22.10.2014 Yes we can - Die technischen Lösungen

 For your eyes only - Die technischen Lösungen und offene Fragen

Verschlüsselte Bestätigungsmails bei Onlinegeschäften - Die Technikseite

Inhalt


Enführungsartikel zu dieser Kampagne:

 

Die technischen Lösungen

Im folgenden sind drei mögliche Szenarien beschrieben, die es erlauben dem Kunden eine  verschlüsselte Bestätigungsmail zuzustellen.

Für die im folgenden beschriebenen Fälle 1+2 muss der Anbieter PGP oder GnuPG auf seinem Server installiert haben und im Bestellformular neben der Angabe der E-Mail-Adresse

Für den Fall 3 installiert der Anbieter das Programm Bitmessage auf dem Server und bietet im Bestellformular neben der Angabe der E-Mail-Adresse ein Eingabefeld
für die Bitmessage Adresse an. Alternativ bei nur einem Eingabefeld für eine „Mail-Adresse“ kann die Software auf dem Server auch prüfen
ob es sich um eine E-Mail-Adresse (mit einem @) oder eine Bitmessage Adresse (mit einem BM- ) handelt.

Fall 1: Der Kunde hat seinen PGP Public Key auf einem Keyserver

Auf dem Bestellformular gibt der Kunde neben seiner E-Mail-Adresse in das Feld für den Fingerprint des Public Keys seinen Fingerprint ein. Diesen kopiert er sich

Die Software auf dem Server wird dann den Public Key zu dem angegebenen Fingerprint aus dem Internet herunterladen und in den servereigenen Keyring importieren (z.B. mit dem Befehl gpg --import Pubkey.asc ).

Fall 2: Der Kunde möchte seinen PGP Public Key bei der Bestellung eingeben

Auf dem Bestellformular gibt der Kunde neben seiner E-Mail-Adresse in das Feld für den Public Key seinen 7-bit ASCII kodierten Public Key ein.
Dazu kopiert er diesen in  die  Zwischenablage entweder

Ferner wird die 8-stellige Key ID benötigt, das sind die letzten 8 Stellen des Fingerprint, da es sich bei Tests gezeigt hat, dass nicht immer Name und E-Mail-Adresse des Kunden
noch mit den im Schlüssel verwendeten übereinstimmen (alte E-Mail-Adresse im Schlüssel oder die Namensschreibweise mag verändert eingegeben worden sein).
Die Software auf dem Server wird dann den Public Key in ihren Keyring importieren, z.B. mit dem Befehl gpg --import PublicKey.asc.

Fall 1+2 - Weiteres Vorgehen auf dem Server

Auf dem Server wird nun der bisher unverschüsselt verschickte Textinhalt der Mail mit dem öffentlichen Schlüssel des Kunden verschlüsselt. z.B. mit dem Befehl
    cat Mailtext | /usr/bin/gpg -a -o crypt.txt.gpg -e -r KeyID-des-Kunden

Dann kann die Mail an den Kunden verschickt werden, z.B. mit dem Befehl
    cat crypt.txt.gpg |mailx -s „Ein nettes Betreff“ Mailadresse@Kunde

Der Anbieter kann, bzw muss aus rechtlichen Gründen, die Mail selbst archivieren. Dies tut er bisher unverschlüsselt, er hat nun die Möglichkeit
auch sein Mailarchiv verschlüsselt zu führen. Dazu muss er seinen öffentlichen Schlüssel bei der Verschlüsselung zusätzlich einfügen, z. B. mit dem Befehl
     cat Mailtext | /usr/bin/gpg -a -o crypt.txt.gpg -e -r KeyIDdesKunden KeyIDdesAnbieter

Fall 3: Der Kunde möchte die Bestätigungsmail über das Bitmessage Protokoll erhalten

Dafür hat der Anbieter Bitmessage auf dem Server installiert. Auf dem Bestellformular muss der Kunde die Wahl für die Eingabe einer E-Mail oder einer
Bitmessage Adresse haben. Gibt er eine Bitmessage Adresse ein, so wird die Bestätigungsmail per Bitmessage an diese Adresse verschickt.
Da Bitmessage nur verschlüsselte Nachrichten kennt, ist damit das Problem erledigt.
Offen sind in diesem Fall jedoch evtl. rechtliche Fragen, wie z.B.

Realisierung als Beispiel auf unseren Webseiten

Wir sind dabei die oben beschriebenen Wege auf unserer Webseite zu implementieren. Wir verkaufen zwar nichts, aber wer unsere Arbeit als unterstützenswert ansieht,
kann uns Online eine Spende zukommen lassen, die wir per Lastschrift von ihrem/seinen Konto einziehen.

Diese Webseite haben wir als Test für die oben beschriebenen Wege verwendet und ebenso unseren Online-Mitgliedsantrag auf dem auch persönliche Daten abgefragt werden und die Bestellseite für DVDs unseres FRONTex-Films mit der Möglichkeit zur Eingabe eines öffentlichen Schlüssels (PublicKey) versehen.

Wir freuen uns jetzt natürlich über viele Tester und auch über echte Spenden, nehmen aber in den nächsten Monaten auch gern Spenden über 0,00€ an,
um allen die Möglichkeit zum Ausprobieren von solchen sicher verschlüsselten Bestätigungsmails zu geben.

Offene Fragen/Verbesserungsvorschläge

Im Verlauf der Überlegungen zu diesem Thema und bei den konkreten Implementierungen sind zum einen eine Reihe von Fragen entstanden und zum anderen Ideen zu
Verbesserungen bei den derzeitigen Implementierungen der E-Mail-Verschlüsselung, z.B. in der Kombination des Programms Enigmail mit Thunderbird.
Diese wollen wir hier ohne Wertung, aus Zeitmangel sowie unvollständigem Know-How ohne eine tiefergehende Untersuchung auflisten:

Fragen zu PGP/GnuPG

 Fragen zur Funktionalität von Enigmail mit Thunderbird

Enigmail sollte intuitiv bedienbar werden, das ist nach den gemachten Erfahrungen derzeitig nicht ganz der Fall. Einige Hinweise und Fragen:

Probleme in der Verschlüsselungs-Software

Wir nennen hier Bugs, die in der Presse genannt werden, können aber aus zeitgründen nicht verfolgen, ob und wenn ja welche Lösungen dafür in der Zwischenzeit angeboten werden. Wir sind für entsprechende Hinweise dankbar!

Allgemeine Empfehlungen

 

 


Kommentar: RE: 20141022 Yes we can - Die technischen Lösungen

Verbraucher müssen Auskunft über die Speicherung personenbezogener Daten zu erhalten, wenn sie im Internet einkaufen.  Wie der "TÜV Süd Datenschutzindikator" feststellt, halten sich nur 44% an die gesetzlichen Vorgaben. 42% sehen in ihren Unternehmen nicht einmal die Voraussetzungen erfüllt Verbrauchern Auskunft zu erteilen, welche personenbezogenen Daten überhaupt gespeichert wurden. Nur 24% kennen einen geregelten Ablauf, um Kunden über deren gespeicherte Daten Auskunft geben zu können.  35% der Unternehmen können nicht in vorgeschriebener Weise eine Kundeneinwilligung anfordern und dokumentieren. (s http://www.haufe.de/marketing-vertrieb/crm/datenschutz-haendler-missachten-gesetzliche-vorgaben_124_280510.html )

Jochen, 07.11.2014 07:34


 RE: 20141022 Yes we can - Die technischen Lösungen

Auch auf Handys und Smartphone geht die Verschlüsselung. Bei einem Android System lädt man sich K-9 Mail runter, am besten von F-Droid. Zum Verschlüsseln nutzt man dann die App APG oder OpenKeyChain.

Dazu ein paar Aussagen von Nutzern:

Piratenpanda: You should rather use openkeychain than apg really. Also latest k9mail supports PGP/mime

Couldbeworse: On my mobile phone I use Cyanogenmod, K-9 Mail and OpenKeychain - encrypted emails are easy.

Also, einfach mal ausprobieren

Micha, 18.12.2016 09:03


 


Kategorie[40]: Anti-Überwachung Short-Link dieser Seite: a-fsa.de/d/2m8
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/4574-20141022-yes-we-can-die-technischen-loesungen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/4574-20141022-yes-we-can-die-technischen-loesungen.htm
Tags: #VerschluesselteBestaetigungsmail #E-mail #Onlinegeschaefte #Datenschutz #BDSG #PGP #GnuPG #PublicKey #Aktivitaet #FsaMitteilung #Projekt
Erstellt: 2014-10-19 11:43:47
Aufrufe: 4321

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

Wir im Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Datenschutz  Sitemap