E-Mail Anbieter

[Iceweazle]

Ich habe die Pro-Version von secure-mail.biz 3 Monate getestet und war sehr zufrieden, so dass ich gleich um ein Jahr verlängert habe. Nur schade finde ich, dass man nicht mit Bitcoins bei denen zahlen kann. Interessant finde ich auch das Angebot von Trilightzone.org. Die dürften auch den Zweck erfüllen, wenn man seine Daten sicherer und privater wahren will als bei Google und anderen Datenkraken.

 

[scorpi]

hotmail!

 

[The_Emperor]

Hotmail = Microsoft = NSA Gold-Businesspartner

 

[gelöschter Benutzer]

Hotmail = Microsoft = NSA Gold-Businesspartner

Ich nutze auch Hotmail, besser gesagt outlook wie es neu betitelt wird. Hat doch auch den Vorteil das die munter mitlesen und dich dadurch in Ruhe lassen, insoweit
man keine Auffälligkeiten betreibt. Alles andere nicht über die moderne Kommunikation sondern unter vier Augen, ist altmodisch aber wirkungsvoll.

Re.: Kann es mir nicht verkneifen mal zu behaupten das bei der kommenden/derzeitigen jungen Generation die Kommunikation (Facebook etc) an der Realität vorbei rauscht. Möchte man so mit seinen Freunden und Partnern ein leben führen das die sozialen Kontakt untereinander vertauscht. Ja es heißt soziale Netzwerke, aber der Kontakt bleibt aus, der Persönlichkeiten ausmacht. Verabredet man sich doch heute zum Sex über ein Plugin/Addon welches dafür genutzt wird, zu meiner Zeit war eine Disco oder eine Feier dafür vorgesehen, aber ich bin alt.

 

[accC]

Hallo, hoffe ich bin hier im richtigen Bereich

Ja

Jedenfalls würde mich mal interessieren welche E-Mail Anbieter ihr so verwendet und wieso?

Einen eigenen Mailserver. Der Anbieter bin also soweit möglich "ich".
Wieso? Weil ich weiß, wer Zugriff auf meine Mails hat und ich den Server so paranoid gegen Spam konfigurieren kann, wie ich möchte.
Weil ich mir bliebig viele Adressen zulegen kann, weil ich die Verbindungen zu meinem Mailserver aufbauen kann, die ich möchte.

Bzw. habt ihr irgendwelche Tipps bezüglich E-Mail Anbieter, welche besonders vertrauensvoll sind eurer Meinung nach und wieso?

Dein eigener Server - ENDE. Alles was davon abweicht ist nicht vertrauenswürdig. Du kannst den Server (mangels statischer IP) auch in ein Rechenzentrum stellen, aber auch da musst du ggf. ein paar Einschränkungen in Kauf nehmen.

Ich benutze z.B. nur die ganz bekannten wie Hotmail, GMX und sowas, also diese Mainstream Anbieter.
Jedoch würde ich gerne auch wieder ne neue E-Mail Adresse anlegen, die Frage ist nur wo?

Die Frage ist, wie paranoid du bist und ob du Geld dafür ausgeben möchtest. Wie ich ja schon angedeutet habe, alles was von deinem eigenen Server abweicht und je weiter es in managed Service abdriftet, ist erst mal potentiell unsicher.
Angefangen habe ich mit einem Webspace, auf dem ich meinen Mailaccount hatte. Hier sitzen zwar auch noch andere (dein Hoster) am Server und können potentiell mitlesen, die Gefahr würde ich jedoch (subjektiv) als geringer einschätzen, als etwa zu einem Mailanbieter zu gehen, von dem öffentlich bekannt ist, dass er deine Emails auf alle möglichen Weisen ausschlachtet.
Webspace/ "Mailspace" bekommst du schon recht günstig für ein paar Cent/Euro im Monat sogar mit eigener Domain.

Gibt es vielleicht Anbieter die keine IP-Loggen?

Die IP-Logs bezüglich Emails sind das kleinste Problem. Das größte Problem ist, dass du Postkarten versendest und keine Briefe.



Übrigens entbindet selbst der eigene Mailserver nicht von einer guten Verschlüsselung. Zwar umgehst du damit "Providerspionage" auf deiner Seite, jedoch gibt es auf dem Weg zum Empfänger noch weitere Knotenpunkte, an denen mitgehört werden kann.
Für die üblichen Zwecke und in Anbetracht der Tatsache, dass die meisten Empfänger wohl nichts mit gecrypteten Mails anfangen können, sollte das aber ein guter Schritt in die richtige Richtung sein.

 

[fuchzga]

Für die üblichen Zwecke und in Anbetracht der Tatsache, dass die meisten Empfänger wohl nichts mit gecrypteten Mails anfangen können, sollte das aber ein guter Schritt in die richtige Richtung sein.

Bevor ich einem Empfänger eine gecryptete Mail schicke, sollte er mir sein Zertifikat zusenden.
Nur so kann ich ihm überhaupt eine verschlüsselte Mail übersenden.

 

[xa.fr]

Also bei mir läuft es folgendermaßen:
- Anmeldungen:
* Wenn beim Login nur ein Username erforderlich ist und keine Mailadresse, verwende ich eine Trashmailadresse. (Spambog, zehnminuten...)
* Wenn der Login per Mailadresse funktioniert (Facebook, Youtube etc.) verwende ich eine mail.ru Adresse. Die Emails bei der mail.ru Adresse werden an eine gmx-Adresse weitergeleitet.

- Normales Zeug, wie ebay, paypal, Kleinanzeigen etc. gmx.de (auch fast alles, auf das ich antworten muss/will)
Auf diese Adresse kommen auch alle meine mail.ru Emails, da dort nur Accountaktivierungen oder Infos eintrudeln, auf die nicht geantwortet werden muss.

- Privates und Uni erledige ich momentan mit einer privatdemail.net Adresse. Eine Bezahlalternative kommt für mich nicht in Frage.

Abgerufen werden nur meine gmx und privatdemail Emails am PC mit Thunderbird und am Handy mit K9-Mail.

 

[accC]

Bevor ich einem Empfänger eine gecryptete Mail schicke, sollte er mir sein Zertifikat zusenden.
Nur so kann ich ihm überhaupt eine verschlüsselte Mail übersenden.

Eine verschlüsselte Mail kannst du ihm eigentlich immer senden. Die Frage ist eher, ob er sie dann auch lesen kann.
Für verschlüsselte Mails, die der Empfänger (hoffentlich) lesen kann, brauchst du in der Regel seinen public key (kein Zertifikat!), den muss er dir aber nicht zwangsweise vorher senden, den kannst du ggf. auch einfach über Schlüsselserver beziehen.

Im Prinzip wäre es so richtig:
Bob stellt seinen public key zur Verfügung
Alice stellt ihren public key zur Verfügung
Alice nimmt Bobs public key um eine Nachricht zu verschlüsseln
Alice signiert die Nachricht mit ihrem privat key
Bob erhält die Nachricht, er entschlüsselt mit seinem privat key und prüft die Signatur mit Alice public key

Das Zertifikat sagt in der Regel nur aus, dass der public key wirklich der Person gehört, die angibt den public key gesendet zu haben.
So funktioniert das mit dem Zertifikat, wobei die Zertifizierungsstelle u.U. auch Alice selbst sein kann bzw ein rl-Treffen zwischen Alice und Bob: msdn.microsoft.com Zertifikat
Das ist allerdings nicht zwangsweise für verschlüsselte Nachrichten notwenig! Für den verschlüsselten Nachrichtenaustausch ist es nicht notwendig sicher zu stellen, dass der Empfänger auch wirklich die Person ist, für die sie sich ausgibt.

 

[awichai]

Hab mir jetzt mal Mailadresse inklusive Domain bei DomainFactory geholt:

http://www.df.eu/de/e-mail-hosting/my-mail/

War vorher bei web.de und googlemail. Bei Web.de hat mich der begrenzte Speicherplatz genervt, gmail fand ich von der Benutzung und Speicher super. Hab aber Geschichten gelesen, dass die manchen Leuten manchmal einfach den Account dichtmachten, wenn man z.B. auf Youtube gegen Nutzungsbedingungen verstößt. Hab keine Ahnung ob da was dran ist, aber die paar Cent die ein Mailserver im Monat kostet.

Bestellung und Einrichtung geht überigens richtig schnell bei DomainFactory.

 

[Steeve]

Ich benutze Googlemail, da ich das Prima mit meinem Android synchronisieren kann, auch andere E-Mail-Adressen von anderen Providern lassen sich problemlos in GMail intergrieren. Auch das Wegfallen einen E-Mail-Programms (z.B. Thunderbird) ist nur vom Vorteil finde ich. Ich komme gut zurecht mit der Oberfläche im Browser

 

[fuchzga]

Eine verschlüsselte Mail kannst du ihm eigentlich immer senden. Die Frage ist eher, ob er sie dann auch lesen kann.
Für verschlüsselte Mails, die der Empfänger (hoffentlich) lesen kann, brauchst du in der Regel seinen public key (kein Zertifikat!), den muss er dir aber nicht zwangsweise vorher senden, den kannst du ggf. auch einfach über Schlüsselserver beziehen.

Wenn du den public Key des Mailempfängers in dein Schlüsselverwaltungstool importiert hast, werden dir Name, Emailadresse, Key-ID, Fingerprint angezeigt.
Wo ist der Unterschied zu einem Zertifikat?
Schlüssel-Integrität ist der Dreh- und Angelpunkt bei diesem Konstrukt.

Im Prinzip wäre es so richtig:
Bob stellt seinen public key zur Verfügung
Alice stellt ihren public key zur Verfügung
Alice nimmt Bobs public key um eine Nachricht zu verschlüsseln
Alice signiert die Nachricht mit ihrem privat key
Bob erhält die Nachricht, er entschlüsselt mit seinem privat key und prüft die Signatur mit Alice public key

Erst verschlüsseln - dann signieren? Hab ich anderes in Erinnerung.
Ist es nicht so, dass die plain Textmail erstmal von Alice signiert wird?
Dazu wird der Hashwert der Mail mit dem private Key von Alice verschlüsselt. Dieser verschlüsselte Hashwert wird an der Mail angehangen.
Danach wird ein random Session-Key erzeugt. Die Mail wird mit dem Session-Key verschlüsselt.
Der Session-Key wird mit dem public Key von Bob verschlüsselt und zur verschlüsselten Nachricht angehangen.

Wenn Bob dann diese Mail nicht entschlüsseln kann, dann weiss ich auch nicht..

 

[accC]

Wenn du den public Key des Mailempfängers in dein Schlüsselverwaltungstool importiert hast, werden dir Name, Emailadresse, Key-ID, Fingerprint angezeigt.
Wo ist der Unterschied zu einem Zertifikat?

Ich versuche es mal anschaulich zu machen:

Du möchtest mit unserer netten Bundeskanzlerin schreiben.
Also triffst du dich in den Weiten des Internets in einer dunklen Ecke mit einer schattigen Person, die angibt:
"Ich bin die Angie, hier hast du meine Mailadresse Angela Merkel<merkel@yahoo.de> public key: ...."
Der Fingerprint, den du "siehst" ist quasi nur ein eindeutiger "Kurzname" für den public key.

Froh und munter spazierst du jetzt zu deinem Postfach und trägst diese Daten in dein Adressbuch ein:
Name: Merkel
Vorname: Angela
Mail: merkel@yahoo.de
Key: ....

Am gleichen Abend verfasst du noch eine Mail und sendest diese, schön verschlüsselt mit dem public key von deiner Frau Merkel.


Was dir aber nicht aufgefallen ist, dass du dich in dieser dunklen Ecke nicht mit Frau Merkel sondern mit Herrn Stoiber getroffen hast.
Der lacht sich jetzt ins Fäustchen, weil der key, mit dem du verschlüsselt hast, nicht der von Frau Merkel ist, sondern der von ihm.
Edmund kann nun in aller Ruhe deine Nachrichten dekodieren und mitlesen.

Hättest du ein Zertifikat verwendet, wäre dir das nicht passiert.
Ein Zertifikat ist eine Art Beweis.

Das funktioniert so:
Bevor die schattige Person in die dunkle Ecke zu dir kommt, muss sie zu einer Zertifizierungsstelle laufen.
Die ist gut beleuchtet und dank modernster Technik kann herausgefunden werden: Die schattige Person ist Frau Angela Merkel.
Frau Merkel bekommt nun von der Zertifizierungsstelle ein Zertifikat, das beweist, dass ihr public key wirklich genau der von ihr, Frau Angela Merkel, ist.
Ihr trefft euch nun in der dunklen Ecke, in der du die Person wieder nicht richtig erkennen kannst.
Sie gibt dir ihren public key und zeigt dir dazu noch das Zertifikat. Mit Hilfe des Zertifikats und des public keys kannst du dir jetzt sicher sein, dass der public key, den du gerade erhalten hast, wirklich genau der von Frau Merkel ist.


Die Zertifizierungsstelle muss eben eine Stelle sein, der du und Frau Merkel trauen.
Im richtigen Leben würde es ausreichen sich persönlich zu treffen, da erkennst du ja die Person, die vor dir steht. Im Internet erkennst du die Person nicht eindeutig (einen Benutzernamen kann man sich fast überall beliebig anlegen und wer weiß, ob gerade wirklich die Person am PC sitzt, die vorgibt zu schreiben) - da brauchst du eben diese Zertifizierungsstelle.

Erst verschlüsseln - dann signieren? Hab ich anderes in Erinnerung.
Ist es nicht so, dass die plain Textmail erstmal von Alice signiert wird?

Auf die Reihenfolge habe ich nicht mehr geachtet. War ja auch für die Erklärung nicht wichtig.
Es ging mit darum, dass Verschlüsselung und Signatur nicht zwangsweise zusammen hängen müssen (was verschlüsselt ist, muss nicht signiert sein) und dass Zertifikate keine Keys sind.


Beispielsweise könntest du Verschlüsselung auch dazu nutzen vormals generierte Informationen in gecrypteter Weise darzustellen und später durch Hinzugabe des Schlüssels nachträglich lesbar zu machen. Deine Identität muss dafür nicht bekannt sein.

 

[fuchzga]

Für verschlüsselte Mails, die der Empfänger (hoffentlich) lesen kann, brauchst du in der Regel seinen public key (kein Zertifikat!), den muss er dir aber nicht zwangsweise vorher senden, den kannst du ggf. auch einfach über Schlüsselserver beziehen.

Hier schreibst du ein Zertifikat wäre nicht notwendig.

Hättest du ein Zertifikat verwendet, wäre dir das nicht passiert.
Ein Zertifikat ist eine Art Beweis.

Und hier schreibst du ein Zertifikat wäre notwendig.

Frau Merkel bekommt nun von der Zertifizierungsstelle ein Zertifikat, das beweist, dass ihr public key wirklich genau der von ihr, Frau Angela Merkel, ist.

Hier hab ich eine Zertifizierungsstelle: https://secure.instantssl.com/produ...ificate&currency=EUR&region=Europe&country=DE
Hier beweise ich also meine Identität?

Ich möchte eigentlich gar nicht weiter abschweifen.
Weiter oben meintest du "in Anbetracht der Tatsache, dass die meisten Empfänger wohl nichts mit gecrypteten Mails anfangen können"...
Das ist ein Henne-Ei-Problem. Die Alice kann dem Bob keine gecrpytete Mail senden, wenn Bob ihr nicht vorher den Schlüssel dazu gegeben hat.
So einfach ist das.

 

[accC]

Willst du nicht verstehen oder bist du ein Pisa-Opfer? Achte bitte darauf wofür es notwendig ist.

Das Zertifikat ist nicht notwendig um zu Verschlüsseln. Für Verschlüsselung brauche ich (mindestens) einen Key.
Das Zertifikat ist notwendig um deine Identität zu "beweisen". Für einen Identitätsbeweis brauche ich allerdings keinen Key.

Dass du häufig im Zusammenhang mit Verschlüsselung auch einen Identitätsbeweis haben möchtest, ist zwar sicherlich der Fall, aber es handelt sich dennoch um 2 verschiedene Dinge.


In dem zweiten Beitrag wollte ich den Unterschied zwischen key und Zertifikat deutlich machen.
In dem konstruierten Beispiel habe ich einen Fall geschildert, wo eben auch ein Zertifikat notwendig ist. Es ist aber nicht immer notwendig.
Nehmen wir an, wir sitzen uns gegenüber (und kennen uns natürlich) und um uns herum sitzen weitere Menschen. Damit wir uns unterhalten können, ohne dass andere uns verstehen, brauchen wir eine Verschlüsselung (und keys), da wir aber ja sehen, dass wir mit der korrekten Person sprechen, brauchen wir keine Zertifikate. Manchmal muss man die Identität einer anderen Person auch gar nicht kennen, sondern will nur, dass Dritte die Kommunikation nicht mithören können.


Wie streng und genau das mit dem Identitätsbeweis genommen wird, kann ich dir nicht sagen.
Ohne, dass es ein Beweis wäre, scheint das System ja schon seit einigen Jahren mehr oder weniger gut zu funktionieren.
Es gab auch schon einige Zertifizierungsstellen, die sich selbst vom Markt gekickt haben, dadurch, dass sie fahrlässig mit der Zertifizierung umgegangen sind.
Ich weiß nicht genau, was der Anbieter da im zweiten Schritt macht bei "Collect (...) your certificate", schätze aber mal, dass das einem ausreichenden Sicherheitsstandard entspricht.

Weiter oben meintest du "in Anbetracht der Tatsache, dass die meisten Empfänger wohl nichts mit gecrypteten Mails anfangen können"...
Das ist ein Henne-Ei-Problem. Die Alice kann dem Bob keine gecrpytete Mail senden, wenn Bob ihr nicht vorher den Schlüssel dazu gegeben hat.

Und was hat das mit einem Zertifikat zu tun? - Nichts! So einfach ist das :P
Schlüssel ist eben Schlüssel und Zertifikat Zertifikat. Dafür gibt es nicht aus Spaß 2 verschiedene Begriffe.

 

[fuchzga]

Ach gottchen, du bist ja putzig.
Ich frag mich allerdings warum du immer solche Geschichten erfindest. Anscheinend um von deinem Unwissen abzulenken!?
Immerhin warst es ja du, der hier verschlüsselte Mails an Leute versendet, von denen du nicht mal einen Key besitzt.
Ich weiss nicht wie du das immer gemacht hast.

Dann plötzlich behauptest du, dass der public Key des Empfängers zur Verschlüsselung der Mail verwendet wird. Hast du das jetzt mal endlich nachgelesen? Nur woher hast du diese Weisheit?
Die Mail wird nicht mit dem public Key des Empfängers verschlüsselt. Bitte nochmal genauer nachlesen. Evtl. kommst du dann auch drauf.

Um jetzt mal auf dein Niveau runter zu kommen:

Nehmen wir an, wir sitzen uns gegenüber (und kennen uns natürlich) und um uns herum sitzen weitere Menschen. Damit wir uns unterhalten können, ohne dass andere uns verstehen, brauchen wir eine Verschlüsselung (und keys), da wir aber ja sehen, dass wir mit der korrekten Person sprechen, brauchen wir keine Zertifikate. Manchmal muss man die Identität einer anderen Person auch gar nicht kennen, sondern will nur, dass Dritte die Kommunikation nicht mithören können.

Ich treffe mich also mit dir in der Bar und wir tauschen einen Schlüssel aus. Dieser Schlüssel wird für die Unterhaltung in der Bar verwendet.
Ok, das geht klar. Das ist ein symmetrischer Key.
Am Ende der Unterhaltung gehen wir getrennte Wege. Der Key ist damit ungültig geworden.
Das ist aber leider nur ein Teil von dem wie Mailverschlüsselung funktioniert.

Es ist nunmal so, dass man sich nicht immer in einem geschlossenen Raum befindet. Es kommt auch vor, dass man einen Gesprächspartner vorher noch nie gesehen hat.
Woher weiss ich denn, dass der Mensch mir gegenüber sitzt auch wirklich Bob ist.
Und warum so umständlich, ich soll den Menschen erstmal treffen, bevor ich eine Nachricht an ihn verschlüsselt übertragen kann?

Ich hoffe du kommst mit und kannst diesen Gedankengang nachvollziehen?
Doch ich denke schon... sieht ja immerhin schon besser aus, als das was du vor Tagen hier noch abgelassen hast!

Du bekommst jetzt also einen Key oder ziehst ihn dir von einem Keyserver.
Was steht in dem Key drin? Random Text?
Schau mal rein in den Key. z.B. mit http://www.pgpdump.net/

Das Zertifikat ist nicht notwendig um zu Verschlüsseln. Für Verschlüsselung brauche ich (mindestens) einen Key.
Das Zertifikat ist notwendig um deine Identität zu "beweisen". Für einen Identitätsbeweis brauche ich allerdings keinen Key.

Der public Key den du vor dir hast ist ein Zertifikat. Wieso verstehst du das nicht?
Es steht drin für welche UserID der Key gültig ist, wann erstellt, wie lange gültig, für welchen Zweck der Key verwendet werden darf, wer ist der Aussteller dieses Keys.

Dieser public Key wird nicht erst zum Zertifikat, wenn der Beweis der Identität erbracht ist.
Wie soll das aussehen: Ändert sich der public Key, wenn jemand Vertrauenswürdiges den Key nachträglich signiert? Oder kommt dann um den public Key eine "Hülle"? Häh?
Das muss dir doch unlogisch vorkommen!!

Wie du die Identität verifizierst ist dir überlassen. Ich werfe mal Web of Trust in den Raum.. Du kannst auch einer CA vertrauen.
Du kannst dem ganzen auch blind vertrauen. Ist alles dir überlassen.

 

[accC]

Ich weiß nicht, wo dein Problem ist. Wenn du nur streiten willst, such dir bitte eine andere Person.
Das ist der letzte Beitrag von dir, auf den ich hier eingehe. Scheinbar reißt du einzelne Aussagen von mir bewusst aus dem Kontext, leitest aus speziell konstruierten Fällen allgemeine Aussagen ab und erklärst dann, dass das, was ich angeblich gesagt hätte, falsch sei. Für so einen Unsinn habe ich keine Zeit..

Immerhin warst es ja du, der hier verschlüsselte Mails an Leute versendet, von denen du nicht mal einen Key besitzt.

Technisch wäre es möglich: 11001010 10110101 01010101 10101000 10101011 - have fun mit der verschlüsselten Nachricht.
Dass der Empfänger dann eventuell nichts mit der verschlüsselten Nachricht anfangen kann, habe ich aber auch gesagt:

Eine verschlüsselte Mail kannst du ihm eigentlich immer senden. Die Frage ist eher, ob er sie dann auch lesen kann.
Für verschlüsselte Mails, die der Empfänger (hoffentlich) lesen kann, brauchst du in der Regel seinen public key

Natürlich macht es in den meisten Fällen nur dann Sinn verschlüsselte Nachrichten zu senden, wenn der rechtmäßige Empfänger den Code auch wieder entschlüsseln kann. Hier ist zu unterscheiden, was technisch möglich und was praktisch sinnvoll ist.
In so fern bitte ich dich noch mal, wenn du schon glaubst auf meine Aussagen eingehen zu müssen, diese vollständig zu lesen und nicht nur Teile davon aus dem Zusammenhang zu reißen und mir dann Unwissenheit zu unterstellen.

Dann plötzlich behauptest du, dass der public Key des Empfängers zur Verschlüsselung der Mail verwendet wird.

Ja, ganz plötzlich direkt im Folgesatz! Mit der Begründung, dass (in Annahme assymetrischer Crypto und dass der Empfänger auch den private key hat) erst dann der Empfänger den Code wieder entschlüsseln und die Nachricht lesen kann.

Die Mail wird nicht mit dem public Key des Empfängers verschlüsselt. Bitte nochmal genauer nachlesen.

Nicht? Womit denn sonst? Mit dem public key von seinem Nachbarn?

Also entweder bin ich selten dämlich, dann aber offensichtlich auch die Autoren auf Wikipedia oder du lebst einfach in einem anderen Universum:
Bildchen:

Text: Asymmetrisches Kryptosystem #Anwendung @ Wikipedia

Zur Verschlüsselung wird der öffentliche Schlüssel auf den zu verschlüsselnden Text angewandt. Der verschlüsselte Text wird dann vom Schlüsselinhaber mit dem privaten Schlüssel wieder entschlüsselt.

Vielleicht bin ich einfach zu dumm, aber für mich bleibt da nur zu verstehen, dass der Absender mit dem public key verschlüsselt und der Empfänger mit seinem private key wieder entschlüsselt.

Scheinbar wird doch mit dem public key des Empfängers verschlüsselt?! Und jetzt?
Bitte erklärs mir!

Ich treffe mich also mit dir in der Bar und wir tauschen einen Schlüssel aus. Dieser Schlüssel wird für die Unterhaltung in der Bar verwendet. (.....)[unnützes blabla]

Ich habe nie von symmetrischer Crypto gesprochen. Wie kommst du denn darauf? Bitte gib doch mal die Stelle an, aus der du glaubst herauszulesen, dass ich von symmetrischer Crypto spreche!
Unterstelle mir bitte keine Aussagen, die ich so nie gemeint oder getätigt habe!

Und warum so umständlich, ich soll den Menschen erstmal treffen, bevor ich eine Nachricht an ihn verschlüsselt übertragen kann?

Manchmal muss man die Identität einer anderen Person auch gar nicht kennen, sondern will nur, dass Dritte die Kommunikation nicht mithören können.

Was verstehst du daran nicht? Ich sagte, dass es manchmal es nicht notwendig ist. Ich habe NIE behauptet, dass du jeden Menschen mit dem du verschlüsselt kommunizieren möchtest, vorher treffen sollst!
Unterstelle mir bitte keine Aussagen, die ich so nie gemeint oder getätigt habe!

Du bekommst jetzt also einen Key oder ziehst ihn dir von einem Keyserver.
Was steht in dem Key drin? Random Text?

Als ich meine letzten Keys generiert habe, konnte ich für alle Felder beliebige Informationen eintragen, wenn ich wollte, auch Bill Gates und Microsoft.
Was bedeutet das jetzt? Dass ich Bill Gates bin und für Mircosoft arbeite? - Nein, offensichtlich nicht. Klar kannst du während der Schlüsselgenerierung beliebige Daten angeben. Die Frage ist eben, ob diese dann auch korrekt sind.
Offensichtlich müssen sie es nicht sein. Das genügt also sicherlich keinem Identitätsnachweis. Mit diesen Informationen weißt du nur, dass du eine verschlüsselte Kommunikation mit einer Person führst, die sich für Bill Gates ausgibt. Du weißt allerdings nicht, ob diese Person wirklich Bill Gates ist. Die Angaben sind also erst mal für die Katz'.

Ich treffe mich also mit dir in der Bar und wir tauschen einen Schlüssel aus. Dieser Schlüssel wird für die Unterhaltung in der Bar verwendet.
Ok, das geht klar. Das ist ein symmetrischer Key.

Aha und wo habe ich gesagt, dass wir symmetrische Crypto verwenden und dass wir einen Schlüssel verwenden?
Nirgends, achso, stimmt. Ja gut, schön dass deine Ausführung damit vollkommen irrelevant und überhaupt nicht passend zu meinem Beitrag ist.

Es ist nunmal so, dass man sich nicht immer in einem geschlossenen Raum befindet. Es kommt auch vor, dass man einen Gesprächspartner vorher noch nie gesehen hat.

Ja, und? Das habe ich doch auch nie behauptet, oder? Falls doch, bitte ich um ein Zitat.
Noch mal eine kleine Bitte: Lege mir keine Aussagen in den Mund, die ich nie getätigt habe.

Woher weiss ich denn, dass der Mensch mir gegenüber sitzt auch wirklich Bob ist.

Vielleicht weil du seine Mutter bist und ihn rausgeschissen hast. In meinem Beispiel ...

Nehmen wir an, wir sitzen uns gegenüber (und kennen uns natürlich) und um uns herum sitzen weitere Menschen. Damit wir uns unterhalten können, ohne dass andere uns verstehen, brauchen wir eine Verschlüsselung (und keys), da wir aber ja sehen, dass wir mit der korrekten Person sprechen, brauchen wir keine Zertifikate. Manchmal muss man die Identität einer anderen Person auch gar nicht kennen, sondern will nur, dass Dritte die Kommunikation nicht mithören können.

Ist Annahme. Diese kannst du nicht weiter in Frage stellen, weil Voraussetzung, dass die nachfolgende Aussage Gültigkeit erlangt.

Und warum so umständlich, ich soll den Menschen erstmal treffen, bevor ich eine Nachricht an ihn verschlüsselt übertragen kann?

Habe ich das behauptet? - Nein. Noch mal der Hinweis: Lege mir keine Aussagen in den Mund, die ich nie getätigt habe.

 

[Kenobi van Gin]

@middendorp: Lavabit ist vom Netz, oder sehe ich das falsch? Schade, suche auch grad nach nem Anbieter und möchte ungern zu Google.

Also lavabit ist tatsächlich down. Könnt ihr mal googlen, gibt zahlreiche Berichte dazu.
Was haltet ihr denn so von mail.de? Diese Seite lässt mail.de eigentlich ganz gut dastehen.

[EDIT:]
Ich teste mail.de jetzt mal ein bisschen. Was schon direkt nervt: Man muss bei der Registrierung sein Einverständnis zur Verwendung der eigenen Daten für Werbezwecke geben. Diese kann man allerdings jederzeit widerrufen per Mail an info@mail.de, wovon angeblich die Nutzung des Mail-Services nicht betroffen ist (nachzulesen hier).

[EDIT2:]
Interessant: Habe eben beim ersten Mal die Registrierung wegen dieser erzwungen Einverständnis abgebrochen. Ca. 15 Minuten später habe ich das ganze nochmal gemacht, mit den gleichen Daten.
Man bekommt dann per SMS einen Verifizierungscode zugeschickt. Habe beide Male den gleichen bekommen. Da liegt doch die Vermutung nahe, dass der Code nicht völlig zufällig generiert wird, sondern möglicherweise anhand der angegebenen Daten. Das hieße ja, dass man den Code prinzipiell vorhersagen könnte und nicht die richtige Handynummer angeben müsste, oder?

[EDIT3:]
Jetzt haben sie scheinbar meine angegebenen Daten kontrolliert, die ich z.T. falsch angegeben hatte, und mein Konto gelöscht. Damit ist diese kurze Geschäftsbeziehung auch schon wieder vorbei.

 

[accC]

[EDIT2:]
Interessant: Habe eben beim ersten Mal die Registrierung wegen dieser erzwungen Einverständnis abgebrochen. Ca. 15 Minuten später habe ich das ganze nochmal gemacht, mit den gleichen Daten.
Man bekommt dann per SMS einen Verifizierungscode zugeschickt. Habe beide Male den gleichen bekommen. Da liegt doch die Vermutung nahe, dass der Code nicht völlig zufällig generiert wird, sondern möglicherweise anhand der angegebenen Daten. Das hieße ja, dass man den Code prinzipiell vorhersagen könnte und nicht die richtige Handynummer angeben müsste, oder?

Nicht zwangsweise. Wenn dein Konto bereits erstellt wurde, allerdings noch auf Aktivierung gewartet hat, könnte es durchaus sein, dass lediglich ähnlich einer "Aktivierungscode erneut senden"-Funktion eben der gleiche Code per SMS gesendet wurde. In sofern kann der Code trotzdem pseudozufällig erzeugt worden sein.

Wäre aber so ganz ohne Infos kann man das wohl nicht sagen und selbst bei einem Datensatz - Code Paar wäre es, wenn nicht gerade äußerst offensichtlich schwer zu sagen, ob der Code zufällig generiert oder auf Grundlage des Datensatzes generiert wurde.

 

[Kenobi van Gin]

Zumal der Aktivierungscode nur aus 4 Ziffern bestand. Einen ganzen Datensatz auf 4 Ziffern umzurechnen kommt ja, sofern man das System nicht kennt, einer Zufallszahl schon sehr nahe.

 

[accC]

Bei 4 Ziffern könnte man aber sogar brute forcen sind ja nicht mal 1,1mio Möglichkeiten..