Gute Nachrichten: Web.de und GMX führen PGP-Verschlüsselung für Mail ein
Donnerstag, 20.8.2015, 10:52 > daMaxSo liebe Leute, jetzt gibt es keine Ausrede mehr von wegen "Ist mir zu kompliziert" und "Ich kann das nicht".
GMX und Web.de führen am heutigen Donnerstag die Ende-zu-Ende-Verschlüsselung von E-Mail per PGP ein. Die neue Funktion steht auch den kostenlosen Accounts zur Verfügung. Damit können nach Angaben von 1&1 rund 30 Millionen Nutzer ihre Nachrichten abhörsicher verschlüsseln. Das funktioniert mit den Desktop-Browsern Chrome und Firefox sowie mit den Apps von GMX und Web.de für Android und iOS. Verschlüsselte Mails lassen sich aber auch mit anderen PGP-Systemen wie Enigmail austauschen.
Meinen Schlüssel findet ihr hier und ab jetzt wird 7gBEa5/tamMHlLLEK+lTZr5KWTjh1+iLY4GSsNcD
hsQnKa6KmoPv4Frg/DRV7e6im9bQCkCOa7D3vRJRu47w2juM4wARAQABtBlkY
Wer nochmal sein Gedächtnis auffrischen möchte: PGP jetzt!
Artikel als RSS
lustig, ich hatte 2024 gelesen 
Naja, wenn der webclient von 1&1 das verschluesselt kann ja gar nichts schief gehen...
Das ist keine Ende-zu-Ende-Verschlüsselung.
@LostInTranslation: laut dem Artikel wird auf dem Gerät verschlüsselt und erst dann verschickt. Der Mailanbieter erhält also nur die verschlüsselte Datei und bekommt die auch nicht auf.
Was ist daran nicht Ende-zu-Ende?
Hat sich PGP inzwischen soweit weiterentwickelt, dass ich *verschlüsselt*gesendete* Nachrichten in meinen "Gesendete Objekte" jetzt auch selbst wieder lesen kann?
@Jemand: Mh, ich kann auf jeden Fall von mir verschlüsselte gesendete Mails noch lesen (OSX/Thunderbird/Enigmail).
Sicher! Der Schlüssel ,den man sich runtersaugen kann. Klar, der hält Leute ab, die sich 24/7 mit dem Thema beschäftigen. Wem will wohl die IT einem da was vormachen?
@Jemand: jep, geht mir so wie jfml(5). Wenn ich zu Enigmail sage "Merk dir das Passwort für 60 Minuten", dann kann ich auch verschlüsselt gesendete Mails in Sent lesen. Nach 60 Minuten muss ich dann allerdings wieder das PW eingeben, sonst sehe ich nur jibberish.
@daMax: & @jml: Und wie soll das gehen? Mein PGP Desktop hat seinerzeit die Mails mit dem PubKey des jeweiligen Empfängers verschlüsselt und diese verschlüsselte Mail dann in den "Gesendete Objekte" abgelegt. Ohne *seinen* PrivKey kann ich die ja nicht entschlüsseln? Oder habt Ihr euch immer BCC genommen?
@Jemand: ich begebe mich da jetzt auf dünnes Eis, denn ich weiß es nicht genau, aber ich glaube, dass die Kopie, die in SENT landet, mit deinem public key verschlüsselt wird, die Mail, die aber an den Adressaten geht, mit seinem public key. So kannst DU nachher die SENT wieder aufmachen.
Es möge mich jemand korrigieren falls ich Blödsinn rede.
Anders könnte ich mir zumindest nicht erklären, weshalb ich meine SENT Mails entschlüsseln kann, indem ich mein eigenes Passwort eingebe.
Keine Ahnung, was gmx da tut. Wenn Temno recht hat, dann dürfte die Verschlüsselung in JavaScript geschehen. Diesen Script bekommt man automatisch von GMX wenn man den Webmailer aufruft (und damit muss man javaScript für GMX und Co. generell aktivieren). Man bekommt ihn potentiell mit jedem Aufruf des Web-Mailers neu.
Nun die Frage: woher weiß ich, dass dieser Script immer tut, was ich meine, was er tut? Woher weiß ich, dass es jedes mal der code ist, der nach PGP verschlüsselt? Eine automatische Prüfung ist kompliziert. Durch einen Script oder ein Zertifikat von gmx kann sie schon einmal gar nicht erfolgen. Eine manuelle Prüfung mit jedem Aufruf des Web-Mailers ist unmöglich. Selbst eine stichprobenartige Prüfung erfordert zunächst einmal den, mit jeder Version neu zu erbringenden Beleg, dass der Code keine Hintertüren beinhaltet.
Analoges (oder Schlimmeres) gilt, wenn das kein Javascript sondern ein Plugin ist.
Es ist no go, dass der, den man als erstes verdächtigt, Kommunikationsinhalte auszuspähen (so wie etwa Google das bei jeder Mail tut), das Tool liefert, das mich schützen soll. Dies gilt insbesondere, wo immer noch am Bundestrojaner "gearbeitet" wird.
Unter anderem deshalb sind auch Zertifikate (wie bei microsoft'schen Treibern oder Google-Apps) vollkommener Blödsinn.
Kein vernünftiger Mensch kommt auf die Idee, den Bock zum Gärtner zu machen.
@Joachim (10): Bitte nicht drauf festnageln das es wirklich so ist. So hab ichs nur beim lesen des Artikels verstanden.
Ob man seinem Mailprovider vertraut oder nicht ist so ne Sache, aber wenn man wirklich so Schutzbedürftig ist, das man free-Anbietern nicht vertraut, dann sollte man den Anfang machen und sich nen eigenen Mailserver aufsetzen
Ich bin jetzt natürlich nicht so Blauäugig zu glauben das die das aus reiner Nächstenliebe eingeführt haben.
1. ist es ein schöner Marketing-Schachzug.
2. kann man sich dann gegen staatlich angeordnete öffnung der Mailfächer mit "bringt nix, ist alles verschlüsselt" rausreden
@daMax: Das finde ich ja auch immer witzig, ich muss unter OSX genau nie mein Passwort eingeben (vielleicht einmal beim einrichten).
Liegt das an Enigmail, der Betriebsystem-Infrastruktur oder diesen Extraprogrammen (unter OSX GPG-Keychain unter Win Kleopatra oder wie's nochma heißt?)?
@jfml: Das ist eine Einstellung in Enigmail, aber glaube auch in OSX (ich habe mal sowas hier gemacht in sudoers:
Defaults:ALL timestamp_timeout=0)