De-Mail?

Ich kenne niemanden.
Keine Firmen, lediglich von 2-3 Leuten weiß ich, dass sie sich registrieren wollten, um ihren Namen zu haben. Das ist aber auch schon lange her und vermutlich haben sie es nicht mal getan.

So wie mit dem E-Postbrief … ich habe mich auch registriert um meinen Namen zu sichern, dann den Prozess aber nie abgeschlossen, d.h. der Account wurde nie vollständig aktiviert.

Ich verstehe auch nicht, warum ich 55ct pro Email zahlen soll. Diese Dienstleistung bekomme ich auch gratis, bzw. für 2-5 Euro im Monat (wenn ich eine eigenen Domain haben möchte).

Ein X.509 Zertifikat kostet natürlich noch mal extra, aber für Firmen sollte sich das trotzdem schnell rentieren.

Dann ist da noch die “rechtssicherheit”. Ich weiß zwar nicht, was wirklich unter der Haube läuft, aber so aus der Ferne hört sich dies wie ganz normal enforced TLS an.
Also dies was in vielen Firmen sowieso schon implementiert ist… halt ohne “Garantie”.

Außerdem soll es ja nur über ein Webinterface funktionieren … also praktisch ein No-Go für Firmen.
Des weiteren wollen und dürfen viele Firmen ihre Emails gar nicht auslagern. Insofern klappt das also sowieso nicht.

Mir ist auch noch keiner untergekommen, der DE-MAIL will. Ein paar haben mich mal gefragt, wie das funktioniert und dann hieß es “ach so, dann brauche ich das ja nicht”. Könnte aber auch daran, liegen, daß ich auch auf die Nachteile des Systems auch hingewiesen und nicht nur die Vorteile hervorgehoben habe. 🙂

Ich hab ja immer noch Probleme damit. Ich find immer noch keinen Sinn, außer dass ich eine Bezahlmail schick, die im Zweifelsfall nicht sicherer ist als eine kostenlose Email

Also ich könnte mir ja vorstellen, De-Mail zu nutzen:
für den mehr oder weniger informations- (und sinnfreien) Wust an Papier, den meine Bankkontakte generieren.
Das deckt in meinem Privathaushalt sicher 80% der Briefpost ab.
Natürlich nur, wenn ich diesen Quatsch nicht ausdrucken muss, sondern mein De-Mail-Provider mir zusichern würde, dass er das 10 Jahre vorhält und ich das entsprechend auch dem Finanzamt in irgendeiner Weise beweissicher darbieten kann.

Dafür würde ich auch gerne 10€ im Jahr zahlen.

Noch besser wäre, wenn da bei jeder DeMail ein Meta-Format mitgeneriert würde, und dann Tabellen abgefragt werden könnten, in denen dann z.B. sämtliche per DeMail erhaltenen Rechnungen/Quittungen oder Börsenabrechnungen rausgelistet werden würden. Alle schön vom DeMail-Provider signiert, und dann direkt zu ner Übersicht in einem Format, das auch ein Kassenbuch- oder Steuerprogramm baut.

Diese Daten sind ja eh alle von der BAFIN schon abfragbar, wenn mein DeMail-Provider mir zusichert, dass er diese nicht verwendet oder weitergibt, würde mein Vertrauen da ausreichen…

Ich find’s lustig, wie hier mögliche Usecases für De-Mail konstruiert werden, die überhaupt nichts mit De-Mail zu tun haben, bzw. völlig orthogonal dazu sind …

@Phil: Die Rechtssicherheit wird tatsächlich nicht durch technologischen Fortschritt sondern durch das DeMail-Gesetz erreicht. (Im Gegensatz zum E-Post-Brief, der zur Zeit nur auf zivilrechtlichen Verträgen basiert)

Technologisch ist De-Mail eine Abwandlung von DKIM (RFC 4871) plus Akkreditierungs- und Identifizierungsverfahren. Über DKIM signiert ein Mail-Provider ausgehende Emails und versichert so, dass sie über seine Systeme generiert wurden und auf dem Transportweg nicht verändert wurden.

Bei De-Mail kommt obendrauf noch ein Satz Vorschriften für den Betrieb eines solchen Maildienstes inkl. Akkreditierung der Betreiber sowie Vorgaben für die Identifizierung der Benutzer.

Das Webinterface ist übrigens nur für Privatkunden vorgeschrieben. Geschäftskunden können alternativ eine Gateway-Lösung einsetzen, mit dem ein vorhandenes Mail-System an den De-Mail-Provider (beim BSI heißt das “DMDA” = De-Mail-Dienste-Anbieter) angebunden werden kann. Ein Kunde mit Gateway muss allerdings selbst für Zugangskontrolle zu den Postfächern unterhalb seiner De-Mail-Subdomain sorgen, weswegen gerade kleine und mittlere Betriebe eine Webfrontend-Lösung erwägen sollten (meine Meinung).

@Stefan:
Gute Idee, aber der Provider soll ja erst mal nur Bote spielen, ähnlich wie beim Papierbrief. Den Inhalt interpretieren müssen schon die Kommunikationspartner. Aber du könntest dir den Plaintext-Abzug mit Headern in ein Dokumentenmanagement-System sichern (im Header ist die Signatur des Providers enthalten).

@Christian Irgendwie läuft bereits so in der Firma, wo ich mir etwas Geld dazu verdiene. Wie funktioniert das mit dem Gateway? Dann muss doch auch zwischen lokalem Email-Server und Gateway verschlüsselt und signiert werden, da ja sonst die Vertrauenskette unterbrochen ist. IMHO ließe sich der Spaß kostengünstiger erreichen, indem man einfach einen PGP Schlüssel bei einer Behörde (Einwohnermeldeamt?) registriert und diese eine Liste mit vorhalten. Dies kann dann in einem Verfahren hinzugezogen werden, falls strittig ist, wer einen PGP Key benutzt hat. Alternativ könnte man auch den PGP Key des Bürgers signieren, dann würde aber neue Infrastruktur benötigt. Dies ist natürlich aufwändiger als ein neues Feld in einem Formular. Ansonsten Danke für die ausführlichen Informationen zum Thema.

” … ließe sich der Spaß kostengünstiger erreichen, indem man einfach einen PGP Schlüssel bei einer Behörde (Einwohnermeldeamt?) registriert …”
Tja, eine minimalistische zusätzliche Dienstleistung, ohne Drumherum und ohne Komfort, aber auch ohne die Komplikationen, die so ein Großprojekt begleiten. Wenn man das gemacht hätte, wäre die Akzeptanz heute vermutlich viel höher, und die Anbieter kommerzieller Dienste würden am größeren Markt mehr verdienen. Undenkbar.

Im Gateway steckt eine vom Provider ausgegebene Chipkarte, mit der ein VPN-Tunnel zum Provider aufgebaut wird. Der Provider ordnet anhand des Zertifikats auf der Karte die Mails dem De-Mail-Absender-Konto zu. Der gewerbliche Kunde muss dann sicherstellen, dass nur berechtigte Mitarbeiter Mails in das Gateway schießen dürfen, denn alles was da rein geht, nimmt der DMDA als “Versandauftrag vom Kunden” an.

Eben das ist das Risiko, dass der Firmenkunde abwägen muss. Der Provider prüft nicht die Identität des Users sondern die Identität des Kunden. Im Privatkundenfall ist Kunde==User. Im Geschäftskundenfall überprüft der Provider nur die Identität und Berechtigung des gesetzlichen Vertreters der Firma, nicht seiner Mitarbeiter.

Wählt der Geschäftskunde den Zugriff über Webfrontend, kann der Vertreter dort Benutzer und Administratoren anlegen und die vorhandenen Authentifizierungs-Mechanismen des Providers nutzen (TAN-Generatoren, Mobile-TAN, neuer Personalausweis, etc.). Wählt er die Gateway-Lösung, muss er selber dafür Sorge tragen, dass nur berechtigte Mitarbeiter über seine Mail-Infrastruktur an das Gateway senden dürfen.

Zum Thema PGP-Schlüsselverzeichnis: Das ist explizit so in De-Mail vorgesehen: Jeder De-Mail-User kann seinen Public Key in den Verzeichnisdienst von De-Mail hochladen und es kann anbieterübergreifend gesucht werden. Ginge es nur um Authentifizierung, dann könnte man den Maildienst wirklich einsparen und nur den Verzeichnisdienst anbieten und jeder Teilnehmer signiert selbst.

Dummerweise ist das Quittungsproblem in der Informatik ungelöst (möglicherweise sogar unlösbar, weiß ich nicht mehr). Das heißt, ein Teilnehmer könnte eine Zustellbestätigung unterdrücken. Also brauchen wir für diesen Fall einen Maildienst, der dem Absender bestätigt, dass das Mail im Empfängerpostfach abgelegt wurde. Außerdem erreicht man damit alle Leute, die nicht selbst signieren wollen oder können. Ist natürlich ein Kompromiss mit Vor- und Nachteilen.

Moment, PGP-Schlüssel? Es ging doch immer darum dass die Verschlüsselung nichts wert ist, weil der Schlüssel zum entschlüsseln beim Provider liegt. Ist das nicht mehr so?

Ist eh idiotisch. Der übliche Behördenschwachsinn. Wie scon gesgat wurde könnten die auch jede andere für Zustellung registrierte Adresse nutzen. Wenn sie in der Lage wären zu verschlüsseln, richtig, nicht so pseudomäßig, wäre einfacher und sicherer.

Solage man nur den Public Key beim Provider hinterlegt, ist das in Ordnung, solange der authentisch ist. Normalerweise kann der Provider die Mail dann nicht entschlüsseln, wenn er nur den Public Key hat.

Hilft natürlich auch nichts, wenn der Provider der Behörde einfach einen anderen Schlüssel mitteilen kann, zu dem er den geheimen Schlüssel hat, und dann einfach ent- und mit dem echten Public Key neu verschlüsselt, dann kann er es auch mitlesen.

„Hinterlegen” alleine reicht also nicht. Aber die Richtung wäre nicht schlecht.

Ist es nicht so wie beim E-Perso auch das einfach niemand einen echten Nutzen von all den Gimmicks hat? Für das was man es gerne einsetzen würde darf man es nicht und für das was man es einsetzen soll ist es absolut überflüssig und schaft keinen echten Mehrwert für den Nutzer. Wenn ich daran denke das man bei meinem staatlichen Verein zwar Signieren und Verschlüsseln kann aber keinen Wisch damit unterschreiben darf da dazu 4865 Vorschriften geändert werden müssten werde ich traurig und geh weinen.

Ich kann den Vorpostern hier technisch nicht das Wasser reichen, aber ich hab auf beide Phänomene – DE-Mail und ePostBrief – auch eine ganz andere Perspektive. Es geht m.E. vor allem beim ePostBrief darum, den ganz großen Versendern mit Millionen Briefen p.a. eine stabile Basis an Empfängern zu präsentieren, an die man mit massiv gesenkten Kosten beweissicher “Briefe” verschicken kann. Wenn man mal sieht, mit welchem gewaltigen Aufwand (ganzseitige Illustrierten-Anzeigen, Fußball-Bandenwerbung, Testimonials, letzte CeBIT…) die Endverbraucher gelockt werden sollen, ist das mit dem Umsatz von ein paar mal 55 ct/Jahr nicht zu erklären. Wenn man aber im Kleingedruckten nachschaut, welche Pflichten der Endverbraucher sich damit einhandelt (Post gilt als zugestellt, bloß weil man sich in sein Postfach eingeloggt hat, man *MUSS* alle paar Tage ins Postfach schauen etc.), dann weiß man, für wen diese Services gestrickt wurden. Nicht für dich & mich, sondern für die ganz großen Versender. Die zahlen bei zigtausend Briefen ganz andere Tarife und verbuchen erhebliche Einsparungen. Ja, *WENN* wir uns alle so ein Postfach zulegen würden. Ich kenne bloß niemanden, dem das privat eingeleuchtet hätte. Also wird das nichts mit dem Plan, uns alle als willige ePost- / DE-Mail-Empfänger an Industrie, Handel und Verwaltung zu verkaufen.

@Uhu: Der Sinn von De-Mail ist, eine elektronische Alternative zum Papierbrief zu bieten. Das Ziel ist schon mal ok, denn eine normale eMail gilt zur Zeit so viel wie ein Anruf – also unverbindlich. Bei der Umsetzung kann man dann diskutieren. Was die Preise betrifft, da gibt es vom großen T ja schon die Ansage, die Post deutlich zu unterbieten.

@Thema Verschlüsselung: Das ist einer der großen Kritikpunkte und da hätte man es besser machen können. Aktuell liegt das so: Per Default verschlüsseln und signieren nur die Provider untereinander. Das heißt, der Provider kennt den Klartext der Email und stellt diesen über die G10-Schnittstelle auch den Ermittlungsbehörden zur Verfügung. Zusätzlich KANN jeder seinen Public Key im Verzeichnisdienst von De-Mail hinterlegen und jeder andere KANN mit Client-Tools damit eine echte Ende-zu-Ende-Verschlüsselung realisieren. (Sofern man dem Verzeichnisdienst vertraut).

Besser wäre, den DMDA zu verpflichten, eine solche Client-Software mit anzubieten (auch eine JavaScript-Implementiereung wäre ok) und ähnlich wie bei der Widerrufsbelehrung im Fernabsatz darauf hinzuweisen warum dieses PKI-Gedöns sinnvoll ist und wie man es macht. Dann ist die Nutzung von Ende-zu-Ende-Verschlüsselung immer noch freiwillig aber die Einstiegshürden sind niedriger.

@Christian: Gute Schilderung!

@Alle: Primär geht es aber um rechtliche Aspekte. Ein Großteil unserer Gesellschaft verfügt über mindestens eine E-Mail-Adresse und nutzt dieses Kommunikationsmedium mehr oder weniger intensiv. Die sogenannten digital Natives werden immer mehr und somit ist es nur sinnvoll, eine elektronische Alternative zum heutigen Briefverkehr zu entwickeln. Die “normale” E-Mail von heute hat 4 eklatante Nachteile: Sie ist nicht fälschungssicher und jeder kann mitlesen (Stichwort elektronische Postkarte), der Absender ist streng genommen nicht bekannt (jeder kann sich eine beliebige Adresse bei web.de erzeugen, Identitätsproblem!), die Zustellung ist ebenfalls nicht sicher (AntiSpam, AntiVirus etc., Nachweis!) und das Thema Missbrauch ist ebenfalls nicht unter den Tisch zu kehren (Spam, Phishing, Malware).
Allen diesen Punkten begegnet die De-Mail in einer Form, so dass auch Computerlaien gut damit umgehen können. Gerade hinsichtlich E-Mail-Verschlüsselung, ist das ein großes Problem. Fakt ist: Die De-Mail wird verschlüsselt. Wenn jemand die kurzzeitige Entschlüsselung nicht möchte, kann er eine Ende-zu-Ende-Verschlüsselung machen. Der De-Mail Provider hat keine Möglichkeit, die E-Mail zu entschlüsseln.
Zum Thema Fristen: Sämtliche Argumentationen sind reine Panikmache und schlichtweg aus der Luft gegriffen: Wie ist es denn heute? Ich bekomme eine Abmahnung per Post. Läuft die Frist dann nicht auch? JA! Und was, wenn ich eine Woche auf Dienstreise bin? Dann läuft sie immer noch und möglicherweise auch ab. Bei der De-Mail ist es letztlich noch etwas komfortabler. Die Frist läuft, sobald ich mich an meinem Konto angemeldet habe. Das heißt, sie läuft NACH meiner Dienstreise auf der ich möglicherweise keine Zeit oder keinen Internetzugang hatte. Pluspunkt für De-Mail. Und wenn ich mich an meinem Konto angemeldet habe, sehe ich auch die E-Mail, wo ist das Problem? ZUSÄTZLICH muss ich den Zugang zu meinem De-Mail Postfach eröffnen. Das bedeutet, nur weil ich ein De-Mail Postfach habe, heißt das nicht, dass ich von da an automatisch alle Bescheide nur noch per De-Mail bekomme. Nur die, für die ich es auch wünsche.
Bezahlen muss ich übrigens nur für den Versand, der Empfang ist kostenfrei.
Zum Nutzen für den Bürger: Eine De-Mail verschickt man normalerweise nur, wenn es um rechtssicheren Verkehr geht, wenn zum Beispiel die Schriftform vorgeschrieben ist. Und ob ich nun ein Einschreiben oder eine De-Mail verschicke ist dann rechtlich kein Unterschied mehr. Ich spare mir aber den Weg zur Post und einen nicht unerheblichen Anteil Porto. Für jeden, der seine Hauptkommunikation per E-Mail betreibt, eine absolute Erleichterung IMHO. Hand aufs Herz: Wen von Euch nervt dieser Papierkrieg mit den Kommunen nicht? Oder mit der Versicherung? Also ich freue mich schon sehr darauf, wenn 1&1 endlich als De-Mail Provider akkreditiert und damit mein Konto aktiv ist. Das ist übrigens der einzige Grund, warum ich noch keine De-Mail verschickt habe.

@Stefan:

> Der De-Mail Provider hat keine Möglichkeit, die E-Mail zu entschlüsseln.

Aha. Und wie soll dann der versprochene Virenfilter funktionieren? Und was ist mit dem G10-Gesetz?

Wo wird bei der JavaScript-Implementiereung der Schlüssel gespeichert?!

@Stefan:
> Zum Thema Fristen: Sämtliche Argumentationen sind reine Panikmache und schlichtweg aus der Luft gegriffen: Wie ist es denn heute? Ich bekomme eine Abmahnung per Post. Läuft die Frist dann nicht auch? JA! Und was, wenn ich eine Woche auf Dienstreise bin? Dann läuft sie immer noch und möglicherweise auch ab.

Nein, wenn du nachweislich(!) keine Möglichkeit hattest, die Abmahnung zu lesen, dann ist die Frist nicht zwingend bindend.

> Die Frist läuft, sobald ich mich an meinem Konto angemeldet habe. Das heißt, sie läuft NACH meiner Dienstreise auf der ich möglicherweise keine Zeit oder keinen Internetzugang hatte.

Nein, die Frist läuft, sobald bestätigt wird, dass die Mail in deinem Postfach abrufbereit liegt. Wie beim Brief. De-Mail ist aber Internet und daher wird davon ausgegangen, dass du jederzeit die Möglichkeit hattest, da reinzuschauen. Und damit das auch rechtssicher ist, wirst du verpflichtet, alle 14 Tage das Postfach zu leeren. Somit kannst du gegen den Fristablauf nicht mehr klagen. (Und beweise mal gerichtsfest, dass du keine Möglichkeit hattest, auf De-Mail zuzugreifen.)

@Jens: Die öffentlichen Schlüssel kann sich das JS aus dem Verzeichnisdienst holen. Den privaten sollte man im Passwortsafe aufbewahren und bei Bedarf in ein Eingabefeld copypasten. (Zum Thema Vertrauensstellung: Das JavaScript kommt vom Selben, von dem man die Public Key Liste bezieht, also traut man beidem oder keinem)

@Stefan: Ich stimme dir größtenteils zu, muss dir nur in zwei Punkten widersprechen:

Punkt 1: Die Frist läuft, sobald die DeMail in deinem Postfach liegt. Analog zur Zustellung in den Briefkasten. Dennoch Plus für DeMail, da ich von der Dienstreise aus auf das DeMail-Konto zugreifen kann, nicht aber auf den Briefkasten zu Hause. (Außerdem gibt’s ne SMS-Benachrichtigung für eingehende DeMails, wenn ich will)

Punkt 2: Die DeMail wird im Klartext in der Datenbank beim Provider gespeichert. Der DB-Modus verhindert, dass Administratoren und Mitarbeiter lesend darauf zugreifen können, ein Angreifer, der sich Applikationsrechte verschafft, könnte aber alle DeMails lesen. (Nicht modifizieren, da das Signieren woanders stattfindet)

@Christian

Man kann in einer Datenbank den Admin aussperren? Wie wartet er dann das Zeug, was ist wenn eine Tabelle geändert werden muss?

Ich erinnere mich gelesen zu haben, dass die Mail im “Hochsicherheitsrechenzentrum” entschlüsselt wird und dort nach Viren gesucht wird.

Jaja, das mit dem geheimen Schlüssel ist klar. Aber ich erinnere mich dass die mail an den Provider übertragen werden soll, dort zu irgendeinem Zweck (habe ich leider vergessen) entschlüsselt (er hat also den geheimen Schlüssel, wenn es überhaupt assymetrisch geplant ist) und dann erst weitergeleitet. Das war doch die ganze Zeit einer der wesentlichen Gesichtspunkte.

@uhu Genau.

@ Christian Danke, das war es was ich irgendwie in Erinnerung hatte. Javascript ist aber ein zusätzliches Risiko für sich. Vertrauen ist das Problem. In dem Moment in dem der Staat was von uns will gibt es keinen logischen Grund mehr Vertrauen aufzubringen.

@Stefan So weit der Spin-Doctor. Kurzzeitige Entschlüsselung? Was soll denn an einer kurzzeitigen Entschöüsselung besser sein als an einer langzeitigen? ENtschlüsselt ist entschlüsselt. E-Postbrief und DE-mail begegnen, anders als du behauptest, keinem dieser Probleme in einer Weise, die die Sicherheit für den Anwender gegenüber anderweitiger mail erhöhen würde. Sehr im Gegenteil. Jede mit OpenPGP verschlüsselte mail ist sicherer, als wenn man dazu eine Plattform eines Staatsunternehmens benutzt, das über Abhörschnittstellen verfügt.

@Christian “Den privaten sollte man im Passwortsafe aufbewahren und bei Bedarf in ein Eingabefeld copypasten.”

Und in dem Moment ist er komprommittiert.

“(Zum Thema Vertrauensstellung: Das JavaScript kommt vom Selben, von dem man die Public Key Liste bezieht, also traut man beidem oder keinem)”

Wer sagt dass genau das Javascript eingebunden wurde, dass es korrekt verarbeitet wurde und die Eingabe nicht umgeleitet wird? Logisch darf man keinem von beiden vertrauen.

“Der DB-Modus verhindert, dass Administratoren und Mitarbeiter lesend darauf zugreifen können”

Würde ich ungesehen bestreiten. G10

@Sven Ja, an sowas erinnere ich mich auch, da gab es noch irgendeinen anderen Zweck.

@Sven: Bei Oracle heißt das z.B. DB Vault, google mal danach. Damit kann ich einem Admin z.B. nur Zugriff auf die Struktur einer Tabelle geben und nicht auf den Inhalt.

@Hans: Wenn ich von einem Provider soweit vertraue, dass ich von ihm eine Liste mit PubKeys meiner Kommunikationspartner beziehe dann darf ich ihm auch soweit vertrauen, dass das JavaScript die die Entschlüsselung mit meinem PrivKey nur lokal macht und den Key nicht an den Server übermittelt. Ansonsten könnte er mir ja jeden beliebigen PubKey unterschieben, bei sich entschlüsseln und mit dem richtigen PubKey weiterleiten.

Wenn ich dem Provider nicht vertraue, nehme ich von ihm weder die PubKeys noch den JS Code für meine lokale Entschlüsselung/Signatur.

Der PrivKey ist nicht automatisch komprommitiert weil ich ihn in ein Eingabefeld eingebe. Die Verarbeitung darf halt nur lokal erfolgen und da sind wir wieder beim Vertrauen. Jeder, der ein Krypto-Programm von irgendwoher bezieht, vertraut dem Anbieter, dass das Programm im Hintergrund keinen Schmu mit dem PrivKey treibt. Egal ob binär oder JS-Code. Die Sprache allein ist kein Sicherheitsrisiko. Und wie gesagt, wenn ich dahingehend Zweifel am Anbieter habe, dann lade ich mir seine PubKeys auch nicht ins lokale GnuPG, denn die könnten ja genau so gefälscht sein.

Zu G10: Die G10-Schnittstelle ist in der Applikation und die App kann im Gegensatz zum Admin auf die Daten zugreifen.

@Hadmut: Der Virenscanner funktioniert dann natürlich gar nicht. Ich unterstelle jetzt einfach mal, dass jemand der eine De-Mail Ende-zu-Ende verschlüsselt, mehr als ein gewisses Grundverständnis von IT hat und somit den Virenscan selbst durchführen kann und wird. Außerdem gilt diese Tatsache für jedermann, der E-Mail-Verschlüsselung in jeglicher Form selbst durchführt und entbehrt meiner Meinung nach jeglicher Dikussionsgrundlage.
Das G10 Gesetzt findet meines Wissens nach keine Anwendung. Die Anwendung einer Ende-zu-Ende-Verschlüsselung ist im De-Mail Gesetz sogar explizit erlaubt: §5 DeMailG III.

@Svenska: Stimmt hast Recht, habe mich unpräzise ausgedrückt. Für normale De-Mails ist das auf jeden Fall korrekt. Bei persönlichen De-Mails sieht das allerdings anders aus. Dies entspricht einem eigenhändigen Einschreiben. Hier muss ich mich zwingend mit “hoher Sicherheit” an meinem De-Mail Postfach angemeldet haben. Dies wiederum setzt den Einsatz zB einer Smartcard voraus. Wenn ich mich nur mit Username/Kennwort am Postfach anmelde, sehe ich diese De-Mail nicht mal.
Die angepsprochene Beweisbarkeit vor Gericht sehe ich auch als unkritisch an, aber das gilt wie bei vielen Dingen wohl noch noch abzuwarten.

@Christian: Bei Punkt 2 muss ich Dir widersprechen. Ich weiß nicht woher Du diese Aussage hast, aber die De-Mail liegt definitiv verschlüsselt im Postfach. Die entschlüsselte Variante für den Virencheck ist auch nur eine entschlüsselte Kopie des Originals und wird nach dem Check sofort wieder vernichtet. So lautet die Aussage eines technischen Verantwortlichen eines aktuellen DMDAs.

@Hans: Natürlich ist die kurzzeitige Entschlüsselung nicht das gelbe vom Ei, aber man kann sie ja grundsätzlich umgehen (Ende-zu-Ende-Verschlüsselung). Diese Diskussion führe ich jedes Mal erneut mit technisch versierten Menschen. Aber wie will man einem Gros der Bevölkerung denn sonst eine entsprechende vertrauliche Plattform zur Verfügung stellen? Außerdem wird von meinen vier Punkten lediglich der Punkt mit der Datensicherheit aufgeweicht. Gerade der Punkt der Integrität der E-Mail ist ja ein Manko, warum die E-Mail als solches so einen schlechten Ruf genießt. Sie ist zu manipulierbar. Sowohl inhaltlich, als auch die Absenderbestätigung. Im De-Mail-Netz ist das durch die Identifizierung mit Lichtbildausweis obsolet. Des Weiteren ist es ein geschlossenes Netz, das von akkreditierten Providern aus der Privatwirtschaft betrieben wird.
Unter dem Strich ist es eine Vertrauensfrage. Vertraue ich dem De-Mail-System, oder nicht. Ich finde, es hat eine Chance verdient.
Zum Thema Vertrauen und kurzzeitige Entschlüsselung und deswegen ist alles ganz ganz schlimm darf ich mal folgendes Bild ins Feld führen: http://www.enqsig.de/download/post.png.

Zu G10: Christian hat die richtige Antwort darauf gegeben.

“Wenn ich dem Provider nicht vertraue, nehme ich von ihm weder die PubKeys noch den JS Code für meine lokale Entschlüsselung/Signatur.”

@Christian Eben, das macht alles in dieser Richtung unsinnig. Weil wieso sollten wir irgendjemandem vertrauen? Noch dazu eiem Provider, der durch Abhörschnittstellen bereits bewiesen hat dass er nicht vertrauenswürdig ist?

Das Problem mit den Pubkeys kann man ganz einfach umgehen. Kein Mensch braucht diese Keyserver. Pubkeys bekommt man am besten in einer mail vom Besitzer.

Andere Cryptprogramme sind Open Source und von vielen überprüft. Da fällt schnell auf wenn was nicht stimmt. Deswegen ist ja die Sache mit den Schlüssellängen in Exportversionen bekannt. Bei einem Programm das bei irgendeinem Anbieter liegt geht das nicht. Javascript ist deshalb ein größeres Risiko, weil es im Browser und mit aktiver Internetverbindung ausgeführt wird.

“Zu G10: Die G10-Schnittstelle ist in der Applikatio”

Und wir vertrauen natürlich einem Anbieter, der eine Abhörschnittstelle implementiert hat. Klar.

“Die entschlüsselte Variante für den Virencheck ist auch nur eine entschlüsselte Kopie des Originals”

@Stefan Und eine Kopie hat nicht den Inhalt des Originals?

” und wird nach dem Check sofort wieder vernichtet”

Na klar. Und Mallory ist eigentlich ganz lieb.

“Natürlich ist die kurzzeitige Entschlüsselung nicht das gelbe vom Ei, aber man kann sie ja grundsätzlich umgehen (Ende-zu-Ende-Verschlüsselung).”

Und wie sinnvoll ist ein System das man, um eine Grundsicherhiet herzustellen, teilweise umgehen muss?

“Aber wie will man einem Gros der Bevölkerung denn sonst eine entsprechende vertrauliche Plattform zur Verfügung stellen?”

Gar nicht, das ist es doch. Politiker wollen die volle Kontrolle. Eine von ihnen kontrollierte Plattform, mit von ihnen kontrolliertem Schlüssel, mit Abhörschnittstelle. Wenn es um vertrauliche Kommunikation geht muss man erklären wie Verschlüsselungsprogramme und die Signierfunktion benutzt wird. Beweisbar ist Kommunikation sowie nur, wenn einer von sich aus den Empfang einräumt. Sonst ist das nur eine Zugangsfiktion nach Zeit oder Login (auch nur Möglichkeit, nicht tatsächlicher Zugang).

“Außerdem wird von meinen vier Punkten lediglich der Punkt mit der Datensicherheit aufgeweicht.”

Lediglich? Du spricht von einer vertraulichen Plattform. Da ist der Pinkt der Datensicherheit der einzig relevante. Wie du oben siehst geht es auch um die anderen Punkte.

“Gerade der Punkt der Integrität der E-Mail ist ja ein Manko, warum die E-Mail als solches so einen schlechten Ruf genießt”

In dem Moment, in dem die mail entschlüsselt werden kann, ist die Integrität nicht mehr gewährleistet. Wenn du jetzt mit der Signatur argumentierst, dafür braucht man diese ganze Plattform nicht.

“Des Weiteren ist es ein geschlossenes Netz, das von akkreditierten Providern aus der Privatwirtschaft betrieben wird”

Geschlossene Netze sind per se nicht besser als offene, außerdem ist es keines, sonst käme nämlich niemand über das Internet in der implementierten Weise ran. akredditiert von wem? Von dem, der die Abhörschnittstelle hat und entschlüsselte mails auf dem Server als verschlüsselt verkauft. Wenn Mallory akkreditiert ist die Akrreditierung wertlos.

“Unter dem Strich ist es eine Vertrauensfrage. Vertraue ich dem De-Mail-System, oder nicht. Ich finde, es hat eine Chance verdient.”

Logisch betrachtet kann man ihm nicht vertrauen, weil nicht vertraulich, Zugangsfiktion und Betrieb durch Mallory und Erfüllungsgehilfen. Warum du vertrauen willst konntest du bisher nicht lgisch begründen.

Zum Theme verschlüsselte Ablage: Richtig ist, dass die De-Mail nirgends im Klartext auf einen Datenträger geschrieben wird. Die Verschlüsselung ist aber für die Applikation transparent – für sie kommen Klartext-Objekte aus der Datenbank. So gesehen kann man natürlich behaupten, dass immer nur eine entschlüsselte Kopie im Speicher erstellt wird, die danach vernichtet wird. Praktisch hat die Applikation Zugriff auf die Klartexte. Es gibt ja auch im Webfrontend eine Volltext-Suche innerhalb der Mailbox.

@ Christian

[zitat] … DB Vault,… Damit kann ich einem Admin z.B. nur Zugriff auf die Struktur einer Tabelle geben und nicht auf den Inhalt.

Wieso gehst Du davon aus, daß der bösartige Admin sich brav an die Db-Schnittstellen hält. Ein Dump der Platte(n) hat auch alle Informationen der DB. Man muß sich dann halt die Daten selbst zusammensuchen, statt einen Query in der DB zu machen.

@yasar: Neusprech beachten. Der, der an die Platten kann, ist nicht der Admin, sondern der Superadmin.

¢hristian sagt ja, daß „ich einem Admin Zugriff geben”, Admin also nur die Halbgötter sind und die Vollgötter nochmal drüber sind.

Man muß aber gar nicht auf die Platten zugreifen. In jeder Datenbank gibt’s einen, wie auch immer man ihn nennt, der alles kann und ganz ordinär per SQL fragen kann.

Davon ganz abgesehen entstehen die Schlüssel ja nicht in der Datenbank. Auf irgendeinem Weg müssen sie da ja hineingekommen sein – also am Halbgott-Admin im Klartext vorbei.

Einen richtigen “Superadmin” der alles darf, gibt es in dem Konzept nicht. Der Applikationsuser auf der DB darf z.B. die Daten lesen und schreiben, aber nicht die Struktur verändern, auch bestimmte Datensätze nicht löschen. Der Admin-User darf die Struktur der Daten ändern, aber die Daten nicht lesen oder schreiben. Storage liegt nochmal bei jemand anders.

Der Trick ist, das so aufzuteilen, dass bei der täglichen Arbeit möglichst wenig kritische Funktionen auf eine Person zusammenfallen. Letztendlich wird es sich nicht vermeiden lassen, dass kritische Berechtigungen existieren, z.B. root-Login auf dem Applikationsserver. (Der ist immer noch kein “Superadmin” könnte aber mit Applikationsrechten die Daten auslesen)

Für solche Zugänge müssen nun zwei Kriterien umgesetzt werden:
1) Technisches Erzwingen eines 4-Augen-Prinzips: Login erst, wenn Ausführender und Beobachter sich angemeldet haben.
2) Dafür sorgen, dass diese Berechtigung sehr selten gebraucht wird, so dass man nur schwer einen unberechtigten Zugriff in täglicher Routine verstecken kann.

Ich möchte es deswegen auch nicht als Neusprech bezeichnen. Der Admin ist die Rolle, welche mit der Betreuung (eines Teils) des Systems betraut ist. Einen Superadmin, also jemanden der wirklich alles darf, gibt es als Rolle nicht (auch keinen Account dazu). Sich derartige Rechte zu verschaffen, kann natürlich nur erschwert werden und nicht unmöglich gemacht werden. Man muss die Hürde eben hoch genug für alle praktischen Zwecke legen.

Wow, unter dem Haufen Misstrauen musste ich mich erstmal wieder herausbuddeln.

>@Stefan Und eine Kopie hat nicht den Inhalt des Originals?
?? Habe ich das behauptet?

> Und wie sinnvoll ist ein System das man, um eine Grundsicherhiet herzustellen, teilweise umgehen muss?

Unter Einbeziehung der Ende zu Ende Verschlüsselung geht das De-Mail System wohl deutlich über eine Grundsicherheit hinaus. Und selbst ohne, ist die technische Sicherheit immernoch exponentiell höher, als bei einer nackten E-Mail, die durch das Internet geschickt wird. Der Sinn des Systems ergibt sich auch aus der rechtlichen Grundlage.

> Na klar. Und Mallory ist eigentlich ganz lieb.

Gibt es denn dann etwas das überhaupt vertrauenswürdig ist?

>Wenn du jetzt mit der Signatur argumentierst, dafür braucht man diese ganze Plattform nicht.
Auch das sehe ich anders. Höchstens ein Promilleanteil der Internetuser ist in der Lage sich ein Zertifikat zu besorgen und es dauerhaft zu bewahren und zu verwenden. Hier ist eine “Gehhilfe” gefragt und die De-Mail Plattform bietet eine solche Hilfe an.

Abschließend sei noch folgendes angemerkt: Die Schlüssel werden nicht von Politikern kontrolliert, das ist blanker Unsinn. “Mallory” bestimmt lediglich die Spielregeln. Warum sollten privat geführte Unternehmen so viel Geld für Rechenzentren und Zertifizierungen stecken um dann auf die Nase zu fallen wenn tatsächlich herauskommen sollte, dass sie Datenlieferant des Staates sind? Der Ruf wäre unwiederbringelich ruiniert und das wird kein Betriebswirt dieser Welt riskieren. Gerade für die kleinen Provider wie Mentana wäre das der sichere Ruin.
Letztlich fällt es mir schwer logisch zu argumentieren, wenn mir außer viel Polemik und Paranoia nicht viel Logik entgegen gebracht wird.

– Wir haben ein globales Internet. – Wir haben globale Urheberrechtsgesetze. – Wir haben eine europäische Währungsunion. In eine solche Welt paßt sowas wie “De-Mail” nebst passenden Gesetzen schlicht nicht hinein. Das ist auf dem Niveau von Bildschirmtext und das war schon in den 1980ern nachhaltig erfolglos. Die ganzen Diskussionen um technische Details sind überflüssig, weil das ganze Konzept an der deutschen Grenze endet. Die Bundesrepublik ist nicht der Nabel der Welt.

Nunja, wir sehen ja wie gut die europäische Währungsunion funktioniert. Und dass Globalisierung nicht nur Licht, sondern auch große Schatten produziert, ist ebenfalls nicht von der Hand zu weisen. Aber wir schweifen ab….