FireGPG und PGP/MIME

  • Hallo,

    ich habe mal eine Frage zur Verschlüsselung von eMails via FireGPG und dem Verschlüsselungsverfahren PGP/MIME.

    Ich sehe Vorteile (insbesondere durch anlesen erworbenes Wissen) bei PGP/MIME (im Vergleich zu PGP/inline), wenn ich z.B. Thunderbird oder ein anderes eMail-Programm benutze. In Firefox mit FireGPG jedoch ist dies umständlich, weil ich zuerst die angehängte Datei öffnen und im FireGPG-Editor entschlüsseln muss. Gibt es dort einen eleganteren Weg?
    Außerdem kann ich angehängte Dateien (und dies ist das größere Problem, weil derzeit durch mich nicht lösbar) nicht finden. Den Text bekomme ich wie oben beschrieben, nur die Anhänge wollen sich partout nicht zeigen. Wie komme ich daran, ohne Thunderbird nutzen zu müssen? <- es soll ja Situationen geben, da steht der eMail-Client nicht zur Verfügung, z.B. im Büro...

    Vielen dank für Eure Hilfe im Voraus.
    Gruß
    egolein

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

    Einmal editiert, zuletzt von egolein (24. März 2009 um 11:26)

  • Zitat von boardraider

    Um welchen Webmailer geht es denn?

    Ich nutze meistens Web.de, aber eigentlich ist das unabhängig vom Webmailer. Es geht hier nur um FireGPG.

    Gruß
    egolein

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

  • Wirklich unabhängig ist es nicht. So unterstützt FireGPG afaik GMail in Verbindung mit OpenPGP/MIME (siehe http://de.getfiregpg.org/webmails.html).
    Jeder Webmailer stellt Anhänge anders dar. Ohne also die Erweiterung darauf abzustimmen, wird es schwerlich möglich sein diese automatisiert zu verarbeiten. Bei Inline-PGP sucht die Erweiterung einfach nach entsprechenden Blöcken.
    Wenn allerdings, wie von dir beschrieben, Anhänge gar nicht erst auftauchen (was auf einen Fehler des Webdienstes hindeutet), ist eine Erweiterung recht machtlos.

  • Zitat von boardraider

    Wenn allerdings, wie von dir beschrieben, Anhänge gar nicht erst auftauchen (was auf einen Fehler des Webdienstes hindeutet), ist eine Erweiterung recht machtlos.

    Vielleicht nochmal zur Verdeutlichung: Ich erhalte zwei Anhänge: Den ersten mit dem Dateinamen "anlage" (ohne Dateikennung) und die zweite mit dem Namen "encrypted.asc". Öffne ich erstere mit einem Editor steht da nur "Version: 1" und in der zweiten ist dann der verschlüsselt Text, den ich herauskopieren und im FireGPG-Editor wieder einfügen und entschlüsseln kann (kompliziert :? ). Nur an den eigentlichen eMail-Anhang (wahrscheinlich in der zweiten Datei versteckt - so jedenfalls habe ich PGP/MIME verstanden) komme ich nicht heran (unbefriedigendes Problem :( ). Dazu brauche ich dann Thunderbird, wo ich dann ganz normal meine eMail entschlüsseln kann und den Anhang da finde, wo er hingehört.
    Bei PGP/inline dagegen finde ich den Anhang als "<Dateiname>.<Endung>.asc.pgp", die ich dann z.B. in GPA entschlüsseln und auf Festplatte speichern kann.

    Gruß
    egolein

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

    Einmal editiert, zuletzt von egolein (22. Januar 2012 um 11:01)

  • egolein wrote:

    Zitat

    Vielleicht nochmal zur Verdeutlichung: Ich erhalte zwei Anhänge: Den ersten mit dem Dateinamen "anlage" (ohne Dateikennung) und die zweite mit dem Namen "encrypted.asc".

    Und da fangen bspw. schon die Unterschiede an. Bei anderen Webmaildiensten hat man die Datei "anlage" nicht. GMail z.B. zeigt den verschlüsselten Text inline an. Sei aber zunächst sekundär, dir ging es um web.de.

    Zitat

    Nur an den eigentlichen eMail-Anhang (wahrscheinlich in der zweiten Datei versteckt - so jedenfalls habe ich PGP/MIME verstanden) komme ich nicht heran (unbefriedigendes Problem)


    Die Datei encrypted.asc enthält sowohl den Nachrichten-Text als auch die verschlüsselten Anhänge. Die Datei lässt sich über den Text-Editor entschlüsseln. Zu sehen ist dann bereits der Nachrichtentext. Die Anhänge sind wie in angegeben base64-kodiert.

    Code
    Content-Type: application/javascript;
     name="xxx.js"
    Content-Transfer-Encoding: base64
    Content-Disposition: inline;
     filename="xxx.js"
    
    
    Ly8gP...


    Diese kannst du dekodieren und sie sind dann auch soweit vollständig. Allerdings ist das bei Binärdaten natürlich "eklig". Da ist es wohl besser den base64-kodierten Text in eine Datei zu kopieren und dann via Konverter zu überführen.

    Zitat

    in der zweiten ist dann der verschlüsselt Text, den ich herauskopieren und im FireGPG-Editor wieder einfügen und entschlüsseln kann (kompliziert).

    Momentan ist das umständlich, keine Frage. Auf Grund der unterschiedlichen Webmaildienste ist es aber gegenwärtig nicht zu erwarten, dass es eine breite Unterstützung von OpenPGP/MIME in FireGPG gibt. In einem Test mit GMail klappt es, wenn auch nicht 100%ig stabil. Für GMail+OpenPGP/MIME wurde FireGPG, wie erwähnt, angepasst, andere Webmaildienste unterstützt es gegenwärtig in der Hinsicht nicht. Da bleibt dir nur das händische entschlüsseln und dekodieren. So du also Webmailer in Verbindung mit OpenPGP/MIME und FireGPG einigermaßen bequem nutzen willst, bleibt dir nur die Nutzung von GMail.

    Falls du im Büro USB-Sticks verwenden darfst, kannst du auch auf einen portablen Tb zurückgreifen. Wäre wohl die bequemste Lösung.

  • Zitat von boardraider

    egolein wrote:

    Und da fangen bspw. schon die Unterschiede an. Bei anderen Webmaildiensten hat man die Datei "anlage" nicht. GMail z.B. zeigt den verschlüsselten Text inline an.


    Soweit ich weiß, ist FireGPG aber auch auf GMail angepasst, oder? Das macht es natürlich bequemer.

    Zitat von boardraider

    egolein wrote:


    Die Datei encrypted.asc enthält sowohl den Nachrichten-Text als auch die verschlüsselten Anhänge. Die Datei lässt sich über den Text-Editor entschlüsseln. Zu sehen ist dann bereits der Nachrichtentext. Die Anhänge sind wie in angegeben base64-kodiert.

    Code
    Content-Type: application/javascript;
     name="xxx.js"
    Content-Transfer-Encoding: base64
    Content-Disposition: inline;
     filename="xxx.js"
    
    
    Ly8gP...


    Diese kannst du dekodieren und sie sind dann auch soweit vollständig. Allerdings ist das bei Binärdaten natürlich "eklig". Da ist es wohl besser den base64-kodierten Text in eine Datei zu kopieren und dann via Konverter zu überführen.

    Ja, da sind sie. Habe ich gefunden. Das ganze sieht bei mir so aus:

    --------------090905080602050705010004
    Content-Type: text/plain;
    name="Signatur openvpn-2.0.9-install.exe.asc"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: inline;
    filename="Signatur openvpn-2.0.9-install.exe.asc"

    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.2.4 (GNU/Linux)

    iD8DBQBFH7kGHQtJlh+/UfMRAr2uAJ9V4EbtrzEkG6S+31vgRQ5r870h/gCfWAGG
    7NsE5Q1Q+H54qssRdAhhZDU=3D
    =3DEnbd
    -----END PGP SIGNATURE-----

    --------------090905080602050705010004--

    Aber was mir noch nicht klar ist, ist wie ich diese nun entschlüsseln und als Datei öffnen kann? :?: Welche Schritte sind dafür notwendig?

    Die Idee mit TB portabel scheint eine ganz gute Sache zu sein. Da denke ich mal drüber nach, wenn ich wieder etwas Zeit finde. Ist vielleicht wirklich das einfachste. :idea:

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

  • egolein wrote:

    Zitat

    Soweit ich weiß, ist FireGPG aber auch auf GMail angepasst, oder? Das macht es natürlich bequemer.

    Ja, mit der neuen Oberfläche von GMail lassen sich OpenPGP/MIME-Mails recht bequem entschlüsseln. Auch die Anhänge lassen sich anschließend sauber downloaden. Allerdings klappt das gegenwärtig nur eben bei GMail und der neuen Oberfläche. Weder die alte Oberfläche noch andere Dienste werden unterstützt.

    Das scheint mir aber nicht die Datei openvpn-2.0.9-install.exe zu sein, sondern die Text-Datei Signatur openvpn-2.0.9-install.exe.asc. Insofern steht die Datei schon im Klartext dort:

    Zitat

    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.2.4 (GNU/Linux)

    iD8DBQBFH7kGHQtJlh+/UfMRAr2uAJ9V4EbtrzEkG6S+31vgRQ5r870h/gCfWAGG
    7NsE5Q1Q+H54qssRdAhhZDU=3D
    =3DEnbd
    -----END PGP SIGNATURE-----


    Das sollte der Inhalt der Datei Signatur openvpn-2.0.9-install.exe.asc sein.

    Zitat

    Welche Schritte sind dafür notwendig?

    In dem Fall keine mehr.

  • Zitat

    Das scheint mir aber nicht die Datei openvpn-2.0.9-install.exe zu sein, sondern die Text-Datei Signatur openvpn-2.0.9-install.exe.asc. Insofern steht die Datei schon im Klartext dort:


    Das sollte der Inhalt der Datei Signatur openvpn-2.0.9-install.exe.asc sein.

    In dem Fall keine mehr.

    Zitat

    Okay, vielleicht liegt mein Problem darin, dass ich keins habe... :oops: In der Tat habe ich eine Signatur gewählt, weil die Datei so schön klein war. Ich hatte jetzt einfach erwartet auch eine Datei (und nicht den Dateiinhalt) zurückzubekommen.
    Aber folgende pdf-Datei bekomme ich auch nicht geöffnet:

    --------------080102090901080207020602--

    --------------090708000106050303040000
    Content-Type: application/pdf;
    name="=?ISO-8859-15?Q?090316=5FKostensch=E4tzung_FLG=2Epdf?="
    Content-Transfer-Encoding: base64
    Content-Disposition: inline;
    filename*0*=ISO-8859-15''%30%39%30%33%31%36%5F%4B%6F%73%74%65%6E%73%63%68;
    filename*1*=%E4%74%7A%75%6E%67%20%46%4C%47%2E%70%64%66

    JVBERi0xLjQNJeLjz9MNCjYgMCBvYmogPDwvTGluZWFyaXplZCAxL0wgMzAwMTAvTyA4L0Ug
    [ewig lange verschlüsselte pdf-Datei]
    L1ByZXYgMTIxNDEyID4+DQpzdGFydHhyZWYNCjE3NDU1MQ0KJSVFT0YNCg==
    --------------090708000106050303040000--

    Was ist denn hier nun zu tun?

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

    Einmal editiert, zuletzt von egolein (24. März 2009 um 11:27)

  • Zitat

    Was ist denn hier nun zu tun?

    Das ist jetzt der Fall, den ich oben beschrieb. Die Binärdatei wird vor der Übertragung base64-kodiert. Was du also entschlüsselt siehst, ist die so kodierte Datei.
    Du kannst zum Testen bspw. diese Seite verwenden, die wandelt dir den base64-String bei passender Einstellung auch zu einer Binärdatei zurück.
    Ansonsten müsstest du den String in eine Text-Datei kopieren und dann von einem Konverter umwandeln lassen. Da gibt es je nach OS verschiedene Tools. Unter Linux geht das auch mit OpenSSL.
    Ist natürlich eklig umständlich. Daher ist es wirklich besser GMail+FireGPG für solche Zwecke zu verwenden oder einen vorhandenen OpenPGP/MIME-fähigen Mailclient (zur Not eben portable).
    Als Alternative bliebe auch noch die Anhänge getrennt und den Nachrichtentext inline zu verschlüsseln.

  • Vielen Dank für Deine Bemühungen - das funktioniert mit dem Link. OpenSSL gibt es auch für Windows, ich habe es nur nicht installiert, weil ich es bisher nicht gebraucht habe. Aber ich glaube, dass ich das denn nun mal machen muss - zumal eine solche Internetseite ja die Verschlüsselung pervertiert (kann ja jeder mitlesen).

    Also vielen Dank nochmals.

    Gruß
    egolein

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

  • egolein wrote:

    Zitat

    OpenSSL gibt es auch für Windows

    War nur ein Beispiel. Ich habe nicht geprüft, ob es vielleicht bequemere Lösungen (für Windows) gibt. Schau einfach mal bei Google diesbezüglich.

    Zitat

    zumal eine solche Internetseite ja die Verschlüsselung pervertiert (kann ja jeder mitlesen).

    Richtig, daher auch nur zum Testen vorgeschlagen.
    Bzgl. GMail muss man das an der Stelle aber auch bedenken! Da die Erweiterung im Falle der neuen Google-Oberfläche direkt mit dem Google-eignen Seiten-Content arbeitet und kein eigenes chrome-Dokument verwendet, könnte die GMail-Seite den geheimen Text nach der Entschlüsselung via JS einsehen. Gegenüber GMail unter der neuen Oberfläche wäre eine Entschlüsselung über FireGPG gegenwärtig nicht gesichert!

  • Zitat

    Bzgl. GMail muss man das an der Stelle aber auch bedenken! Da die Erweiterung im Falle der neuen Google-Oberfläche direkt mit dem Google-eignen Seiten-Content arbeitet und kein eigenes chrome-Dokument verwendet, könnte die GMail-Seite den geheimen Text nach der Entschlüsselung via JS einsehen. Gegenüber GMail unter der neuen Oberfläche wäre eine Entschlüsselung über FireGPG gegenwärtig nicht gesichert!


    Genau der Grund warum ich trotz aller Nachteile und Unzulänglichkeiten immer noch bei Web.de bin. Meines Wissens einer der sichersten Webmail-Anbieter, die es gibt.

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

  • Das hat mit dem Anbieter nichts zu tun, das ist eine Frage der Implementierung in FireGPG. Das ließe sich auch bei web.de so realisieren. Inwieweit man dem einen oder anderen Anbieter vertraut ist eine persönliche Entscheidung. Aber solange FireGPG sich derart in die Seite integriert, ist es weder bei GMail noch bei web.de sicher.

  • Zitat von boardraider

    Das hat mit dem Anbieter nichts zu tun, das ist eine Frage der Implementierung in FireGPG. Das ließe sich auch bei web.de so realisieren. Inwieweit man dem einen oder anderen Anbieter vertraut ist eine persönliche Entscheidung. Aber solange FireGPG sich derart in die Seite integriert, ist es weder bei GMail noch bei web.de sicher.

    Dann verstehe ich die Funktion von FireGPG falsch. Also ich bekomme von Web.de einen verschlüsselten Text und entschlüssel den hier in meinem Browser anschließend. Da wird nichts zurück übertragen (so sollte es jedenfalls sein). Erst, wenn ich eine entschlüsselte eMail weiterleite, ohne sie wieder zu verschlüsseln, kommen Inhaltsdaten zu Web.de.
    Allerdings bezog sich meine Anmerkung auch allgemein auf Datenschutz und Sicherheit bei Webmailern, von denen Google ja schon mal als DIE Datenkrake (m.E. nicht ganz zu unrecht) bezeichnet wird - gilt ja nicht nur für GMail, sondern auch für andere Google-Dienste.

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20

  • egolein wrote:

    Zitat

    Dann verstehe ich die Funktion von FireGPG falsch. Also ich bekomme von Web.de einen verschlüsselten Text und entschlüssel den hier in meinem Browser anschließend.

    So falsch verstehst du das nicht.
    Um es einfach zu formulieren:
    Die Frage ist, wo wird das Ergebnis der Entschlüsselung angezeigt? Wenn dir das in einem gesonderten FireGPG-Fenster (allgemein "im Chrome") angezeigt wird, ist soweit alles ok. Wenn die entschlüsselte Nachricht allerdings direkt in die Seite geschrieben wird, kann es u.U. zu einer Schwachstelle kommen.
    Angenommen der "geheime Text" wird unmittelbar in den DOM geschrieben, kann JavaScript-Code auf der Seite den Text auslesen, er ist dann nicht mehr geheim.
    Um das zu verhindern, nutzt FireGPG eigentlich einen Chrome-Iframe, den es in beliebige Webseiten an Stelle des verschlüsselten Text-Blocks einbettet. Wird innerhalb des Iframes der Text entschlüsselt, kann JS-Code auf der Seite den Text nicht lesen, da dies durch die Sicherheitsfunktionen des Fx verhindert wird.
    Im Falle von GMail und dem neuen Interface verzichtet FireGPG aber auf diesen IFrame, der entschlüsselte Text wird unmittelbar in ein div-Element geschrieben und ist somit für JS-Code auf der Seite lesbar (und damit vor Google prinzipiell nicht mehr geheim).

    Für web.de stellt FireGPG keine so starke aber gefährliche Integration bereit. Daher ist es dort gegenwärtig sicherer.

  • Na, dann bin ich ja beruhigt. Ich dachte schon, alles wäre umsonst.

    Gruß
    egolein

    Windows 7 Professional (32 Bit): Firefox 20 -- Thunderbird 17
    Windows 7 Enterprise (64 Bit): Firefox 20
    Android 4.1.2: Firefox 20