automatisch verschlüsseln PRO EMPFAENGER

Im Prinzip macht Enigmail mit den Empfängerregeln ja genau das für PGP/MIME, dort kann man pro Empfänger festlegen, was zu tun ist (unterschreiben, verschlüsseln...). Gibt es hierfür (also "Empfängerregeln für S/MIME") evtl. bereits einen Bug in Bugzilla?

Du weißt nicht mehr zufällig die Bugnummer? Dann würde ich dafür voten (ist ja besser als nichts). Leider kann ich auch keine Thunderbird-Addons entwickeln.

Hallo,
vielen Dank, ich habe gerade für den Bug/RFE gestimmt, da ich aber bisher der einzige bin und das ganze ja auch ein paar Tage her ist, bin ich nicht optimistisch. Schade, denn ich finde auf Grund der fehlenden Einstellungsmöglichkeiten - ob die nun genau so sind wie Du sie damals beschrieben hast oder doch etwas anders - ist der Einstieg in sicheren Mailverkehr unnötig erschwert.

Irgendwie bin ich allgemein etwas unzufrieden mit der Sicherheitsthematik im ganzen: jetzt habe ich ein tolles Klasse 3-Zertifikat, das ich zum Unterschreiben mitschicken kann, allerdings wird dieses von meinen Mailpartnern entweder schlicht nicht verstanden (also was das Zertifikat bedeutet), falsch verstanden ("Der schickt immer sowas komisches mit, das wird schon richtig sein."), ignoriert oder auf Grund eines Sicherheitshinweises (mein Zertifikat ist von CAcert, Root-Zertifikat fast nirgends vorhanden) mit "Ablehnung" reagiert. Ich kenne sonst niemanden, der ein Zertifikat besitzt. PGP/MIME ist auch nicht "einfacher" und dadurch auch nicht einsteigerfreundlich genug. Ich glaube mittlerweile, dass die grundlegende Problematik (und deren momentan vorhandene Lösung) schlicht zu kompliziert ist.

Zitat von "Brausepaul"

...
Irgendwie bin ich allgemein etwas unzufrieden mit der Sicherheitsthematik im ganzen ... wird dieses von meinen Mailpartnern entweder schlicht nicht verstanden ... falsch verstanden ... ignoriert oder auf Grund eines Sicherheitshinweises mit "Ablehnung" reagiert.
PGP/MIME ist auch nicht "einfacher" und dadurch auch nicht einsteigerfreundlich genug. Ich glaube mittlerweile, dass die grundlegende Problematik ... schlicht zu kompliziert ist.

Hallo Brausepaul,

tröste Dich das geht mir auch oft so! -> Was habe ich mir schon den Mund 'fusselig' geredet!

IMHO ist es für viele tatsächlich zu kompliziert!
{Alles was nicht so simpel ist wie SMS-Schreiben wird eben schnell als 'belastend' abgelehnt.} :nixweiss:
Bei der Verschlüsselung muß man sich halt eben doch etwas "reindenken" & versuchen die Hintergründe zu verstehen.

Leider sehe ich diesbezüglich aber keine simpleren Alternativen!
(abgesehen von ROT13 etc. ... und dererlei Spaßprogrammen.}

greetings ... Vic

Mmh, noch so eine Anekdote aus dem Bereich Sicherheit im Mailverkehr (ist thematisch ein Sprung zu PGP/MIME): ich habe über ein Webformular einen CAcert-Assurer angeschrieben, um ein Treffen für eine Assurance zu vereinbaren und ihm meine Mailadresse genannt. Ich habe dann von ihm eine Email erhalten, die mit PGP unterschrieben ist. Leider kann ich seinen öffentlichen Schlüssel nicht von einem der in Enigmail voreingestellten Server herunterladen, d. h. seine Unterschrift ist für mich unleserlich und damit unnütz. Das dürfte ja bei jedem Erstkontakt der Fall sein, da man auf Grund der dezentraleren Struktur nicht weiß, woher man den Schlüssel bekommt, es sei denn, er würde immer mitgeschickt werden, was wiederun unpraktisch ist. Des weiteren ist eine selbsterstellte Unterschrift ja auch nicht so arg sinnig, es sei denn, der Empfänger achtet immer penibel darauf, dass die Unterschrift da ist. Das macht wiederum niemand und ist im Hinblick auf den Mailversand über Weboberflächen (GMX, web.de und co.) auch nicht praktikabel. Einen selbsterstellten Schlüssel zur Verschlüsselung wiederum finde ich noch halbswegs sinnvoll. Für eine aussagekräftige Unterschrift ist eigentlich nur ein X.509-Zertifikat einer vertrauenswürdigen Stelle sinnvoll (auch wegen der leichteren Überprüfung), oder sehe ich das falsch?

Meine Aussage:"...Für eine aussagekräftige Unterschrift ist eigentlich nur ein X.509-Zertifikat einer vertrauenswürdigen Stelle sinnvoll (auch wegen der leichteren Überprüfung), oder sehe ich das falsch?" bezog sich konkret auf den Vergleich mit einer PGP-Unterschrift mit einem selbsterstellten Schlüssel. Den kann ich ja nirgends richtig überprüfen.

Zitat von "Brausepaul"

... oder sehe ich das falsch?" bezog sich konkret auf den Vergleich mit einer PGP-Unterschrift mit einem selbsterstellten Schlüssel. Den kann ich ja nirgends richtig überprüfen.

>>>>>>>edit: Ich sehe gerade P_L hat ja schon besser geantwortet - :cool: !<<<<<<
Hallo,

nein Du hast es im Prinzip völlig richtig erkannt!

Ein Beispiel: Ich nenne mich Micky Maus und erstelle ein PGP-Schlüsselpaar für : Micky Maus; [email='m.maus@gmx.net'][/email]
Den lade ich nicht nur auf den bekannten Servern hoch, sondern bewege auch noch etliche Freunde von mir diesen key zu unterschreiben (-> 'Zugewinn' an "Vertrauenswürdigkeit" im web-of-trust!).

Jetzt unterschreibe ich eine email an Dich damit ~ Du erhältst eine Unterschrift, die im Prinzip die höchst mögliche Vertrauensstufe für PGP-Schlüssel erreicht hat. {Mehr geht nicht - nur noch DU mußt jetzt Vertrauen in diesen key setzen}.

Rein theoretisch ist das auch unter S/MIME möglich [wie man mir bei der Erteilung meines Zertifikates schmunzelnd erklärt hat!] - jedoch sehr unwahrscheinlich
Alle Assurer [des Trustcenters] müssten sich quasi verabreden so ein *Micky Maus*-X.509-Zertifikat zu dulden - das ist quasi undenkbar!
Kurz gefasst sind diese "Schlüssel" eben bedeutend aufwendiger in der Handhabung und eignen sich daher 'weniger' für eine Verschlüsselung unter Freunden & Bekannten.
(Wobei ich einige Firmen kenne die innerhalb ihrer Niederlassungen und mit ihren Partner gänzlich auf PGP setzen!)
Auch ist die Gültigkeit dieser Zertifikate nicht unbegrenzt und je "höherklassig" diese sind, desto teurer sind sie auch!
Folgerichtig wird sich eben unter den Bedingungen des privaten Mailverkehrs eher PGP / GPG durchsetzen, während in der Geschäfts- und Behördenwelt S/MIME zum Zuge kommt!

Mit meinem PGP / GPG-keys kann ich kein offizielles Dokument rechtswirksam unterschreiben (z.B. bei einem Notar, Bank, Behörde ...) - mit meinem S/MIME Zertifikat jedoch durchaus!
Bei GPG / PGP kommt es irgendwann darauf an, daß Du und nur Du aktiv wirst und Sicherheit schaffst! [*]
Bei S/MIME kannst Du Dich quasi blind darauf verlassen, daß der Besitzer des keys Thomas Huber auch so heißt und nicht Donald Duck etc. ...

MfG ... Vic

[*] Würden wir beide gemeinsam an einem Ort an einem PC sitzen und dort jeweils ein PGP-Schlüsselpaar erstellen und hernach die public-keys austauschen, so hätten wir unsere Schlüssel direkt {Hand zu Hand} ausgetauscht und dann könntest Du Dich *natürlich* voll und ganz auf die Integrität der Unterschriften mit diesem key verlassen! Würdest Du aber meinen public-key an Peter_Lehmann weitergeben, dann müßte er Dir eben entweder vertrauen [daß da alles in Ordnung ist] oder eben nicht [sprich weiter Schritte selbst unternehmen ...].

Zitat von "Vic~"

...
Den lade ich nicht nur auf den bekannten Servern hoch, sondern bewege auch noch etliche Freunde von mir diesen key zu unterschreiben (-> 'Zugewinn' an "Vertrauenswürdigkeit" im web-of-trust!)...

Diesen Punkt habe ich (organisatorisch) bei PGP noch nicht verstanden. Nehmen wir an, ich bin einer Deiner Freunde und habe Deinen Schlüssel bekommen. Wie kann ich ihn unterschreiben, und wie bekommen das andere mit bzw. können das feststellen oder überprüfen? Außerdem: ich habe testweise meinen PGP-Schlüssel mit meinem CAcert-Zertifikat signiert. Wie sieht das denn ein Empfänger?

Zitat von "Brausepaul"

... ich bin einer Deiner Freunde und habe Deinen Schlüssel bekommen. Wie kann ich ihn unterschreiben, und wie bekommen das andere mit bzw. können das feststellen oder überprüfen? Außerdem: ich habe testweise meinen PGP-Schlüssel mit meinem CAcert-Zertifikat signiert. Wie sieht das denn ein Empfänger?

Hallo,

na so ganz hast du die Sache aber noch nicht verstanden!
Da empfehle ich Dir Dich noch mittels der diversen Hilfen (siehe dort!) noch eingehender zu belesen!

Also einen key den Du erhalten hast unterschreibst Du (bei PGP) mittels "signieren"! Das schaut dann so aus ...

... und so sehen es auch 'die Anderen'.
=> Dadurch kann eben das sogenannte *web-of-trust* aufgebaut werden!

Im Grunde ist es egal mit was für einem Schlüssel einer signiert! Hauptsache der Ablauf ist durchdacht und hat 'Hand und Fuß'.

Zum Bild:
Man sieht ich habe den Schlüssel der TrueCrypt Foundation unterschrieben. Darüber ist eine zeitlich abgelaufene Signatur; auch ist er von der TC-Foundation selbst signiert.
Je mehr Unterschriften ein key hat, desto 'vertrauter' (bekannter) kann man ihn nennen!

Wie Du aus den Manuals ja lesen kannst ist ein Vergleich der Fingerabdrücke *immer* anzuraten! [Ich verzichte nie darauf!]
Es ist möglich bei der Unterschrift zwischen exportierbar, nicht exportierbar und verschiedenen Entrudern (Einführern) zu unterscheiden ~ aber das beschreibe ich jetzt hier aus Platz- & Zeitgründen nicht.

MfG ... Vic