Sichere, plattformübergreifende Verschlüsselung

    Ich erhalte meine Blutergebnisse per Mail. Genauer gesagt handelt es sich immer um eine verschlüsselte PDF die ich nicht direkt herunterladen kann. Stattdessen muss ich in Gmail auf PDF klicken, ein 6 stelliges Passwort eingeben und erst dann kann ich die Laborergebnisse runterladen. Bisher hatte ich keine bedenken und es ist auch sehr bequem. Ganz besonders für mich da ich wegen einer Bewegungsstörung eingeschränkt bin. Heute fand ich folgendes im Netz:

    ,,Die Ergebnisse zeigen, dass die Verschlüsselung von PDF-Dokumente nicht so sicher ist, wie man bisher geglaubt hat. Die Angriffe auf verschlüsselte Dokumente seien noch schlimmer als die auf Signaturen, sagt Ising. Denn die Verschlüsselung von Dokumenten basiert ebenfalls auf dem ISO-Standard. - 31.12.2019"

    Ich frage mich, warum wird nicht gpg verwendet das auf nahezu jedem Betriebssystem geöffnet werden kann? Schließlich geht es nur mich etwas an welche Krankheiten ich habe. Wie sehrt ihr es denn ?

    Zitat von Phoenix

    Ich frage mich, warum wird nicht gpg verwendet das auf nahezu jedem Betriebssystem geöffnet werden kann? Schließlich geht es nur mich etwas an welche Krankheiten ich habe. Wie sehrt ihr es denn ?

    Das liegt vor allem daran, dass wir am Technologie-Standort Deutschland auch im Jahre 2024 noch immer das Fax-Gerät als kleinsten gemeinsamen Nenner für Ämter und Co. setzen. Ansonsten gebe ich Dir voll Recht!

    Daily Driver PC: Pop!_OS 22.04 + Win 10 Dual Boot/ Intel i7-7700K / NVIDIA GeForce GTX 1070 / 32 GB RAM / 3x 1TB Samsung SSD

    Daily Driver Laptop: Framework 13 / Ubuntu 24.04 LTS / AMD Ryzen 7 7840U / 64 GB RAM / 2TB WD NVME

    Backup Laptop: HP Elitebook x360 1030 G2 / Fedora 40 / Intel i5-7200U / Intel HD 620 / 8 GB RAM / 500 GB Samsung NVMe

    Spiele PC: MX Linux + Garuda / AMD Ryzen 7 7800X3D / Radeon RX 6750 XT / 64 GB RAM / 2TB Samsung NVME + 512 GB Kingston NVME + 250 GB Samsung SSD

    Eine aus Sicherheitsperspektive bessere Lösung wäre eine freie Downloadplattform, bei dem die beteiligten Dateien ihre öffentlichen GPG Schlüssel einchecken und für sie bestimmte Dokumente dann mit dem privaten Schlüssel entschlüsseln. Aber ich befürchte, dass wir DAS zu unseren Lebzeiten (oder die unserer Enkelkinder) nicht erleben werden.

    Daily Driver PC: Pop!_OS 22.04 + Win 10 Dual Boot/ Intel i7-7700K / NVIDIA GeForce GTX 1070 / 32 GB RAM / 3x 1TB Samsung SSD

    Daily Driver Laptop: Framework 13 / Ubuntu 24.04 LTS / AMD Ryzen 7 7840U / 64 GB RAM / 2TB WD NVME

    Backup Laptop: HP Elitebook x360 1030 G2 / Fedora 40 / Intel i5-7200U / Intel HD 620 / 8 GB RAM / 500 GB Samsung NVMe

    Spiele PC: MX Linux + Garuda / AMD Ryzen 7 7800X3D / Radeon RX 6750 XT / 64 GB RAM / 2TB Samsung NVME + 512 GB Kingston NVME + 250 GB Samsung SSD

    Meine Blutwerte bekomme ich immer per Ausdruck direkt vom Arzt oder per Post. Das wird aber sicher bei jedem anders gehandhabt.

    Bevor du mit dem Kopf durch die Wand willst, frage dich, was du im Nebenzimmer willst!

    Zitat von El Pollo Diablo

    Eine aus Sicherheitsperspektive bessere Lösung wäre eine freie Downloadplattform, bei dem die beteiligten Dateien ihre öffentlichen GPG Schlüssel einchecken und für sie bestimmte Dokumente dann mit dem privaten Schlüssel entschlüsseln. Aber ich befürchte, dass wir DAS zu unseren Lebzeiten (oder die unserer Enkelkinder) nicht erleben werden.

    Wie ich aus dem ArchWiki erfahren habe, benötigt man keine GPg-Schlüssel z.b. für die Laborergebnisse der Patienten, wenn der Arzt sie mit GPG symmetrisch verschlüsselt. Die Verschlüsselung ist dennoch um Dimensionen besser als die PDF Verschlüsselung die ich bisher erhalten habe. Wie gesagt, haben nahezu alle Betriebssysteme die Möglichkeit GPG verschlüsselte Dateien problemlos zu entschlüsseln. Selbst mit Android und K9Mail wäre es möglich. Ein User aus einem IRC_Chat hat mir gerade erzählt, dass das 6-stellige PDF-Passwort (das meistens das Geburtsdatum des Patienten ist), in nur wenigen Minuten zu knacken ist. Wirklich toll! bzw. Ekelhaft!


    GnuPG - ArchWiki

    Zitat von Helmfuss

    Meine Blutwerte bekomme ich immer per Ausdruck direkt vom Arzt oder per Post. Das wird aber sicher bei jedem anders gehandhabt.

    So werde ich es zukünftig machen, Für meinen Sohn werde ich eine Vollmacht unterschreiben, damit er u.a. Laborwerte und Rezepte erhalten kann. Alles andere ist zwecklos.

    Erst gestern habe ich durch das ArchWiki erfahren, dass eine Verschlüsselung mit GPG auch ohne einen öffentlichen und privaten Schlüssel möglich ist. Das habe ich wirklich nicht gewusst. Gestern Abend habe ich es dann nach Anleitung versucht und tatsächlich, es funktioniert. Beim Verschlüsseln muss ein Passwort eingegeben werden und beim Entschlüsseln muss dasselbe Passwort wieder eingegeben werden. Ich werde meinen 20 Jahre jüngeren Arzt mal fragen ob er sich zutraut, meine Laborwerte damit zu verschlüsseln. Mein Sohn wohnt nämlich 40 Kilometer weit weg. Klar macht er es, aber wieso so viel Benzingeld verschwenden wenn es auch so geht ? Zuvor einigt man sich auf ein Passwort und dann kann er mir die verschlüsselte Datei per Mail senden, die ich mit Linux entschlüsseln kann.

    Es kann doch nicht sein, dass wir Deutschen noch hinter Mond leben wenn es um Sicherheit geht. Selbst ein Anfänger wie ich weiß inzwischen das es auch besser geht. Seit 2019 weiß man, dass verschlüsselte PDFs keine richtige Sicherheit bieten. Aber man nutzt sie immer noch. Und dann wundert man sich, dass man gehackt wird. Unglaublich

    Sowas lässt mich nicht ruhig schlafen. Wer weiß, ob nicht schon meine Krankenakte im Netz zu finden ist. Ich bekomme hin und wieder echt seltsame SMS das meine Sendung blockiert wurde weil noch ne Gebühr von 1,99€ offen ist.

    Zitat von Phoenix

    Wer weiß, ob nicht schon meine Krankenakte im Netz zu finden ist

    Meinst du das Interessiert irgend wenn, also deine Akte? Diese Sorge sollten sich nur Menschen machen, die "noch" gesund und im Arbeitsleben stehen machen. Die Frage ist doch, wenn könnte es Interessieren. Alle, die mit deiner Krankheit zu tun haben, interessiert das nicht, höchsten eine kurze aktuelle Diagnose, tiefer guckt keiner. Für Statistiken wäre es wertvoll, aber die bekommen die nicht. Also, wer hat Interesse daran? Mir fallen da nur Banken, Versicherungen und der Arbeitsmarkt ein. Deshalb mein zweiter Satz.

    Bevor du mit dem Kopf durch die Wand willst, frage dich, was du im Nebenzimmer willst!

    Zitat von Helmfuss

    Für Statistiken wäre es wertvoll, aber die bekommen die nicht. Also, wer hat Interesse daran?

    Abseits von Spam ist seine Krankenakte vielleicht nicht so relevant. Aber vielleicht ja meine. Oder die von Helga. Oder irgend jemand anderes. Auch wenn Datenschutz für den einzelnen egal sein mag, ist es ein gesellschaftliches Interesse, das auch von allen unterstützt gehört, die sich nicht betroffen fühlen. Analogie zur Meinungsfreiheit: Vielleicht hast du heute nichts zu sagen. Vielleicht bist du heute zufrieden. Aber vielleicht möchtest du in 10 Jahren auf die Straße gehen können.

    Einmal editiert, zuletzt von vizh (19. Februar 2024 um 16:06) aus folgendem Grund: Unterstellung umformuliert.

    Zitat von Helmfuss

    Bitte keine Unterstellung!

    Auch für mich ist das sehr wichtig, meine Frage ist es ja für wenn ist es wirklich wichtig.

    OK, hab's umformuliert, sorry dafür.

    Auf die Frage: Werbetreibende. Oder noch allgemeiner: Alle die Persona erstellen. Und zwar völlig automatisiert ohne das seine Daten jemals eine Person zu Gesicht bekommen hat.

    Zitat von vizh

    Auf die Frage: Werbetreibende. Oder noch allgemeiner: Alle die Persona erstellen. Und zwar völlig automatisiert ohne das seine Daten jemals eine Person zu Gesicht bekommen hat.

    Das fürchte ich auch...

    Bevor du mit dem Kopf durch die Wand willst, frage dich, was du im Nebenzimmer willst!

    Zitat von Helmfuss

    Meinst du das Interessiert irgend wenn, also deine Akte?

    Na ob das irgend jemanden anderen noch interessiert hast Du zum Glück nicht zu entscheiden. Fakt ist @Phoenix sorgt sich um seine Daten und will nicht das andere diese zu Gesicht bekommen. Und das ist auch vollkommen richtig so. Das würde ich auch nicht wollen.

    Wenn es die elektronische Patientenakte bald gibt, warum dürfen die Pharmakonzerne da reinschauen, für Forschungszwecke usw.... na wenn das angeblich niemanden interessiert?

    PDF Verschlüsselung ist nicht wirklich sicher, da hat Phoenix vollkommen recht. Aber immerhin hat sein Arzt das schon mal verschlüsselt.
    Mein Arzt hat eine free GMX Adresse und will mir darüber immer unverschlüsselt meine Befunde schicken. Die Arzthelferinnen an der Anmeldung gucken dann immer ganz verdutzt wenn ich die Frage ob das Ihr ernst ist.

    Arch Linux | Gnome | HP ProDesk 600 G5 Mini | Raspberry Pi Zero W | OPNSense | OpenWrt | OpenPli | FOSS | Depressiv

    Zitat von Helmfuss

    Meinst du das Interessiert irgend wenn, also deine Akte? Diese Sorge sollten sich nur Menschen machen, die "noch" gesund und im Arbeitsleben stehen machen. Die Frage ist doch, wenn könnte es Interessieren. Alle, die mit deiner Krankheit zu tun haben, interessiert das nicht, höchsten eine kurze aktuelle Diagnose, tiefer guckt keiner. Für Statistiken wäre es wertvoll, aber die bekommen die nicht. Also, wer hat Interesse daran? Mir fallen da nur Banken, Versicherungen und der Arbeitsmarkt ein. Deshalb mein zweiter Satz.

    Ja stimmt, dass die meisten möglicherweise nicht besonders interessiert sind an meiner Krankenakte. Jedoch gibt es sicherlich einige, die sich durchaus dafür interessieren könnten. Gesundheitseinrichtungen oder allgemein medizinische Unternehmen könnten ein Interesse an meiner Krankenakte haben, um mir eine Behandlung zu verkaufen. Versicherungen und Strafverfolgungsbehörden könnten ein Interesse an meiner Krankenakte haben, um Risiken zu bewerten (entsprechend Versicherungstarife festzulegen), oder mir mit 70 den Führerschein abnehmen zu wollen, weil mein Blutdruck viel zu hoch ist. Schließlich könnten auch Arbeitgeber Interesse an den Gesundheitsakten ihrer Mitarbeiter haben,um die einen und underen vor die Tür zu setzen. Es gibt schon Gründe wie du siehst, dass selbst eine einfache Krankenakte nicht in falschen Hände geraten sollte.

    Zitat von Phoenix

    dass selbst eine einfache Krankenakte nicht in falschen Hände geraten sollte

    Genau das, was du schreibst, ist richtig. Die, die es interessieren sollte, werden es nicht lesen (persönliche Erfahrung) und dass es in falsche Hände gerät, ist sehr groß. Deshalb bin ich auch gegen eine digitale Krankenakte auf der Karte. Befunde und wichtige Dinge, wie bei dir Blutdruckwerte lasse ich mir immer zu schicken per Post. Der Arzt vernichtet alle Kopien und behält nur seine Digitale.

    Bevor du mit dem Kopf durch die Wand willst, frage dich, was du im Nebenzimmer willst!

    Zitat von Helmfuss

    Deshalb bin ich auch gegen eine digitale Krankenakte auf der Karte. Befunde und wichtige Dinge, wie bei dir Blutdruckwerte lasse ich mir immer zu schicken per Post. Der Arzt vernichtet alle Kopien und behält nur seine Digitale.

    Bis noch vor ein paar Jahren war ich gegen Kartenzahlung oder zahlen mit dem Smartphone. Schon wegen der Anonymität. Ich war ein leidenschaftlicher Barzahler. änderte sich als meine Bewegungsstörungen immer schlimmer wurden und ich Probleme bekam das Kleingeld aus der Geldbörse herauszusuchen. Inzwischen zahle ich fast nur noch mit dem Smartphone, fällt mir leichter. Was ich damit sagen will ist, dass das digitale Zeitalter nicht unbedingt schlecht sein muss. Man muss es einfach nur richtig machen. Die Mittel dazu haben wir ja.

    Ich glaube, wir sollten uns da nichts vormachen. GPG/PGP ist leider nicht so einfach für Otto Normalverbraucher, wie es das vielleicht für uns ist. Schaut euch die Anfängerfragen an und wie oft da Dinge vorkommen, die für uns vielleicht völlig banal und logisch sind. Und da reden wir von willigen Menschen, die sich aktiv für Linux entschieden haben und bereit sind, Hürden zu nehmen.

    Wenn du jetzt Tante Uschi oder Oma Renate mit Private Key und Public Key kommst und dass man den einen nie hergeben darf, den anderen aber muss und dass man zusätzlich ein Passwort benutzen sollte und man die Keys auch gernerien muss und man dann unter Windows auch eine extra Software installieren muss und die Keys auf jeden Fall gesichert werden müssen und man dann Backups machen muss und, und, und..

    So toll ich es von der Funktion und Sache her finde, halte ich GPG nicht für massentauglich. Ich erinnere mich noch an die "Volksverschlüsselung". Gut gemeint, aber totaler Rohrkrepierer. Und ich bin damals extra nach Darmstadt an die TU gefahren für mein Key-Signing.

    Bitte nicht falsch verstehen. Das soll keine allgemeine Kritik an GPG sein. Es ist eher die Technik dahinter, die Art wie man es einsetzen und benutzen muss und das fehlende Verständnis der Nutzer, verbunden mit einer gewissen Komplexität der Sache. Ein Passwort eingeben kann halt jeder und du musst als Anbieter irgendwie versuchen, die Sache idiotensicher und so einfach wie möglich zu machen. Und das sehe ich bei GPG aktuell nicht.

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    💾 DietPie @ Raspberry Pie 5 8GB | 💾 Unraid Homeserver i3-12100 - 32GB - 25TB | 💾 Mailcow Mailserver @ RS1000 8GB 160GB

    Zitat von Stardenver

    Ein Passwort eingeben kann halt jeder und du musst als Anbieter irgendwie versuchen, die Sache idiotensicher und so einfach wie möglich zu machen. Und das sehe ich bei GPG aktuell nicht.

    Ich hab's bis heute nicht hinbekommen GPG alltagstauglich einzusetzen. Für mich ist nichts an GPG annähernd intuitiv, das ist alles irgendwie sehr speziell und sehr nerdig. Eines der wenigen Dinge, bei denen ich wirklich aufgegeben habe. Ich kenne auch niemanden in meinem Umfeld der das im Einsatz hat und mir idiotensicher erklären kann.

    Zuletzt habe ich mich an GPG4Win versucht, weil ich im Umgang mit Windows immer noch sicherer bin als im Umgang mit Linux. Wenn ich mir allein den Screenshot auf der Startseite von GPG4Win anschaue, gruselt es mich. Unzählige Schalter für einen simplen Schlüssel den ich irgendwo ablegen, sicher verwahren und bei Bedarf einfach einsetzen können will.

    Stattdessen hat man unter Win nach der Installation von GPG4Win eine Verknüpfung zu 'Kleopatra' auf dem Desktop. Bitte was? Kleopatra!? Was zur Hölle hat die denn da zu suchen? Wo führt die hin, wenn ich drauf klicke?

    Ich versuch es gar nicht erst unter Linux, wenn das unter Windows schon so gruselig anfängt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden