PGP/S/MIME vs RFC 7672 und DKIM?

Das BSI hat im 18. Deutschen IT-Sicherheitskongresses beim Thema Email-Sicherheit nur PGP und S/MIME dargestellt und damit gepusht. Es hat die Alternative der konsequenten Transportverschlüsselung insbesondere mit RFC 7672 zu propagieren in keinem einzigen Beitrag erwähnt. Fast schon ironisch: das erste IT-Sicherheitskennzeichen wurde an den Betreiber mail.de verliehen, der nach meinen Beobachtungen konsequent auf Transportverschlüsselung und RFC 7672 sowie DKIM für Signaturen setzt.

Ich möchte gerne von Ihnen wissen, aufgrund welcher Informationen und Bewertungen Sie diese in meinen Augen einseitige Position vertreten.

Ergebnis der Anfrage

Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:

https://blog.lindenberg.one/VergleichRf…
https://blog.lindenberg.one/AufsichtOhn…
https://blog.lindenberg.one/BundesamtUn…

und natürlich freue ich mich auch über Feedback und Diskussionen.

Antwort verspätet

Warte auf Antwort
  • Datum
    7. Februar 2022
  • Frist
    9. März 2022
  • 4 Follower:innen
Joachim Lindenberg (https://blog.lindenberg.one)
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Das BSI hat im 18…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
7. Februar 2022 09:51
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Das BSI hat im 18. Deutschen IT-Sicherheitskongresses beim Thema Email-Sicherheit nur PGP und S/MIME dargestellt und damit gepusht. Es hat die Alternative der konsequenten Transportverschlüsselung insbesondere mit RFC 7672 zu propagieren in keinem einzigen Beitrag erwähnt. Fast schon ironisch: das erste IT-Sicherheitskennzeichen wurde an den Betreiber mail.de verliehen, der nach meinen Beobachtungen konsequent auf Transportverschlüsselung und RFC 7672 sowie DKIM für Signaturen setzt. Ich möchte gerne von Ihnen wissen, aufgrund welcher Informationen und Bewertungen Sie diese in meinen Augen einseitige Position vertreten.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240190 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240190/ Postanschrift Joachim Lindenberg << Adresse entfernt >>
Mit freundlichen Grüßen Joachim Lindenberg (https://blog.lindenberg.one)
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, bei Ihrer untenstehenden Anfrage handelt es sich nicht um eine Anfrage im Sinne de…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
8. Februar 2022 10:41
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, bei Ihrer untenstehenden Anfrage handelt es sich nicht um eine Anfrage im Sinne des Informationsfreiheitsgesetzes (IFG). Sie bitten das Bundesamt für Sicherheit in der Informationstechnik (BSI) hier um Stellungnahme bzw. um Mitteilung, warum auf dem 18. Deutschen IT-Sicherheitskongresses nur PGP und S/MIME beim Thema Email dargestellt wurden. Ich werde Ihre E-Mail daher zur Beantwortung an das Service-Center des BSI weiterleiten. Mit freundlichen Grüßen
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, in Bezug auf Ihre Anmerkung zum 18. Deutschen IT-Sicherheitskongress mit Blick …
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
4. März 2022 15:18
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, in Bezug auf Ihre Anmerkung zum 18. Deutschen IT-Sicherheitskongress mit Blick auf das Thema E-Mail-Sicherheit, würden wir Ihnen gerne folgende Rückmeldung geben: Rund 100 Autorinnen und Autoren sind dem Call for Papers für den 18. Deutschen IT-Sicherheitskongress gefolgt und haben Beiträge zu 22 Themenschwerpunkten eingereicht. Hieraus wählten die 21 Mitglieder des Programmbeirats 28 Fachvorträge aus und stellten damit das Programm des Kongresses zusammen. Jeder Beitrag wird – in anonymisierter Form – von drei Mitgliedern des Programmbeirats beurteilt, wovon zwei nicht dem BSI angehören. Die drei angenommenen Vorträge der Session beschäftigten sich mit S/MIME und PGP und der damit angestrebten Ende-zu-Ende-Verschlüsselung in der E-Mail-Kommunikation, stammen jedoch nicht von Mitarbeiterinnen und Mitarbeitern des BSI. Konsequente Transportverschlüsselung stellt eine gute Ergänzung, allerdings keine Alternative zur Ende-zu-Ende-Verschlüsselung dar. Für den Versender ist es schwierig festzustellen, ob eine durchgängige Transportverschlüsselung bei allen beteiligten Mail Transfer Agents (MTA) besteht. Anders als bei Ende-zu-Ende-Verschlüsselung liegt bei jedem MTA der Inhalt der E-Mail unverschlüsselt vor. Gleichwohl stellt die konsequente Transportverschlüsselung eine sinnvolle Schutzmaßnahme dar, insbesondere für den Fall, dass eine Ende-zu-Ende-Verschlüsselung nicht möglich ist. Da das BSI keinen Einfluss auf die Inhalte der Vorträge der externen Autorinnen und Autoren ausübt, konnte der Kongress dem Thema E-Mail-Sicherheit somit eine Plattform bieten, jedoch nicht alle Facetten beleuchten. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr [geschwärzt], bitte nehmen Sie das nicht persönlich, ich vermute Sie sind nur der Überbringer der Nachricht.…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
4. März 2022 16:13
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr [geschwärzt], bitte nehmen Sie das nicht persönlich, ich vermute Sie sind nur der Überbringer der Nachricht. Ich halte diese Antwort des BSI schlicht für Unsinn. Die Wissenschaft hat wiederholt publiziert "Johnny cannot encrypt" und diverse Fortsetzungen, und weder die Usability- noch die Key-Management-Probleme von PGP und S/MIME sind ernsthaft adressiert worden. Dagegen ist RFC 7672 vermutlich die einzige Antwort wie Transportverschlüsselung konsequent angegangen werden kann und damit das Fernmeldegeheimnis erfüllt werden kann. Ansonsten verweise ich auf meine Artikel https://blog.lindenberg.one/Emailverschlusselung. Ich beantrage, dass das BSI alle Dokumente zum Thema RFC 7672 vs PGP/ S/MIME veröffentlicht - wie das auch das BfDI - siehe https://fragdenstaat.de/anfrage/orien... - hoffentlich bald tun wird. Und auch bei Ihnen gebührenfrei im öffentlichen Interesse. Außerdem muss ich feststellen, dass das BSI eigentlich keine meiner Anfragen - List auf [geschwärzt] - sinnvoll beantwortet hat. Einer ernsthaften technischen oder gar wissenschaftlichen Diskussion will das BSI anscheinend grundsätzlich aus dem Weg gehen? Hinsichtlich des IT-Kongresses muss ich mich fragen, welche Zielsetzung und welchen Anspruch der erfüllen soll. Oder konkreter und nach IFG beantwortbar: * wer sitzt im Programmkommittee und warum? * gibt es irgendwelche qualitiative Anforderungen an Beiträge, insbesondere was die Erwähnung oder den Vergleich mit alternativen Ansätzen angeht? * kann da jeder beliebig Marketing für seine Ideen, Produkte und Dienstleistungen machen? * wer bezahlt denn das ganze? Der Steuerzahler? Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240190 Antwort an: [geschwärzt] Laden Sie große Dateien zu dieser Anfrage hier hoch: [geschwärzt]
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir an die zuständige Fachabteilung im BSI weit…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
4. März 2022 16:28
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, vielen Dank für Ihre Anfrage, die wir an die zuständige Fachabteilung im BSI weitergeleitet haben. Sobald dort eine Antwort vorliegt, melden wir uns wieder bei Ihnen! Bis dahin bitten wir Sie um etwas Geduld. Vielen Dank! Mit freundlichen Grüßen,
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> mir ist ein interner Link in die Nachricht gerutscht, der richtige Link zu allen me…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
7. März 2022 15:10
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> mir ist ein interner Link in die Nachricht gerutscht, der richtige Link zu allen meinen Anfragen ist https://blog.lindenberg.one/FragDenStaat. Außerdem schlage ich vor, dass wir in dieser Anfrage beim Thema RFC 7672 vs PGP / S/MIME bleiben und ich die Fragen zum IT-Sicherheitskongress in eine separate Anfrage packe. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240190 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240190/
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, die Besetzung des Beirats bedarf einer breit gefächerten Expertise der Mitglieder,…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
Rückmeldung: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
5. April 2022 14:24
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, die Besetzung des Beirats bedarf einer breit gefächerten Expertise der Mitglieder, um die mit dem Call for Papers abgefragten Themen im Zuge der Bewertung abzudecken. Die Übersicht der Mitglieder des Programmbeirats finden Sie hier: www.bsi.bund.de/IT-Sicherheitskongress. Die Rahmenbedingungen für die Einreichung eines Beitrags sowie die Bewertungskriterien können Sie dem beigefügten Call for Papers entnehmen. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> würden Sie diese Nachricht - https://fragdenstaat.de/anfrage/pgpsm... - bitte erneu…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Rückmeldung: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
5. April 2022 19:28
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> würden Sie diese Nachricht - https://fragdenstaat.de/anfrage/pgpsm... - bitte erneut an die Anfrage https://fragdenstaat.de/anfrage/it-si..., ggfs. per Email an <<E-Mail-Adresse>> schicken - dahin passt diese Nachricht thematisch besser. Vielen Dank und viele Grüße Joachim Lindenberg Anfragenr: 240190 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240190/
Bundesamt für Sicherheit in der Informationstechnik
Sehr geehrter Herr Lindenberg, wie gewünscht haben wir die Nachricht soeben nochmal per E-Mail an <<E-Ma…
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: Rückmeldung: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
6. April 2022 10:51
Status
Warte auf Antwort
Sehr geehrter Herr Lindenberg, wie gewünscht haben wir die Nachricht soeben nochmal per E-Mail an <<E-Mail-Adresse>> gesendet. Mit freundlichen Grüßen
Joachim Lindenberg (https://blog.lindenberg.one)
Sehr << Anrede >> vielen Dank. Dann möchte ich unter diesem Titel nochmal auf mein Kernanliegen zurüc…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Rückmeldung: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
6. April 2022 11:16
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank. Dann möchte ich unter diesem Titel nochmal auf mein Kernanliegen zurückkommen und die Frage "Ich möchte gerne von Ihnen wissen, aufgrund welcher Informationen und Bewertungen Sie diese in meinen Augen einseitige Position vertreten." ergänzen um: Hat das BSI selbst - unabhängig vom IT-Sicherheitstag - Informationen oder Dokumente, die die Vor- und Nachteile von RFC 7672 bzw. BWI TR 03801, PGP, und S/MIME beleuchten und darstellen für welche Probleme oder Zielgruppen sie jeweils geeignet sind oder auch nicht, und warum? Dass das eine Anfrage nach dem IFG sein soll - ersparen Sie mir bitte das Wiederholen des ganzen Textes. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240190 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240190/

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Joachim Lindenberg (https://blog.lindenberg.one)
Sehr geehrte Damen und Herren, meine Fragen in https://fragdenstaat.de/anfrage/pgpsm... wurde von Ihnen nicht in …
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
Joachim Lindenberg (https://blog.lindenberg.one)
Betreff
AW: Rückmeldung: Betreff: PGP/S/MIME vs RFC 7672 und DKIM? [#240190]
Datum
24. Mai 2022 11:11
An
Bundesamt für Sicherheit in der Informationstechnik
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, meine Fragen in https://fragdenstaat.de/anfrage/pgpsm... wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen Joachim Lindenberg Anfragenr: 240190 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/240190/