Nach meinem ersten Beitrag zum Verschlüsseln von E-Mails mit Outlook 2013 und dem Plug-In OutlookPrivacyPlugin habe ich einige Rückmeldungen erhalten. So wie es aussieht scheint das Thema viele zu interessieren. Die Zugriffszahlen für diesen Artikel sind außerordentlich hoch, im Vergleich zu meinen sonstigen Zugriffszahlen :). Nicht zuletzt auch, weil der Beitrag in einem Kommentar auf Golem.de verlinkt wurde. Vielen Dank an dieser Stelle dafür.
Mit dem zweiten Beitrag möchte ich gerne ein kleines Update geben. Ich wurde auf einen netten Service aufmerksam gemacht und konnte die vergangenen Tage das Plug-In testen.
PGP-Schlüssel veröffentlichen
Ich habe meinen PGP-Schlüssel hier im Blog veröffentlicht. Unter anderem ist ein Download im Impressum verlinkt. Das ergibt meiner Meinung nach auf jeden Fall Sinn. Viele Leute, die mich erreichen wollen, kommen über diese Seite zu meiner E-Mail Adresse oder beispielsweise zu meinem XING-Profil. So ist der PGP-Schlüssel direkt erreichbar und einer verschlüsselten Nachricht steht nichts mehr im Weg.
Ein zentraler Ort für den PGP-Schlüssel wäre natürlich trotzdem nicht schlecht. Eine zentrale Anlaufstelle, bei der nach Schlüsseln von weiteren Personen gesucht werden kann. Am besten nach Namen, E-Mail Adresse oder sonstigen Kriterien. Auf so einen Service wurde ich über Twitter von Carsten König aufmerksam gemacht. Das PGP Global Directory bietet es an, seinen öffentlichen Schlüssel hochzuladen und für alle zugreifbar zu machen. Eine Suche ist nach dem Namen, der E-Mail Adresse und einer speziellen ID möglich. Die ersteren beiden Angaben kommen aus dem Schlüssel selbst. Es wird also der Name und die E-Mail Adresse verwendet, die bei der Generierung des Schlüssel angegeben wurden. Die ID wird automatisch generiert, sobald der Upload geklappt hat.
Meine ID ist beispielsweise 0xA544FCB66CBC94CC und kann bei der Suche angegeben werden. Pro Suchanfrage ist noch ein Captcha zu beantworten. Mehr ist aber nicht notwendig. Abbildung 1 zeigt das Ergebnis der Suche. Auf jeden Fall ein netter Service und — so wie ich das im Moment einschätzen kann — auch sehr zu empfehlen.
Abb. 1: Suche beim PGP Global Directory.
Erfahrungen mit OutlookPrivacyPlugin 2.0
Meine bisherigen Erfahrungen mit dem Plug-In sind sehr gut. Ich habe zwar noch nicht allzu viele Nachrichten verschlüsselt, aber immer wenn das Plug-In zum Einsatz kam, gab es keinerlei Probleme. Mit den Einstellungen, die ich im ersten Beitrag erwähnt habe, bin ich zufrieden. Die werden auch weiterhin so bleiben.
In den Kommentaren des ersten Beitrags wurde ich darauf aufmerksam gemacht, dass die automatische Verschlüsselung doch standardmäßig aktiviert sein kann. Verschlüsselt wird nur, wenn zum Empfänger ein öffentlicher Schlüssel vorhanden ist. Auf diese Idee war ich im ersten Test gar nicht gekommen. Hört sich plausibel an.
Leider ist das nicht ganz der Fall. Verschlüsselt werden kann selbstverständlich nicht, wenn zu der Empfänger-Adresse kein öffentlicher Schlüssel vorhanden ist. Diese Überprüfung findet mit der E-Mail Adresse statt, die bei der Erzeugung des Schlüssels angegeben wurde. Wenn das Plug-In diese E-Mail dann einfach — wie üblich — im Klartext verschicken würde, wenn keine passende Adresse gefunden wird, wäre alles super. Leider erscheint eine Abfrage, welcher Absender beziehungsweise welcher Schlüssel denn für die Verschlüsselung verwendet werden soll (Abbildung 2).
Abb. 2: Dialog zur Auswahl des öffentlichen Schlüssels.
Das ist etwas unschön. Wird die Abfrage bestätigt, ohne eine oder mehrere E-Mail Adresse ausgewählt zu haben, erscheint eine noch unschönere Fehlermeldung, wie Abbildung 3 zeigt.
Abb. 3: Fehlermeldung bei ungültiger Auswahl eines Schlüssels.
Das ist bisher die einzige Stelle, die ich verbessern würde. Eventuell sollte die E-Mail einfach unverschlüsselt verschickt werden, wenn kein passender Schlüssel zum Empfänger vorhanden ist. Das Problem daran ist aber, dass dann eine Bestätigung fehlt, wann nun eine E-Mail verschlüsselt wurde und wann nicht. Aus Sicherheitsgründen ist das aktuelle Verhalten nachvollziehbar.
Fazit
Trotzdem bleibt das Plug-In empfehlenswert. Ich habe weiterhin die Option deaktiviert, dass alle ausgehenden E-Mails verschlüsselt werden sollen. Bis sich das oben beschriebene Verhalten des Plug-Ins nicht ändert, bleibt das auch erst einmal so.
Der Service PGP Global Directory ist zudem sehr für den Upload des eigenen öffentlichen Schlüssels zu empfehlen. So wird er vermutlich schnell gefunden, als wenn er nur im eigenen Blog beziehungsweise der eigenen Website zur Verfügung steht.
Hallo,
ich war auf der Suche nach konkreten Anwendungsfällen für Verschlüsselung, da ich mich bisher (ebenfalls Informatik-Student) nur theoretisch mir PGP und den dazugehörigen Konzepten auseinander gesetzt hab. Insofern ein interessanter Artikel, um zu sehen, wie das Software-mäßig also für den Endanwender dann umgesetzt ist.
Du schreibst, dass Du Deinen öffentlichen Schlüssel u.a. auf Deiner Internetseite und dem Directory veröffentlichst, allerdings ist das PGP Global Directory eher ein Sicherheitsrisiko, wenn es ausschließlich verwendet wird, da es nicht auf einem Web of Trust basiert und somit theoretisch jeder (u.a. die NSA) zu einem Postfach, auf das man Zugriff hat, einen öffentlichen Schlüssel hinterlegen kann. Das schreibt das Global Directory sogar fairerweise selber:
https://keyserver.pgp.com/vkd/VKDVerificationPGPCom.html
Das gibt also eigentlich nur Sinn, wenn man mit dem jeweiligen Empfänger z.B. gleichzeitig noch telefonisch diese ID aus dem Global Directory abgleicht – aber bei der Gelegenheit könnte der Empfänger den öffentlichen Schlüssel auch gleich aus einer anderen, sicheren Quelle beziehen. Das einbinden des öffentlichen Schlüssels auf einer Internetseite ohne mindestens SSL-Verschlüsselung und einem entsprechenden Zertifikats-Validation-Level ist übrigens eine ebenso große Sicherheitslücke. Man kommt um ein Web of Trust bei Benutzung von PGP eigentlich nicht herum, wenn man nicht gerade die Schlüssel persönlich austauscht.
Leider wird oft die Verschlüsselung nur halbherzig betrieben und dann ist es manchmal vielleicht sogar besser komplett drauf zu verzichten, um sich nicht in falscher Sicherheit zu wiegen und aus allen Wolken zu fallen, wenn der nächste „Snowden-Fall“ in ein Paar Jahren enthüllt, dass auch solcher Mail-Verkehr bereits abgehört wird. Vielleicht siehst Du das ähnlich wie ich?
Zu Deinem neueren Beitrag über Mailpile: Scheint eine gute Idee zu sein PGP schon in der Entwurfsphase eines Clients zu berücksichtigen und nicht nur als Plug-In anzubinden, leider sieht es so aus, dass auch das Projekt keine wirkliche Ende-zu-Ende-Verschlüsselung umsetzt, sondern die Mails auf dem Webserver entschlüsselt und dann (hoffentlich) SSL-verschlüsselt zum Browser schickt (zumindest auf dem Server müssen also die privaten Schlüssel gespeichert sein). Außerdem erfordert es anscheinend die Einrichtung eines Servers oder zumindest eines Rechners, der online ist, um den Zugriff von remote zu ermöglichen. Und wenn man es nur daheim auf dem Desktop nutzt, kann man auch gleich einen Rich-Client wie Outlook verwenden. Das zusammen sind die Hauptgründe, warum es wohl E-Mail für die Massen nicht zu mehr Sicherheit verändern kann. Viel interessanter wäre doch ein Cloud-Service, der die Mails erst im Browser entschlüsselt (also quasi eine OpenPGP-Implementierung in Javascript), wozu es zwar schon Ansätze gibt, die aber auch alle leider mehr oder weniger unsicher sind…. Dann könnte es mir nämlich egal sein, dass meine Mails auf einem x-beliebigen E-Mail-Server von einer Fremdfirma liegen, denn entschlüsseln kann ich sie nur im Client (in dem Fall erst im Browser). Mega hat angekündigt in ein Paar Wochen soetwas zu veröffentlichen. Siehe:
http://www.golem.de/news/lavabit-und-silent-circle-mega-und-die-schwierigkeiten-verschluesselter-e-mail-1308-100924.html
Grüßle,
Dave
Hallo Dave,
danke für deinen sehr ausführlichen Kommentar.
Ich habe mich noch etwas mit Mailpile beschäftigt und einen weiteren Beitrag geschrieben. Wie genau die Verschlüsselung aussieht, lässt sich aktuell schwer sagen. Zumindest bei einer Hosting-Lösung. Wird die Anwendung lokal betrieben, bleibt auch alles lokal und es werden, so habe ich das verstanden, nur verschlüsselte E-Mails verschickt/empfangen.
Auch Danke für die Infos zum PGP Global Directory. Da hast du natürlich recht. Darauf sollte man nicht als einzige Lösung setzen.
Noch mal vielen Dank für deinen Beitrag!
Grüße,
Fabian
Hi,
ich habe gpg4win mit Outlook in Benutzung.
Das größte Problem für mich ist, das beim Antworten auf eine verschlüsselte Mail nicht automatisch verschlüsselt wird.
Wenn man es vergisst manuell zu aktivieren, geht die Mail – mit eventuell gequoteten Mailtext – unverschlüsselt raus.
Hi Daniel,
danke für die Info. Benutzt du auch die aktuelle Version von gpg4win? Die soll ja auch mit Outlook 2013 zurecht kommen.
Wollte ich schon lange mal testen und drüber schreiben. Allerdings hapert es schon an dem Outlook-Plug-In, das ich nicht richtig zum Laufen bekommen.
Grüße,
Fabian
Office 2013 Migration steht demnächst an.
Aber wenn das Problem mit dem Antworten nicht gelöst wird, fällt Outlook+GPG eh flach.
Auch an sich ist das Vertrauen in Outlook/Microsoft bereits erschüttert.
http://www.heise.de/newsticker/meldung/Verschluesselung-in-Firmennetzen-ausgehebelt-57309.html
Eigentlich müsste man das Prinzip von von Ubuntu verfolgen und Ver- und Entschlüsselung in ein extra gebootetes System verlegen.
http://de.wikipedia.org/wiki/Ubuntu_Privacy_Remix
Ich werde wohl demnächst Outlook 2013 ersetzen. Gefällt mir einfach überhaupt nicht. Einige Features, die ich in 2010 benutzt habe, gibt es nicht mehr.
Im Grunde warte ich nur noch auf Alternativen wie Mailpile oder Mailbird.
Und danke für die Links. Interessanter Lesestoff.
Grüße,
Fabian
Hallo Fabian,
ich verfolge auch seit längerem die Diskussion um Verschlüsselung in Outlook und die damit verbundenen Herausforderungen. Wir haben bei uns in der Firma S/MIME und teilweise PGP im Einsatz… aber leider die meisten unserer Kommunikationspartner nicht. Deshalb haben wir ein (für Privatanwender kostenloses) Outlook Plug-In mit dem Namen IS-FOX Encrypt enwickelt, welches die E-Mails (oder Anhänge) in eine Zip Datei mit Passwort verschlüsselt.
Würde mich freuen, wenn Du bei Gelegenheit einen Blick darauf wirfst:
Viele Grüße
Frank
Hallo Frank,
danke für den Link. Schaue ich mir bei Gelegenheit mal an.
Viele Grüße,
Fabian
Kleines Update:
Die E-Mail Adresse des PGP-Schlüssels, der im PGP Global Directory veröffentlicht wird, sollte aktuell sein, denn es werden E-Mails zur Verifizierung verschickt:
Ist nicht ganz so selbstverständlich, wie sich das vielleicht anhört. Manche geben auch Fake- beziehungsweise SPAM-Adressen an, die nicht mehr aktuell sind oder nicht mehr abgerufen werden.
Viele Grüße,
Fabian
Hallo Fabian!
Erst einmal vielen Dank für deine tollen Beiträge zu dem Outlook Privacy Plugin!
Ich habe mir deine drei Artikel nun durchgelesen und ich habe auch das Problem, dass ich ein E-Mailkonto bei Hotmail habe, welches mit IMAP läuft. Somit würden also meine entschlüsselten Nachrichten dann im Klartext an den Server übermittelt werden… verdammter Mist ;-p
Unabhängig davon bekomme ich es nicht hin, die Liste der Empfänger (select recipients) wie oben in deinem Beitrag zu sehen, mit weiteren Kontakten zu füllen. Es steht dort immer nur meine eigene E-Mailadresse. Wie füge ich dort weitere Empfänger hinzu?!?
Sehr sehr Schade finde ich, dass anscheinend die Entwicklung des Plugins nicht mehr weiter geführt wird. Nunja…
Hallo Johannes,
vielen Dank für dein positives Feedback!
Die weiteren Kontakte werden in der Liste aufgeführt, wenn du zusätzliche öffentliche Schlüssel importierst. Dadurch kennt das Plug-In die darin hinterlegten E-Mail Adressen und kann sie dir zur Auswahl geben.
Ich bin mir auch nicht so sicher, ob das Plug-In gar nicht weiterentwickelt wird. Im Moment scheint die Entwicklung auf jeden Fall ins stocken geraten zu sein. Mal sehen, wie es weitergeht.
Grüße,
Fabian