Ende des Emailspams und der Fakeaccounts mit DID

Servus,

hältst Du es für denkbar, dass mit DID (Digitale Identität) endlich nach all den Jahrzehnten der nervigen Spamerei mit DID endlich einen Lösungsansatz gibt Emails a) verifiziert und b) verschlüsselt zu übertragen und alles andere wegzuwerfen? Meine Emailadresse ist nach 20 Jahren sooo verbrannt, dass sich immer wieder Fremde damit versuchen bei irgendwelchen Portalen anzumelden.
Jeder kann mal seine persönliche Emailadresse auf dieser Seite checken:
https://haveibeenpwned.com/

DID + Healthcare oder Zero-KYC schön und gut. Aber das(!) wäre definitiv die(!) Killerapplikation von DID. In 5 Jahren würde sich jeder nur noch mit Schaudern an die Zeiten, in denen es Spam gab, zurückerinnern. Weniger Virenschleuder, weniger Betrug, mehr sinnvolle Mails. Sogar das Opt-In-Opt-Out-Zeug würde auf Anbieterseite entfallen, weil es der Kunde selbst in der Hand hätte, wem er vertraut und wem nicht. … naja man darf ja noch träumen …

Liebe Grüße

EDIT nach Video:
a) DID = Digitale Identität (https://blog.iota.org/the-first-step-towards-a-unified-identity-protocol-7dc3988c8b0e)
b) Ich möchte, dass Emails (allgemeiner: Nachrichten zwischen 2 Entitäten) mit einer DID unterschrieben werden müssen, nach dem Motto: ich sage nicht nur, dass FirmaXY bin, die noch eine unbezahlte Rechnung einfordert, ich beweise es Dir auch mit einer Unterschrift.

https://www.openpgp.org/software/ ?

Also Emails verifiziert (mit Signatur) und verschlüsselt zu übertragen funktioniert doch jetzt schon problemlos mit PGP wie GermanCryptoGuy schon erwähnt hat.
Metadaten wie Betreff, Absender und Empfänger werden nicht verschlüsselt, da es technisch nicht möglich ist.

Bei DID geht es ja so wie ich es bisher verstanden habe hauptsächlich um personenbezogene Daten. Nehmen wir mal die Passnummer vom Personalausweis. Hier nimmt der Staat die Rolle des „Root of Trust“ ein und du kannst deine Identität jederzeit mit deinem Privatekey verifizieren. Das Unternehmen lagert dann in der Datenbank nur deinen PublicKey, der aber keine vertrauenswürdigen Daten enthält. Natürlich viel besser als wenn die Scans der Personalausweise aller Kunden auf dem Server liegen.

So wie ich es rausgelesen habe meintest du aber wahrscheinlich, dass du mit DID Emails verschicken/empfangen kannst, ohne dass die andere Seite deine Email Adresse kennt und abspeichert aber trotzdem weiß, dass du es bist?

Deinen Absender kannst du z.B. mit Remailern verschleiern, sodass du anonym Emails verschicken kannst. Eine E-Mail ohne Kenntnis der Empfänger Adresse zu verschicken wird aber schwer^^

Vielleicht kannst du ja einen Link posten zu dem Konzept was du meinst.

Video Antwort

Hi,

um es normal runterzubrechen: ich will einfach nur unterschriebene Emails. Klar ist das mit PGP möglich. Aber bisher nutzt das keine Firma kaum Privatpersonen. Aber wenn digitale Identitäten sowieso im Alltag landen, kann man damit auch seine Emails unterschreiben als Privatperson oder Firma. Spamer wollen annonym ihrem Müll in die Welt blasen. Wenn sie dabei aber ihre Indentität preisgeben müssen, gibt es einfach diesen Vektor nicht mehr. End of Spam. FirmenGründungen dauern etwas. Privatpersonen müssen immer erst geboren werden. Also Wenn man Mails von einer DID sperrt ist sie forever gesperrt.
Es gibt auch nicht die Möglichkeit die Absendeemailadresse deinbesterfreund@web.de anzugeben. Wenn Du nicht unterschreibst wird sie weggeworfen.
Das ganze kann man auf jede Nachricht anwenden. Telegramgruppen, Nachrichten im Tangle, Posts auf Webseiten. Ohne Unterschrift mit einer DID keine Glaubwürdigkeit.

Liebe Grüße

PS: Roman, ja hatte überlegt zu DID auf iota.org / medium zu verlinken. Aber für mich war es einfach zu offentsichtlich, weil es in den letzen 2-3 Wochen so oft darum ging. Werde mich dahingehend bessern

In einer idealen Welt: Tolle Idee.

In unserer Welt: Keine so gute Idee.

Du bräuchtest eine zentrale Stelle (Staat?), die die EMail-Adressen ausgibt bzw. EMail-Adresse und Person miteinander verknüpft.

Wollen wir das? Ich glaube nicht.

Zudem wäre dies für alle Personen verpflichtend, die eine EMail-Adresse wollen und zwar weltweit.

Die DE-Mail war (nach meinem Empfinden) ein riesiger Flop. Das Projekt jetzt auch noch verpflichtend für alle und weltweit umsetzen? Unmöglich.

DE.Mail ist scheiße. Weiß ich.

Du wirst geboren. Du hast eine Geburtsurkunde. Du hast eine DID - jetzt schon. Nur mit dieser kannst du nichts machen. Die Kryptographie dahinter ist Müll und es gibt nicht mal Zertifikate auf dem Ausweis.
Mit einer ordentlichen DID kannst du ganz normal zeigen, dass diese oder jede Nachricht wirklich von mir kommt. Im öffentlichen Bereich will man das def. Was wir als Firma für einen Dreck bekommen, wo im schlimmsten Fall Mitarbeiter draufklicken und ich das dann wieder alles aufräumen muss, das passt auf keine Kuhhaut.
Auch im privaten willst Du nicht von irgendwem zugekackt werden, der sich als eine Dir bekannte Person ausgibt.

Und ja genau das will ich. Standardeinstellung für Nachrichten ohne DID: verwerfen. Optional: DID freier Ordner. Wo ist bitte schön der Unterschied zu heute? gmx, web.de und gmail lesen jede Email mit. Oder wann hast Du das letzte Mal eine verschlüsselte Email an Orion-Versand geschickt? Oder welche Registierungsmail von Seite XY kam bei die jemals verschlüsselt an?
Mit einer DID kanns du immer sehen und vertrauen und beweisen, dass die „Wir haben ihr Paypalkonto gesperrt, bitte klicken Sie auf diesen Link um ihn zu entsperren.“ Emails auch von Paypal kommen.

DID lässt sich auch easy ins Emailprotokoll einfügen: einfach eine weitere Headerzeile, genauso wie fürs Spamrating jetzt. Da macht man einen Pull-Request bei Thunderbird und anderen offen Projekten, dann baute Microsoft irgendwas eigenes inkomapbiles. Nach 5 Jahren kannes dann Outlook auch. Ende.

gmx, gmail, web.de, … verlieren ja nichts dabei. Die Mails sind noch immer unverschlüsselt. Aber sie gewinnen Kapazität, können Kosten senken, weill 99% Müllmails wegfallen. Der IT-Aufwand, technisch wie personell) fürs Erkennen von Spam ist horrend. Wenn DID da ist, wirds benutzt werden, um wieder der Herkunft von Nachrichten vertrauen zu können. Richard Heart (Herr Schueler) hätte es damit nie zu Vermögen bringen können.

Das klingt ja alles sehr schön, ist aber (leider) nicht umsetzbar.

Dass in 2020 die Leute ihre EMails immer noch unverschlüsselt verschicken, ist schon unverständlich. Aber wenn man dann jemanden fragt, wieso er kein PGP nutzt, kommt als Argument „Ich hab’ ja nichts zu verbergen.“

Grundsätzlich bin ich da auf Deiner Seite. Hab’ heute wieder eine EMail von Strato bekommen, dass meine Domain gesperrt sei, weil ich angeblich nicht bezahlt habe.
Bewegt man die Maus auf den Link, steht da natürlich nicht „strato.de“, sondern irgendeine IP-Adresse. Auffälliger geht’s nicht.

Also ja…kein Spam/Scam mehr wäre super, aber der erforderliche Aufwand wäre gigantisch und zudem wären die „Nebenwirkungen“ katastrophal.

Bspw. Facebook. Willst Du, dass Facebook weiß, wer Du wirklich bist? Eigentlich eine dumme Frage, denn ich gehe stark davon aus, dass Du Facebook nicht nutzt…aber Du verstehst, worauf ich hinaus will?

So ein klein wenig Anonymität im Internet ist schon ganz sinnig. Zum Beispiel auch für Whistleblower.

Pornhub würde vermutlich auch schließen müssen, weil niemand mehr mit seiner EMail-Adresse einen Premium-Account kaufen würde.

Man müsste klein anfangen: EMail-Programme sollten PGP automatisch aktivieren und bei Händlern usw. kann man optional bei der Registrierung seinen Key hinterlegen.
Aber denen ist der Aufwand dafür zu hoch bzw. es interessiert sie nicht. Oder es scheitert einfach daran, dass die Shop-Software das nicht macht und der Händler niemanden kennt, der sowas implementieren kann.

Na ja, wenn Du es für eine gute Idee hälst, schreib’ alle aus Deinem Adressbuch an.

Schick’ ihnen Deinen PGP-Key mit dem Hinweis, dass Du in Zukunft nur noch EMails akzeptierst, die verschlüsselt/authentifiziert sind.

Ich vermute, dass Dir > 95% nie wieder schreiben werden oder Dich in einer unverschlüsselten EMail fragen, was der Unsinn soll.

Das ist so ähnlich wie bei den Kryptowährungen: Solange die Leute keinen Grund sehen, interessiert es sie nicht. Erst wenn’s richtig kracht, wachen sie auf. Aber so ein paar SPAM-EMails reichen da vermutlich nicht aus.

bitte nicht.

Wenn es jemanden reicht, dass deine Oma oder dein Nachbar deine Identität bestätigt, wirds schon auch passen

Du würdest also Deine Wohnung an jemanden untervermieten, der keinen Ausweis vorlegen will? Bin ich mal gespannt, wie Du dann bei der Polizei erklären willst, dass alles aus Deiner Wohnug gestohlen wurde, während Du nur kurz 8h an der Arbeit warst …

Es würde jeder bereits eine DID haben. Einen PGP-Key der lediglich bestätigt, dass Du irgendwann mal eine Email angelegt hast, muss sich erst jemand besorgen und bringt nur wenig extra Vertrauen. Eine DID muss den Status eines Ausweises oder eines Handelsregistereintrages haben können. Darunter ist sie nichts wert. Erst dann kann jede Firma darauf bestehen, dass man ohne eine DID nicht mehr bestellen kann. Quasi ein Ledger Nano für Identity.

Und nochmal: Es geht um eine optionale Ablehnung, die aber standardmäßig eingeschaltet ist. Wenn eine Redaktion Pfeifenbläsern ein Postfach anbietet, um Dokumente zu schicken, dann ist dieses Postfach eben nicht ablehnend eingestellt. Ob ich aber dann nicht lieber dezentrale Netzwerke für die Kommunitkation lieber nutzen möchte, wäre vielleicht der bessere Move an dieser Stelle. Oder Kontaktformulare, die ich über Tor nutzen kann.
99,99% der Nutzer hätten etwas davon. Alle anderen müssen diese Funktion ja nicht nutzen.

Pornhub ist es egal, womit man bezahlt oder wie man sich authentifiziert. Außerdem ist eine DID dafür da private Daten eben nicht preisgeben zu müssen. Man kann sogar DIDs selbst erstellen, die dann halt genauso viel Aussagen wie „ich habe eine Emailadresse“, also null Vertrauensbasis. Im Gegensatz zum Emailpostfach, wo ich schon gerne nur reale Personen und Firmen hätte, ist das hier egal. Man will nur Geld für etwas bezahlen.
Ich hätte kein Problem damit meine Adresse bei Pornhub anzugeben. Wenn Du halt Bedenken hast, was Dein Nachbarn oder Partner über Deine Phantasien denken, bist Du leider in uncooler Gesellschaft oder in einer uncoolen Gesellschaft.

Ich verstehe nicht, was daran nicht zu verstehen ist. Wärt Ihr aus meiner Gegend (um Erfurt) könnte man sich auf einen Kasten treffen und das klären. So kann ich einfach nichts weiter tun. Ich finde wohl nicht die richtigen Worte … dabei ist es so simpel.

… bin raus aus der Diskussion …

Warum? Ich bin doch auf Deiner Seite?!

Allerdings versuche ich Dir seit einigen Beiträgen zu vermitteln, dass es leider an der Umsetzung und am Willen der Leute scheitern würde.

OpenPGP gibt es jetzt seit heute in der Finalen Version in Thunderbird 78.

Donwload: https://archive.mozilla.org/pub/thunderbird/releases/78.0/

P.S.: Thunderbird 78 besitzt nun auch den gleichen Unterbau wie jetzt mit Firefox 78.
Das bedeutet, wenn ihr Addons nutzt. Aufpassen ob sie schon kompatibel sind.
Ein Auto-Update von 68.x auf 78 gibt es voraussichtlich erst mit der Version 78.2 im Herbst, weil die OpenPGP-Integration noch nicht abgeschlossen ist, Enigmail aber nicht mehr mit dem 78.x-Zweig funktioniert.