Symbolbild "E-Mail"

E-Mail Verschlüsselung via OpenPGP ist transparent, Open Source, sicher, ungebrochen und vollkommen leicht zu verwenden – finden viele ihrer Anhänger. Natürlich verwenden es alle nur so wie es konzipiert ist und das System verhindert konsequente Fehlbedienung durch den Anwender.

Die meisten E-Mail Anwender – so sie nicht via Webmail ihre E-Mails abrufen – nutzen vermutlich Thunderbird. Doof nur, dass PGP bzw. GPG hier gar nicht integriert ist. Zum Glück haben zahlreiche Tutorials hier Enigmail bekannt gemacht. Das Wissen darüber kann man also halbwegs voraussetzen. Das installiert man also erst einmal aus dem Addonbereich. Im Anschluss erhält der Anwender vollkommen ungefragt p=p, wodurch sich zwar das gesamte Verfahren vereinfachen soll, was aber für den Anwender nicht sonderlich transparent funktioniert.

Mit p=p erhält der Nutzer zwar ein PGP-Zertifikat im Hintergrund aber der Handschlag mit den meisten anderen E-Mail Kommunikationspartner schlägt natürlich fehl. Enigmail kennt aktuell drei Schlüsselserver, darunter auch noch einen SKS-Server (siehe: Kommentar: OpenPGP Keyserver – Letzte Zuckungen). Letztere enthält natürlich uralte und sogar gefälschte Zertifikate für die Zieladresse. Der neue OpenPGP-Keyserver enthält aber noch fast keine Schlüssel.

Eigentlich endet hier schon das Experiment, denn mangels Zertifikat scheitert die verschlüsselte Kommunikation. Einen automatischen Abgleich von standardmäßig vorhandenen Zertifikaten wie bei jedem modernen Messenger gibt es schließlich nicht und wird sich auch mit p=p nicht flächendeckend etablieren. Einfach, weil E-Mail schließlich auch ohne Zertifikat funktioniert.

Aber vielleicht gibt es ja eine Signatur in einer älteren E-Mail oder eines der Zertifikate auf dem SKS-Keyserver ist doch echt. Mit einem kundigen Blick prüft man den langen Fingerabdruck, greift zum Telefon und ruft seinen Kommunikationspartner zur Schlüsselverifizierung an. Eigentlich braucht man nun gar keine Mail mehr schreiben, aber vielleicht soll es ja um einen Anhang gehen. Also zieht man das Prozedere weiter durch. Man muss es ja nur einmal machen. Es sei denn der Schlüssel des Gegenübers läuft ab, wird zurückgezogen oder er wechselt die E-Mail Adresse. Okay, einmal ist definitiv übertrieben. Aber man muss es nicht immer machen. Wenigstens etwas.

Also ran ans Werk. p=p meldet Privatsphärenstatus: Unsicher. Ein Klick darauf sagt „Bitte aktivieren Sie den Schutz, um die Handshake-Funktion nutzen zu können.“ Aha natürlich, gleich mal die Suchmaschine der Wahl befragen. Okay, Lösung gefunden. E-Mail abgebrochen, Einstellungen neu gesetzt, wieder von vorn. Nun sagt mir der Hinweis, dass die Nachricht sicher ist aber ich soll nochmal telefonisch überprüfen. Also erneut zum Telefonhörer gegriffen. Eventuell sollte man bei der Gelegenheit mal VoIP am Rechner einrichten. Anyway: E-Mail ist endlich raus.

Telefon klingelt. Kommunikationspartner ist dran. Die Nachrichten haben alle „p=p“ als Betreff. Das Zielsystem unterstützt kein p=p, bei dezentralen Systemen hat schließlich jeder die Freiheit eine andere Lösung zu nutzen. Geschützte Nachrichtenbetreffe kann das Programm nicht. Daher deaktiviert man die Funktion für die Zukunft. Die folgende Mail geht also mit vollkommen transparenten Metadaten und unverschlüsseltem Betreff, der die E-Mail zusammen fasst, raus.

PGP ist logisch, selbsterklärend und ganz trivial. Behaupten machen. Vor allem solche, die noch nie eine moderne Kommunikationslösung mit Verschlüsselung und weitergehendem Schutz der Metadaten verwendet haben.


Bilder:

Einleitungs- und Beitragsbild von mohamed Hassan via Pixabay 

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein