In der für Herbst 2020 geplanten Version 78 beabsichtigt Thunderbird OpenPGP zu integrieren und neben S/MIME direkt zu unterstützen. Das bisher obligatorische Addon Enigmail soll damit überflüssig werden. Wie genau die Implementierung aussehen wird ist noch nicht ganz klar, aber es soll sich optisch von Enigmail unterscheiden.
Bei der Nachricht muss ich erstmal einen Blick auf das aktuelle Datum werfen, aber tatsächlich, im Jahr 2019 kommt man endlich auf die Idee PGP direkt zu unterstützen. Der Hintergrund liegt in den technischen Veränderungen von Thunderbird, das sich demnächst – ähnlich wie Firefox vor einiger Zeit – von den alten Addon-Strukturen verabschieden wird. Damit ist das klassische Enigmail nicht länger kompatibel und müsste komplett neu geschrieben werden. Die erforderlichen Kapazitäten kann der bisherige Entwickler nicht aufbringen. So viel übrigens zum Prinzip freier Software und der Idee jeder könne sich beteiligen. Der Bus-Faktor vieler – auch sehr verbreiteter – Projekte ist erschreckend gering. Wie viel Code da wirklich durch mehr als 2-4 Augen geht, ist doch sehr fraglich.
Diese Gelegenheit nutzen die Entwickler um PGP direkt in Thunderbird zu integrieren. Wegen Lizenz-Inkompatibilitäten wird jedoch nicht GnuPG Verwendung finden, sondern eine neue Implementierung auf Grundlage des OpenPGP Standards Verwendung finden. Bei dieser Gelegenheit stellte sich mir mal wieder die Frage, ob die restriktive GPL-Lizenzierung mittel- oder langfristig zur Belastung werden können (siehe andere Überlegungen unter: Wenn Lizenzen zur Hürde werden – macOS und die GPL & Apple und die GPL – Ein absehbares Ende).
Natürlich ist die direkte Implementierung von PGP in Thunderbird erstmal schön und positiv zu bewerten. Sie kommt nur reichlich spät. Sichere E-Mail ist als Konzept so gut wie tot (siehe: Die E-Mail wird niemals sicher sein! & Reale E-Mail Verschlüsselung – Eine Persiflage) und PGP schwer angeschlagen (siehe: Kommentar: OpenPGP Keyserver – Letzte Zuckungen). Die direkte Implementierung mag ein paar verbliebene Nutzer erfreuen, aber kein erneutes Erblühen der Technologie bringen. Zumal die Implementierung anders sein und erneutes Umlernen bei den Anwendern erfordern wird. Ganz zu schweigen von der Frage, ob ambitionierte Projekte wie p=p auf diese Weise noch verbreitet werden können. Eine direkte Implementierung birgt immer auch die Gefahr von behäbigen Entwicklungszyklen.
Die direkte Unterstützung durch Thunderbird und andere Clients hätte es vor 10 Jahren gebraucht und nicht jetzt, wo die Kommunikationskanäle sich vervielfältigen und Videochat und Messenger große Teile der Kommunikation übernehmen. Mit zahllosen Anbietern, von denen viele sicherer sind als es die E-Mail jemals war und sein wird.
