemals, nie, nicht verschlüsseln! sollen ruhig alle lesen, was ich von ihnen halte!

aber dafür, quasi als ausgleich, verschlüssel ich meine songs!
wer den waren inhalt wissen will, sollte das rückwärtsabspielen üben, bei mp3s gar nicht so einfach.
und, welche botschaft steckt z.b. hier drin (natürlich im song buckel3):
http://www.dieweltistscheisse.de/2007/11/11/dritter-songschnipsel-buckel3/

wenn DIE oder ES es entschlüsseln können, bin ich sicherlich nicht mehr lange weltherrscher!
hahaha..vrdmmt gefährlich.
aber ich liebe die gefahr...hahaha!

ich glaube, ich muss mal langsam ein update meiner Blogsoftware fahren. Nun findest du meinen Schlüssel, aber nicht mehr als asc-Datei. Warum diese Datei, deren Link im übrigen schon richtig angegeben war, nicht gefunden wurde, entzieht sich meiner Kenntnis. So, wie ich es jetzt gelöst habe, müsste es aber auch funktionieren.

Es scheint, wir beide müssen noch viel lernen, wie es funktioniert!

wir sind auf einem guten weg :-)

yepp.. das glaube ich auch! ;)


Welch ein Glück, dass wir Blogger (die keine Journalisten sind) unsere Lernfähigkeit noch nicht verloren haben. Wenn ich nun noch bei mir herausfinden könnte, warum mein GPgp so herumzickt und mein Thunderbird nicht als Mailprogramm akzeptieren will, dann bin ich richtig froh.

;)

Ich stelle mir schon vor, wie wir alle anfangen, verschlüsselte Texte online zu stellen. *gniiiiiiiiiieeeeeeee*

>>> Kostet aber: je nach Anbieter um die 150 US$ und mehr. Gilt dann auch nur für ein Jahr und muß entsprechend verlängert werden.

@realmadscientist,

stimmt so nicht ganz, es gibt durchaus Hoster, wo ein unsignierte Digitales Zertifikat mit im Paket ist.

Wenn ich mich nicht irre, wäre der einzige Nachteil - bei einem unsignierten digitalen Zertifikat - dass man bei jeden neuen Sitzung den Sicherheitshinweis "wegklicken" muss.

Das Weggeklicke wäre aber bei einer Seite wie BooCompany nicht zumutbar. Wenn das Warnfenster aufgeht, denkt doch jeder Neusentinel, dass da ein pöhser Pursche in der Leitung hängt.

Es geht zudem nicht nur um das reine Verschlüsseln, sondern auch um die Authentizität des Zertifikatanbieters. Natürlich kann man sich selber ein (Übungs-)zertifikat erstellen, auf dem Server installieren und https nutzen. Solange allerdings keine "Autorität" (CA; Certificate Authority) die Authentizität eines Websitebetreibers bestätigt (diese Information steht im SSL-Zertifikat), ist das Zertifikat wertlos bzw. taugt nur für Entwicklungs-/Experimentierzwecke.

@ realmadscientist,

bedeutet wertlos = unsicher?

Wenn ich mich recht erinnere, werden bei solchen "Gratis-Lösungen" https Anfragen über einen SSL-Proxy geleitet. Auf diesem SSL-Proxy wird ein authentisches Zertifikat genutzt wird, aber es kommt trotzdem zur Sicherheitabfrage, weil dass Zertifikat für ein anderes Domain erstellt und verkauft wurde.

@Hockeystick,

recht hast du, aber da 99,9 Prozent der Userschaft alles ohne SSL aufrufen (wenn sie nicht automatisch weitergeleitet werden), und ich nicht davon ausgegangen bin, dass "www"- Anfragen automatisch umgeleitet werden, wären da nicht viele, die verschreckt wären. Ich denke Sentinel dies wissen, aber sich gerne verschlüsselt einloggen wollen, hätten mit dem wegklicken des Warnfensters kein Problem.

Ansonsten war mein Hinweis ja nur ein quasi gratis Notlösungvorschlag, den ich z.B. gerne nutzen würde, da ich grundsätzlich alles was nur geht (und mit einloggen verbunden ist) per SSL aufrufe.

informiert ihr mich bitte, wenn ihr zu einem ergebnis gekommen seid? ich verstehe nur bahnhof

@welzi: Richtig, manche Provider (meiner auch) bieten ein eigenes Zertifikat an, das man für seine Website nutzen kann. Da der eigentliche Eigentümer des Zertifikats aber der Provider bleibt (und nicht die Website, die einem dieses "ausgeliehene" Zertifikat präsentiert), zeigt der Browser berechtigterweise eine Warnung an: schließlich gibt hier ein Webserver ein Zertifikat aus, das ihm nicht selber gehört.

https funktioniert so natürlich auch, aber man nutzt davon nur die Hälfte, da man nur sicher mit einem Webserver kommuniziert, aber nicht die Gewißheit hat, auch mit dem richtigen Server zu kommunizieren. Gesetzt den Fall, Du machst Online-Banking und möchtest einen größeren Betrag überweisen: würdest Du eine Zertifikatwarnung arglos wegklicken, in der steht, daß das Zertifikat zwar gültig ist, allerdings von der Firma "Panzerknacker Enterprises" stammt? Eben.

Bei einem professionellen Webangebot gehört das Zertifikat zum dazu passenden Server; alles andere ist Hobby bzw. wird im Entwickler-Umfeld eingesetzt (weil Zertifikate halt teuer sind). Manche Website-Betreiber behelfen sich auch dadurch, daß ihr Shop oder die Login-Maske auf einem anderen Server gehosted werden, damit sie nicht selber ein Zertifikat kaufen müssen. Dann muß ich als Benutzer eines solchen Systems entscheiden, ob ich dem Anbieter genügend vertraue, um seine Dienste zu benutzen.

In jedem Fall ist es sinnvoll, eine https-Verbindung für Login-Dialoge oder das Konfigurieren persönlicher Settings vorzusehen. Bei http, wie schon geschrieben, werden Name und Passwort im Klartext übertragen und sind prinzipiell mitlesbar für jeden, der in der Leitung hängt. Zu beachten ist aber auch, daß Verschlüsselung sehr rechenintensiv ist und bei vielen gleichzeitigen Usern u.U. ein System ausbremsen kann. (In meinem Laden setzen wir deshalb sauteure SSL Hardware-Beschleuniger ein.)

Lanu, wenn Du Geld zuviel hast, kannst Du neben der Passwortabfrage noch ganz was feines implementieren lassen: es gibt da sehr schicke Hardware, die allerdings im Falle von BC an jeden Sentinel per Post geschickt werden müßte :-)

ich hab nie geld zuviel.

@ realmadscientist,

da sind wir uns ja einig. Aber ich wiederhole noch mal für den speziellen Fall: BooCompany.

>>> https funktioniert so natürlich auch, aber man nutzt davon nur die Hälfte, da man nur sicher mit einem Webserver kommuniziert, aber nicht die Gewißheit hat, auch mit dem richtigen Server zu kommunizieren.

Die die BooCompany per SSL aufrufen hätten ja dann die (eine) Gewissheit. Wie gesagt, "http:/www" Aufrufe würde ich in diesem Fall natürlich nicht automatisch auf https Umleiten.
Somit hätte jeder Wissende die Möglichkeit sich per SSL einzuloggen ... also allemal besser - wie aktuell - wo diese Möglichkeit gar nicht besteht.

PS: Es gibt auch Hoster, die leiten jeden https Aufruf automatisch über ihren SSL Proxy, da muss man also nix einbauen.

PSS: Übrigens, ich müsste bei Onlinebanking keinen großen Betrag überweisen wollen, um eine Zertifikatwarnung arglos wegzuklicken. ;-) Aber wie gesagt, bei BooCompany wäre das ein anderes Thema, dort lautet dies, was man gratis an Sicherheit mitnehmen kann, sollte man tun.

>>> ich verstehe nur bahnhof

Lanu, dass ist schlecht, denn wie realmadscientist schon sagte, jede unverschlüsselte - also jede Passworteingabe via http, jedes Emailabfrage mittels Outlook & CO. & übrigens auch jedes VoIP Gespräch - kann von jedem in einem Netzwerk mitgesnifft werden. Also auch dann, wenn du ein Internetcafe nutzt, oder dich - wie man von (und bei) DA ließt - mal in ein offenes WLAN einbuchst. ;-)