Yosemite - Apple Mail Crash

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • SteveJ schrieb:

    kmr schrieb:

    Dafür bist Du in das Trust-Modell von X509 eingebunden, und das stinkt ziemlich.


    Uiuiui... Wer hat hier keine Ahnung?

    kmr schrieb:

    Bei GPG hast Du ein eigenes Web of trust, das in der Theorie viiiiel besser ist, in der Praxis aber eben nur genau so gut wie die es umsetzenden Mitglieder der Trust-Gemeinschaft.


    Also nichts taugt. Ein Heer selbsternannter “Experten” mit

    kmr schrieb:

    Die Implementierung ist in der Regel ziemliche Grütze


    und es gibt bestimmt keinen Grund warum Experten der Industrie (auch Apple) x509v3-Zertifkate und PKCS#7 benutzen. Bestimmt nicht.


    Wie ich es hasse, wenn eine Diskussion so unter die Gürtellinie abrutscht... Kann man sowa snicht auch freundlich formulieren? -.-*
    Man kann alles schaffen. Man muss es nur wollen ;)
    www.regetskcob.github.io
  • kmr schrieb:

    DanielBocksteger95 schrieb:


    Wie ich es hasse, wenn eine Diskussion so unter die Gürtellinie abrutscht... Kann man sowa snicht auch freundlich formulieren? -.-*


    Ist das für Dich ein Aufreger? Der Kollege SteveJ glänzt hier doch so gut wie ausschließlich durch Heise-Foren-Niveau. Einfach gar nicht ignorieren. ;)


    "Einfach gar nicht ignorieren" => Okay, gerade getan :D
    Aber im Ernst, vermutlich hast du recht. Am besten einfach drüber weg sehen...

    beage schrieb:

    DanielBocksteger95 schrieb:

    Wie ich es hasse, wenn eine Diskussion so unter die Gürtellinie abrutscht... Kann man sowa snicht auch freundlich formulieren? -.-*


    Nein, manche "Entwickler" sind so von sich selbst überzeugt und abgehoben, dass das hier leider immer öfter vorkommt. Sehr traurig! ;(


    Auch wieder wahr, ist mir schließlich allein in diesem Thread schon mehrfach bitter aufgestoßen und auch in einigen anderen. Schade, dass manche es in einem solchen Community nötig haben, sich so auszuspielen...

    Aber es gibt immerhin auch gaaanz viele korrekte Mitglieder hier :-e
    Man kann alles schaffen. Man muss es nur wollen ;)
    www.regetskcob.github.io
  • kmr schrieb:

    Dafür bist Du in das Trust-Modell von X509 eingebunden, und das stinkt ziemlich.

    Ich verstehe nicht so recht, was an einem offenen Standard so sehr stinken soll.
    Soweit ich mich korrekt informiert habe, basieren SSL, IPSec, SSH, EAP und LDAP auch auf X.509
    Das Einzige, was ich darüber negativ gehört habe, war der Heartbeat-Bug.
    Und ja, jeder Idiot kann sich via Zertifikatanbietern teilweise ohne Offenlegung von Kontakt- oder ähnlichen Daten ein Zertifikat geben lassen und das sagt nichts über die Vertrauenswürdigkeit der Person aus.

    Nur: ob man mir jetzt vertraut oder nicht, die Daten stammen dennoch eindeutig von mir (Signed) und können nur von dem definitiven Empfänger angesehen werden (Encrypted).

    Oder gibt es mittlerweile Möglichkeiten die Zertifikate zu fälschen?
    (Ich glaube mich zu erinnern, dass es das Phänomen gab, dass manche Browser bei SSL Verbindungen irgendein gültiges aber nicht zum Server gehöriges Zertifikat annehmen, wenn das korrekte Zertifikat einmal anerkannt wurde. Doch sollte das Problem hier in diesem Fall nicht bestehen. Falls doch bitte ich um aufklärende Quellenangaben.)

    kmr schrieb:

    Bei GPG hast Du ein eigenes Web of trust, das in der Theorie viiiiel besser ist, in der Praxis aber eben nur genau so gut wie die es umsetzenden Mitglieder der Trust-Gemeinschaft.

    Mein Problem mit dem Web Of Trust ist, dass ich kein Vertrauen darin habe.
    Man muss ja davon ausgehen, dass in diesem Web Of Trust nicht nur Hacker, sondern auch Heise-Redakteure, BILD-Abonnementen, Spiegel-Online-Leser und AfD Wähler herumlungern.

    Was gibt es Einfacheres, als jemanden wegen eines nicht getanen Gefallens oder einer unliebsamen Äußerung das Vertrauen zu entziehen und sein Netzwerk zu animieren dasselbe zu tun?

    Ich meine, stell Dir vor ein Mitglied der Piratenpartei genießt sehr hohes Ansehen im Web-Of-Hackertrust und kann mir einfach so das Parteiprogramm zuschicken. Dank Web Of Trust wird der Schmiss dann geöffnet, weil dem ja so viele vertrauen. :|

    Oder der Lobo schickt mir sein aktuelles Manuskript. Oder der Edathy seine digitalen Photoalben…
    +schüttel+

    (Von so einem Blödsinn wie gekauften Trusts mal ganz abgesehen.)

    Also meiner Einschätzung nach funktioniert kein Konzept des Internets mit Menschen vom Schlag Otto Normalproll und ebenso wenig mit gewinnorientierten Unternehmen.
    Leider haben diese in den letzten 20 Jahren das Internet überrannt.

    Insofern habe ich lieber eine einfach einzurichtende stinkende X.509 Verdrahtung, deren Nutzung ich auch meiner 60jährigen Schwiegermutter erklärt und dessen Funktionalität ich bei ihr für sie verständlich eingerichtet bekomme, als dass ich auf Grund unbeschreiblicher Verworrenheit und Komplexität ganz auf Verschlüsselung verzichte.

    Die Frage ist in dem Fall nicht: "65% Sicherheit oder lieber 95% Sicherheit?"
    Die Frage ist in dem Fall eher: "65% Sicherheit oder lieber gar keine Sicherheit?"

    Da fällt die Antwort dann doch eher leicht. ;)
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Marco Feltmann ()

  • beage schrieb:


    Nein, manche "Entwickler" sind so von sich selbst überzeugt und abgehoben, dass das hier leider immer öfter vorkommt. Sehr traurig! ;(

    Ich finde, dass das hier schon erheblich zurückgegangen ist. ;)

    Schlechter Diskussionsstil ist aber keine Eigenheit von Computer-Foren. Was in manchen Foren (z. B. Zeitungen) abgeht, ist auch überhaupt nicht schön. Es bleibt die Hoffnung, dass die Trolle irgendwann genug haben.
    „Meine Komplikation hatte eine Komplikation.“
  • SteveJ schrieb:

    kmr schrieb:

    Dafür bist Du in das Trust-Modell von X509 eingebunden, und das stinkt ziemlich.

    Uiuiui... Wer hat hier keine Ahnung?

    Ich persönlich bevorzuge ja klare Antworten mit Informationsgehalt und Stichpunkten, zu denen man sich weiter informieren kann.
    Ist in jedem Fall hilfreicher als halbgare hingeworfene und gehaltlose Allgemeinplätzchen.

    SteveJ schrieb:

    und es gibt bestimmt keinen Grund warum Experten der Industrie (auch Apple) x509v3-Zertifkate und PKCS#7 benutzen. Bestimmt nicht.

    DAS ist allerdings ein sehr sehr gutes Argument gegen die Nutzung von X.509.
    Immerhin ist es ja auch Apple bzw. die US Gesetze, die zwingend eine Auskunft haben wollen, wenn man richtige Verschlüsselung benutzt.
    Insofern scheint X.509 im Allgemeinen und S/MIME im Speziellen wohl von der NSA knackbar – sonst hätten die das ja auch verboten.
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P
  • Marco Feltmann schrieb:

    Ich verstehe nicht so recht, was an einem offenen Standard so sehr stinken soll.
    Soweit ich mich korrekt informiert habe, basieren SSL, IPSec, SSH, EAP und LDAP auch auf X.509


    Halt! ^^ Ich habe nichts zu der Technik gesagt, sondern zum Trust-Modell. Bzgl. der Algorithmen geben sich S/MIME und GPG nichts. Die Zeit der arg schlimmen ASN.1-Parser-Bugs ist glücklicherweise (hoffentlich) auch vorbei, so dass es bzgl. der Technik nichts an S/MIME zu meckern gibt. Ich nutze es übrigens auch, weil ich es viel handlicher finde. GPG ist in der praktischen Anwendung einfach nur grauenhaft.

    Der zentrale Unterschied ist, woher das Schlüsselmaterial kommt, und welches Vertrauen daraus erwächst. S/MIME ist (in der Regel) in die normale X.509-PKI eingebunden. Und nicht erst seit Snowden wissen wir, dass diese PKI ziemlich wackelig ist. Wie viele kompromittierte CAs, die überraschenderweise Wildcard-Zertifikate rausgehauen haben, haben wir mittlerweile gesehen? Viel zu viele. D.h. dass Du Dich auf S/MIME nicht verlassen solltest, wenn Du Dich gegen Schlapphüte schützen willst oder ein generell erhöhtes Sicherheitsbewusstsein hast.

    Marco Feltmann schrieb:


    Insofern habe ich lieber eine einfach einzurichtende stinkende X.509 Verdrahtung, deren Nutzung ich auch meiner 60jährigen Schwiegermutter erklärt und dessen Funktionalität ich bei ihr für sie verständlich eingerichtet bekomme, als dass ich auf Grund unbeschreiblicher Verworrenheit und Komplexität ganz auf Verschlüsselung verzichte.

    Die Frage ist in dem Fall nicht: "65% Sicherheit oder lieber 95% Sicherheit?"
    Die Frage ist in dem Fall eher: "65% Sicherheit oder lieber gar keine Sicherheit?"


    Nichts anderes habe ich behauptet. ;) GPG ist für Einzelfälle gut, in denen man komplett unabhängiges Schlüsselmaterial benötigt. Für die Masse ist es Unfug, da es viel zu viel Wissen und Achtsamkeit erfordert.
  • Kay schrieb:

    Ich stell mir halt die Frage, was man jetzt nutzen sollte, will man seine Emails nicht als Postkarten durch die Gegend schicken. :(


    De-Mail!!! :D

    Nein, im Ernst: die Frage ist doch weniger eine technische oder formale, sondern eine der Akzeptanz. S/MIME ist ok, und mit kostenlosen Zertifiakten wie z.B. von Startssl auch ohne Kosten nutzbar. Und auch auf dem iPhone läuft das prima. Die größere Herausforderung ist aber wohl, dass niemand es nutzt, selbst im Firmenumfeld nicht. Also was hilft's? Nix.
  • So bitter es ist: für Postkarten zählt im Gegensatz zur E-Mail immer noch das Briefgeheimnis…

    Eventuell habe ich auch den Einsatz verschlüsselter E-Mail nicht so ganz verstanden.
    Mir ist genau genommen nicht so recht klar, welcher Bedrohung ich beim Versenden von Emails konkret ausgesetzt bin.

    Im Allgemeinen kann ich die Empfänger meiner Mails in zwei Kategorien einstufen:
    1) ich kenne die Empfänger
    2) ich kenne die Empfänger nicht

    Für Kategorie 1 habe ich den Public Key, den ich zum Verschlüsseln meiner E-Mail nutzen kann.
    Kategorie 1 vertraue ich im Allgemeinen auch meine Daten an.

    Kategorie 2 bekommt von mir im Allgemeinen keine sensiblen Daten, bei denen sich eine Verschlüsselung lohnen würde.
    Insofern benötige ich da auch keine Public Key Konstrukte zum Verschlüsseln.
    Personen aus Kategorie 2 werden entweder nach kurzem Kontakt automatisch zur Kategorie 1 oder fallen irgendwann aus der Liste der Empfänger.

    Insofern bin ich mein Web Of Trust: ich vertraue mir, dass ich den Empfängern der Kategorie 1 vertrauen kann.
    Ich verlasse mich hiernach nur auf S/MIME mir zu garantieren, dass da auch die vertrauenswürdige Person auf der anderen Seite sitzt.

    Auch beim Empfang der Daten sehe ich keine konkrete Bedrohung.
    Kategorie 1 hat meinen Public Key, den sie zum Verschlüsseln ihrer E-Mail nutzen kann.
    Kategorie 2 wird mich höchstens mit signierten, nicht aber mit verschlüsselten Mails behelligen.

    Von Anhängen mir unbekannter Menschen lasse ich generell und sowieso die Finger.

    Zur Bewertung des genauen Risikos fehlen mir also folgende grundlegende Antworten:
    1) welche Risiken bestehen beim Versand verschlüsselter E-Mail an mir bekannte Empfänger beim S/MIME und beim GPG Ansatz (GPG ohne MIME)
    2) welche Risiken bestehen beim Empfang verschlüsselter E-Mail mir bekannter Absender beim S/MIME und beim GPG Ansatz (GPG ohne MIME)

    3) welche Risiken bestehen beim Versand verschlüsselter E-Mail an mir unbekannte Empfänger beim S/MIME und beim GPG Ansatz
    4) welche Risiken bestehen beim Empfang verschlüsselter E-Mail mir unbekannter Absender beim S/MIME und beim GPG Ansatz

    Wobei die Antworten auf die Fragen 3) und 4) weniger Gewichtung haben als auf 1) und 2), weil ich mir einbilde, dass mein manuelles Filtersystem schon recht zuverlässig funktioniert.
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P
  • Marco Feltmann schrieb:


    Mir ist genau genommen nicht so recht klar, welcher Bedrohung ich beim Versenden von Emails konkret ausgesetzt bin.


    Möglich. ;) Das Verschlüsseln von Emails hat nichts damit zu tun, dass Du damit Deinen Kommunikationspartner identifizieren kannst. Deine Ausführungen bezogen Sich aber genau auf diesen Punkt. Wenn es Dir nur um Authentizität von Mails geht, nimmst Du GPG oder S/MIME und signierst Deine Mails und kannst die Authentizität eingehender Mails an deren GPG-Signatur überprüfen. Diese stellt sicher, dass die Mail von einem bestimmten Schlüssel (nicht Person!) signiert worden und unterwegs nicht verändert worden ist. Ist Dein Kommunikationspartner ein Schafskopf, der seinen privaten GPG-Schlüssel oder sein S/MIME-Zertifikat ohne Passphrase Dritten zugänglich gemacht hat, kannst Du Dir für die Signatur nichts kaufen. Die kann dann jeder benutzen, der den Schlüssel in den Fingern hat (*).

    Wenn es Dir um Vertraulichkeit geht, kommt die Verschlüsselung ins Spiel. Bei der Art der Verschlüsselung gibt es zwischen S/MIME und GPG keine nennenswerten Unterschiede. Beide sind nach dem Prinzip der Kryptoagilität aufgebaut, so dass man bei Bedarf Algorithmen und deren Parameter ändern kann. Der Unterschied ist: bei S/MIME vertraust Du der Aussage einer CA (und damit der X.509-PKI), dass eine S/MIME-Zertifikat zu der Email-Adresse (nicht Person!) gehört, die es verwendet. Das macht das Handling einfacher, weil Du Dich nicht darum kümmern musst, Dein Gegenüber zu verifizieren (so wie bei GPG), das Vertrauen steht und fällt aber mit der Frage, wie sehr Du der X.509-PKI vertraust. Übungsaufgabe: guck mal nach, welchen CAs Dein Rechner vertraut.

    Bei GPG überprüftst Du die Authentizität Deines Gegenüber selber (dafür gibt's den Fingerprint). Nur: das macht in der Praxis niemand. Haste also faktisch nix gewonnen. Daher mein Tipp: nimm S/MIME. Das läuft auf so gut wie allen Plattformen transparent mit, und Du musst Dich um nix kümmern. Aber Vorsicht: es kommt häufig vor, dass ältere Groupware-Server mit dem S/MIME-Zertfikat nichts anfangen können und Deine Mails einfach verwerfen. Siehst Du häufig bei Behörden. Email-Verschlüsselung ist und bleibt totale Grütze. Abgesehen davon ist das Medium eh total kaputt. Nimm lieber iMessage. ^^


    1) welche Risiken bestehen beim Versand verschlüsselter E-Mail an mir bekannte Empfänger beim S/MIME und beim GPG Ansatz (GPG ohne MIME)
    2) welche Risiken bestehen beim Empfang verschlüsselter E-Mail mir bekannter Absender beim S/MIME und beim GPG Ansatz (GPG ohne MIME)
    3) welche Risiken bestehen beim Versand verschlüsselter E-Mail an mir unbekannte Empfänger beim S/MIME und beim GPG Ansatz
    4) welche Risiken bestehen beim Empfang verschlüsselter E-Mail mir unbekannter Absender beim S/MIME und beim GPG Ansatz


    Was für einen Unterschied macht es, ob Du einen Absender kennst oder nicht? Ist der Kumpel mit dem virenverseuchten Rechner vertrauenswürdiger als ein Unbekannter, der Dir eine saubere Email schickt? Was die Unterschiede zwischen S/MIME und GPG angeht, habe ich Dir die Antworten ja schon gegeben. Die Verschlüsselung selber ist in beiden Fällen ausreichend. Und die Frage, ob GPG/MIME oder GPG ohne MIME ist irrelevant, da GPG/MIME nur eine Kodierung ist, keine Verschlüsselung. Die faktische Sicherheit erwächst in beiden Fällen durch das sichere Handling, nicht durch das Verfahren. Also:
    • S/MIME-Zertifikat mit Passcode sichern und gut wegschließen,
    • GPG-Schlüssel mit Passphrase sichern und gut wegschließen,
    • GPG-Kommunikationspartner per Fingerprint verifizieren.


    (*) Kleine Anekdote: Der Leiter der CERT eines großen, zu einer Fluggesellschaft gehörenden deutschen IT-Dienstleisters hat mir mal in einem Projekt seinen GPG-Key geschickt, damit wir verschlüsselt kommunizieren können. Seinen privaten. Und jetzt darfst Du dreimal raten, ob der mit einer Passphase geschützt war. Soviel zum Web of Trust.
  • Vielen Dank für die umfassende Erläuterung. :)

    Ja, der Kumpel mit dem virenverseuchten Rechner ist vertrauenswürdiger als ein Unbekannter mit einer sauberen E-Mail.
    Beim Kumpel kann ich mich darauf verlassen, dass er mich nicht 'rickrolled', also absichtlich irgendwelchen Blödsinn schickt. Beim Unbekannten nicht.

    Davon ab werden Anhänge eh nicht automatisch geöffnet/angezeigt.
    Auch bin ich der Meinung, das E-Mail als Medium total klasse ist. Solange es nicht als Browser-Ersatz benutzt wird.
    HTML in E-Mail ist total kaputt. ;)

    Zur Anekdote: da hat wohl jemand das Prinzip nicht verstanden…
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P
  • Marco Feltmann schrieb:


    Beim Kumpel kann ich mich darauf verlassen, dass er mich nicht 'rickrolled', also absichtlich irgendwelchen Blödsinn schickt. Beim Unbekannten nicht.
    Davon ab werden Anhänge eh nicht automatisch geöffnet/angezeigt.


    Na, wenn er eine böse Malware hat, wird er das gar nicht merken, wenn er Dich damit pwned. ;) Und Anhänge nicht zu öffnen ist zumindest auf manchen Betriebssystemen keine Lösung. Im Zweifelsfall nimmt die Malware einfach den Virenscanner hops und hängt sich darüber ins System. Und das noch, bevor Du die Mail überhaupt siehst. ^^