Kommentar: Vergesst die E-Mail Verschlüsselung

Die E-Mail Verschlüsselung hat mannigfaltige Probleme, trotzdem glauben immer noch manche ihr zum Durchbruch verhelfen zu können. Dabei ist die E-Mail Verschlüsselung funktional veraltet, unsicher und nicht zielführend. Sie hat kaum Verbreitung und erfüllt keinen sinnvollen Zweck. Vergesst sie einfach.

Die E-Mail Verschlüsselung besteht ja im Grunde genommen aus verschiedenen Methoden zur Verschlüsselung der Mail-Inhalte. Denn S/MIME und PGP/GPG koexistieren seit Jahrzehnten nebeneinander. Selbst das ist schon eine Vereinfachung, da bei OpenPGP unterschiedliche Methoden wie PGP/INLINE und PGP/MIME existieren. S/MIME und PGP sind nicht kompatibel, weshalb Anwender beide Verfahren unterstützen müssen.

Hinzu kommen strukturelle Probleme. Bei S/MIME gibt es inzwischen einen eklatanten Mangel an vertrauenswürdigen und kostenlosen/kostengünstigen Zertifizierungsstellen, wodurch die Zertifikatsketten nur noch wenig Vertrauen genießen (siehe: S/MIME – Eine Verschlüsselungsoption weniger). Bei PGP ist hingegen das “Web of Trust” zusammen gebrochen (siehe: Kommentar: OpenPGP Keyserver – Letzte Zuckungen).

Die E-Mail Verschlüsselung – sowohl S/MIME, als auch PGP – ist zudem mannigfaltigen Limitationen unterworfen. Metadaten lassen sich grundsätzlich nicht verschlüsseln. Wer, wann wo und mit wem kommunizierte, sowie der Betreff liegen grundsätzlich offen. Es lässt sich von außen zudem erkennen ob eine E-Mail verschlüsselt wurde. Verschlüsselte Nachrichten fallen in den Massen unverschlüsselter Korrespondenz somit auf.

Weil Verschlüsselung im E-Mail Standard nicht vorgesehen ist, benötigt man einen kompatiblen Client dafür. Nicht jeder Client unterstützt jede Form der Verschlüsselung. Die verbreiteten Webclients kann man eigentlich nicht für sichere Verschlüsselung nutzen, PGP wird von Haus aus –  und das auch erst seit kurzem – nur von Thunderbird unterstützt. Der Anwender benötigt somit erstmal überhaupt die Bereitschaft ein Programm zu nutzen und dann auch noch einen kompatiblen Client.

Diese Auslagerung bietet dem Anwender mannigfaltige Möglichkeiten Fehler zu machen. Ausversehen nicht auf verschlüsseln geklickt, die Feinheiten der Zertifikatskette nicht verstanden oder auch nur einer simplen optischen Fälschung aufgesessen (siehe: OpenPGP Signaturen lassen sich fälschen) und der Schutz ist dahin.

Den ganzen Aufwand um einen Inhalt von zweifelhaftem Wert zu schützen. Denn die Metadaten liegen ja eh offen. Im Zweifelsfall wird als ein Inhaltstext wie “Siehe Anhang” verschlüsselt. Das relevante an vielen E-Mails ist doch eh der Anhang und der lässt sich mit einer plattformübergreifenden Lösung wie Veracrypt (siehe: VeraCrypt – Systemübergreifende Verschlüsselung) oder einer simplen passwortgeschützten ZIP-Datei sichern.

Wenn ein heute erfundenes System diese beschriebenen Mängel hätte, würde die Krypto-Community das Konzept zerreißen – sofern sie ihm überhaupt Aufmerksamkeit schenken würde.

Vergesst die E-Mail Verschlüsselung! Kaum jemand nutzt sie, kaum jemand hat sie jetzt genutzt und sie erfüllt keinen sinnvollen Zweck.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel