StartseiteCipherbrain

Zwei neue Produkte wollen E-Mail-Verschlüsselung zum Kinderspiel machen

Von / 4. Juli 2016 / 13 Kommentare
Mehr

E-Mail-Verschlüsselung wird selten genutzt. Den meisten Anwendern ist der Umgang mit PGP und Co. viel zu umständlich. Zwei konkurrierende Lösungen mit den bezeichnenden Namen “Volksverschlüsselung” und “Pretty Easy Privacy” wollen das ändern.

Über den Sinn und Unsinn von E-Mail-Verschlüsselung habe ich schon öfters gebloggt und Vorträge gehalten. Unbestritten handelt es sich um ein wichtiges Thema – schließlich lesen die NSA und andere Geheimdienste gerne mit. Unbestritten ist jedoch auch, dass E-Mail-Verschlüsselung in der Praxis ziemlich kompliziert ist. Und deshalb macht es keiner.

Dem unbedarften Anwender wird einiges zugemutet, wenn er ein E-Mail-Verschlüsselungsprogramm einsetzen will. Er muss ein Verständnis für digitale Zertifikate, öffentliche Schlüssel und ähnliche Dinge haben. Er muss sich mit zwei inkompatiblen Formaten (PGP und S/MIME) herumschlagen. Er muss Produkte nutzen, die oft noch immer nicht ausgereift sind. Wenn es auf dem PC endlich funktioniert, muss er die Sache noch auf dem Smartphone und dem Tablet zum Laufen bringen. Ist auch das erledigt, müssen seine Kommunikationspartner erst einmal das gleiche tun.

Nicht umsonst hat der Kryptologe Bruce Schneier E-Mail letztes Jahr als “fundamentally unsecurable” bezeichnet.

Schneier-Mail-Unseccurable

Zwei Lösungen auf einmal

Wenn E-Mail-Verschlüsselung überhaupt halbwegs funktionieren soll, benötigen wir eine Lösung, die so benutzerfreundlich wie möglich ist. Sie muss auf allen gängigen Betriebssystemen gleichermaßen lauffähig sein, mit PGP und S/MIME gleichermaßen zurecht kommen und obendrein eine maximal verständliche Benutzeroberfläche bieten.

Von so einer Lösung können wir bisher nur träumen.

Aber immerhin: Es gibt zwei (voneinander unabhängige) Projekte, die genau so etwas schaffen wollen. Sie heißen Volksverschlüsselung und Pretty Easy Privacy (PEP). Wie es der Zufall will, haben beide Anbieter nun fast zeitgleich ihre erste Software auf den Markt gebracht.

Letzte Woche erschien die erste Version der Volksverschlüsselung. Sie stammt vom Fraunhofer-Institut für sichere Informationstechnologie (SIT) und nutzt das S/MIME-Format. Bisher können nur Windows-Anwender das Produkt nutzen, und zwar für Outlook und Thunderbird. Die digitalen Zertifikate kommen vom Trust Center der Deutschen Telekom.

Über die Veröffentlichung der PEP-Software hat Heise Security heute berichtet. Dieses Programm ist also brandneu. Anscheinend gibt es das Produkt für Outlook und für Android. Es unterstützt PGP, kann aber auch mit S/MIME umgehen.

 

Es gibt noch viel zu tun

Die Idee, E-Mail-Verschlüsselung möglichst einfach zu machen, ist zweifellos gut und wichtig. Sowohl die Volksverschlüsselung als auch PEP haben jedoch noch einen weiten Weg vor sich. Wie benutzerfreundlich sie sind, muss sich erst einmal zeigen. Außerdem ist das Portfolio der bisher unterstützten Betriebssysteme und E-Mail-Clients ohne Zweifel noch ausbaufähig.

Aber immerhin, es tut sich etwas. Falls jemand Erfahrungen mit einem dieser Produkte gemacht hat, würde ich mich über einen Kommentar freuen.

Zum Weiterlesen: Telefongespräche abhören, E-Mails mitlesen: So funktioniert’s

Stichworte: ,
Mehr

Kommentare (13)

  1. #1 Leser
    4. Juli 2016

    Der derzeitige Zustand stammt aus der Zeit der Einwahlmodems. Man geht Online holt die Mails und geht Offline. Bezahlt wird nach Minuten Onlinezeit.
    Heute sollte die Fritzbox, zBspl. immer Online, die Mails entgegennehmen und einfach eine Verschlüsselung einfordern. TLS bis nach hause.
    Aber das ist noch ein weiter Weg.
    Wer einen eigenen Server, Domain und fester IP Adresse hat kann es machen. Man lässt einfach keine unverschlüsselte Verbindung zu. Wenn der Mail-Client kein TLS kann gibt es keine E-Mail, fertig.

  2. #2 Timo K.
    4. Juli 2016

    Hier wird die VV ziemlich in Frage gestellt.

    https://www.msxfaq.de/signcrypt/volksverschluesselung_de.htm

  3. #3 Erik
    4. Juli 2016

    @Leser:
    Dass jeder seinen eigenen Mailserver betreibt, halte ich für noch unrealistischer, als dass jeder PGP oder S/MIME verwendet. Und so lange das nicht der Fall ist, ist Transportverschlüsselung nur die halbe Miete und bietet nicht denselben Schutz wie Ende-zu-Ende Verschlüsselung.

  4. #4 fherb
    5. Juli 2016

    Das wird auch diesmal nichts. Zumindest mit der Volksverschlüsselung: Wenn Frauenhofer und (vor allem) Telekom denken, dass sie die Welt verändern werden, haben sie jegliche Vernunft hinter sich gelassen. Keine Region (Telekom-Einzugsbereich) allein kann das umsetzen. Es gehört ein überregionaler Ansatz dazu. Und der ist nur im Bunde mit nahezu allen, zumindest den bedeutendsten Mailclientproduzenten schaffbar.

    Und ideal wäre, wenn dabei auch gleich die Netzwerkstruktur verändert würde. Weg von Mailprovidern hin zu P2P-Netzen. Vergleichbar mit BitTorrent, Yacy… Kommunikationstransfer gehört nicht mehr in die Hand weniger Provider. Es ist allein schon technisch gar nicht mehr erforderlich, dieses Konzept aus der Anfangszeit aufrecht zu erhalten. Wenn nur nicht die so total lebenswichtige Terrorismusbekämpfung wäre…

  5. #5 Alexander Schlarb
    5. Juli 2016

    Habe vor ein paar Tagen die PEP Preview für Android zugeschickt bekommen und gleich ausprobiert: Es handelt sich um eine gemoddete K-9 mail Version, die bei der Einrichtung gleich automatisch “Privatsphäre generiert” (also ein paar Minuten rumrödelt während der PGP-Key generiert wird) und sich dann wie eine normale E-Mail-App bedient.
    Verschlüsselung bei PEP ist opportunistisch: Die erste Mail geht, sofern man während des Erstellens der Mail nicht explizit etwas anders auswählt, unverschlüsselt (aber signiert) raus.
    Besser geht es wohl halt nicht und grundsätzlich hat Bruce Schneier recht wenn er sagt dass E-Mail-Sicherheit irgendwie unmöglich ist; zwar ist PGP & Co besser als nichts, aber viele Sachen kann man einfach mit SMTP nicht mehr in den Griff bekommen: Zuverlässige Transportverschlüsselung bei S2S-Kommunikation, Verschlüsseln der Kopfzeilen (Zustellungsweg, Betreff, …), Verschleiern von Metadaten, … Aber man nimmt was man kriegen kann.

    Falls du interesse hast Klaus, kann ich dir die Zugangsdaten für die Preview-Version geben: Die ist explizit auch für Freunde & Familie gedacht und ich glaube das können wir in diesen Fall ein bisschen ausdehnen. 😉

    LG

    • #6 Klaus Schmeh
      18. Juli 2016

      >Falls du interesse hast Klaus, kann ich dir die Zugangsdaten für die
      >Preview-Version geben: Die ist explizit auch für Freunde & Familie
      >gedacht und ich glaube das können wir in diesen Fall ein bisschen ausdehnen.
      Danke für das Angebot. Ist inzwischen nicht mehr notwendig, da der Hersteller von PEP mit mir Kontakt aufgenommen und mir die Software angeboten hat. Ich werde mir PEP auf jeden Fall mal anschauen.

  6. #7 Joe
    Berlin
    5. Juli 2016

    Bei Heise-Verlag wird die VV mehr als in Frage gestellt:

    “Es gibt Bedenken wegen der nicht ganz so offenen Lizenzen und der Einschränkung der Nutzung des Volksschlüssels im privaten Umfeld – für das geschäftliche gibt es bekanntermaßen die De-Mail mitsamt dem Verschlüsselungsangebot von Mailvelope.”

  7. #8 Klaus Schmeh
    5. Juli 2016

    Stefan Fendt über Google+:
    Abgesehen vom absolut grenzwertigen Namen des Telekom-, bzw. Fraunhofer-Produktes, fehlt Vertrauen in auch nur einen(!) der Beteiligten.
    See rant here:
    https://plus.google.com/u/0/+StefanFendt/posts/Bq8d6ePtnzX
    Zu PeP bin ich bislang noch meinungsfrei…

  8. #9 Klaus Schmeh
    5. Juli 2016

    Heinrich C. Kuhn über Google+:
    Für bis dahin: sollte man m.E. Produkte wie +ProtonMail​ nicht völlig außer acht lassen.
    https://plus.google.com/+protonmail/posts

  9. #10 eyeBolla
    6. Juli 2016

    Es ist wirklich nicht kompliziert, S/MIME einzurichten. In Firmen sollte das längst Standard sein, ist es aber nicht. Viele Schweizer Behörden haben jedoch bereits digitale Signaturen, was Vollverschlüsselung ermöglicht.
    Auf dem Mac ist das einrichten von S/MIME eine Sache von 5 Minuten: Z.B Auf StartSSL einen Account erstellen, die Mailadresse bestätigen, das Zertifikat herunterladen und öffnen, fertig. Mails werden nun automatisch Signiert und bei Bedarf verschlüsselt. Das Zertifikat kann dan such suf Handy übertragen werden. Unter Windows / Outlook braucht es etwas mehr Klicks, klappt aber auch problemlos.
    Meine Idee wäre, dass die Schweizer Identitätskarte eine SwissID enthält. Dann wäre nämlich auch das rechtsverbindliche Unterschreiben am PC für jeden Bürger einfach möglich und: Endlich das Papierlose Zeitalter angekommen.

  10. #11 eizo
    6. Juli 2016

    verschlüsselt schon ganz lange per pgp. funktioniert bestens 🙂

  11. #12 Volker Birk
    https://pep.foundation
    16. Juli 2016

    Hallo, Klaus,

    tatsächlich lese ich Dein Blog 😉 Hab aber diesen Artikel erst spät gesehen – ich bin die Tage kaum mehr dazu gekommen allzuviel zu lesen.

    Der Grund: zusammen mit Leon Schumacher habe ich p≡p aus der Taufe gehoben, und wir hatten jetzt mit dem ersten Release alle Hände voll zu tun. p≡p for Outlook ist nämlich fertig. Daneben haben wir die Beta von K-9/p≡p vorgestellt.

    Falls Du Fragen hast, immer gerne. Ich kann Dir auch die Software zur Verfügung stellen, falls Du sie testen möchtest.

    • #13 Klaus Schmeh
      18. Juli 2016

      >Ich kann Dir auch die Software zur Verfügung stellen, falls Du sie testen möchtest.
      Ja, ich würde mir sie durchaus mal anschauen.