Felix Becker wollte von Amazon.de wissen, ob es möglich wäre, eine Mailsignierung und/oder Verschlüsselung per PGP/GnuPG einzuschalten. Als Antwort erhilt er die Aufforderung eines Technikers, “all meine “Kumpels” darum zu bitten, dass sie eine Email per Formmailer an Amazon schicken, in der Sie den Wunsch nach Verschlüsselung und Signierung des Emailverkehrs deutlich machen“.

Gut, das hätte ich auch gerne, also los:

Guten Tag,

mir geht es nicht um diese Bestellung, sondern ich habe eine generelle Frage:

wäre es prinzipiell möglich, die Mails, die Amazon verschickt, mit PGP/GnuPG zu signieren und so für deren Authentizität zu sprechen? U.U. dann sogar die Kommunikation mit dem Kunden komplett zu verschlüsseln?
Gerade bei der Flut an Phishing-Mails á la eBay, PayPal und unzählige Banken wäre es wirklich sinnvoll, seine Mails digital zu signieren.

Mit freundlichen Grüßen,
Christoph Rummel

(via Dobschat)

Nachtrag:

Mittlerweile kam auch eine nette Antwort zurück:

Guten Tag,

vielen Dank für Ihr Schreiben an Amazon.de.

Wir freuen uns sehr über Ihre Anregung! Ganz herzlichen Dank.

Ich habe eine Kopie Ihrer E-Mail an die zuständigen Kollegen
weitergeleitet und bedanke mich vielmals für
Ihre Anregung.

Ich hoffe, Ihr Vorschlag wird umgesetzt – was ich
allerdings nicht garantieren kann. Wir tun aber unser Bestes und
freuen uns zu jeder Zeit über Ihr Feedback!

Durch Ihre Vorschläge wissen wir, was
unsere Kundinnen und Kunden möchten. Und können
so Angebot und Service ständig verbessern und erweitern.

Wir hören gerne wieder von Ihnen.

[...]

Wie von Heise bereits am 13.1. gemeldet, bringt die deutsch-schweizer Firma Ciphire Labs das Produkt Ciphire Mail auf den Markt — ein Lösung für das Signieren und Verschlüsseln von Mailverkehr. Nicht, dass es mit PGP/GPG und S/MIME (hier sei als Beispiel mal Thawte genannt) schon bestehende Lösungen gäbe, darum rühmt sich Ciphire auch, dass ihr Produkt einfach zu benutzen, transparent, für viele Plattformen verfügbar und kompatibel mit allen möglichen Protokollen sei.

So weit, so gut. In den Sourcecode soll wohl noch, was man so hört, Einsicht gewährt werden, was meiner Meinung nach eine Grundvoraussetzung für solch eine Software ist. Der Hals ist mir aber in dem Moment angeschwollen, in dem ich las, das der Betreff der Mails entsprechend um einen Zusatz [signed] bzw. [ciphired] — nicht genug, dass schon unzählige Virenscanner und Spamfilter meinen, ihren Senf dem Betreff hinzufügen zu müssen. Das wird hoffentlich konfigurierbar sein… Gut, gerade letzter Punkt ist sehr subjektiv. Aber ein Produkt einer einzigen Firma, das alle dazugehörigen Dienste wie ein Zertifikatsverzeichnis, und seien sie noch so ausfallsicher verteilt und abgesichert, ist mir gerade im Securitybereich äusserst suspekt. Es bleibt also abzuwarten, wie sich das entwickelt und ob hier noch weitere Firmen mit hineingelassen werden. Auch die Überprüfung der Identität der Zertifikatsinhaber ist ein wichtiger Punkt, und die Erklärungen hierzu sind nicht sehr erleuchtend.

In many public-key cryptography solutions the user is required to blindly trust a thirdparty, like a classical certification authority (CA), that the issued certificate is still valid and has not been tampered with. Other systems, like PGP-based systems, require the user to perform manual verifications of an owner’s identity and integrity of a public key to find out if it is valid or not.

In the Ciphire system a user is not required to perform manual verifications and most importantly he is not required to blindly trust the Ciphire CA.

To achieve this, the Ciphire system uses, in addition to the usual CA certification, an automated fingerprinting system that provides the following:

- Verification, if a certificate for a particular user (email address) has been issued by the CA (non-repudiation of certificate issuance)
- Verification, that a certificate has not been modified after it has been issued by the CA (proof of certificate integrity)

Schreiben kann man das natürlich sehr schön, dass man hier keine Überprüfung machen müsse und Ciphire hier nicht blind vertrauen müsse. Ach ja? Und vielleicht hat Eve sich doch jeweils ein Zertifikat auf den Namen Alice und eines auf Bob ausstellen lassen? Wer versichert mir das, dass der Zertifikatsinhaber wirklich er ist. Denn scheinbar wird das ganze wieder einmal lediglich nur über ein challenge/response-Verfahren abgehandelt:

During this process, you will receive an email informing you about the operations. When these processes have been successfully completed you will receive a final email confirming the certification for your email address.

Nein, ich bleibe da erst einmal skeptisch.

Nachtrag am 2008-03-29: Wie ich gerade beim Herumsurfen gesehen habe, ist Ciphire mittlerweile (vermutlich bereits seits geraumer Zeit) abgekündigt worden. Da war die Skepsis wohl begründet…