Ciphermail?

[Serpens66]

ich habe von einer Behörde eine Email bekommen, welche wohl mit Ciphermail verschickt wurde.
Eine Mail enthält ein PDF und die zweite Email ein Passwort, mit dem ich die PDF lesen kann.
Und inwiefern ist das nun sicher? Wurde hier tatsächlich nur eine verschlüsselte PDF genommen und das Passwort in Klartxt hinterher, oder macht Ciphermail mehr?

Ich meine das PGP Prinzip kann ich ja noch als Laie verstehen, ich als Empfänger muss dem Sender erst meinen öffentlichen Schlüssel nennen usw. Aber wie soll Ciphermail funktionieren?

Eigentliche Fragen:
1) Ist das was die Behörde gemacht hat nun tatsächlich sicher verschlüsselt, oder ziemlicher Bockmist?
2) Wie kann ich nun darauf ebenfalls verschlüsselt entworten, wenn offenbar kein PGP verwendet wird, sondern Ciphermail? Kann man das als Laie mal eben so selbst installieren, oder ist das eher etwas für große Computernetzwerke? Google liefert leider nur viel fachchinesisch, aber keine simple Antwort darauf ob und wie ich das als keiner Nutzer ohne großen Aufwand verwenden kann.

[skunk]

vor 45 Minuten schrieb Serpens66:

Eine Mail enthält ein PDF und die zweite Email ein Passwort, mit dem ich die PDF lesen kann.

Der Fehler sitzt vor dem Bildschirm. In dem Fall beim Absender. Wenn man das Tool falsch bedient, kommt eben sowas bei raus. Ciphermail hat durchaus andere Varianten zur Auswahl bei denen das nicht passiert wäre: https://www.ciphermail.com/documentation/adminguide/pages/pdf-encryption.html

[Serpens66]

vor 35 Minuten schrieb skunk:

Der Fehler sitzt vor dem Bildschirm. In dem Fall beim Absender. Wenn man das Tool falsch bedient, kommt eben sowas bei raus. Ciphermail hat durchaus andere Varianten zur Auswahl bei denen das nicht passiert wäre: https://www.ciphermail.com/documentation/adminguide/pages/pdf-encryption.html

kannst du mir das auf die schnelle in eigenen worten ohne Fachbegriffe erklären? Sowohl wie es funktioniert ohne Passwärter oderso in Klartext zu verschicken, als auch wie ich Ciphermail nun ohne irgendwelche Vorkenntnisse und Studieren von Docs zum Antworten verwenden kann (oder wie ich sonst ohne mithilfe dieser Behörde verschlüsselt antworten kann?)

Bearbeitet 3. Juli 2019 von Serpens66

[skunk]

Ich vermute mal auf dem gleichen Wege nur mit dem Unterschied, dass du das Passwort auf anderem Wege zuschicken solltest. Zum Beispiel per FAX. Vergiss nicht einen freundlichen Hinweis zu hinterlassen damit sie aus ihren Fehlern lernen können.

Alternativ würde ich die Email zurück an den Absender schicken mit dem Hinweis, dass der Absender sich leider nicht an die Konventionen gehalten hat und das Passwort kompromittiert wurde. Sie mögen es bitte nochmal versuchen aber dieses mal ohne das Passwort so dämlich zu verschicken. Alternative GPG und das hier ist mein Public Key!

[Jokin]

Kann man dann nicht auch einfach ein verschlüsseltes PDF einfach so per eMail verschicken?

Ich bekomme meine PDF von einem bestimmten Absender und einem Passworthinweis "BehördeTTMMJJ ... ersetze durch Dein Geburtsdatum" ... das ist nun auch nicht sooo super hochsicher, aber zumindest eine minimale Hürde falls das jemand anders in die Finger bekommt und es spart den zweiten Übermittlungsweg.

[skunk]

Nein. Gleiche Antwort. Ich würde den Mist zurück an den Absender schicken und um GPG Verschlüsselung bitten.

Bearbeitet 3. Juli 2019 von skunk

[Serpens66]

Leider bietet die Behörde nur Ciphermail und komplette Domainverschlüsselung an. Individuelle Verschlüsselung, wo PGP (oder GPG?) wohl drunter fällt wird nicht angeboten.

Ich werde am Besten mal per Telefon nachfragen, ob das Passwort für alle PDFs nun gleich bleibt oder ständig wechselt. Falls es gleich bleibt könnte man mir es ja zb per Telefon durchsagen. Falls es wechselt (und demnach immer per mail verschickt wird) kann ich wohl genausogut auf Verschlüsselung verzichten =/

Bearbeitet 4. Juli 2019 von fjvbit
link entfernt

[skunk]

Zitat

Durch den Einsatz von gängigen Verschlüsselungs-Standards (S-MIME und OpenPGP) wird der Inhalt der E-Mail unlesbar gemacht und dadurch gewährleistet, dass keine unautorisierte Informationsgewinnung stattfinden kann.

Perfekt. Sie bieten es also an. Berufe dich genau auf diese Aussage und bitte um den Schlüsselaustausch. Bitte nur noch verschlüsselt und signierte emails.

[Serpens66]

vor 2 Minuten schrieb skunk:

Perfekt. Sie bieten es also an. Berufe dich genau auf diese Aussage und bitte um den Schlüsselaustausch. Bitte nur noch verschlüsselt und signierte emails.

naja, nicht direkt. Der Satz ist Teil einer allgemeinen Aufklärung.
Was davon das Amt anbietet steht darunter und da gibt es nur 2 Möglichkeiten
Aber ich werd am Telefon auch nochmal nach PGP/GPG fragen

[skunk]

vor 6 Minuten schrieb Serpens66:

naja, nicht direkt. Der Satz ist Teil einer allgemeinen Aufklärung.
Was davon das Amt anbietet steht darunter und da gibt es nur 2 Möglichkeiten
Aber ich werd am Telefon auch nochmal nach PGP/GPG fragen

Da steht aber auch nicht, dass man das Passwort so dämlich austauschen sollte. Sorry aber das würde ich eiskalt eskalieren lassen. Einmal per Email eine freundliche Anfrage schicken mit dem Hinweis, dass das aktuelle Verfahren alles andere als sicher ist. Wenn die Antwort nicht passt, dann nochmals nachfragen, dass du dich gezwungen fühlst die Antwort zu veröffentlichen weil wir hier von hoch sensiblen Daten reden. Frag nach wer der Ansprechpartner ist um das eskalieren zu können. Wenn auch das nicht funktioniert dann gib den Fall ab an die Medien. Ich wüßte jetzt spontan nicht welche Medien aber da wird sich schon jemand für begeistern können.

Edit: Abhängig von der Summe in deiner Steuererklärung kannst du auch einfach den Schwanz einziehen und dir keine Feinde machen^^

Bearbeitet 3. Juli 2019 von skunk

[skunk]

Du kannst auch fragen ob du deinen Personal Ausweis dafür nehmen kannst. Lesegerät kostet 20€ und einmal zum Bürgeramt um die Online Funktion zu aktivieren sofern du so paranoid bist wie ich und sie erstmal deaktiviert hast.