Abo
  • Services:
Anzeige
Schleuder verschlüsselt Mailinglisten - allerdings ist das Konzept nicht ideal.
Schleuder verschlüsselt Mailinglisten - allerdings ist das Konzept nicht ideal. (Bild: Eitan f, Wikimedia Commons/CC-BY 3.0)

Schleuder: Wie verschlüsselt man eine Mailingliste?

Schleuder verschlüsselt Mailinglisten - allerdings ist das Konzept nicht ideal.
Schleuder verschlüsselt Mailinglisten - allerdings ist das Konzept nicht ideal. (Bild: Eitan f, Wikimedia Commons/CC-BY 3.0)

E-Mails zu verschlüsseln gilt schon als kompliziert, doch wie verschlüsselt man eigentlich eine ganze Mailingliste? Das Tool Schleuder soll das ermöglichen, allerdings kann der Server dabei Nachrichten mitlesen.

Mailinglisten gelten zwar als veraltet, werden aber noch von vielen zur Kommunikation genutzt. Meist verläuft die Kommunikation völlig unverschlüsselt. Auf öffentlich zugänglichen Mailinglisten ist das in der Regel kein Problem, aber in geschlossenen Gruppen möchte man das eher nicht. Die Lösungen für verschlüsselte Mailinglisten sind bislang eher unbefriedigend. Zwei Entwickler des Tools Schleuder, die nur unter ihren Pseudonymen ilf und paz auftraten, stellten auf der OpenPGP.conf den Stand der Dinge vor.

Anzeige

To: und Cc: skalieren nicht

Die einfachste Möglichkeit ist, keine Mailingliste zu nutzen, sondern die Mail immer an mehrere Leute zu schicken und an alle Empfänger zu verschlüsseln. Jeder muss dabei die Schlüssel und Mailadressen von allen anderen Empfängern haben. Das funktioniert in sehr kleinen Gruppen, aber sobald es viele Empfänger gibt, ist es extrem umständlich.

Ein Projekt, das auf eine sogenannte Proxy-Re-Encryption setzt, existiert unter dem Namen SELS (Secure Email List Services). Es wurde im Rahmen eines Forschungsprojekts des National Center for Supercomputing Applications (NCSA) an der Universität Illinois entwickelt. Das Problem: Die Entwicklung wurde 2008 gestoppt. Zwar liegt der Quellcode auf Sourceforge bereit, doch zurzeit betreut niemand die Software, und es ist unklar, ob sie irgendwo praktisch eingesetzt wird.

Mailingliste mit Man in the Middle

Eine deutlich einfachere Möglichkeit, verschlüsselte Mailinglisten umzusetzen, besteht darin, dass der Mailinglistenserver einen eigenen Key für die Mailingliste erzeugt und alle Nachrichten dort entschlüsselt sowie für alle Teilnehmer einzeln wieder verschlüsselt werden. Das Konzept sei so einfach, meinen die Schleuder-Autoren, dass es schon viele Male erfunden wurde. Insgesamt fanden sie acht verschiedene Implementierungen, die genau dieses Konzept einsetzen. Die meisten davon seien aber nicht mehr aktiv.

Schleuder setzt genau auf dieses Konzept. Im Gegensatz zu vielen anderen Lösungen wird es aktiv genutzt, die Vortragenden sprachen davon, dass sie von mehreren Hundert Listen wüssten, für die Schleuder genutzt werde. Aktuell ist die Version 2, eine Version 3 ist im Entwicklungsstadium. Die Autoren wünschen sich Betatester für die Version 3.

Die beiden Vortragenden machten deutlich, dass sie mit der Lösung, Mails als Man in the Middle zu entschlüsseln, selbst nicht sonderlich glücklich seien, denn diese hat ein sehr offensichtliches Problem: Man muss dem Mailinglistenserver vertrauen. Ein bösartiger Listenbetreuer könnte jederzeit Nachrichten mitlesen oder an weitere Personen weiterleiten.

Besseres Konzept im Entwurfsstadium

Der GnuPG-Entwickler Neal Walfield hat ein Konzept für bessere verschlüsselte Mailinglisten entworfen. Dabei wird ein spezieller Listenkey erzeugt, an den die Keys der Listenteilnehmer angehängt werden. Um das zu unterstützen, müssen an GnuPG einige Veränderungen vorgenommen werden. Dafür gibt es im Git-Repository von GnuPG einen experimentellen Branch. Allerdings handelt es sich dabei bislang nur um die Änderungen an GnuPG selbst. Idealerweise sollte die Unterstützung für die verschlüsselten Listen später in einen Mailinglistenmanager integriert werden. Zur perfekten verschlüsselten Mailingliste ist es wohl noch ein weiter Weg.


eye home zur Startseite
Ass Bestos 12. Sep 2016

nein, man kann boards in foren auch so einrichten das jeder eine email bekommt wenn...

Ass Bestos 12. Sep 2016

mom, welcher der listenkey ist weiß ich doch wenn ich zugriff auf den server bekomme...

M.P. 12. Sep 2016

Noch wichtiger ist meiner Meinung nach das Signieren. Aber ob das den Phishing Mails Ende...

Ass Bestos 11. Sep 2016

artikel lesen hat manchmal vorteile.



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Sattel Business Solutions GmbH, Langenau
  3. HUK-COBURG Datenservice und Dienstleistungen, Coburg
  4. Schaeffler Technologies AG & Co. KG, Nürnberg


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 57,99€/69,99€ (Vorbesteller-Preisgarantie)
  3. 1,49€

Folgen Sie uns
       


  1. Radeon RX Vega 56 im Test

    AMD positioniert sich in der Mitte

  2. The Patent Scam

    X-Plane-Macher veröffentlicht Film über Patenttrolle

  3. Uncharted The Lost Legacy im Test

    Abenteuer mit voller Frauenpower

  4. Nokia 8

    Top-Smartphone mit Zeiss-Optik und 360-Grad-Audio

  5. Frontrow

    Halskette als Kamera zum Dauerfilmen

  6. Streetscooter Work XL

    Deutsche Post stellt Elektro-Lkw mit 200 km Reichweite vor

  7. Interview auf Youtube

    Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020

  8. Ransomware

    Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar

  9. Spielebranche

    Mikrotransaktionen boomen zulasten der Kaufspiele

  10. Autonomes Fahren

    Fiat Chrysler kooperiert mit BMW und Intel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

  1. Re: wer tut sich heute unter 2gb an?!

    Spaghetticode | 10:01

  2. Re: Deswegen hat das nächste Vollpreis Mordor...

    Mel | 10:01

  3. Re: Ist ja lustig dass es gerade Toyota ist

    Doedelf | 10:01

  4. Herrliche Antwort!

    Kondratieff | 10:00

  5. Re: Datenschutz/Abwehr?

    JimmyJon | 09:59


  1. 10:00

  2. 09:54

  3. 09:04

  4. 08:49

  5. 07:40

  6. 07:21

  7. 16:57

  8. 16:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel