[Gpg4win-users-de] Gpg4win selbst bauen und Web-Mailer-Frage (Re: Claws-Mail und CRAM-MD5)

Dr. Peter Voigt pvoigt at uos.de
Di Okt 9 23:38:32 CEST 2012


Bernhard Reiter <bernhard at intevation.de> writes:

> Hallo Peter,
>
> Am Samstag, 6. Oktober 2012 12:29:21 schrieb Dr. Peter Voigt:
>> Vielen Dank für deine Antwort. 
>
> gern (wir können übrigens nicht weit weg voneinander sitzen, ich blicke von  
> hier aus auf das Geographie-Gebäude der Universität Osnabrück.)
>
...ist nicht mein Fachbereich - bin Physiker :-). Ich arbeite aber
nicht mehr am Fachbereich Physik. Details können wir gerne bei
Gelegenheit in einer privaten E-Mail austauschen; sie sprengen den
thematischen Rahmen dieser Liste. Dann rücke ich auch gerne auf Wunsch
meinen öffentlichen Schlüssel raus :-)

>> Ich habe zwar noch nicht nach einer 
>> Installationsanleitung zum compilieren von Claws-Mail unter Windows
>> gesucht, aber ich weiß aus Erfahrung, dass es unter Windows immer
>> aufwändiger ist als unter Linux. Ich lasse mich aber gerne vom
>> Gegenteil überzeugen. Kenntst du zufällig einen Link, der eine
>> Anleitung für das Compilieren von Claws-Mail unter Windows beschreibt?
>
> Einfach den ganzen Gpg4win-Installer bauen, da ist das Claws dabei,
> siehe http://gpg4win.de/build-installer-de.html
> Bei Problem auf der Entwicklungsliste fragen.
>
Aah - danke. Beim ersten Überfliegen habe ich gesehen, dass ich nur
den Mingw32-Crosss-Compiler brauche. Das macht das Selberbauen
einfacher als wenn ich unter Windows erst alle benötigten Bibliotheken
installieren müsste, um mich dann mit Visual Studio
herumzuschlagen. Den Cross-Compiler habe ich zwar noch nicht
ausprobiert, er interessiert mich aber schon länger. Unter openSUSE
11.4, meinem Linux-System, muss man ihn aus einem separaten Repository
nachinstallieren. Für alle openSUSE-Fans:
http://download.opensuse.org/repositories/windows:/mingw:/win32/openSUSE_11.4/

>> Ganz zu schweigen von gpg2, dass ich vor einiger Zeit aufgrund eines
>> Fehlers in der openSUSE-Distribution aus Quellen selbst compiliert
>> habe. Das war schon unter Linux aufwändig - da würde ich mich unter
>> Windows nicht dranwagen.
>
> Gut, es hängt sicherlich davon ab, wie sehr Du Dich mit den Werkzeugen 
> auskennst. Mir war wichtig auf die Möglichkeit hinzuweisen, damit Du Dir
> prinzipiell selbst helfen kannst. 
>
Danke, es ist immer gut zu wissen, dass man wichtige Software notfalls
selber bauen kann. Durch das Cross-Compiling wird es wohl einfacher
als befürchtet. Wenn ich mal ein paar Stunden am Stück Zeit habe,
werde ich das mal ausprobieren.

>> In jedem Fall werde ich deinen Rat befolgen und auf der englischen
>> Entwicklerliste meinen Wunsch äußeren.
>>
>> PS.: Etwas Off-topic: Ich habe kürzlich einer Diskussion über
>> Mail-Clients beigewohnt. Es ging letztlich darum, ob man prinzipiell
>> GnuPG auch mit einem Web-Mail-Client verwenden kann. Die Diskussion
>> blieb ergebnisoffen. Geht das oder nicht und wenn ja: Gibt es
>> sicherheitsrelevante Einschränkungen?
>
> Klar läßt sich Gnupg auch von Web-Mail-Clienten aus nutzen.
> Logischerweise muss dass der Serverteil der Lösung dann so entwickelt sein,
> dass er für OpenPGP oder S/MIME Operationen GnuPG aufruft.
> Der Nachteil liegt auch auf der Hand, da der Server das macht, musst Du dem 
> Server vertrauen. Damit gibt hier meist keine Ende-zu-Ende Verschlüsselung 
> mehr, nämlich immer dann, wenn der Server eben von jemanden anders, woanders 
> betrieben wird. Der Admin hat da halt Zugriff auf Daten und Deine 
> Zertifikate. Wenn da mehrere Nutzer drauf sind, wie bei vielen größeren 
> Anbietern, gibt das deutlich mehr Angriffsfläche durch legale oder illegale 
> Überwachung.
>
Dank dir für den Denkanstoß. Es mag sein, dass ich da im Moment falsch
denke, aber ich stelle mir naiverweise vor, dass der Server vom
Ver-/Entschlüsseln gar nichts mitbekommen müsste. Könnte der
Web-Mailer nicht durch clientseitiges Skripting (z.B. Ajax, JavaScript
reicht wahrscheinlich nicht) die PGP/MIME- bzw. S/MIME-Operationen
durchführen? Für mich wäre es undenkbar, meine gesamten Schlüssel-
bzw. Zertifikate auf einen fremden Server zu hinterlegen.

> Gruß,
> Bernhard
Gruß
Peter



Mehr Informationen über die Mailingliste Gpg4win-users-de