Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild

Reale E-Mail Verschlüsselung - Eine Persiflage

E-Mail Verschlüsselung via OpenPGP ist transparent, Open Source, sicher, ungebrochen und vollkommen leicht zu verwenden - finden viele ihrer Anhänger. Natürlich verwenden es alle nur so wie es konzipiert ist und das System verhindert konsequente Fehlbedienung durch den Anwender.

Die meisten E-Mail Anwender - so sie nicht via Webmail ihre E-Mails abrufen - nutzen vermutlich Thunderbird. Doof nur, dass PGP bzw. GPG hier gar nicht integriert ist. Zum Glück haben zahlreiche Tutorials hier Enigmail bekannt gemacht. Das Wissen darüber kann man also halbwegs voraussetzen. Das installiert man also erst einmal aus dem Addonbereich. Im Anschluss erhält der Anwender vollkommen ungefragt p=p, wodurch sich zwar das gesamte Verfahren vereinfachen soll, was aber für den Anwender nicht sonderlich transparent funktioniert.

Mit p=p erhält der Nutzer zwar ein PGP-Zertifikat im Hintergrund aber der Handschlag mit den meisten anderen E-Mail Kommunikationspartner schlägt natürlich fehl. Enigmail kennt aktuell drei Schlüsselserver, darunter auch noch einen SKS-Server (siehe: Kommentar: OpenPGP Keyserver - Letzte Zuckungen). Letztere enthält natürlich uralte und sogar gefälschte Zertifikate für die Zieladresse. Der neue OpenPGP-Keyserver enthält aber noch fast keine Schlüssel.

Eigentlich endet hier schon das Experiment, denn mangels Zertifikat scheitert die verschlüsselte Kommunikation. Einen automatischen Abgleich von standardmäßig vorhandenen Zertifikaten wie bei jedem modernen Messenger gibt es schließlich nicht und wird sich auch mit p=p nicht flächendeckend etablieren. Einfach, weil E-Mail schließlich auch ohne Zertifikat funktioniert.

Aber vielleicht gibt es ja eine Signatur in einer älteren E-Mail oder eines der Zertifikate auf dem SKS-Keyserver ist doch echt. Mit einem kundigen Blick prüft man den langen Fingerabdruck, greift zum Telefon und ruft seinen Kommunikationspartner zur Schlüsselverifizierung an. Eigentlich braucht man nun gar keine Mail mehr schreiben, aber vielleicht soll es ja um einen Anhang gehen. Also zieht man das Prozedere weiter durch. Man muss es ja nur einmal machen. Es sei denn der Schlüssel des Gegenübers läuft ab, wird zurückgezogen oder er wechselt die E-Mail Adresse. Okay, einmal ist definitiv übertrieben. Aber man muss es nicht immer machen. Wenigstens etwas.

Also ran ans Werk. p=p meldet Privatsphärenstatus: Unsicher. Ein Klick darauf sagt "Bitte aktivieren Sie den Schutz, um die Handshake-Funktion nutzen zu können." Aha natürlich, gleich mal die Suchmaschine der Wahl befragen. Okay, Lösung gefunden. E-Mail abgebrochen, Einstellungen neu gesetzt, wieder von vorn. Nun sagt mir der Hinweis, dass die Nachricht sicher ist aber ich soll nochmal telefonisch überprüfen. Also erneut zum Telefonhörer gegriffen. Eventuell sollte man bei der Gelegenheit mal VoIP am Rechner einrichten. Anyway: E-Mail ist endlich raus.

Telefon klingelt. Kommunikationspartner ist dran. Die Nachrichten haben alle "p=p" als Betreff. Das Zielsystem unterstützt kein p=p, bei dezentralen Systemen hat schließlich jeder die Freiheit eine andere Lösung zu nutzen. Geschützte Nachrichtenbetreffe kann das Programm nicht. Daher deaktiviert man die Funktion für die Zukunft. Die folgende Mail geht also mit vollkommen transparenten Metadaten und unverschlüsseltem Betreff, der die E-Mail zusammen fasst, raus.

PGP ist logisch, selbsterklärend und ganz trivial. Behaupten machen. Vor allem solche, die noch nie eine moderne Kommunikationslösung mit Verschlüsselung und weitergehendem Schutz der Metadaten verwendet haben.


Bilder:

Einleitungs- und Beitragsbild von Free To Use Sounds via Unsplash

Tags: E-Mail, Verschlüsselung, OpenPGP, PGP, GnuPG, GPG

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

gelgameg
p≡p is ne totgeburt. ich hatte 2014 auf den datenspuren das erste mal davon gehört. das klang an sich alles recht plausibel, wobei deutlich wurde dass da techniker am werk sind und techniker sind nich die kompetentesten wenns um user friendliness geht. gleichwohl war damals das angesagte ziel (in einem jahr ne funktionierende lösung zu haben) hinreichend ambitioniert. der speaker/founder war da offenbar stark wegen snowden motiviert aber sie haben es halt in 5 jahren dann auch nich geschafft ne einfache(!) GUI zu entwickeln die jeder benutzen will. die verbreitung GnuPGs scheitert ausschließlich an dem einen problem, dass niemand in der lage is den gesamten prozess mit einer derart intuitiven GUI auszugestalten dass die shice auch meine mutti benutzen kann. long story short: wenns komplizierter wird als whatsapp isses fürn ofen.
Markus
Die Blogsuche spukte nichts über Delta Chat aus. Wirf doch mal darauf einen Blick. Der letzte Schrei was massentaugliche PGP Mailverschlüsselung angeht, selbst Mutti hat das Setup selbst erledigt.

p=p ist keine Rede wert.


(bitte schalter den Tooltip zum Captcha ab, er verdeckt das Captcha. Extrem nervig. Android 7 - webview browser)

Gerrit
Zitat :
(bitte schalter den Tooltip zum Captcha ab, er verdeckt das Captcha. Extrem nervig. Android 7 - webview browser)

Ich verstehe leider nicht so richtig was du meinst. Schick mir doch bitte einen Screenshot an die E-Mail Adresse im Impressum. Danke! :-)

Daniel
Ich finde GPG super. Ich habe ca. 10 Kontakte, die GPG für Mails installiert haben. Und da das meine häufigsten Kontakte sind (einige Familie), läuft etwa die Hälfte des Mailverkehrs verschlüsselt. Das WoT benutze ich nicht, die paar Schlüssel kann man von Hand prüfen. Da es das einzig sinnvolle für Mails ist, weiß ich auch nicht warum es so schlecht geredet wird.

Klar, so benutzerfreundlich wie Whatsapp ist es nicht, aber es ist auch 1. Mail (anderer Zweck) 2. sicherer. Für Chats funktioniert OMEMO übrigens auch super.

Unter dem Strich verstehe ich, wenn Leute es sich nicht einrichten wollen, weil ihnen Privatsphäre nicht so wichtig ist im Vgl. zum Aufwand und der geringen Verbreitung. Ich mache mir auch keine Illusionen, dass sich GPG flächendeckend verbreiten wird. Aber in jedem Fall ist es besser als nichts (und als S/MIME) und wenn es jemand schon eingerichtet hat, spricht ja nichts dagegen es zu benutzen. Es ist zumindest ein kleines Zeichen, dass die Massenüberwachung von Inhalten nicht ganz so leicht und 100%-ig ist.

Mufasah
WhatsApp mag zwar verschlüsselungstechnisch benutzerfreundlich sein, aber bereits bei der Kontaktaufnahme zu unbekannten Personen wird es grenzwertig oder reicht man wildfremden Gesprächspartnern einfach mal seine Telefonnummer rüber, damit man überhaupt in Kontakt treten kann??? Die Nummer muß dann auch noch stimmen, sonst kommt überhaupt gar keine Verbindung zustande. Dann nimmt man doch lieber Email. Eine Mailadresse bei Freemailern kann man kostenlos wechseln, den Wechsel der Telefonnummer lassen sich alle Anbieter fürstlich bezahlen, daß sie nur die Nummer ändern.
Mit Email ist es auch deutlich einfacher mit Firmen in Kontakt zu treten. Die Webseite ist ja bekannt und auch ohne direkten Ansprechpartner sind Mail, Info und Webmaster eigentlich immer zu erreichen, je nach Firma sind dann gerne auch noch Einkauf, Vertrieb und Support ebenfalls mögliche Ansprechziele...

Gerrit
Das sind alles Bereiche in denen E-Mail Verschlüsselung konzeptionell nicht funktioniert.

Es gibt übrigens auch Messenger ohne Telefonnummern-Pflicht.

5000 Buchstaben übrig


  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1