GPG-Verschlüsselung auf dem Server für ausgehende Mail

Matthias-Christian Ott ott at mirix.org
Do Mär 5 22:01:53 CET 2015


Erstmal vielen Dank, dass du auf eine an dich gerichtete E-Mail an die
Mailingliste geantwortet hast.

On 2015-02-25 05:55, Matthias Schmidt wrote:
> 
>> Am 25 Feb 2015 um 00:52 schrieb Matthias-Christian Ott <ott at mirix.org>:
>>
>> On 2015-02-24 13:07, Matthias Schmidt wrote:
>>>
>>>> Am 22 Feb 2015 um 03:52 schrieb Matthias-Christian Ott <ott at mirix.org>:
>>>>
>>>> On 2015-02-21 13:19, Ralph J.Mayer wrote:
>>>>> ich würde gerne jede meiner ausgehenden Mails automatisch verschlüsseln
>>>>> lassen, sofern ein Schlüssel vorliegt.
>>>>> Das ganze soll auf meinem Server passieren, weil ich z.B. auf dem iPhone
>>>>> kein PGP habe.
>>>
>>> es gibt für das iPhone mehrere Anwendungen:
>>> - iPGMail
>>> - oPenGP
>>>
>>> ich würd auch immer nur Verschlüsseln, wenn’s sein muss.
>>
>> Damit es dann möglichst auffällig ist, dass die verschlüsselten E-Mails
>> wichtige Informationen beinhalten. Das hilft doch nur einer
>> Metadatenauswertung.
>>
> 
> Käse, die Header werden ja eh nicht verschlüsselt und das ist das was da ausgewertet wird.

Es geht auch nicht um die Header, sondern um das Metadatum „ist
verschlüsselt“ oder „ist nicht verschlüsselt“. Wenn du Verschlüsselung
nur für „wertvolle“ oder „wichtige“ E-Mails benutzt, ist es sehr leicht
diese ohne Aufwand zu erkennen und zur weiteren Analyse zu speichern.
Andernfalls müsstest du schon eine Textanalyse machen. Wenn du hingegen
alle E-Mail verschlüsselst (zumindest für die Empfängerinnen und
Empfänger, deren Schlüssel du besitzt), ist das Metadatum „ist
verschlüsselt“ wertlos, ähnlich als wenn du mit einem Textmarker den
ganzen Text anstreichst.

> Dass die Verschlüsselung die Auswertung von Metadaten erschweren würde ist ein Märchen.

Das habe ich auch nicht behauptet. Zur Zeit gibt es mit Dark Mail aber
auch Bestrebungen das zu ändern.

> Bei der Verschlüsselung geht es allein darum den Inhalt vor unberechtigten Mitlesern zu schützen und das ist in diesem Fall meist nicht irgendein staatl. Dienst.

Auch Angreifer, die nicht „staatl. Dienste“ sind, könnten an Metadaten
interessiert sein. Kommt eben auf das Threat Model und den Kontext an.

Vor 25 Jahren war ja auch noch nicht klar, dass man im WWW häufig von
Trackern u.ä. verfolgt wird und private Daten die inoffizielle Währung
werden.

> Wenn die nämlich so interessiert an Dir sind, dass sie Deine Mails lesen wollen, greifen die die schon ab, währen Du die schreibst. Außerdem hast Du dann ein ziemliches Problem am Hals ;-)

Vermutlich. Aber „die“ sind eben nicht nur an gezielter Überwachung
interessiert sondern auch am „Full Take“.

Ich denke, die Diskussion hat nichts mehr Postfix zu tun und wir können
sie hier beenden. Ich wollte nur meine Aussage richtig stellen.

- Matthias-Christian Ott


Mehr Informationen über die Mailingliste postfix-users