E-Mail Verschlüsselung

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • E-Mail Verschlüsselung

      Wird es die jemals hier geben?
      Jetzt wo jede(r) theoretisch eine E-Card bekommt...
      Wäre ja toll wenn die FH als gutes Beispiel vorrangeht:
      Wenn wir Studenten bereits im Studium diesen Umgang beim mailen lernen,
      kann das gar nicht so schlecht für die Gesellschaft sein, also wenn wir davon ausgehen
      das "Wir" später nicht ganz so niedrige Positionen bestreiten werden.
      Gegen alle Informatik-Stereotypen!
    • Re: E-Mail Verschlüsselung

      Du meinst den Chip auf den neuen Studentenausweis?

      Das Ding ist etwa so sicher , als ob Du deine Daten mit einem Edding auf die Rückseite schreiben würdest.

      Siehe: http://www.heise.de/newsticker/meldung/Aus-fuer-RFID-System-Mifare-Classic-Update-201011.html

      Man kann den neuen Ausweis übrigens auch OHNE Chip bekommen.
      Gerüchten zufolge soll die ODS-Prüfungsanmeldung über diesen Chip authentisiert werden, sobald ihn die meisten Studenten haben...
      Alter Forenname: MALK
      Alumni - M.Sc. Praktische Informatik
      Vorsitzender Wahlausschuss 2014, Alt-Fachschaftsrat Informatik, Alt-Päsident, Ex-MdStuPa

      FSR Informatik Webseite: fsrfb4.de
      StuPa Portal: Wiki (tot) Gremien-Blog (auch tot)

      The post was edited 1 time, last by MALK ().

    • Re: E-Mail Verschlüsselung

      Nur zur Info:
      Der Mifare Teil der Karte wird (noch) nicht benutzt. Das soll vielleicht später zum bezahlen von Mensaessen oder Kopien verwendet werden (Der übliche Tausch von Bequemlichkeit vs. Sicherheit).

      Nur der Cryptochip, der Teil, der über die Goldenen Kontakte (Smartcard) funktioniert ist derzeit mit Daten versehen. Den würde ich derzeit mit ausreichend Sicher bezeichnen.
      Man muss auch immer eine Mantra (PIN) eingeben, um zu verschlüsseln/signieren, oder auch nur schlicht die Daten auf dem Chip zu lesen


      Das mit der FH-Card war eher eine Idee.
      Ich meine grundsetzlich eine Verschlüsselungsfunktionen im Studierbar-Mailservice.
      Das auto. jeder Student ein Key von der Fh bekommt und diese verwendet.



      Du kannst diese Funktion gerne mit deinem Mailclient verwenden, dazu brauchst du 'nur' einen Smartcard-Reader (20-100 Euro) und ein Email-Programm, was damit umzugehen weiß.

      Einem Mailserver ist es recht egal ob der Inhalt der Mail verschlüsselt ist oder nicht.

      Nutzen kannst du dein Zertifikat auf der Karte allemal. Ich hab jetzt noch nicht weiter bei der Verwaltungs DV gefragt, aber es sollte das übliche Zertifikat der FH sein, welches von dem DFN und dann von der Telekom signiert wurde. Suche mal in der FH-Seiten nach 'Zertifikat'.


      [edit]
      Ich hab noch einen alten Vortragsvorlage für den AStA von mir gefunden. Den hänge ich mal an. Der ist aber beileibe nicht vollständig, da der Vortrag für 15min ausgelegt war XD
      Files
      Sven Rötters,
      ex Studierbar Admin
      Dipl. Ing (FH) Informations- und Elektrotechnik
      --------------------------------------------------------------------------
      "If you think education is expensive, try the cost of ignorance"

      The post was edited 1 time, last by sroetters ().

    • Re: E-Mail Verschlüsselung

      Hei zusammen,

      solange Siemens Card OS 4 sicher ist, sind es auch die Zertifikate auf der Karte. Mit Mifare hat das in der Tat nichts zu tun, auf der Karte sind zwei unterschiedliche Chips verbaut.

      Eine Verschlüsselung der Emailinhalte ist zur Zeit aber nicht möglich. Das hat keinen technischen sondern mehr einen organisatorischen Hintergrund. Uns graut es davor, das jemand seine Thesis verschlüsselt und die Karte dann verliert oder diese defekt ist. Denn die Daten sind dann ganz sicher ..... nicht mehr zu entschlüsseln, bis 2048 Bit Schlüssel knacken nicht mehr sooo lange dauert.

      Die auf der Karte gespeicherten beiden Schlüssel verlassen diese niemals, das ist eine Sicherheitsfunktion. Es lassen sich aber auch weitere Schlüssel (von uns) speichern, die zum Beispiel extern erzeugt wurden. Das gibt aber die Produktionssoftware noch nicht her. Idee ist es, diesen Schlüssel für eine Recovery zu hinterlegen. Dieser Nachschlüssel macht das theoretisch unsicherer, da wir entschlüsseln könnten. Aber das ist nur theoretisch, wir halten uns ja an die Gesetze. Wäre mir lieber als eine verschlüsselte Festplatte mit den Bildern und der MP3-Sammlung entsorgen zu können.

      Da es ja im Moment nur eine Idee ist, bin ich gespannt auf eure Meinung dazu. Wenn irgend möglich werden wir eure Vorschläge aufgreifen.

      Ach ja: Mit der Karte könnt ihr (Lesegerät vorausgesetzt) zur Zeit digital unterschreiben (leider keine qualifizierte digitale Signatur, aber immerhin als Beweis vor Gericht zugelassen) und euch am ODS anmelden. Letzteres unter ods2.fh-dortmund.de, aber dazu gibts noch eine Anleitung und vielleicht ändert sich der Name noch mal.
    • Re: E-Mail Verschlüsselung

      Ich finde zum Signinieren von E-Mail die Karte als hevorragend geeignet ist sowie für wichtige Anmeldungen wie z.b. ODS.
      Oder einfach um sich als Student auszuweisen ;)

      Dieses Bezahlsystem ist dagegen nichts für mich: Es gibt Sparkasse und Volksbank direkt anner Mensa (Nord), wieso sollte ich dann diese Karte dafür benutzen...schwachsinn.
      Gegen alle Informatik-Stereotypen!
    • Re: E-Mail Verschlüsselung

      Ok, also den Infineon-Chip mit dem Zertifikat kann man abbestellen...

      Aber den unsicheren MiFarechip nicht?
      Naja, solange der nicht genutzt wird ist es ja noch nicht so schlimm...

      imho sollte man den entweder entfernen oder ersetzen...
      Und wenn er tatsächlich genutzt werden soll, muss der Student selber entscheiden können, ob er es möchte, oder nicht.

      my 2cp
      Alter Forenname: MALK
      Alumni - M.Sc. Praktische Informatik
      Vorsitzender Wahlausschuss 2014, Alt-Fachschaftsrat Informatik, Alt-Päsident, Ex-MdStuPa

      FSR Informatik Webseite: fsrfb4.de
      StuPa Portal: Wiki (tot) Gremien-Blog (auch tot)
    • Re: E-Mail Verschlüsselung

      Das das Zertifikat nur auf der Karte existiert halte ich für ein recht relevantes
      Sicherheitsfeature.

      Wer nun seine Dateien nur mit der Karte verschlüsselt und verschlüsselt speichert und verliert ist IMHO selber Schuld. Man legt nicht alle Eier in einen Korb und Software, um seine Dateien auf dem heimischen Rechner zu verschlüsseln gibt es genug (und auch sicher genug).
      Macht Backups! Hardware kann kaputtgehen, Schlüssel kann man verlieren ....
      Seit es PGP gibt, gibt es auch bei den Mail-Clients Option Mails automatisch entschlüsselt zu speichern (hier greift dann wieder die heimische Verschlüsselungslösung, wenn man denn will).

      Sicherheit ist ein Konzept, welches auch den langfristigen Datenerhalt im Auge behalten sollte. Technik wird hier keine Probleme lösen, die im Kopf beginnen.

      Ein softwarebasierender Zweitschlüssel vermindert die Sicherheit erheblich und da ich immer noch diese Schäuble-Allergie habe (als er noch Innenminister war) ist mir lieber, dass ich allein den Schlüssel besitze. ;)

      Karten lassen sich nun einmal nur soundso oft pro Sekunde/Minute auslesen und machen somit Attacken nochmal um einiges aufwendiger (das war auch der ursprünglicher Gedanke bei der Entwicklung des Mifare ;D).


      Was nun den Mifare betrifft. Wenn ein System genügend bequem ist, werden Leute dieses System nutzen und die Sicherheit vernachlässigen ... es ist eine Frage welchen Stellenwert man dem beimisst.

      Ein Beispiel dazu:
      Ich sehe Leute mit den neuen SmartPhones rumlaufen. Diesen Geräten werden oft persönliche Daten anvertraut und besitzen Verbindung zu zentralen Servern, auf denen Daten des Smartphones gespeichert werden. Die Provider/Hersteller der Smartphones haben sich in vielen der Verträgen ausdrücklich den Zugriff auf das Smartphone erlauben lassen (aus welchem Grund auch immer).
      Trotzdem fühlen sich die Leute mit dem Smartphone sicher ... XD
      Sven Rötters,
      ex Studierbar Admin
      Dipl. Ing (FH) Informations- und Elektrotechnik
      --------------------------------------------------------------------------
      "If you think education is expensive, try the cost of ignorance"
    • Re: E-Mail Verschlüsselung


      Naja, wie sicher PIN und Chip sind, kommt grade mal bei EC-Karten raus: HIER ;)


      Das Problem bei einem Pin mit Zahlen ist die begrenzte Anzahl an Kombinationen. Wenn man nun die Karte dazu bringen kann, die Daten genügend schnell auszugeben, dann steht einer einfachen BruteForce Attacke nichts mehr im Wege.
      Das wissen aber die Kartenhersteller im allgemeinen auch.

      Der Nachteil, bei den karten der Banken ist IMHO die Haftung. Derzeit haftet meist der Kunden für den Verlust ihrer Karte .. solange dem so ist, braucht die Bank nicht soviel Mühe aufzubringen, die Karte sicher zu machen.
      Der in den 70ern entwickelte Magnetstreifen funktioniert bei meiner Karte z.B immer noch ... und der PIN ist immer vergeben (auch wenn du ihn gar nicht haben willst). Sicher ist was anderes ... ;D
      Sven Rötters,
      ex Studierbar Admin
      Dipl. Ing (FH) Informations- und Elektrotechnik
      --------------------------------------------------------------------------
      "If you think education is expensive, try the cost of ignorance"
    • Re: E-Mail Verschlüsselung

      @Malk:

      es gibt zur Zeit nur eine Karte mit beiden Chip's und keine Wahl.

      Für DV-Allergiker wird es sobald die Karte Pflicht wird, eine reine Plastikkarte ohne Elektronik geben, die nur den Sichtausweis ersetzt. Die Allergie muss aber schon alle DV-Systeme umfassen...

      Der MIFARE wird behandelt wie eine Postkarte. Es werden also keine Personendaten gespeichert und alles gespeicherte wird vermutlich noch unabhängig vom Mifare selbst verschlüsselt. Die Mensa kriegt z.B. nur den Hinweis, ob Studie oder nicht, aber keine MtkNr oder so. Wer welche Mifare-ID hat, wissen nur wir (FHCard-Team). Eine Nutzungspflicht für den Mifare kann es nicht geben. Auch wenn ein paar Dinge nur damit möglich sein werden (drucken im CIP-Pool), aber das wird keine Revolution sein sondern sich entwickeln.
    • Re: E-Mail Verschlüsselung

      Für DV-Allergiker wird es sobald die Karte Pflicht wird, eine reine Plastikkarte ohne Elektronik geben, die nur den Sichtausweis ersetzt. Die Allergie muss aber schon alle DV-Systeme umfassen...


      Wenn der Infinion-Chip sicher ist, ist das auch kein Problem für mich, so einen Chip auf dem Ausweis zu haben.

      Solange man nicht gezwungen ist den unsicheren Mifare-Chip zu nutzen ist doch alles in Ordnung.
      Ich frage mich nur warum man überhaupt auf ein solches, "lahmes" Pferd setzt.

      Eine Nutzungspflicht für den Mifare kann es nicht geben.

      Das ist zu hoffen.
      Zu hoffen ist auch, dass sich dadurch keine massiven Nachteile für die "Verweigerer" ergeben.
      Alter Forenname: MALK
      Alumni - M.Sc. Praktische Informatik
      Vorsitzender Wahlausschuss 2014, Alt-Fachschaftsrat Informatik, Alt-Päsident, Ex-MdStuPa

      FSR Informatik Webseite: fsrfb4.de
      StuPa Portal: Wiki (tot) Gremien-Blog (auch tot)

      The post was edited 1 time, last by MALK ().

    • Re: E-Mail Verschlüsselung

      @MALK
      Wenn ich mich nicht irre ist das der SLE66CX322p von Infineon. Hab mir vor einiger Zeit die Datenblätter angeschaut und meiner Meinung nach ist das Dingen für unserer Bedürfnisse mehr als ausreichend.

      Meine Allergie bezieht sich übrigens nur auf eine Kopie des Privaten Schlüssels. Davon sollte man definitiv Abstand nehmen.
      Liegt vielleicht auch daran, dass ich seit Urzeiten mit SSH Keys und GnuPg arbeite ... Ich bin einfach daran gewöhnt, dass mein Privater Schlüssel nur mir zugänglich ist. ;)

      Edit:
      Der Vorteil der Karte ist, dass der Private Schlüssel nicht mal mir zugänglich ist und die Verschlüsselung auf dem Chip stattfindet.
      Sven Rötters,
      ex Studierbar Admin
      Dipl. Ing (FH) Informations- und Elektrotechnik
      --------------------------------------------------------------------------
      "If you think education is expensive, try the cost of ignorance"

      The post was edited 1 time, last by sroetters ().

    • Re: E-Mail Verschlüsselung

      @Antwort #9:

      Nur kurz etwas zur Haftung der Bank bei Verlust der Karte:

      Wenn ich die Karte als verloren oder gestohlen melde (Tel.-Nr. 116116), bin ich ab da versichert und brauche mir keine Gedanken über Fremdabbuchungen machen.
      Johann Heß
      ehemaliger Referent für Hochschulpolitik

      AStA - Allgemeiner Studierendenausschuss
      Fachhochschule Dortmund / University of Applied Sciences and Arts
      Emil-Figge-Str. 42 | 44227 Dortmund
      Telefon / Fax: 02 31 - 755 6700 / 6701
    • Re: E-Mail Verschlüsselung

      Jepp, wenn du nachweisen kannst, dass die Abbuchungen nicht von dir stammen. Manche Banken sind da merkwürdig.
      Wenn ich jetzt deine Karte stehle und dann nach Hamburg fahre kann ich selbst bei gesperrter Karte noch maximal einen Tag mit EC-Lastschrift kaufen gehen ... nur so als Hinweis ;)
      Sven Rötters,
      ex Studierbar Admin
      Dipl. Ing (FH) Informations- und Elektrotechnik
      --------------------------------------------------------------------------
      "If you think education is expensive, try the cost of ignorance"

      The post was edited 1 time, last by sroetters ().

    • Re: E-Mail Verschlüsselung

      update: Christopher Tarnovsky, hat wieder zugeschlagen und behauptet einen Chip der sle66 Familie von Infinieon gehackt zu haben.
      Er brauchte dafür nur 100.000$, 70.000$ für ein Elektronenmikroskop, sowie 6 Monate Vorbereitungszeit. Also gar nicht so schwer. :P
      Sven Rötters,
      ex Studierbar Admin
      Dipl. Ing (FH) Informations- und Elektrotechnik
      --------------------------------------------------------------------------
      "If you think education is expensive, try the cost of ignorance"
    • Re: E-Mail Verschlüsselung

      lol ;)
      Alles ist hackbar... es kommt nur auf den Aufwand an, den man betreiben muss.
      Alter Forenname: MALK
      Alumni - M.Sc. Praktische Informatik
      Vorsitzender Wahlausschuss 2014, Alt-Fachschaftsrat Informatik, Alt-Päsident, Ex-MdStuPa

      FSR Informatik Webseite: fsrfb4.de
      StuPa Portal: Wiki (tot) Gremien-Blog (auch tot)