[Netzwelt] GMail: Flächendeckende Verschlüsselung von E-Mails eingeführt

Der Internetgigant Google kündigte am heutigen Freitag an, künftig alle über seinen Freemail-Dienst GMail versendeten E-Mails zu verschlüsseln. Google reagiert damit auf die NSA-Überwachungsaffäre - das Unternehmen will es den Geheimdiensten schwerer machen, die Daten seiner Nutzer auszuspionieren.

"Ab heute wird Gmail immer eine HTTPS-Verschlüsselung einsetzen, wenn Sie E-Mails abrufen oder verschicken", teilte der Sicherheitschef des Mail-Dienstes, Nicolas Lidzborski, mit. Bereits seit 2010 war eine solche Verschlüsselung bei Gmail möglich, sie musste jedoch vom Nutzer manuell aktiviert werden. Jetzt wird sie bei allen Nutzern voreingestellt, ohne dass ein Eingreifen erforderlich ist.

"Die Veränderung bedeutet, dass niemand Ihre Nachrichten mitlesen kann, während diese zwischen Ihnen und den Gmail-Servern hin- und hergeschickt werden", versicherte Lidzborski. "Das gilt unabhängig davon, ob Sie ein öffentliches WLAN-Netz benutzen oder Ihren Computer, Ihr Smartphone oder Ihr Tablet." Auch beim Datenverkehr zwischen verschiedenen Google-Servern blieben die E-Mails geschützt.

Quelle: AFP

 

[The_Emperor]

HTTPS bringt unglaublich viel wenn die NSA und was weiß ich noch direkten Zugriff auf die Google Backplane hat. Aber hey, die Kommunikation zwischen PC und Google ist verschlüsselt. Das die Mails in Plain-Text auf den Google Servern liegen interessiert ja die Presse nicht. PR-Propaganda +1, Benutzerverarschung +1, Sicherheit Ex-Aequo 0

 

[thom53281]

Verschlüsselung bringt nur wirklich etwas, wenn sie an beiden Enden stattfindet (Sender-PC und Empfänger-PC). Es ist zwar nicht verkehrt, HTTPS einzusetzen (eigentlich sollte das schon lange überall Standard sein), aber sonst gilt das, was The_Emperor bereits gesagt hat.


Grüße
Thomas

 

[KidZler]

Ohh Wow ... ich bekomme jetzt Verschlüsselte E-mails und kann sie nicht lesen

Kann doch dan bestimmt die NSA für mich machen

 

[accC]

HTTPS bringt unglaublich viel wenn die NSA und was weiß ich noch direkten Zugriff auf die Google Backplane hat. Aber hey, die Kommunikation zwischen PC und Google ist verschlüsselt. Das die Mails in Plain-Text auf den Google Servern liegen interessiert ja die Presse nicht. PR-Propaganda +1, Benutzerverarschung +1, Sicherheit Ex-Aequo 0

Verschlüsselung bringt nur wirklich etwas, wenn sie an beiden Enden stattfindet (Sender-PC und Empfänger-PC). Es ist zwar nicht verkehrt, HTTPS einzusetzen (eigentlich sollte das schon lange überall Standard sein), aber sonst gilt das, was The_Emperor bereits gesagt hat.


Grüße
Thomas

Ich möchte nicht sagen, dass S2S Verschlüsselung die Wunderwaffe ist, für das vom NSA durchgeführte Angriffsszenario ist es allerdings genau der richtige Schritt.
Clients: C1, C2
Server: S1, S2
Datenaustausch: --
Angriffspunkt: .

C1 -- S1 -.- S2 -- C2

Das hat früher wunderbar funktioniert, weil Google dachte, wenn sie nur über ihre eigenen Leitungen von einem auf einen anderen ihrer eigenen Server übertragen, wäre Verschlüsselung überflüssig. Dass sich das NSA da dran hängen kann, wussten sie scheinbar nicht (oder wollten es nicht wissen). Unverschlüsselten Traffic kann das NSA also problemlos mithören. Jetzt verschlüsselt Google allerdings zwischen S1 und S2. Das Anzapfen dieser Leitung wird nun also nicht mehr als Angriffspunkt genutzt werden können. Jetzt müsste der Angriff entweder direkt auf die Server oder die Clients verlegt werden. Zumindest aber ist (trotzdem es keine End2End-Verschlüsselung ist!) genau der kritisierte Angriff abgewehrt worden. Dass zwischen C1 und C2 natürlich noch viele viele weitere Angriffspunkte offen sind, ist natürlich eine andere Sache.

 

[Kenobi van Gin]

Und im schlimmsten Fall kommt eben irgendein Geheimgericht daher und verordnet Google die Herausgabe der geforderten Daten. So, whats the point
Die einzige wirklich sichere Variante ist eben, wenn auch der Provider den Datenverkehr nicht lesen kann.

[EDIT:]
...mehr Verschlüsselung ist natürlich trotz allem immer besser als weniger Verschlüsselung. Aber dann sollen sie die Leute auch über die immer noch bestehenden Risiken aufklären. So ist das doch nur Augenwischerei.

 

[accC]

Nun, es ist allerdings das, was Google im Rahmen seiner Möglichkeiten machen kann, ohne größeren Aufwand zu betreiben. Als US Unternehmen, mit den schönen lauen Gesetzen des US Marktes, wird man wohl kaum auswandern wollen, zumal der Aufwand nicht unbedingt vernachlässigbar ist. Und gegen US Gesetze zu verstoßen kommt wohl auch kaum in Frage. Also bleibt nur da zu arbeiten, wo man es kann und darf und das ist eben zum Beispiel die verschlüsselte Datenübertragung.

 

[Pleitgengeier]

Ich sehe das genau wie Kenobi van Gin - hier geht es nur darum, den Massen zu verklickern dass die Daten nun sicher sind.
Die paar 1000 Nerds die das ganze durchschauen interessieren doch keinen...

 

[Kenobi van Gin]

@accC: Zugegeben - ich kenne die Gesetzeslage in US-Amerika nicht. Ist die Verschlüsselung von Nutzdaten, so dass der Anbieter selbst sie nicht mehr entschlüsseln kann, dort ein Strafbestand? Das hieße ja, dass Banken auch theoretisch immer dafür sorgen können, dass z.B. Transaktionen ihrer Kunden mitgelesen werden können.
Das wäre ja ein Unding. Denkbar wäre doch z.B. so eine Lösung wie sie Threema bietet: Eine Verschlüsselung auf zwei Ebenen. Die Nutzdaten Ende-zu-Ende und die Verkehrsdaten wie Empfänger und so auf einer zweiten Ebene, die der Anbieter natürlich entschlüsseln können muss.

 

[Nero]

Ich sehe das genau wie Kenobi van Gin - hier geht es nur darum, den Massen zu verklickern dass die Daten nun sicher sind.

Die Daten der Massen sind ja auch sicher, weil uninteressant. Heu eben.

 

[TBow]

Selbst einen ehemaligen NSA Direktor spannen sie jetzt zum Kreide fressen und guten Wind machen ein.

Im Spiegel-Interview äußerst sich Michael Hayden über Freundschaft, Fehler und die Empfindsamkeit der Deutschen.

Was auch immer die NSA getan habe – "wir konnten es nicht geheim halten und haben damit einen Freund in eine sehr schwierige Lage gebracht. Schande über uns, das ist unser Fehler".

http://www.heise.de/newsticker/meldung/Ex-NSA-Chef-Schande-ueber-uns-2152650.html

Wo bleibt das Abkanzeln der deutschen Politik, welches noch vor kurzem Usus war?
Kaum Spüren sie einen wirtschaftlichen Schaden, schon kriechen sie jedem hinten rein.

 

[Kenobi van Gin]

What the fuck! Was soll denn der Scheiß schon wieder?
Anstatt sich immer neue Strategien auszudenken, wie sie den Schaden wieder gut machen, sollen sies endlich akzeptieren: Es interessiert hier niemanden, welche Daten die NSA sammelt!

 

[accC]

@accC: Zugegeben - ich kenne die Gesetzeslage in US-Amerika nicht. Ist die Verschlüsselung von Nutzdaten, so dass der Anbieter selbst sie nicht mehr entschlüsseln kann, dort ein Strafbestand? Das hieße ja, dass Banken auch theoretisch immer dafür sorgen können, dass z.B. Transaktionen ihrer Kunden mitgelesen werden können.

Zumindest wenn da nichts großartig geändert wurde, müsste Crypto immer noch unters Waffengesetz fallen. Auch die liebe EU und insbesondere Deutschland und Frankreich haben da schon Gesetze und Pläne im Petto: Wikipedia Kryptographie und Recht
Soweit ich weiß können Unternehmen in den USA dazu verpflichtet werden Daten heraus zu geben. Apple lässt sich allerdings bspw die Entschlüsselung von Handys bezahlen, in wie fern es dazu verpflichtet ist oder eine freiwillige Serviceleistung eingerichtet ist, weiß ich nicht. Das Problem ist ja auch, dass es da keine "normalen" Gerichte oder öffentlichen Daten gibt, sondern dass das alles in kleinem Kreise gemacht wird.
Allerdings ist das in so weit kein Problem, dass nach den eingeführten Maßnahmen ja auch nur Transportwege zwischen den Clients und Servern abgesichert werden. Da die Emails auf den Servern selbst höchst wahrscheinlich uncrypted liegen bzw. Google über die Keys zum decrypten verfügt, wäre es ohnehin kein Problem für Google die Nachrichten heraus zu geben.
Banktransaktionen + SWIFT sind ohnehin mehr oder weniger transparent und das schon weit länger als die NSA Affäre bekannt ist. Da hat sich nur keine Sau drum gekümmert.

Denkbar wäre doch z.B. so eine Lösung wie sie Threema bietet: Eine Verschlüsselung auf zwei Ebenen. Die Nutzdaten Ende-zu-Ende und die Verkehrsdaten wie Empfänger und so auf einer zweiten Ebene, die der Anbieter natürlich entschlüsseln können muss.

Theoretisch wäre das möglich, von praktischer Möglichkeit würde ich allerdings nicht reden, wenn eine Gesetzgebung das u.U. verbietet bzw. der Kundenstamm End2End-Verschlüsselung nicht einrichten kann. Die Problematik von End2End-Verschlüsselung über mehrere Geräte hinweg habe ich hier im Zusammenhang mit Twitter schon mal ausgeführt. Das gleiche Problem bestünde natürlich auch bei Google für Emails.

 

[bevoller]

Selbst einen ehemaligen NSA Direktor spannen sie jetzt zum Kreide fressen und guten Wind machen ein.

Was auch immer die NSA getan habe – "wir konnten es nicht geheim halten und haben damit einen Freund in eine sehr schwierige Lage gebracht. Schande über uns, das ist unser Fehler".

Was für eine Poöffnung.
Der Fehler war also, dass sie die Schnüffelattacken nicht geheim halten konnten.

Nun, es ist allerdings das, was Google im Rahmen seiner Möglichkeiten machen kann, ohne größeren Aufwand zu betreiben.

Der Aufwand bringt, wie schon gesagt wurde, allerdings nichts, wenn die unverschlüsselten Daten auf Verlangen herausgegeben werden.
Ganz davon abgesehen wird Google vermutlich auch keinen weiteren Aufwand betreiben wollen. Immerhin verdient Google ja indirekt Geld mit den Emails, indem sie für personifizierte Werbung durchsucht werden.
Wenn Google das weiterhin können will, müssen die Nachrichten ja entweder decodiert gespeichert werden oder aber zumindest relativ einfach entschlüsselt werden können.

Wirkungsvoller Schutz ist nur möglich, wenn die User selbst aktiv werden und ihre Nachrichten verschlüsseln.