PGP/MIME oder PGP/Inline? Einstellungen

[Domino]

Wenn jemand zu bequem oder doof ist GPG zu installieren, dann soll er sich mit den .dat Anhang rumärgern.

Wer den Anhang nicht mehr sehen will braucht ja nur GPG zu installieren, vielleicht bekommen wir die Verschlüsselung ja so unters Volk.


Domino

[Yopie]

Ich habe übrigens noch nie eine Anfrage zum Anhang oder zu den komischen Zeichen bei Inline-Signierung bekommen. Ich glaube, es interessiert die meisten User einfach nicht.

[Gast_Bo Derek_*]

Doofi?

Ich hab noch ein Ärgernis festgestellt: die Signatur wird offenbar durch das Anhängen verändert und ist nicht mehr gültig! Das bedeutet, dass ein Empfänger dieser Mail die Signatur nicht mehr nachträglich verifizieren kann. Mit Inline funktioniert es auch nachträglich prima.

Was meint ihr dazu?

[Gast_piet_*]

>Was meint ihr dazu?

Die Lösungen unter Windows scheinen noch nicht allzu gut zu funktionieren nach euren Berichten hier.

piet

[Yopie]

Die Lösungen unter Windows scheinen noch nicht allzu gut zu funktionieren nach euren Berichten hier.

Ich denke, dass hängt stark von den benutzten Programmen ab. Mozilla mit Enigmail klappt nach allem, was ich bisher beobachten kann, jedenfalls hervorragend. Mittlerweile ist über Enigmail auch die Schlüsselverwaltung möglich

Andere Lösungen kenn ich leider nicht gut genug, um mich dazu zu äußern.

Der Beitrag wurde von Yopie bearbeitet: 17.02.2005, 15:50

[Gast_piet_*]

Ok...die Benutzung unter OE oder Outlook scheint noch nicht allzu gut zu funktionieren. Wohl auch ein Verdienst des Closed Source.

piet

[Gast_Bo Derek_*]

Ich denke, dass hängt stark von den benutzten Programmen ab. Mozilla mit Enigmail klappt nach allem, was ich bisher beobachten kann, jedenfalls hervorragend. ...
[right][snapback]79935[/snapback][/right]

@Yopie: es geht mir momentan vor allem um Empfänger, die kein Programm zum Entschlüsseln empfangener Mails einsetzen. Ich will erreichen, dass diese Personen

1. Transparent die Verwendung der asymmetrischen Verschlüsselung nachvollziehen und
2. animiert werden, ein solches Programm einzusetzen und
3. auch bereits empfangene Mails noch im Nachhinein entschlüsseln können, so als eine Art "selektivem Anreiz" durch das erste Erfolgserlebnis.

@piet: ich bin mir nicht sicher, ob das Problem unbedingt mir Windows zusammenhängt. Ich werde noch andere Programme ausprobieren und versuchen, das Problem einzugrenzen.

Der momentane Stand für mich ist, dass PGP/Mime sehr anfällig für die Dekodierung von E-Mail-Clients und auch E-Mail-Server ist. Communigate kann mit PGP/MIME umgehen, GMX-Webmail nicht. PGP/Inline funktioniert überall.

[Yopie]

@Bo:
Ich habe da auch so einen kleinen Missionierungseifer. Da aber in meinem Bekanntenkreis eigentlich keiner GPG einsetzt, verschlüssele ich nicht, sondern signiere nur. Aber auch da ist ja, wenigstens bei Inline-Sig, klar erkennbar, dass irgendwas an der Mail anders als normal ist. Nachfragen kamen aber keine.

Ich kenne aber keinen OE-User. Die fortgeschrittenen nehmen Mozilla oder Outlook, die anderen die Web-Oberflächen der Freemailer. Auch GMX kann Mime-signierte Mails darstellen. Wie gesagt, Verschlüsselung weiß ich nicht. Aber jeder konnte bislang meine Mails lesen, da auch darauf geantwortet wurde.

[Gast_Bo Derek_*]

Ich habe nun mal folgende Tests gemacht:

1. Eine MIME-signierte Mail mit Outlook an jemanden schicken, der kein PGP o.ä. hat:

a) Pegasus Mail

Pegasus Mail zeigt den Nachrichtentext korrekt an, aber im Anhang findet man zwei Dateien:

- eine Textdatei mit dem Nachrichtentext und
- eine Datei mit der Signatur

Pegasus bezeichnet den zweiten Anhang als unbekannte Datei und WinPT dechiffriert die Signatur als nicht gültig.

Fazit: der Mailinhalt bleibt besser lesbar, aber sicher ist auch das nicht.

b) Thunderbird

Thunderbird zeigt die Mail ganz normal an, als sei sie nicht signiert. Erst der Blick in den Quellcode offenbart die Signatur. Auch ein Anhang ist nicht an der Mail. Die Signatur im Quelltext lässt sich allerdings im Nachhinein auch nicht verifizieren.

Fazit: lesbar ist die Mail schon, nur ist die Signatur weder transparent noch nachträglich nutzbar. Schade ist auch, dass Thunderbird überhaupt nichts erkennt. So quittiert das Programm den Klick auf "Nachrichten-Sicherheit" mit der Botschaft, dass die Mail nicht signiert sei.

c) Outlook

Outlook selbst zeigt die Mail ganz normal an, fügt jedoch diese unbrauchbare dat-Datei als Attachment an. Nett ist, dass Outlook wenigstens die Mail als digital signiert anzeigt (dem Briefsymbol wird ein kleiner "Orden" angehängt).

Fazit: trotz Anhang liefert Outlook von allen drei Varianten noch das beste Ergebnis. Die Mail ist lesbar und als digital signiert markiert. Mit der Signatur selbst konnte man bei allen drei Programmen im Nachhinein nichts anfangen.

[Yopie]

Danke für den Test.

Meine These zu Thunderbird:
Wenn jemand GPG hat, dann hat er in aller Regel auch bei Thunderbird das Enigmail-Plugin.
Ohne GPG nutzt ihm eine signierte Mail nicht, da er sie nicht überprüfen kann. Dann nutzt ihm aber auch der Hinweis über die Signatur nichts.

Mit Plugin ist natürlich auch die Sig nachträglich überprüfbar, das wird bei den anderen Programmen genauso sein.
Imho macht Thunderbörd das schon ganz richtig.

Erfreulich, dass bei allen Programmen der Nachrichtentext lesbar angezeigt wird.

[Gast_Bo Derek_*]

Meine These zu Thunderbird:
Wenn jemand GPG hat, dann hat er in aller Regel auch bei Thunderbird das Enigmail-Plugin.
Ohne GPG nutzt ihm eine signierte Mail nicht, da er sie nicht überprüfen kann. Dann nutzt ihm aber auch der Hinweis über die Signatur nichts.
[right][snapback]79949[/snapback][/right]

Diese These scheint zu stimmen, denn mit Enigmail arbeitet Thunderbird problemlos zusammen, auch wenn bei Inline-Mails eine Leerzeile vor den Text gestellt ist, was man allerdings verschmerzen kann. Die Signaturen werden sowohl bei Inline als auch MIME korrekt erkannt und der Nachrichtentext einwandfrei dargestellt.

Ich verstehe nur nicht, warum die Signatur sich nicht über die Zwischenablage bzw. das Nachrichtenfenster manuell mit WinPT verifizieren lässt - weiß das jemand?

[Yopie]

Ich verstehe nur nicht, warum die Signatur sich nicht über die Zwischenablage bzw. das Nachrichtenfenster manuell mit WinPT verifizieren lässt - weiß das jemand?
[right][snapback]79950[/snapback][/right]

Kann das denn grundsätzlich überhaupt gehen? Du hast doch bei Mime zwei Teile, einmal den Text-Teil:

CODE

This is an OpenPGP/MIME signed message (RFC 2440 and 3156)

--------------enig....
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable  
TTEXTTT

Und dann die Sig als Anhang:

CODE

Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org....

Die gehören zwar zusammen, aber es sind verschieden Dinge, die im Gegensatz zu Inline-Sigs imho grundsätzlich nicht manuell überprüft werden können. Könnte da aber auch falsch liegen.

Nachtrag:
Ich denke, ich liege nicht ganz so falsch. PGP/Mime ist ja speziell für Mails, wobei ich Inline-signierte Texte ja auch via usb-stick, diskette o.ä. weitergeben könnte. Für PGP/Mime brauch ich aber immer ein Mailprogramm. Falls das Blödsinn ist, bitte schnell berichtigen.

Hier noch was zum Aufbau von PGP/Mime:
http://kai.iks-jena.de/pgp/gpg/gpganhang1.html

Der Beitrag wurde von Yopie bearbeitet: 17.02.2005, 18:32

[Gast_Bo Derek_*]

Man kann sich ja den Quelltext der Mail anzeigen lassen. Leider lässt der sich nicht verifizieren, obwohl die Sig-Infos da alle drin sind.

Aber ich muss schon sagen, Thunderbird und Enigmail spielen hervorragend zusammen!

[Yopie]

Man kann sich ja den Quelltext der Mail anzeigen lassen. Leider lässt der sich nicht verifizieren, obwohl die Sig-Infos da alle drin sind.

Ich denke, dass liegt einfach an der Tatsache, dass die Sig ein Anhang und nicht Teil der eigentlichen Nachricht ist. Siehe dazu auch meinen verspäteten Nachtrag.

[Gast_Bo Derek_*]

Der Aufbau ist mir glaube ich schon klar, doch egal was wo auch immer steht, alles ist in der Rohansicht der Mail zu sehen.

[Gast_Bo Derek_*]

Auf Kais Homepage habe ich noch das gefunden:

Da der zweite Body Anteil als Attachment abgespeichert werden kann und die gleiche Form aufweist wie die bekannten "PGP/INLINE" Ciphertexte können Personen, deren E-Mail Clients nicht PGP/MIME fähig sind, einfach diesen Body Anteil als Datei abspeichern und per Kommando, bzw. Datei entschlüsseln Menübefehl der GUI's entschlüsseln.

Genau so habe ich mir das vorgestellt, nur klappt es nicht. Kann das jemand mal bei Gelegenheit testen?

[Yopie]

Auf Kais Homepage habe ich noch das gefunden:
Genau so habe ich mir das vorgestellt, nur klappt es nicht. Kann das jemand mal bei Gelegenheit testen?
[right][snapback]79961[/snapback][/right]

Bei mir hat das gerade mit einer verschlüsselten Nachricht geklappt, aber ich weiß nicht ob Du Dir das so vorgestellt hast:
1) Alles von "Content-Type: application/octet-stream; name="encrypted.asc" " bis "-----END PGP MESSAGE-----" in die Zwischenablage kopieren.

2) Dann mit z.B. mit GPGShell die Zwischenablage wieder entschlüsseln; dazu im Dos-Fenster das Mantra eingeben.

3) Der verschlüsselte Text erscheint in Klarschrift in einem GPGShell-Fenster.

Nachtrag: Zu dem manuellen Verifizieren von nur-signierten Mails finde ich dort nichts; Dein Zitat bezieht sich auf verschlüsselte Nachrichten.

Der Beitrag wurde von Yopie bearbeitet: 17.02.2005, 19:21

[Domino]

Was das nachträgliche Überprüfen der Signatur angeht.

Mail signiert, zugeschickt und ohne GPG empfangen.
.dat Datei abgespeichert, umbenannt in .GPG. Mit WinPT geöffnet, die Emailadresse wird korrekt erkannt, aber Vertrauen=null "The Signature is BAD".

Domino

[tanzblume]

Hallo erstmal, das ist mein erster Beitrag hier im Forum.
Ich habe mir dahin gehend bisher kaum einen Kopf gemacht, da leider nicht genügend Leute in meiner Umgebung PGP/GPG verwenden.

Habe aber irgendwann von inline auf PGP/MIME umgestellt, weil dadurch wie gesagt auch gleich die Anhänge verschlüsselt werden (Name der Anhänge).
Außerdem hatte ich bisher auch keine Probleme bei Empfängern, selbst bei Outlookanhängern.

PGP/MIME hat sogar den Vorteil, daß man viel eher auf PGP angesprochen wird als bei Inline, weil doch die meisten Leute einfach versuchen den Anhang zu öffnen, obwohl ich nicht schreibe, daß ich eine Datei anhänge.

Aus diesem Grund schick ich auch weiterhin alle Mails per PGP/MIME.

[Gast_SMaus_*]

Jau, herzlich willkommen bei uns. Und dann noch ein Mac-User - ist das schön...
Ich habe jetzt auch wieder auf PGP/MIME umgestellt. Sollen sich doch die Outlooker ein wenig Mühe geben.