Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

Bewertung PGP-Verschlüsselung bei Web.de und GMX

Für Digitalcourage habe ich eine kurze Bewertung neuen PGP-Verschlüsselung bei web.de und GMX erstellt.

Laut einem Artikel in der Zeitschrift c't:

"Die [...] Variante des Plug-ins Mailvelope erstellt und verwaltet alle PGP-Schlüssel lokal im Browser."

Die Verschlüsselung erfolgt ebenfalls im Browser.

Aus einer Meldung bei heise online:

[... Sicherung...] dann wählt man das Schlüsselpasswort und sichert schließlich die automatisch erzeugten Schlüssel samt Passwort. Diese Daten werden in einen Container gepackt, der lokal verschlüsselt und dann bei 1&1 gespeichert wird. Das hierfür zufällig erzeugte 26-stellige Passwort bleibt beim Nutzer.

Bei der Sicherung Der private Schlüssel und dessen Passwort landet also bei GMX und web.de, geschützt mit einem 26-Zeichen langen Passwort. Dem Beispiel nach besteht das Passwort aber nur aus Kleinbuchstaben und Ziffern, entspricht also *sehr grob* geschätzt einem Passwort von 23 Zeichen mit Klein, Groß, Ziffern.

Laut http://img.ui-portal.de/cms/webde/produkte/sicherheit/pgp/lp/Anleitung-Verschluesselte-Kommunikation-WEB.DE.pdf ist die Sicherung optional, die Leute werden aber dazu angehalten bze. animiert, die Schlüssel zu sichern.
Mit dieser Sicherung kann man die Schlüssel auch auf andere Rechner übertragen. das geht jedoch auch, indem man die Schlüssel in der Browser-Erweiterung exportiert - ist nicht so bequem, verhindert aber, dass der Schlüssel beim Provider landet. Schade, dass GMX und web.de hier keine Möglichkeit anbieten, den als z.B. QR-Code Schlüssel auszudrucken, sondern die Leute dazu animieren, den Schlüssel zu ihnen hoch zu laden.

Unklar ist mir noch, ob die gesamte Nachricht verschlüsselt wird, oder nur der Inhalt und die Anhänge eben nicht. Siehe hier zu auch diese Hinweise von Posteo.

Bewertung

Insgesamt schient die Lösung ganz passabel. Es gibt jedoch einige kritische Punkte:

  1. Um diese Funktion zu benutzen, benötigt man ein Browser-Plug-in, man kann also nicht mehr den Rechner eines Bekannten nutzen (das sollte man sowieso eher nicht, aber das ist eine andere Frage). Weshalb liest man seine Mails dann überhaupt im Browser und benutzt nicht gleich ein richtigen Mail-Programm?!

  2. Es ist unklar, wie gut die Software-Komponente opnePGP.js ist, mit der die eigentliche Verschlüsselung erfolgt.

  3. Die Schlüssel werden innerhalb des Browsers verwaltet. Sie stehen anderen Anwendungen also nicht zur Verfügung.

Damit bleibt als einzige Begründung: Weil es bequem ist. Nun, das ist p≡p (Pretty Easy Privay) auch. Das verwendet aber Software-Komponenten, die seit langen Jahren ausgereicht sind, beispielsweise GnuPG.

[Update 2015-09-14: Bewertung aufgenommen]