Mailpile: Isländer wollen E-Mail sicher machen
von caschy | 37 Kommentare
Via der Crowdfunding-Plattform Indiegogo versuchen die Isländer von Mailpile ihren Traum zu verwirklichen. Nach Abschluss der Funding-Phase will das Open Source-Projekt im Januar 2014 in einer ersten Alpha an den Start gehen. Das Ziel? Eine moderne Web-Applikation für E-Mails, mit benutzerfreundlicher Integration von OpenPGP-Verschlüsselung und S/MIME-Zertifikaten.
Nicht nur im Web soll das Tool laufen, auch auf USB-Sticks oder lokal soll der Betrieb möglich sein. Alle modernen Web-Techniken sollen zum Einsatz kommen, aber auch ältere Standards, wie das offene XMPP für Chats. Auch sollen externe Entwickler Schnittstellen nutzen können, um ds Projekt anzupassen.100.000 Dollar benötigt man, über die Hälfte hat man bereits eingesammelt.
[werbung]
Eigene, kurze Meinung: ich begrüße diese Initiativen. Ebenfalls würde ich es begrüßen, wenn Verschlüsselung einfacher realisiert würde. Für 95 % aller Benutzer ist Verschlüsselung von Dateien wie Mails und Co immer noch zu kompliziert. Diese Bastelwastel-Lösungen sind wenig Anwenderfreundlich, des Weiteren besteht das übliche Problem: Nutze ich die Verschlüsselung, muss mein Gegenüber eine Möglichkeit der einfachen Entschlüsselung bekommen.
Unter dem gleichen Problem leiden auch alternative Messenger wie Threema, Heml und Co. Selbst wenn ich diese Messenger nutze – wenig bis niemand in meinem Umfeld nutzt die Messenger, da anscheinend kein Bedarf besteht. Unsicher? Andere können mitlesen? Interessiert nicht, man „hat ja nichts zu verbergen“ und bei dem Austausch via Messenger steht „eh nur Unwichtiges“ drin.
Wird geladen ...
Wäre es nicht sinnvoller Thunderbird nativ um PGP zu erweitern? Damit wär das ganze wunderbar einfach gelöst und mit weniger Aufwand.
OpenPGP gibts als Javascript Implementation und die GUI ist in Enigmail auch schon angelegt.
@heureka
das wäre allerdings weiterhin nur eine Nischenlösung. Da die meisten die Weboberfläche für Emails nutzen. Somit wäre es hinfällig.
Ich denke das Argument, dass Verschlüsselung soo unglaublich schwierig wäre ist eher eine Ausrede von Leuten, die kein Interesse haben sich damit zu beschäftigen. Enigmail installieren, Schlüsselpaar erstellen und dann im Konto auswählen dass Nachrichten standardmäßig verschlüsselt werden sollen. Dannach geht es nur noch an das Schlüsselkontrolieren und das Aufbauen einer Chain of Trust. Man muss ja nochnichtmal ein Passwort für das Schlüsselpaar eingeben, wenn man zu faul ist. Aber das Problem liegt eher daran, dass der Benutzer sich dann mit seinem Computer/System auseinandersetzen müsste. Und da haben die meisten keinen Bock drauf. „Ich müsste 5 Minuten opfern um mich mit meinem System auseinanderzusetzen? Keinen Bock drauf. In den 5 Minuten könnte ich 10 unwichtige Bilder auf Facebook posten.“ Und schon verschickt man weiterhin seine Emails unverschlüsselt…
„Enigmail installieren, Schlüsselpaar erstellen und dann im Konto auswählen dass Nachrichten standardmäßig verschlüsselt werden sollen.“ Das wäre für meine durchaus im Internet sehr aktiven Eltern keine Frage von fünf Minuten, sondern ein durchaus tagesfüllendes Projekt.
Gut, das war es für mich damals als ich Enigmail das erste mal benutzt habe auch ein stundenlanges Projekt. Zumal Enigmail damals keine eingene Schlüsselverwaltung mitbrachte sondern man PGP zusätzlich installieren musste. Aber was ist ein Tag Arbeit, wenn ich danach dauerhaft Kontrolle über meine Daten behalten kann? Meines Erachtens nach ist die Kontrolle über meine Daten den Aufwand allemal wert.
Ich gebe allerdings durchaus zu dass das nicht für alle Menschen zutrifft, die Software bedienen oder im Internet surfen.
@SuicideMonkey Du verkennst die Situation. Es gibt genügend Menschen, die froh sind, wenn sie einen PC an und aus bekommen und wissen wie man eine Mail überhaupt schreibt. Und das ist für die dann schon eine tolle Sache. Da muss ich auch gar nicht weit gehen, um die zu finden.
Dieser ganze Frickelscheiss mit PGP geht da mehr als über deren Horizont hinaus.
Wobei es natürlich auch einfach eine Menge ignoranter Typen der „Ich hab nichts zu verbergen“ Fraktion gibt, da stimme ich zu. Schlimm daran ist, dass genau diese Leute gar nicht wissen, was überwacht, protokolliert etc. wird, oder welche Spuren sie im Netz hinterlassen, wenn sie nur einen Suchbegriff bei Google eingeben.
Man bräuchte einfach ein Gegenstück zu Google (Mail), das so einfach in der Anwendung ist, aber einfach die nötige Sicherheit mitbringt. Andernfalls wird man keinerlei Akzeptanz bei der Masse erreichen.
Da wird es allerdings jeder neue Dienst erst einmal schwer haben, da Google gut 1 Jahrzehnt Vorsprung hat (allein was den Mailservice angeht).
@SicideMonkey:
Entweder es ist derart erinfach, dass niemand darüber bloggt, oder es ist selbst für die zu langweilig/komlipziert verschiede Möglichkeiten aufzuzählen.
@shad
Ich verkenne die Situation nicht. Ich habe genügend mit solchen Leuten zutun. Wir haben bei uns in der Fachschaft Informatikstudierende die zu uns kommen weil Sie glauben, dadurch dass Sie das Firefox Icon vom Desktop gelöscht haben, wäre das Internet weg. Wohlgemerkt, das sind Leute die Informatik studieren wollen. Die sollten das ja eigentlich wissen wie man einen Computer bedient.
Aber für die meisten (Informatik)Studierenden ist ein Laptop auch nicht mehr als eine 1000€-Facebookmaschine. Deswegen wünsche ich mir die Einführung eines verbindlichen Computer/Internetführerscheins, welcher (natürlich mehr oder weniger gut) bescheinigt, dass das Wissen dieser Person über die Benutzung eines Browsers hinaus geht.
Da die TB Community kritischere Dinge zu tun hat hat als Enigmail einzuweben, wie wäre es denn währendessen mit
Mailvelope`? Ich würd zwar noch etwas warten bis sie weiter sind in der Entwicklung da noch etwas frühreif, aber das ist doch alles was der DAU will: Webmail + Verschlüsselung oder? 🙂
@SuicideMonkey Mit solchen Äußerungen disqualifizierst Du Dich doch selbst, das sollte klar sein, oder? Geh mal zu Deinen Eltern und sag denen das, was Du da zum Thema Verschlüsselung geschrieben hast. Viel Spass.
Und zum Thema Computerführerschein: Da kann ich nur drüber lachen, wenn ich sowas lese. Ich sitze im Personalbereich und habe da tagtäglich mit Bewerbern zu tun, die alle ihre tollen EDV-Zertifikate einreichen. Die bringen doch einen Dreck. Umgehen können die meisten mit dem PC trotzdem nicht besser. Vor allem, wenn der entsprechende Kurs schon Monate zurück liegt. Von der Tatsache, dass die meisten dieser Kurse schlecht sind will ich gar nicht anfangen.
Zum Thema Informatikstudenten und EDV-Wissen: Man hat in jedem Studiengang Hammerwerfer sitzen. Aber i.d.R. werden es über die Semester weniger und abschließen tun diese ganzen Pfosten eh nicht. In sofern braucht man sich darüber auch nicht aufzuregen.
Um ein Vernünftiges Wissen im Bereich EDV anzusammeln Bedarf es Interesse an dieser Materie. Wer die von sich aus nicht mitbringt, wird auch niemals über mehr als die absoluten Bascis hinaus kommen.
@heureka: der „DAU“ „will“ das ganz sicher nicht… weil er null Plan von sogut wie allem hat und nur bei Facebook seinen Dünnpfiff posten möchte…
Siehe die heutige Jugend, viele davon können nichtmal einen Satz richtig aussprechen…. vorhin erst wieder in der Bahn erlebt…
Es gibt aus meiner Sicht z.B. bei PGP aber erst einmal 2 praktische Probleme: der Empfänger braucht einen Schlüssel! Wie genau mache ich das mit dem Schlüssel wenn ich mit einer Behörde od. Arzt (sensible Daten!) kommunizieren möchte? Wie kommt der Schlüssel dort hin und außerdem: es sitzen dort meist mehrere Mitarbeiter.
Das zweite Problem: sehr oft findet Mail-Kommuniekation über Webformulare statt, wie soll ich da verschlüsseln?
@shad
Inwieweit disqualifiziere ich mich mit meiner Aussage? Ich wäre froh, wenn du mir das erläutern kannst. Vielleicht ist auch das was ich sagen wollte einfach nicht wirklich verständlich rübergekommen.
Zum Thema Führerschein: Natürlich kann man da nicht davon ausgehen, dass jetzt irgendeine Volkshochschule da jemanden hinsetzt der einem in 2 Stunden erklärt wie ein Computer funktioniert 🙂 Das muss mit einem vernünftigen Konzept entwickelt werden. Von Leuten die Ahnung von der Materie haben. Sprich Pädagogen, Informatikern, u.s.w. So ein Führerschein sollte dann halt mehr sein als ein Volkshoschul Excel Zertifikat. 🙂
Viele Grüße SM
@Matze.B
Dann bekommen die Mitarbeiter der Behörde halt auch PGP Schlüssel. Der Publickey wird dann auf der Seite der Behörde veröffentlicht und können dort eingesehen/heruntergeladen werden. (Nur als Idee.)
@SuicideMonkey:
Ist ja schon wirklich witzig. Erst waren es bei Dir nur 5 Minuten, um sich mit Verschlüsselung zu beschäftigen. Danach räumst Du ein, dass es doch ein Tag Arbeit ist? Einen Tag finde ich sogar noch durchaus optimistisch angesetzt. Es gibt genug Leute die auch einer Arbeit nach gehen, Geld verdienen, eine Familie haben. Die haben da nicht einfach mal nicht so eben einen Tag. Davon mal abgesehen sind für genügend Menschen PC’s Arbeitsgeräte für vielfältige Aufgaben, ohne dass sie sich mit technischen Details der Maschine auskennen müssen. Du kaufst einen elektrischen Dosenöffner ja auch, weil Du schnell Dosen öffnen willst, ohne Dich vorher erst mit Bauplänen und der internen Verdrahtung des Geräts auseinander zu setzen.
Kommen wir mal zu Deinem Internetführerschein. Hier vergleichst Du Äpfel mit LKW’s.
Es geht in dem Beitrag, um eine Plattform für gesicherte E-Mail-Kommunikation im Sinne der Endbenutzer. Auch spielt es keine Rolle, ob sich jemand mit einem 1000 Euro-Gerät nur auf Facebook surft.
Dennoch interessiert mich, wie Du es umsetzen wollen würdest.
Wie soll die Prüfung aussehen?
Wer finanziert das ganze?
Woher nimmt man das Personal, um diese Prüfung durch zuführen?
Wer ist verantwortlich für Prüfungsinhalte?
Ab welchem Alter?
Was dürfen Personen nur machen, die diesen Internetführerschein (noch) nicht haben?
Muss man sich alle paar Jahre nachschulen bzw. noch eine Prüfung ablegen?
usw….
Definitiv sollte man junge Menschen in der Schule mehr an die IT heranführen und auch den älteren und nicht IT-affinen Menschen die Möglichkeit geben, diese Horizonte zu erweitern. Dabei könnte man auch grundlegendes Handwerkszeug an die Hand geben, um sich sensibler im Netz zu bewegen, um sich ggf. selber die notwendigen Verschlüsselungsthemen anzueignen (sobald das Hintergrundwissen dafür vorhanden ist).
Es gibt zugenüge die Leute, die mehr Kontrolle und Sicherheit über eigene Daten haben möchte. Ich kenne sogar Leute, die dafür Geld zahlen würden, wenn man ihnen verbindlich diese Sicherheit auf den IT-Geräten zuverlässig einrichten würde (mangels Zeit, sich selbst damit zu beschäftigen).
Oder wir erreichen endlich den Punkt, an dem ein Grundmaß an Verschlüsselung ohne Aufwand aktiviert werden kann. Ich stimme Dir dahingehend zu, dass man sich mit dem System selbst auseinander setzen sollte, um ein Optimum heraus zu holen. Dafür sitzt man aber auch länger als einen Tag, wenn man davon noch gar keine Ahnung hatte.
Gruß
Frank
Also ich muss erst mal sagen, dass ich als Techniker auch schon mit verschiedensten Informatikern zu tun hatte. Und es hat sich bislang eins bestätigt. Das sind meistens Leute, die können etwas mit Algorithmen, Klassen, Variablen u.ä. anfangen, aber sind am Computer auch nur normale PC-Nutzer wie meine Eltern. Die kennen das Symbol ihrer Entwicklungsumgebung und können die starten.
Es gibt zwar auch die anderen, wie z.B. Hardwareentwickler und auch Softwareentwickler, die das können. Diese Softwareentwickler sind rar.
Ich heiße es willkommen PGP und S/MIME einzusetzen. Denn ich persönlich würde es in Emails sehr gerne öfters nutzen, da aber die meisten Kontaktpersonen, entweder über die Weboberfläche abrufen oder keinerlei keine Ahnung haben von dem ganzen, ist es zwecklos.
Das Haupt-Kommunikationsmedium hat sich mittlerweile auch bei vielen auf Chatlösungen wie Facebook, Whatsapp und weitere gewechselt.
Es sollte somit direkt in die Clienten wechseln, egal ob Web oder Install, damit könnte man dem abhören entgegenwirken. Dazu muss dann auch noch der ganze Weg zwischen den Servern verschlüsselt ist usw.
@SuicideMonkey
Mein Gedanke dabei war, dass ich dann aber auch nicht mehr verschlüsseln brauche wenn hinterher fast alle Mitarbeiter der Behörde wieder entschlüsseln können.
Und wie soll ich als Mister XYZ der Behörde beibringen bzw. sie überreden das die dort gefälligst PGP benutzen sollen da meine Mail verschlüsselt kommt. Eine ziemlich utopische Vorstellung, oder?
Zum Beispiel die Jobcenter in Berlin wissen nicht was ‚Message Disposition Notification (MDN)/Empfangsbestätigung für Email ist – folglich nützt mir diese Möglichkeit überhaupt nichts.
So, zurück zum Thema … was haltet ihr grundsätzlich von Mailpile?
Hallo Frank,
okay, ich gebe zu dass meine Zeitangabe unglücklich gewählt war. Vielleicht passt besser: „Die Installationsdauer von Enigmail ist abhängig sowohl von der Internetverbindung als auch von dem Kenntnisstand des Installierenden.“
Vielleicht kam es von meiner Seite so rüber als sollte man die Betreffenden da ohne Hilfe ransetzen. Das war nicht meine Intention. Vielmehr ging es darum dass die Leute die Ahnung haben, es den Leuten erklären die keine Ahnung haben. Ich habe mich auch mit meinen Eltern hingesetzt und habe ihnen die Vorzüge von Verschlüsselung erklärt und habe es mit ihnen eingerichtet. Dafür haben wir weniger als einen Tag gebraucht. Aber bezüglich Zeitangeaben siehe meine Aussage oben.
Zum Thema Dosenöffner: Da ich als Student nicht viel Kohle habe, ist es natürlich schon auch Interessant für mich zu sehen, ob ich den elektrischen Dosenöffner der mir Zeit einspart auch selbst reparieren kann wenn der kaputt geht. Denn einfach so einen neuen kaufen ist dann auf Dauer doch zu teuer. Selbst wenn man, so wie ich, neben dem Studium noch arbeiten gehen muss. (Um nur mal ein bisschen mit dem Klischee aufzuräumen, dass ja alle Studierenden vor lauter Freizeit nicht wüssten wohin.)
Zum Thema Führerschein: Ja ich vergleiche das mit dem Führerschein für Fahrzeuge. Schließlich kann Fehlverhalten im Internet genau so gefährlich sein wie Fehlverhalten im Straßenverkehr. Mit einer Ausnahme: Im Internet schädigt man durch sein Fehlverhalten meistens sich selbst.
Ich kann dir leider deine Fragen nicht beantworten, da es im Moment nur eine Idee meinerseits ist. Was ich dir beantworten kann ist, dass meiner Meinung nach dieser Führerschein alle x Jahre erneuert werden sollte. (Wie die ganzen Zusatzprüfungen bei LKW und Busführerscheinen), aber ich habe dafür kein Konzept ausgearbeitet.
Vielleicht liest man ja in ein paar Jahren von einem unglaublich tollen Konzept zum Thema Internetführerschein. Dann weisst du, dass ich ein Konzept gefunden habe. 🙂
Ich danke allen für ihre Beiträge. Wir sollten alle daran Arbeiten, Verschlüsselung „einfacher“ zu machen. Sei es durch Aufklärung und Erläuterung vorhandener Verschlüsselungsverfahren oder durch die Entwicklung neuer Verfahren.
In diesem Sinne ziehe ich mich aus der Diskussion zurück und wünsche noch einen schönen Abend.
SuicideMonkey
@Matze.B: du diskutierst ernsthaft mit ner Behörde über Mailverschlüsselung und würdest Deine – sensiblen – Daten mit einer Behörder über Mails abliefern? … – autsch.
Nö, ich habe nur versucht darzustellen dass PGP mit Behörden ziemlich utopisch ist. Was ich versucht habe ist MDN/Empfangsbestätigung für Email. Kann aber z.B. das Jobcenter nicht.
Übrigens, sensible Daten zu Behörden senden mache ich (wenn möglich) dann nur im .zip mit Passwort.