Emails verschlüsseln

Hi,

für „geheime“ Kommunikation per Mail suche ich eine Lösung jenseits von Truecrypt oder OpenPGP wo mit Schlüsseln, extra Programmen und add-ons für Browser etc. gearbeitet wird. Gerade wenn man Leute in Firmen anschreibt sind die ja schon von der IT eingeschränkt was die Installation von Programmen angeht. Bei meinen Recherchen bin ich auf eine so triviale Lösung gekommen dass ich sie fast nicht glauben kann: Das Dokument mit OpenOffice erstellen, „Mit Kennwort speichern“ und dann als Email-Anhang verschicken. Das Gegenüber muss nur noch das pw wissen. Nun lese ich auf einigen Seiten „Das pw ist verschlüsselt und wenn es ordentlich ist nicht knackbar“ und auf anderen „Viel zu unsicher“. Was stimmt? Open Office sagt dazu auf der englischen Website: „For Apache OpenOffice 3.4, the default „Save with Password“ continues to use SHA1 digests and Blowfish encryption, the one combination that is supported for interchange of encrypted documents across ODF 1.0/1.1 and ODF 1.2 supporting application.“

Und muss mein gegenüber auch OpenOffice haben oder funktioniert es auch mit Microsoft Office?

Gruss
K

Hi,

die Passwörter von MS Office lassen sich innerhalb weniger Minuten knacken, selbst wenn sehe komplexe verwendet werden.

Wenn jetzt OpenOffice aus Kompatibilitätsgründen das MS Office Format benutzt wird auch der selbe unsichere Algorithmus verwendet.->unsicher

Wenn das OpenOffice(Opendocument odt?) benutzt wird, wird der eigene Algorithmus verwendet. Ob dieser sicher ist weiß ich allerdings nicht.

Davon abgesehen. Generiere Dir doch auf cacert gratis Zertifikate und verschlüssle mit den Standards die in Outlook Windowsmail und Thunderbird integriert sind. Diese 2048/4069 Bit Schlüssel gelten als sicher.

MFG

Du willst einerseits auf

extra Programmen und add-ons für Browser etc.

verzichten, andererseits aber die Empfänger deiner Mails zwingen, diese mit monsterfetter Schrottware wie OpenOffice oder Microsoft Office - natürlich in einer zu deiner kompatiblen Version - zu lesen?

Gerade wenn man Leute in Firmen anschreibt

Gerade in Firmen setzt man auf Standards, und der Standard für Mailverschlüsselung heißt S/MIME http://de.wikipedia.org/wiki/S/MIME

Andererseits ist es bei asynchronen Verschlüsselungsverfahren erforderlich, dass beide Seiten dieses Verfahren unterstützen und damit ist es bei den meisten Unternehmen nicht weit her. Insofern ist deine Idee, auf derartige Weise wenigstens einseitig ein bisschen Sicherheit zu schaffen, durchaus nachvollziehbar (wobei ich passwortgeschützt gezippte Dateien versenden würde).

Die Betonung im letzten Satz liegt aber auf dem Wörtchen ‚einseitig‘. Für bilaterale Sicherheit ist dein Verfahren im Businessbereich viel zu aufwändig, da es voraussetzt, dass beide Parteien sich auf ein Verfahren einigen und dass beide Parteien die Verfahrensdetails auch beim nächsten Mailwechsel noch kennen und verwenden. Vor allem aber musst du mit jedem einzelnen Mailpartner ein Verfahren aushandeln, und so oft, wie du deinen Vorschlag durchsetzen wirst, wird dein Gegenüber sein bevorzugtes Verfahren durchsetzen. Und in dem Chaos soll dann irgendeiner noch durchblicken?

Für S/MIME muss i. d. R. keine besondere Software oder Plugins installiert werden, im Business-Bereich übliche Mailclients beherrschen S/MIME von Hause aus. Allerdings muss das Konzept verstanden und der Mailclient entspr. konfiguriert werden, und das ist - wenigstens bei der Ersteinrichtung - leider nicht ganz trivial. Aber genau aus dem Grunde habe Firmen meist fähige Administratoren, die das gerne für ihre Kollegen übernehmen:wink:

Gruß

die Passwörter von MS Office lassen sich innerhalb weniger
Minuten knacken, selbst wenn sehe komplexe verwendet werden.

2004 ist schon fast ein Jahrzehnt her, gelegentlich sollte man sein Wissen doch auffrischen. Seit Office 2007 ist der Passwortschutz sauber umgesetzt und im Rahmen der Fähigkeiten des verwendeten Algorithmus (AES) sicher.

Gruß

Hi,

„andererseits aber die Empfänger deiner Mails zwingen, diese mit monsterfetter Schrottware wie OpenOffice oder Microsoft Office - natürlich in einer zu deiner kompatiblen Version - zu lesen?“

Weil ich einfach mal davon ausgehe dass auf einem beliebigen PC in dieser Republik eher OpenOffice/Office läuft als OpenPGP. Oder womit erstellst Du Deine Texte und Tabellen?

Gruss
K

Moin,

Weil ich einfach mal davon ausgehe dass auf einem beliebigen
PC in dieser Republik eher OpenOffice/Office läuft als
OpenPGP.

Ich hab’s eben probiert, eine mit LibreOffice erstellte und kennwortgeschuetzte odt-Datei wird von Word2010 nicht gelesen (Fehlermeldung „Datei ist beschaedigt“). Umgekehrt wird eine docx-Datei von LibreOffice zwar geoeffnet, hat aber keinen Inhalt. Nicht gerade eine gute Voraussetzung…

Oder womit erstellst Du Deine Texte und Tabellen?

Mit LaTeX natuerlich

Gruss
Paul

Weil ich einfach mal davon ausgehe dass auf einem beliebigen
PC in dieser Republik eher OpenOffice/Office läuft als
OpenPGP.

Du hinkst ein bisschen der Zeit hinterher. Sicher, nicht jedes Smartphone beherrscht PGP oder S/MIME, noch sicherer aber werden die Nutzer solcher Geräte jeden als komischen Kauz erachten, der ernsthaft erwartet, dass sie dessen Mails in Fettware-Produkten lesen.

Und auch Netbooks sind oft so schwachbrüstig, dass das Öffnen einer Mail mit einem Schwabbel-Office ähnlich vergnüglich ist, wie ein Tauchgang mit Betonschuhen.

Oder womit erstellst Du Deine Texte und Tabellen?

Meine Mails lese und erstelle ich mit einem Mailclient. Wie die weitaus meisten Menschen.

Gruß

Hei!

(wobei ich passwortgeschützt gezippte Dateien versenden würde).

Das ist nicht dein Ernst, oder?
Es gibt reichlich Software, die Passwörter aus ZIP-Archiven in wenigen Sekunden extrahieren. Wenn schon, dann bitte RAR.

lg, mabuse

Hi,

(wobei ich passwortgeschützt gezippte Dateien versenden würde).

Das ist nicht dein Ernst, oder?
Es gibt reichlich Software, die Passwörter aus ZIP-Archiven in
wenigen Sekunden extrahieren. Wenn schon, dann bitte RAR.

ich würde zwar meine Hand nicht für die Implementierung ins Feuer halten, aber bist du sicher, dass diese Aussage heute für zip noch gültig ist? So weit ich weiß wird hier heute ähnlich wie bei rar auf AES und PBKDF2 gesetzt.

Gruß

rantanplan

ich würde zwar meine Hand nicht für die Implementierung ins Feuer halten, aber bist du sicher, dass diese Aussage heute für zip noch gültig ist? So weit ich weiß wird hier heute ähnlich wie bei rar auf AES und PBKDF2 gesetzt.

Das würde ich mir auch wünschen.
Aber die Erfahrung lehrt, das solche Verbesserungen - speziell bei extrem langlebigen Formaten wie ZIP - meist auf dem Altar der Kompatibilität enden.

Außerdem hätte ich dann hier Bedenken bezüglich der Umsetzung in Fremdprogrammen (WinRAR, 7Zip), anderen Systemen (Mac, Linux) und der Verbreitung der neuen Versionen - denn mal nüchtern betrachtet hat sich weder an der Kompressionsrate noch an der Bedienung im letzten Jahrzehnt irgendwas nennenswertes geändert - also wozu updaten? (Damit meine ich jetzt den normalen, unbedarften User ohne Ansprüche an Passwort-Sicherheit)

Ich wüsste jetzt nicht, wann ich zuletzt meine Packer aktualisiert habe - bedeutet: es dürfte deutlich mehr als 5 Jahre her sein.

lg, mabuse

Es gibt reichlich Software, die Passwörter aus ZIP-Archiven in
wenigen Sekunden extrahieren. Wenn schon, dann bitte RAR.

Da bin ich aber mal gespannt. Lies mir doch mal vor, was in ‚Ein Text.txt‘ Spannendes geschrieben steht. Zur Belohnung darfst du dir dann auch eine schöne Fanfare anhören: http://schorsch.de/temp/datei.zip

Und wenn du dann noch rauskriegst, was das ganze mit Fischsuppe zu tun hat, lade ich dich zu einer solchen ein. Oder zu einer Currywurst, falls du keine Fischsuppe magst.

Gruß

Da bin ich aber mal gespannt. Lies mir doch mal vor, was in
‚Ein Text.txt‘ Spannendes geschrieben steht. Zur Belohnung
darfst du dir dann auch eine schöne Fanfare anhören:
http://schorsch.de/temp/datei.zip

Ja, ja, ist ja gut.
Gib’s zu: das hast du absichtlich gemacht

Das ist mit einer der neueren Versionen von ZIP erstellt, die sichere Verschlüsselungsalgorythmen verwendet. Die Entschlüsselungssoftware sagt auch sofort unbekannte Version (wobei das jetzt auch nicht grad die allerneuste ist).

Meine Frage wäre jetzt - wenn du das an deine Kunden schickst, wieviele wären in der Lage, das zu öffnen?
Also, wie sieht’s mit der Kompatibilität zu RAR und/oder 7Zip aus, weil ZIP selber benutzt heutzutage ja kaum noch jemand.

Und meinen Kunden zu sagen, ihr müsst diese Software installieren . . . ne du, das geht einfach nicht.

Schönes Wochenende wünsch ich auch allen!
mabuse

Meine Frage wäre jetzt - wenn du das an deine Kunden schickst,
wieviele wären in der Lage, das zu öffnen?

Jeder. Jeder einzelne. Denn, ich hatte es glaub ich schon erwähnt, der Einsatz eines solchen Verfahrens bedarf, im Gegensatz zu etablierten Standards, zwingend einer vorherigen bilateralen Vereinbarung.

Aber du hast recht - wenn wir schon kein Standardverfahren einsetzen, dann kann man den Leuten anstelle des überall verbreiteten zip-Formats auch gleich ein proprietäres Format, welches lediglich in der halb- bzw. illegalen Filesharingszene weitere Verbreitung gefunden hat, auf’s Aug’ drücken. Man will’s den Leuten ja nicht einfach machen…

Also, wie sieht’s mit der Kompatibilität zu RAR und/oder 7Zip

Die Datei habe ich mit 7zip gepackt. Sollte zu 7zip halbwegs kompatibel sein.

Gruß

Hi,

interessant! Habe folgendes gefunden, kannst Du das bestätigen? Dass das Gegenüber 7zip nicht installiert haben muss sondern nur das pw braucht?

„Wenn Sie in 7-Zip als Format ZIP und dabei das voreingestellte Verschlüsselungsverfahren „ZipCrypto“ verwenden, kann dieses Archiv auf jedem Windows ab XP ohne zusätzliche Hilfsmittel entpackt werden. Die in Windows integrierten ZIP-Ordner unterstützen nämlich Verschlüsselung, ohne diese jedoch selbst anzubieten. Die sicherere Verschlüsselung bietet 7-Zip allerdings mit AES-256.“ http://www.pcwelt.de/tipps/Einfach-sicher-Verschlues…

Die niedrigere Verschlüsselung kann man hier dann sicher verschmerzen.

Gruss
K

Ahoi!

Aber du hast recht - wenn wir schon kein Standardverfahren einsetzen, dann kann man den Leuten anstelle des überall verbreiteten zip-Formats auch gleich ein proprietäres Format, welches lediglich in der halb- bzw. illegalen Filesharingszene weitere Verbreitung gefunden hat, auf’s Aug’ drücken. Man will’s den Leuten ja nicht einfach machen…

Na, wenn wir schon so weit sind, dann würd ich aber gleich zu Steganographie greifen. Security through obscurity mag richtigen Sicherheitsexperten die nackenhaare aufstellen - in der Praxis funktioniert sie erstaunlich gut.

lg, mabuse

Die niedrigere Verschlüsselung kann man hier dann sicher
verschmerzen.

Das kommt darauf an, welches Sicherheitsniveau du erreichen willst. Das Problem bei ZipCrypto ist nicht nur, dass, wenn Teile des verschlüsselten Inhalts bekannt sind, die Entschlüsselung des Restes kein Problem mehr ist. Neben dem entschlüsselten Archivinhalt fällt hierbei auch das Passwort im Klartext ab. Es reicht also, ein einziges angreifbares Archiv zu finden, um selbst das stärkste Passwort zu kompromittieren.

Und dass Teile des Inhaltes bekannt sind, davon musst du ausgehen. Enthält das Zip-Archiv beispielsweise ein Word-Dokument - was dem nicht verschlüsselten Inhaltsverzeichnis leicht zu entnehmen ist - kann der Angreifer davon ausgehen, dass die ersten 32 Zeichen der Datei (nicht des darin abgespeicherten Dokuments!) immer identisch sind. Und 32 bekannte Zeichen reichen für einen Angriff schon fett aus.

ZipCrypto ist hinreichend, den neugierigen Kollegen vom Blick auf private Inhalte abzuhalten. Aber wenn du Mails verschlüsselt sendest, weil du gezielte Angriffe erwartest, ist dieses Verfahren völlig ungeeignet.

Gruß

Hi,

also ich könnte mir sowas vorstellen wenn ich z.B. mit meinem Arzt per Mail kommuniziere, oder mit der Bank, oder mit der Krankenkasse. Alles Sachen die nicht jeder wissen muss, aber wenn jemand sowas knackt dann meinetwegen. Die richtig wichtigen Dinge passieren dann eh per Post/Telefon oder persönlich.

Aber da macht es dann wohl doch eher wieder Sinn sich auf einen sicheren Standard zu einigen. Geht wohl doch kein Weg dran vorbei.

Axcrypt nutze ich z.B. privat und bin sehr zufrieden damit. Open Source und einfach in der Handhabung. Wäre doch eine Option, oder? Irgendwelche Einwände vom Experten?

Gruss
K

Alternativ zu den bisherigen Lösung wie PGP habe ich ein Outlook Plugin entwickelt.
Das Plugin verschlüsselt den Emailanhang mit einem Passwort.
Der Empfänger der Email muss nichts installieren, braucht aber das Passwort zum Entschlüsseln.
Dh. der geheime Text muss im PDF, Word, Excel oder Powerpoint Dokument stehen.
http://crypted-email.de/
Wer kann eine kostenlose Version will, kann sich bei mir melden!!!