Jump to content

Ciphermail?


Serpens66

Recommended Posts

ich habe von einer Behörde eine Email bekommen, welche wohl mit Ciphermail verschickt wurde.
Eine Mail enthält ein PDF und die zweite Email ein Passwort, mit dem ich die PDF lesen kann.
Und inwiefern ist das nun sicher? Wurde hier tatsächlich nur eine verschlüsselte PDF genommen und das Passwort in Klartxt hinterher, oder macht Ciphermail mehr?

Ich meine das PGP Prinzip kann ich ja noch als Laie verstehen, ich als Empfänger muss dem Sender erst meinen öffentlichen Schlüssel nennen usw. Aber wie soll Ciphermail funktionieren?

Eigentliche Fragen:
1) Ist das was die Behörde gemacht hat nun tatsächlich sicher verschlüsselt, oder ziemlicher Bockmist?
2) Wie kann ich nun darauf ebenfalls verschlüsselt entworten, wenn offenbar kein PGP verwendet wird, sondern Ciphermail? Kann man das als Laie mal eben so selbst installieren, oder ist das eher etwas für große Computernetzwerke? Google liefert leider nur viel fachchinesisch, aber keine simple Antwort darauf ob und wie ich das als keiner Nutzer ohne großen Aufwand verwenden kann.

Link to comment
Share on other sites

vor 45 Minuten schrieb Serpens66:

Eine Mail enthält ein PDF und die zweite Email ein Passwort, mit dem ich die PDF lesen kann.

Der Fehler sitzt vor dem Bildschirm. In dem Fall beim Absender. Wenn man das Tool falsch bedient, kommt eben sowas bei raus. Ciphermail hat durchaus andere Varianten zur Auswahl bei denen das nicht passiert wäre: https://www.ciphermail.com/documentation/adminguide/pages/pdf-encryption.html

Link to comment
Share on other sites

vor 35 Minuten schrieb skunk:

Der Fehler sitzt vor dem Bildschirm. In dem Fall beim Absender. Wenn man das Tool falsch bedient, kommt eben sowas bei raus. Ciphermail hat durchaus andere Varianten zur Auswahl bei denen das nicht passiert wäre: https://www.ciphermail.com/documentation/adminguide/pages/pdf-encryption.html

kannst du mir das auf die schnelle in eigenen worten ohne Fachbegriffe erklären? Sowohl wie es funktioniert ohne Passwärter oderso in Klartext zu verschicken, als auch wie ich Ciphermail nun ohne irgendwelche Vorkenntnisse und Studieren von Docs zum Antworten verwenden kann (oder wie ich sonst ohne mithilfe dieser Behörde verschlüsselt antworten kann?)

Edited by Serpens66
Link to comment
Share on other sites

Ich vermute mal auf dem gleichen Wege nur mit dem Unterschied, dass du das Passwort auf anderem Wege zuschicken solltest. Zum Beispiel per FAX. Vergiss nicht einen freundlichen Hinweis zu hinterlassen damit sie aus ihren Fehlern lernen können.

Alternativ würde ich die Email zurück an den Absender schicken mit dem Hinweis, dass der Absender sich leider nicht an die Konventionen gehalten hat und das Passwort kompromittiert wurde. Sie mögen es bitte nochmal versuchen aber dieses mal ohne das Passwort so dämlich zu verschicken. Alternative GPG und das hier ist mein Public Key!

  • Haha 1
Link to comment
Share on other sites

Kann man dann nicht auch einfach ein verschlüsseltes PDF einfach so per eMail verschicken?

Ich bekomme meine PDF von einem bestimmten Absender und einem Passworthinweis "BehördeTTMMJJ ... ersetze durch Dein Geburtsdatum" ... das ist nun auch nicht sooo super hochsicher, aber zumindest eine minimale Hürde falls das jemand anders in die Finger bekommt und es spart den zweiten Übermittlungsweg.

Link to comment
Share on other sites

Leider bietet die Behörde nur Ciphermail und komplette Domainverschlüsselung an. Individuelle Verschlüsselung, wo PGP (oder GPG?) wohl drunter fällt wird nicht angeboten.

Ich werde am Besten mal per Telefon nachfragen, ob das Passwort für alle PDFs nun gleich bleibt oder ständig wechselt. Falls es gleich bleibt könnte man mir es ja zb per Telefon durchsagen. Falls es wechselt (und demnach immer per mail verschickt wird) kann ich wohl genausogut auf Verschlüsselung verzichten =/

Edited by fjvbit
link entfernt
Link to comment
Share on other sites

Zitat

Durch den Einsatz von gängigen Verschlüsselungs-Standards (S-MIME und OpenPGP) wird der Inhalt der E-Mail unlesbar gemacht und dadurch gewährleistet, dass keine unautorisierte Informationsgewinnung stattfinden kann.

Perfekt. Sie bieten es also an. Berufe dich genau auf diese Aussage und bitte um den Schlüsselaustausch. Bitte nur noch verschlüsselt und signierte emails.

Link to comment
Share on other sites

vor 2 Minuten schrieb skunk:

Perfekt. Sie bieten es also an. Berufe dich genau auf diese Aussage und bitte um den Schlüsselaustausch. Bitte nur noch verschlüsselt und signierte emails.

naja, nicht direkt. Der Satz ist Teil einer allgemeinen Aufklärung.
Was davon das Amt anbietet steht darunter und da gibt es nur 2 Möglichkeiten :D
Aber ich werd am Telefon auch nochmal nach PGP/GPG fragen :)

Link to comment
Share on other sites

vor 6 Minuten schrieb Serpens66:

naja, nicht direkt. Der Satz ist Teil einer allgemeinen Aufklärung.
Was davon das Amt anbietet steht darunter und da gibt es nur 2 Möglichkeiten :D
Aber ich werd am Telefon auch nochmal nach PGP/GPG fragen :)

Da steht aber auch nicht, dass man das Passwort so dämlich austauschen sollte. Sorry aber das würde ich eiskalt eskalieren lassen. Einmal per Email eine freundliche Anfrage schicken mit dem Hinweis, dass das aktuelle Verfahren alles andere als sicher ist. Wenn die Antwort nicht passt, dann nochmals nachfragen, dass du dich gezwungen fühlst die Antwort zu veröffentlichen weil wir hier von hoch sensiblen Daten reden. Frag nach wer der Ansprechpartner ist um das eskalieren zu können. Wenn auch das nicht funktioniert dann gib den Fall ab an die Medien. Ich wüßte jetzt spontan nicht welche Medien aber da wird sich schon jemand für begeistern können.

Edit: Abhängig von der Summe in deiner Steuererklärung kannst du auch einfach den Schwanz einziehen und dir keine Feinde machen^^

Edited by skunk
  • Haha 1
Link to comment
Share on other sites

Du kannst auch fragen ob du deinen Personal Ausweis dafür nehmen kannst. Lesegerät kostet 20€ und einmal zum Bürgeramt um die Online Funktion zu aktivieren sofern du so paranoid bist wie ich und sie erstmal deaktiviert hast.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.