Freenigma - Verschlüsselung nun auch für Webmail

#1 Hi @All,

gestern habe ich folgenden Artikel auf Heise.de gelesen:

Zitat

Freenigma bringt Verschlüsselung für Nutzer von Webmailern

Die Hamburger Softwarefirma Freiheit.com Technologies hat heute mit Freenigma einen Service offiziell der Öffentlichkeit präsentiert, mit dem Inhaber von Webmail-Postfächern ihre Mail ohne großen Aufwand verschlüsseln können. Dabei ist das System so konstruiert, dass der Betreiber eines Webmail-Dienstes selbst keinerlei Möglichkeiten hat, in die Verschlüsselung einzusehen. Freenigma, eine Zusammenschreibung von Free und Enigma (griechisch: Rätsel), propagiert laut den Entwicklern die starke Verschlüsselung ohne großen Aufwand für jedermann und steht außerdem für die Förderung freier Software.

Freenigma ist eine Reaktion auf den Rummel um das Web 2.0, in dem immer mehr Anwender Daten bei verschiedenen Providern lassen, ohne sich Gedanken um ihre Privatsphäre zu machen. Als echte Web 2.0-Anwendung ist Freenigma mittels AJAX realisiert und bietet eine Firefox-Extension, die den Bildschirm analysiert und automatisch erkennt, wann eine Mail geschrieben wird. Die Verschlüsselung soll zunächst für Google Mail, Yahoo Mail und Hotmail/MSN verfügbar sein, später sollen Microsoft Outlook, Lotus Notes und eine Verschlüsselung für Mail auf Mobiltelefonen hinzukommen. Neben der eigentlichen Verschlüsselung mit Freenigma wird ein Freenigma Open API veröffentlicht, mit dem Softwareentwickler die webbasierte Verschlüsselung in ihren eigenen Anwendungen zum Einsatz bringen können. (... weiter ...)

Quelle: http://www.heise.de/newsticker/meldung/75602
weitere News dazu: z.B. hier http://www.golem.de/0607/46579.html

Mich würde mal interessieren, was ihr, speziell auch die Verschlüsselungs-Spezialisten unter euch, davon - soweit das bis jetzt zu beurteilen ist - davon haltet.

Ich habe vor einiger Zeit gpg4win installiert und meinen Thunderbird mit Enigmail versehen. Ok, bis man sich als (neugieriger ) Neuling da durchgewurstelt hat, gab es einiges zu lesen, aber mich hat das Prinzip von GPG/PGP eigentlich überzeugt. NUR - meinen meisten Bekannten ist das schon zuviel Aufwand. Den Spruch, "... das ist mir zuviel Action, ich habe doch eh nichts zu verbergen ...", kennt ihr ja sicher auch.
Viele meiner Bekannten nutzen allerdings auch Webmailer wie Yahoo-Mail, Hotmail und Co. Soll ich diesen nun das im Artikel erwähnte Freenigma empfehlen, oder bietet dieser Service nur eine Scheinsicherheit?

Bin gespannt auf eure Meinung.

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

#2

Zitat

RollaCoasta postete
Ich habe vor einiger Zeit gpg4win installiert und meinen Thunderbird mit Enigmail versehen. Ok, bis man sich als (neugieriger ) Neuling da durchgewurstelt hat, gab es einiges zu lesen, aber mich hat das Prinzip von GPG/PGP eigentlich überzeugt. NUR - meinen meisten Bekannten ist das schon zuviel Aufwand. Den Spruch, "... das ist mir zuviel Action, ich habe doch eh nichts zu verbergen ...", kennt ihr ja sicher auch.

Tja die Frage ist ob der Aufwand durch freenigma geringer wird. GMX funktioniert zum Beispiel derzeit nicht genausowenig wie andere Browser als Firefox. Die Seite rühmt sich damit Verschlüsselung dem Durschnitts-User nahe zu bringen, aber ignoriert dabei fleißig das der Durschnitts-User den IE verwendet. Die FAQ ließt sich wie ein großes "wir arbeiten dran". Ich denke bis das eine ernsthafte Sache für Johnny wird vergeht noch einiges an Zeit und bis dahin werden es nur die benutzen die vorher auch schon verschlüsselt haben.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3

Zitat

Ich habe vor einiger Zeit gpg4win installiert und meinen Thunderbird mit Enigmail versehen. Ok, bis man sich als (neugieriger ) Neuling da durchgewurstelt hat, gab es einiges zu lesen, aber mich hat das Prinzip von GPG/PGP eigentlich überzeugt. NUR - meinen meisten Bekannten ist das schon zuviel Aufwand. Den Spruch, "... das ist mir zuviel Action, ich habe doch eh nichts zu verbergen ...", kennt ihr ja sicher auch.

GPG/PGP ist ne coole Sache - wenn man was verschlüsseln/signieren muss dann sicherlich damit - vor allem ist das Kompatibel und Konform.


Auf golem steht das hier:

Zitat

Die Verschlüsselungslösung Freenigma von freiheit.com technologies setzt auf das freie GnuPG und verschlüsselt den Datenverkehr in Web-Mailern per JavaScript-Kommando.

Wenn das so ist ist es uninteressant da imaps ja bereits Verschlüsselung beinhaltet, somit ist Freenigma nur für free webmails was wo man nur pop3 zur Verfügung hat.
Ich selber wickle meinen E-Mail Verkehr ausschließlich über imaps ab.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 @Xeper,

soweit ich die Berichte auf Heise und Golem, sowie die Erläuterungen auf der Freenigma-Seite verstanden habe, ist das weder für POP3 noch für IMAP gedacht. Vielmehr soll es wohl ermöglichen, Mails bei eMail-Services die man direkt über den Browser bedient, zu verschlüsseln.

Leider, wie Asdrubael bereits schreibt, alles noch in einem sehr frühen Stadium. So lassen sich bis jetzt keine Anhänge damit verschlüsseln.

Gruß und schönes Wochenende
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

#5

Zitat

soweit ich die Berichte auf Heise und Golem, sowie die Erläuterungen auf der Freenigma-Seite verstanden habe, ist das weder für POP3 noch für IMAP gedacht. Vielmehr soll es wohl ermöglichen, Mails bei eMail-Services die man direkt über den Browser bedient, zu verschlüsseln.

Nagut Webmail (wozu webmail?) aber reicht da nicht https?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 @Xeper,

Zitat

(...) Nagut Webmail (wozu webmail?) aber reicht da nicht https?

Abgesehen davon, dass Webmail-Services wie Yahoo-Mail und Hotmail https soweit ich weiß nur zum Einlog-Vorgang anbieten, nicht aber über die ganze Sitzung, also während des Lesens und Verfassens von Mails, geht es hier - wie z.T. bei GPG ja auch - um etwas anderes.
Denn selbst wenn (wie z.B. bei Web.de) die ganze Sitzung über https abläuft, so liegen die Mails ja auf den Servern unverschlüsselt. Oder auch, soll z.B. bei GMail/Googlemail schon vorgekommen sein, wenn Mails an den falschen Empfänger ausgeliefert werden, so kann dieser die Mails im Klartext lesen.
Und wie du ja bestimmt weißt, geht das wenn die eMail mit einem sinnvollen Verfahren verschlüsselt ist nur, wenn man im Besitz des korrekten Schlüssels zum Entschlüsseln ist.
Und DARUM scheint es bei Freenigma (wie bei GPG-verschlüsselten Mails im Prinzip auch) zu gehen. Dass also nur der rechtmäßig Mail-Empfänger die Mail lesen kann. Was gerade in der heutigen Zeit ja durchaus Sinn macht; angesichts z.B. zunehmender staatlicher Neugierde und Schwächung des Grundrechts auf Privatsphäre, Aufweichung der Grenzen und Befugnisse zwischen Polizei und Nachrichtendiensten, übereifrigen Hilfssheriffs von Industrieverbändens Gnaden etc.

Meine Frage, warum ich dieses Thema hier zur Diskussion stellte, ging in die Richtung, wie sicher ihr solch ein Verschlüsselungs-Verfahren wie Freenigma haltet.
Bei GPG kann - nach dem heutigen Stand der Technik und bei Nutzung guter Passphrasen - nur die Mail entschlüsseln, wer den passenden Privat-Key UND die Passphrase hat. Also, nach allem was ich darüber lesen konnte, ein sicheres Verfahren. Wie aber ist das bei Freenigma?

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

#7

Zitat

Oder auch, soll z.B. bei GMail/Googlemail schon vorgekommen sein, wenn Mails an den falschen Empfänger ausgeliefert werden, so kann dieser die Mails im Klartext lesen.

Tja dann sollte man mal den richtigen Empfänger eingeben.

Zitat

Und wie du ja bestimmt weißt, geht das wenn die eMail mit einem sinnvollen Verfahren verschlüsselt ist nur, wenn man im Besitz des korrekten Schlüssels zum Entschlüsseln ist.
Und DARUM scheint es bei Freenigma (wie bei GPG-verschlüsselten Mails im Prinzip auch) zu gehen.

Jo dafür gibts ja au PGP/GPG.

Zitat

Wie aber ist das bei Freenigma?

Tja ausprobiern würd ich mal sagen
Ich hab da leider keine Verwendung für, webmail benutz ich so gut wie nie und Mails im klartext abspeichern nicht schlimm wichtige Sachen schreib ich nicht in Mails und der Server is eh meiner wo die liegen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Nabend zusammen,

die Idee von Freenigma ist eigentlich eine ganz toll. Endlich mal GPG für Webmailer zu bieten, und das ganze auch noch einfach.

Das Problem ist, dass die SessionKey's nicht unter "deiner" kontrolle sind und der Betreiber von Freenigma damit die möglichkeit hätte deine Mails zu lesen.

Zitat

For the experts: when making an encryption request, the freenigma extension sends nothing more than the list of recipient addresses to the freenigma server. In response, it receives a random session key for symmetric encryption within the client

Und damit kann man's eigentlich auch schon wieder bleiben lassen, weil wenn ich meine Mails verschlüssele, dann aus dem Grund, dass sie keiner ausser dem Empfänger lesen kann.

grüße Frosch03