SSL / TLS schützt die E-Mail vor Manipulationen oder Abhören, wenn sie zwischen Ihrem Computer und dem Server von Google und möglicherweise während weiterer Weiterleitungen an einen späteren Empfänger übertragen wird. Und das ist alles, was es tut.

PGP macht weit mehr. Wenn Sie eine signierte E-Mail senden, kann der Empfänger überprüfen, ob die E-Mail von Ihnen gesendet wurde und ob sie zu irgendeinem Zeitpunkt zwischen dem Schreiben und dem Empfang manipuliert wurde. Wenn Sie eine verschlüsselte E-Mail senden, wissen Sie, dass niemand außer dem beabsichtigten Empfänger sie lesen kann - nicht Google, nicht die NSA, niemand. Aus diesem Grund heißt es " End-to-End-Verschlüsselung".

Die E-Mail-Metadaten (von, nach, Betreff, Zeitstempel) werden jedoch weiterhin klar gesendet, und PGP kann dies nicht hilf dabei. Im Allgemeinen ist es daher am besten, PGP-verschlüsselte E-Mails über TLS-gesicherte Verbindungen zu senden.

Bei der Verwendung von SSL / TLS besteht ein höheres Risiko als bei potenziellen 0 Tagen, da bereits Angriffe bekannt sind, die TLS umgehen können. Moxie Marlinspike hält seit mindestens Def Con 17 Def Con-Präsentationen.

Eines der bemerkenswertesten Tools ist sslstrip, das von Marlinspike erstellt wurde

Sslstrip funktioniert, weil TLS mit einem Vertrauensmodell der Zertifizierungsstelle arbeitet, das potenziellen MITM Gegnern die Möglichkeit bietet, digitale Zertifikate zu fälschen und sie einem ahnungslosen Benutzer bereitzustellen. Der Browser des Benutzers teilt ihm mit, dass die Website möglicherweise unsicher ist, und die meisten werden trotzdem fortgesetzt. Bei ordnungsgemäßer Verwendung wird TLS als sicher angesehen. Ältere Versionen wie SSLv2 und SSLv3 haben sich jedoch als unsicher erwiesen.

Dies ist problematisch, da die Das Standardverhalten von TLS besteht darin, auf SSLv3 zurückzugreifen, wenn ein Ende der Verbindung TLS nicht unterstützt. Auf diese Weise kann ein Angreifer einem Benutzer die Verbindung zu SSLv3 erzwingen, ohne dass er es weiß. Ein Patch wurde veröffentlicht, mindert das Problem jedoch nicht, da beide Enden der Verbindung gepatcht werden müssen. Dies bedeutet, dass Ihre verschlüsselte Kommunikation immer noch gefährdet ist, wenn Sie sich nicht die Mühe machen, SSLv3 vollständig zu deaktivieren .

Mit PGP / GPG ist die Balken zum Eintritt ist viel höher. Sie können Ihren Webbrowser nicht einfach starten und mit der Eingabe beginnen. Tatsächlich wird PGP überhaupt nicht zum Verschlüsseln des Datenverkehrs verwendet. Es wird verwendet, um Daten auf Ihrem Computer zu verschlüsseln, die Sie dann senden können. Es ist über die Jahre weitgehend unverändert geblieben und wird oft als schwierig für Anfänger bezeichnet. Bei ordnungsgemäßer Verwendung handelt es sich jedoch um eine sehr sichere Methode zum Verschlüsseln der Kommunikation. Ed Snowden ist in der Tat so sicher, dass er empfohlen hat, der NSA auszuweichen.

Der größte Unterschied zwischen TLS und PGP besteht darin, dass bei PGP die Daten ist an beiden Enden sicher, wobei in TLS die Daten nur während der Übertragung sicher sind.

Der Schlüssel, um PGP optimal zu nutzen, besteht darin, einen guten Schlüssel zu generieren, Ihr Vertrauensnetz einzurichten, Ihre privaten Schlüssel sicher zu halten und davon auszugehen, ob Ihr Computer ist gefährdet, dass Ihre privaten Schlüssel auch sind. (Womit Sie dann ein zuvor generiertes Schlüssel-Sperrzertifikat verwenden würden, um den Schlüssel zu annullieren.)

Weitere Informationen zum optimalen Nutzen von PGP / GPG finden Sie in einer umfassenden -Ressource darauf. Dies ist eine von vielen , die im Laufe der Jahre erstellt wurden.

1. Nicht-Zurückweisung - niemand kann Ihre private Schlüsselsignatur einer Nachricht fälschen,
2. Verschlüsselung im Ruhezustand - die Nachricht wird nicht nur während der Übertragung, sondern auch im Ruhezustand verschlüsselt.
3. Alle Vorteile von Mail gegenüber SSL / TLS ohne viele Probleme (z. B. Herzblutung und POODLE)
ol>

Um nur drei zu nennen.

HTTPS schützt nur Ihre E-Mails zwischen Ihnen und Google. Von da an wird es unverschlüsselt übertragen. Das bedeutet, dass Ihre E-Mail gelesen werden kann von:

• Google ( und sie geben zu, dass sie sie gelesen haben!)
• allen Routern zwischen Google und dem Mail-Dienst des Empfängers
• der Empfänger-Mailserver
• Wenn der Empfänger nicht auch https verwendet, ein beliebiger Router zwischen seinem Mailserver und ihnen.

PGP bietet jedoch eine End-to-End-Verschlüsselung. Nur der Empfänger kann die E-Mail entschlüsseln. Alle Zwischenprodukte können den verschlüsselten Text nur weiterleiten, ohne ihn lesen zu können.

Kurz gesagt, PGP schützt den Inhalt der E-Mail sowohl während des Flugs als auch in Ruhe. TLS schützt den Kommunikationskanal, während die Nachricht ein Netzwerk durchläuft.

PGP-Gutscheine für eine Person und eine E-Mail-Adresse; TLS bürgt für einen Server (und optional einen Client).

Obwohl PGP theoretisch fantastisch ist, sind die Vorteile von PGP in der "realen Welt" leider recht begrenzt, sofern vorhanden. Wenn PGP die Standardeinstellung wäre, die jeder verwendet, würde es rocken.

TLS bietet Ihnen (ohne die Möglichkeit von Exploits) eine sichere Verbindung zu Ihrem Mailserver. Sie haben die Garantie, dass der Server, mit dem Sie sprechen, wirklich Ihr Mailserver ist und dass niemand Ihre Kommunikation mit dem Server belauschen kann. Es gibt jedoch weder eine End-to-End-Verschlüsselung noch eine Nachrichtenauthentifizierung.

Dies bedeutet, dass Ihre Kommunikation mit dem Server zwar vertraulich ist, Ihre Nachrichten jedoch im Klartext auf dem Server gespeichert (und an den Server weitergeleitet) werden NSA, lassen Sie sich nicht täuschen, etwas anderes zu glauben.
Auch der Austausch mit dem Mailserver des Empfängers kann gesichert sein oder nicht (Sie wissen es nicht) Empfangende (und Zwischen-) Server werden im Klartext gespeichert, und der Empfänger kann eine gesicherte Verbindung mit seinem Mailserver verwenden oder nicht.

Trotz einiger Erweiterungen Die Protokolle, die beim E-Mail-Austausch verwendet werden, sind ziemlich naiv und geben wenig bis gar keine Garantie für die Herkunft einer Nachricht. Mit anderen Worten, Sie wissen nicht mit hinreichender Sicherheit, ob eine Nachricht, die Sie erhalten haben, von dem stammt, von dem Sie glauben, dass sie von überhaupt stammt, oder ob jemand einen Teil davon durch etwas anderes ersetzt hat.

PGP adressiert all dies theoretisch , indem es sowohl eine End-to-End-Verschlüsselung als auch ein Mittel zum Signieren von Nachrichten bietet. Das bedeutet, dass Sie sicher wissen, dass die Nachricht, die Sie erhalten haben, von niemandem gelesen werden kann, der die Nachricht abfängt, und dass die Nachricht wirklich von dem stammt, von dem Sie glauben, dass sie stammt und nicht geändert wurde.

Das Problem ist das für Damit dies funktioniert, müssen zwei Voraussetzungen erfüllt sein:

1. Die andere Person muss PGP verwenden.
2. Sie müssen über den öffentlichen Schlüssel der anderen Person verfügen und 100% sicher sein, dass Dies ist der echte Schlüssel.
ol>

Der erste Punkt regelt die Vorteile von PGP für die "reale Welt" bereits ziemlich genau. Kaum jemand benutzt PGP. Ihre Tante Sally nicht, Ihre Bank nicht, Ihr Stromversorger nicht und XYZ auch nicht. Das heißt, Sie können PGP nur mit ein paar Geeks verwenden.
Der zweite Punkt betrifft die vielen Probleme, die auch SSL / TLS hat (wie z. B. in diesem Defcon Youtube-Video in der Antwort von cremefraiche erläutert). , außer dass die Vertrauenskette in PGP eher eine "Hobby" -Sache ist, wenn ich es so nennen darf. Dies kann tatsächlich eine gute Sache sein, aber es kann auch eine schlechte Sache sein. Anstatt einem Unternehmen zu vertrauen, das Zertifikate mit Gewinn verkauft, lassen Sie Ihre Schlüssel von einer Reihe von ... nun ... Personen unterschreiben. Leute, die du gut kennst oder die du vielleicht nicht so gut kennst. Je nachdem, wer ihre Schlüssel signiert hat, vertrauen Sie ihnen ein bisschen mehr oder weniger.
Wenn Sie den Empfänger nicht mindestens einmal persönlich treffen, um Schlüssel auszutauschen, haben Sie nie die Garantie, dass Sie den richtigen Schlüssel besitzen (so oder so).

PGP verbirgt, was Sie jemandem erzählen, aber es verbirgt nicht, wen Sie verschickt haben oder dass Sie überhaupt eine E-Mail gesendet haben (nun, das kann es kaum, oder?). Die bloße Tatsache, dass Sie mit Menschen kommunizieren, kann jedoch bereits wichtig sein (umso mehr, wenn Sie mit Verschlüsselung kommunizieren).

Eine wichtige Überlegung ist, dass die überwiegende Mehrheit der Menschen dies nicht tut Wenn Sie eine End-to-End-Verschlüsselung verwenden, stehen Sie automatisch auf der Verdächtigenliste der Bösen (Bösewichte = Regierungsbehörden), wenn Sie dies tun. Wenn Sie Verschlüsselung verwenden, müssen Sie schließlich etwas verbergen, sodass Sie höchstwahrscheinlich ein Verbrecher oder Schlimmeres sind. Außerhalb von Märchenbüchern gibt es keine Unschuldsvermutung (auch wenn Ihre Verfassung etwas anderes sagt).

Wenn Sie also Ihren nächsten Bombenangriff planen, ist es wahrscheinlich eine gute Idee, die wöchentlichen Treffen Ihrer Terrorzelle nicht per E-Mail zu koordinieren und PGP zu verwenden, da die NSA Sie zu einem vorrangigen Ziel macht. Das bedeutet nicht automatisch, dass Sie Waterboarding erhalten, aber es bedeutet, dass Sie einer viel detaillierteren Profilerstellung und einer viel gründlicheren individuellen Analyse unterzogen werden.

Abhängig davon, was ihre Profilerstellung anzeigt (je nachdem, wo Sie sich befinden live, mit wem Sie sprechen, was auf Ihrem Bankkonto passiert, wohin Sie reisen, welches Kommunikationsmuster Sie haben usw.), dies kann zu allem führen, von "nichts passiert" bis "Leute mit Masken haben dich fertig gemacht, damit du deine Passwörter preisgibst" oder "in einem schwarzen Lager aufwachen" .
Zum Glück sind es für die meisten Leute die "nichts passiert" Geschmack, aber Sie wissen es nie.