Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "E-Mail"

Thunderbird integriert OpenPGP - Operation gelungen, Patient tot

In der für Herbst 2020 geplanten Version 78 beabsichtigt Thunderbird OpenPGP zu integrieren und neben S/MIME direkt zu unterstützen. Das bisher obligatorische Addon Enigmail soll damit überflüssig werden. Wie genau die Implementierung aussehen wird ist noch nicht ganz klar, aber es soll sich optisch von Enigmail unterscheiden.

Bei der Nachricht muss ich erstmal einen Blick auf das aktuelle Datum werfen, aber tatsächlich, im Jahr 2019 kommt man endlich auf die Idee PGP direkt zu unterstützen. Der Hintergrund liegt in den technischen Veränderungen von Thunderbird, das sich demnächst - ähnlich wie Firefox vor einiger Zeit - von den alten Addon-Strukturen verabschieden wird. Damit ist das klassische Enigmail nicht länger kompatibel und müsste komplett neu geschrieben werden. Die erforderlichen Kapazitäten kann der bisherige Entwickler nicht aufbringen. So viel übrigens zum Prinzip freier Software und der Idee jeder könne sich beteiligen. Der Bus-Faktor vieler - auch sehr verbreiteter - Projekte ist erschreckend gering. Wie viel Code da wirklich durch mehr als 2-4 Augen geht, ist doch sehr fraglich.

Diese Gelegenheit nutzen die Entwickler um PGP direkt in Thunderbird zu integrieren. Wegen Lizenz-Inkompatibilitäten wird jedoch nicht GnuPG Verwendung finden, sondern eine neue Implementierung auf Grundlage des OpenPGP Standards Verwendung finden. Bei dieser Gelegenheit stellte sich mir mal wieder die Frage, ob die restriktive GPL-Lizenzierung mittel- oder langfristig zur Belastung werden können (siehe andere Überlegungen unter: Wenn Lizenzen zur Hürde werden - macOS und die GPL & Apple und die GPL - Ein absehbares Ende).

Natürlich ist die direkte Implementierung von PGP in Thunderbird erstmal schön und positiv zu bewerten. Sie kommt nur reichlich spät. Sichere E-Mail ist als Konzept so gut wie tot (siehe: Die E-Mail wird niemals sicher sein! & Reale E-Mail Verschlüsselung - Eine Persiflage) und PGP schwer angeschlagen (siehe: Kommentar: OpenPGP Keyserver - Letzte Zuckungen). Die direkte Implementierung mag ein paar verbliebene Nutzer erfreuen, aber kein erneutes Erblühen der Technologie bringen. Zumal die Implementierung anders sein und erneutes Umlernen bei den Anwendern erfordern wird. Ganz zu schweigen von der Frage, ob ambitionierte Projekte wie p=p auf diese Weise noch verbreitet werden können. Eine direkte Implementierung birgt immer auch die Gefahr von behäbigen Entwicklungszyklen.

Die direkte Unterstützung durch Thunderbird und andere Clients hätte es vor 10 Jahren gebraucht und nicht jetzt, wo die Kommunikationskanäle sich vervielfältigen und Videochat und Messenger große Teile der Kommunikation übernehmen. Mit zahllosen Anbietern, von denen viele sicherer sind als es die E-Mail jemals war und sein wird.


Bilder:

Einleitungs- und Beitragsbild von ribkhan via pixaybay

"

Tags: Open Source, OpenPGP, PGP, GnuPG, Enigmail, Thunderbird

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Anonymous
Vielleicht doch lieber an https://www.privacy-handbuch.de/handbuch_32l.htm halten, bevor man PGP, S/MIME und co tot sagt.
Gerrit
Dein Link sagt gar nicht aus. Natürlich funktionieren OpenPGP und S/MIME theoretisch. Praktisch nutzt es nur niemand und der Zug hier was zu ändern ist schon lange abgefahren.
Anonymous
Gut man muß einen Unterschied machen. Private vorallem DAUs werden es nie benutzen, da ihnen das zu komplex ist. Wenn es kaum einer benutzt warum gibt es dann Anbieter wie REDDOXX, NoSpamProxy...? die müßten doch dann auch alle dicht machen.

Und zum Schlüßelserver die kompromittiert sind gibts inzwischen auch Alternativen:

*GnuPG-Schlüsselserver mit E-Mail-Verifikation
*[=https://www.heise.de/security/meldung/Neuer-OpenPGP-Keyserver-liefert-endlich-verifizierte-Schluessel-4450814.html]Neuer OpenPGP-Keyserver liefert endlich verifizierte Schlüssel

Kommt auch drauf an für was man verschlüßeln will.
*Bundesregierung verweigert Auskunft zu deutschen Geheimdiensten

Gerrit
Kaum /= keiner

In deiner Filterblase mag OpenPGP oder S/MIME eine Rolle spielen. In der Filterblase meiner Großmutter spielen auch handschriftliche Briefe noch eine wichtige Rolle.

Du verstehst worauf ich hinaus will? wink

Anonymous
Gut wie Du meinst. Sag mal einen Weg, wie ich geschäfts kritische Daten austauschen soll. Wie früher per Post oder Kurier, der ein verpackten Datenträger mitbekam. Oder soll das, wie heute bei vielen üblich, per unverschlüsselter Mail sein. Manche würden wohl auch noch Telex oder BTX benutzen, wenn das noch ginge.
In dem Bereich gehts nun mal nur so. Wenn man Glück hat gibts ein gesicherter FTPS- oder SFTP-Server, aber das ist auch nicht der normale Fall.

Gerrit
Innerhalb eines Betriebs, Abteilung bzw. bei einer etablierten, dauerhaften Zusammenarbeit sollten andere Formen des Dateiaustauchs möglich sein als E-Mails. Zumal fast alle Arbeitgeber versuchen die E-Mail Flut zu reduzieren. Wer da noch auf E-Mails setzt...

Zwischen unterschiedlichen Firmen ohne dauerhafte Geschäftsbeziehung scheitert es wieder an den Möglichkeiten zum Schlüsselaustausch bzw. zur Verifikation etc.

Faktisch dürften passwortgesicherte Anhänge und Container sehr viel häufiger als reale E-Mail Verschlüsselung sein.

Du wirfst Nebelkerzen. Natürlich wäre etablierte E-Mail Verschlüsselung toll, der Weltfrieden aber auch.

sarguid
Kann die Aussage von Gerrit bestätigen: Die Mehrzahl verwendet Verschlüsselung auf ZIP Ebene. Alles andere ist esoterisch oder wegen der Aufwände im Betrieb kaum machbar. Ich habe aus Sicherheitsgründen meine private Nextcloud übrigens bei einem Hoster laufen - einen offenen Port im privaten Firewall - und sei es auch nur für den Webserver - öffnet das Tor schon um auf das gesamte Netz zuzugreifen.

5000 Buchstaben übrig


  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1