🇩🇪Mich überrascht immer wieder, wie viele von mir geschätzte Menschen noch GMail benutzen - und GMail's fehleranfällige #Chatkontrolle wird im Artikel noch nicht einmal erwähnt. theguardian.com/technology/202
Welche datenschutzfreundlichen E-Mail-Anbieter nutzt ihr?

@echo_pbreyer Mailbox.org und Posteo.de

Leider komme ich bei der Nutzung von PGP nicht wirklich voran, da selbst meine sonst sehr technikaffine Partnerin bisher keine "Lust" auf die Verwendung hat bzw. keinen Sinn darin sieht.

@zeitverschreib @echo_pbreyer ehrlicherweise muss man zu Mailvelope sagen, dass da vor auch gewarnt wird, da es nicht super sicher ist.

kuketz-blog.de/mailvelope-vorh

Follow

@necrosis Interessante Lektüre dazu indes auch, was das Verschlüsseln von E-Mail allgemein betrifft:

latacora.micro.blog/2020/02/19

"Email is unsafe and cannot be made safe. The tools we have today to encrypt email are badly flawed. Even if those flaws were fixed, email would remain unsafe. Its problems cannot plausibly be mitigated. Avoid encrypted email."

Die Autoren haben ein paar extrem wichtige Punkte, die gern übersehen werden.

@zeitverschreib @echo_pbreyer

@z428 @echo_pbreyer @zeitverschreib @necrosis , naja, das ist eine Sicherweise, die z.B. Transportverschlüsselung außer acht läßt. Unsere Mailserver senden und empfangen keine eMails mehr ohne Transportverschlüsselung. Da muss keine Teilnehmerin etwas verschlüsseln, es wird auf dem Weg zwangsweise verschlüsselt und ist auch später mit Bruteforce nicht zu knacken. Das Argument mit den Metadaten stimmt, aber dann muss ich auf eMail ganz verzichten. Und auch die Autoren verweisen auf gmail, womit wir dann wieder beim Threatthema sind.

@diritschka Transportverschlüsselung wurde aber in dem Artikel durchaus thematisiert:

" And we don’t object to email security features, like hop-by-hop TLS encryption and MTA-STS, that make the system more resistant to dragnet surveillance. But email cannot promise security, and so shouldn’t pretend to offer it."

Das war ja auch der Punkt mit GMail - und der Umstand, dass etwa die dann doch den Klartext kennen müssen. TLS != E2EE.

@necrosis @echo_pbreyer @zeitverschreib

@z428 @necrosis @echo_pbreyer @zeitverschreib , natürlich, TLS != E2EE. Und wenn der andere Endpunkt datenhungrig ist, hilft auch die Transportverschlüsselung nix. Für mich klingt der Beitrag so ein bißchen um den heißen Brei rumerzählt. Und Nichtnutzung ist auch keine Alternative. 😀

@diritschka Das ist aber eine ähnliche Argumentation wie "kann man nicht vermeiden, weil nutzt jeder" bei WhatsApp. 😉 Warum geht es nicht ohne Mail, zumindest für Kommunikation, die kritisch ist?

@necrosis @echo_pbreyer @zeitverschreib

@z428 @necrosis @echo_pbreyer @zeitverschreib , ok, ich gebe zu, dass ich das aus einer sehr alten Sichtweise ableite. Ich maile seit 1986. 😀 Da mussten wir uns noch in der Schweiz bei compuserve einwählen.

@diritschka Ich bin auch eher mit E-Mail als mit Messengern sozialisiert und denke, dass es dafür nach wie vor Anwendungsfälle gibt. Aber ich glaube auch, wir sollten uns hüten, davon auszugehen, dass Tools gleichermaßen in 2021 auf der Höhe der Zeit "sicher" und "vertrauenswürdig" sind, auch kompatibel mit Tools aus den 1970ern/frühen 1980ern sein können, ohne dass dort ernsthafte Sorgen aus der Abwärtskompatibilität zu erwarten sind.

@necrosis @echo_pbreyer @zeitverschreib

@z428 @diritschka @necrosis @echo_pbreyer

Ich kann nur aus meiner Sicht schreiben: ich persönlich möchte auf Mail nicht verzichten und wäre tatsächlich froh, wenn nicht 90% der tagtäglichen Kommunikation über diesen oder jenen Messenger laufen würde.

Die Metadaten sind in meinem (!) Fall zweitrangig, aber die Inhalte möchte ich geschützt wissen.

@diritschka (Und ja, vielleicht wäre genau das die Konsequenz: Verzicht auf Mail, wenn es wirklich sicher sein soll...)

@necrosis @echo_pbreyer @zeitverschreib

@oliver @necrosis @z428 @echo_pbreyer @zeitverschreib , das ist die schlechteste aller Möglichkeiten. DE-Mail ist NICHT Ende-zu-Ende-Verschlüsselung. Es wird ausdrücklich im RZ entschlüsselt, an den VS ausgeleitet, vermeintlich gegen Viren geprüft und dann wieder eingepackt.

@diritschka Doch, De-Mail bietet eine optionale Ende-zu-Ende-Verschlüsselung für besonders sensible Nachrichten.
In jedem De-Mail-Interface lässt sich dazu der öffentliche PGP-Schlüssel hinterlegen, sodass die Vorteile von De-Mail mit jenen von PGP kombiniert werden.

@oliver , okay, dazu muss die Gegenstelle bereit und fähig sein. Hast Du schon mal ne Behörde getroffen, die das anbietet? Mit OX-Guard geht es eben auch ohne dass die Gegenstelle etwas von PGP verstehen muss.

@diritschka Ich kenne OX-Guard nicht, kann dazu nichts sagen.
Was De-Mail betrifft, ist es jedenfalls so, dass jede Person, die mich im De-Mail-Verzeichnis sucht, auch gleich darauf hingewiesen wird, dass ein öffentlicher PGP-Schlüssel bereitliegt. Allein das halte ich schon für einen gewaltigen Fortschritt im Gegensatz zu HKPS bei Enigmail. Ich weiß ja nicht einmal, welchen Server Thunderbird benutzt, finde darüber keine Schlüssel von mailbox.org-Nutzern. Schade.

@oliver Naja, oder eben ein Tool, das technisch auf der Höhe der Zeit die Anforderungen der Zeit löst. Etwa: Wenn wir alle(TM) auf WhatsApp herumschlagen, weil die trotz E2EE immer noch Metadaten sammeln, sollten wir nicht dann primär darauf drängen, Tools zu entwickeln, bei denen entweder E2EE für Content und Metadaten funktioniert oder schlicht keine serverseitigen Metadaten existieren? Dort wirkt vieles in der Community leider sehr ...

@necrosis @zeitverschreib @echo_pbreyer

@oliver ... konservativ und "bequem" - wir bleiben in den Tool-Vorstellungen und Denkmustern, die wir seit mindestens 25 Jahren kennen, und gehen davon aus, dass die schon irgendwie passen werden. Wir werfen eher anderen Bequemlichkeit vor, übersehen aber unsere eigene. 😟

@necrosis @zeitverschreib @echo_pbreyer

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!