Hi,
bin neu, was das Thema Verschlüsselung angeht. Habe mir PGP9 zugelegt und die Einführung in die Kryptographie gelesen. Nun sehe ich, dass OutlookExpress 6 (WIN XP Home) schon Verschlüsselung mit digitaler Signatur anbietet. Wie ist das von der Sicherheit im Vergleich zu PGP9 einzuschätzen? Ist das eine Form der Verschlüsselung, wo Windows (d.h. Microsoft) den (US-)Behörden eine Hintertür offenlässt?
Danke für Tips,
Günter
Hi,
bin neu, was das Thema Verschlüsselung angeht. Habe mir PGP9
zugelegt und die Einführung in die Kryptographie gelesen. Nun
sehe ich, dass OutlookExpress 6 (WIN XP Home) schon
Verschlüsselung mit digitaler Signatur anbietet.
Die Funktionalität, ja. Aber auf welcher Basis? Wie wird da verschlüsselt?!
Die Digitale Signatur, die ggf. dazu benutzt wird kann ja z.B. von http://www.cacert.org oder http://www.thawte.com kommen und auch eingebunden werden…
Wie ist das
von der Sicherheit im Vergleich zu PGP9 einzuschätzen?
PGP9: relativ Sicher!
Microsoft basierend: relativ unsicher!
Ist das
eine Form der Verschlüsselung, wo Windows (d.h. Microsoft) den
(US-)Behörden eine Hintertür offenlässt?
Welche version von PGP9 ist es denn? Es gibt da bestimmt eine Internationale (also sogar im Sinne von US-behörden ZU sicher) und eben die US konforme version.
Seinerzeit musste Network Associates ja mehrere versionen (eben eune US und eine Non-US) version bereitstellen. Das sollte eigentlich immer noch so sein 
Allerdings hätte man sich die Ausgabe auch sparen und die kostenlose und Standardkonforme GPG / GnuPG Version herunterladen können.
gruß
h.
Hallo,
PGP9: relativ Sicher!
Microsoft basierend: relativ unsicher!
Mit so einer simplen Formel habe ich echt ein Problem.
Ist das
eine Form der Verschlüsselung, wo Windows (d.h. Microsoft) den
(US-)Behörden eine Hintertür offenlässt?
Lies den Quellcode, dann weiß Du es 
Allerdings hätte man sich die Ausgabe auch sparen und die
kostenlose und Standardkonforme GPG / GnuPG Version
herunterladen können.
Ja, das ist eben genau der IMHO beste Vorschlag (Wenngleich die zugrundeliegende Infrastruktur prinzipiell anders ist. Ich bevorzuge deutlich (Gnu)PGP.
Gruß,
Sebastian
Hallo,
bin neu, was das Thema Verschlüsselung angeht. Habe mir PGP9
zugelegt und die Einführung in die Kryptographie gelesen. Nun
sehe ich, dass OutlookExpress 6 (WIN XP Home) schon
Verschlüsselung mit digitaler Signatur anbietet.
wie viele andere Email-Clients auch, bietet OjE standardmäßig nur Verschlüsselung gemäß S/MIME an.
Der größte Unterschied zu OpenPGP (genaueres findet sich z.B. unter http://www.kes.info/archiv/online/01-01-60-SMIMEvsOp…) ist das System zur Zertifizierung von Schlüsseln:
Auf Grund der bekannten und inakzeptablen Mängel von OjE empfiehlt sich ganz unabhängig von der Frage S/MIME oder OpenPGP der Einsatz eines anderen Emailclients. Für z.B. Mozilla Thunderbird gibt es dann auch ein recht vernünftiges GnuPG-Plugin.
Wie ist das von der Sicherheit im Vergleich zu PGP9 einzuschätzen?
Im Grunde können in beiden Systemen dieselben Verschlüsselungsverfahren zum Einsatz kommen, so dass hier kein Unterschied besteht (abgesehen von möglichen Implementierungsfehlern in einzelnen Anwendungen).
Die Entwicklerversion von GnuPG stellt bereits S/MIME auch mit OpenPGP-Schlüsseln zu Verfügung.
Ist das eine Form der Verschlüsselung, wo Windows (d.h. Microsoft)
den (US-)Behörden eine Hintertür offenlässt?
Diese Verdachtsmomente bestehen grundsätzlich immer, wenn der Quellcode nicht offen liegt, was auch bei PGP, im Gegensatz zum kostenlosen GnuPG, der Fall ist.
Selbst das verschlüsselungsverfahren DES, das auch in GnuPG verwendet werden kann, ist von diesem Verdacht nie ganz losgekommen.
–
PHvL
Hy,
PGP9: relativ Sicher!
Microsoft basierend: relativ unsicher!Mit so einer simplen Formel habe ich echt ein Problem.
Naja, is doch aber so. Ok ein OS mit einem Programm so direkt zu vergleichen hinkt ganz arg.
Aber wenn man sich entsprechend unter http://www.securityfocus.com informieren möchte und nur mal „Microsoft“ oder „PGP 9“ ins Suchfeld eingibt… reicht doch. Keep IT simple.
Du kannst es gerne noch mit zig unterschiedlichen Thesen, Quellen, gegenüberstellungen alla Schneier on Security, etc. um- und auflegen. Aber bis jetzt ist mir noch kein wirklich konkreter Fall von vulnerability bei (GNU)PG / PGP bekannt. Reicht doch…
Achso … fast vergessen. Weitere Infos und Links zu GnuPG Tools (hauptsächlich natürlich Windoof): http://de.wikipedia.org/wiki/Gnupg
Gruß
h.
Huhu,
PGP9: relativ Sicher!
Microsoft basierend: relativ unsicher!
Mit so einer simplen Formel habe ich echt ein Problem.
Naja, is doch aber so. Ok ein OS mit einem Programm so direkt
zu vergleichen hinkt ganz arg.
Aber wenn man sich entsprechend unter
http://www.securityfocus.com informieren möchte und nur mal
„Microsoft“ oder „PGP 9“ ins Suchfeld eingibt… reicht doch.
Wieviele Prozent der Microsoft-Sicherheitslücken lagen noch in der Implementation der Mail-Verschlüsselung begründet? Eben.
Keep IT simple.
But don’t keep users stupid.
Du kannst es gerne noch mit zig unterschiedlichen Thesen,
Quellen, gegenüberstellungen alla Schneier on Security, etc.
um- und auflegen. Aber bis jetzt ist mir noch kein wirklich
konkreter Fall von vulnerability bei (GNU)PG / PGP bekannt.
Reicht doch…
Von dem äußerst unschönen ADK bis zu blöden Algorithmen gab es da auch Probleme.
Um nicht mißverstanden zu werden: Ich traue GnuPG ungefähr 1042 mal mehr über den Weg als PGP und Mircosoft zusammen, aber so wie Du das schreibst, ist das eher FUD.
Gruß,
Sebastian
Hi,
danke für die Tipps. Von dem freien GnuPG wusste ich noch nichts. Aber irgendwo muss man ja anfangen.
An einer Stelle habt ihr geschrieben, PGP und GnuPG verwenden eine unterschiedliche Infrastruktur. D.h. wenn ich z.B. PGP verwende und mein Kumpel GnuPG, dann kann ich seinen öffentlichen Schlüssel nicht zum Verschlüsseln verwenden und umgekehrt? Was immer ich verwende, nützt mir also nur was bei der Kommunikation mit Leuten, die dasselbe verwenden?
Gruß,
Günter
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hi,
danke für die Tipps. Von dem freien GnuPG wusste ich noch
nichts. Aber irgendwo muss man ja anfangen.
An einer Stelle habt ihr geschrieben, PGP und GnuPG verwenden
eine unterschiedliche Infrastruktur. D.h. wenn ich z.B. PGP
verwende und mein Kumpel GnuPG, dann kann ich seinen
öffentlichen Schlüssel nicht zum Verschlüsseln verwenden und
umgekehrt? Was immer ich verwende, nützt mir also nur was bei
der Kommunikation mit Leuten, die dasselbe verwenden?
jein. Grundsätzlich sind die beiden zueinander kompatibel.
Es gibt aber Spezialfälle, bei denen das nicht hinhaut.
Gruß,
Malte.