Mailbox.org jetzt mit Browser-Verschlüsselung

Mailbox.org bietet ab sofort OpenPGP-Verschlüsselung im Web-Browser an. Da der geheime Schlüssel auf den Servern von Mailbox.org gespeichert wird, nennt es der Anbieter ›hinreichende‹ und keine absolute Sicherheit.

Als Kunde der ersten Stunde des Berliner E-Mail-Providers Mailbox.org bin ich hin- und hergerissen. Einerseits ist es eine tolle Sache, dass man verschlüsselte E-Mails nun auch im Webbrowser lesen kann und durch die bequeme Implementierung von OpenPGP mehr Menschen ihre E-Mails verschlüsseln. Andererseits habe ich die Befürchtung, dass webbasierte E-Mail-Verschlüsselung wichtige Prinzipen von OpenPGP verschleiert, sodass viele neue Nutzer Verschlüsselung benutzen werden, ohne das Prinzip dahinter zu verstehen.

OpenPGP basiert auf asymmetrischer Verschlüsselung. Ich erkläre dieses Prinzip in meinen Schulungen gerne mit Vorhängeschlössern. Ich verteile Vorhängeschlösser an die Teilnehmer und sage ihnen, dass sie den Schlüssel sicher in ihrer Hosentasche verwahren sollen. Das Schloss aber sollen sie offen auf einen Tisch legen, sodass alle anderen Teilnehmer Zugriff darauf haben. Dann sollen die Teilnehmer sich gegenseitig verschlossene Nachrichten senden. Dafür nehme ich Klappkarten, die mit dem Vorhängeschloss verschlossen werden. Eine so verschlossene Nachricht wird dann von einem Teilnehmer zum nächsten weitergereicht, bis sie den Empfänger erreicht, der das Vorhängeschloss mit seinem Schlüssel aufschließt. Der Schlüssel steht für den geheimen OpenPGP-Key, das Vorhängeschloss ist der öffentliche Schlüssel, der auf Keyservern (dem Tisch) zum Download angeboten wird. Mit dem Vorhängeschloss kann man nur verschließen. Zum Aufschließen (Entschlüsseln) benötigt man den (geheimen) Schlüssel. So mache ich die Teilnehmer mit der Handhabung geheimer und öffentlicher Schlüssel vertraut. An den Vorhängeschlössern lassen sich auch andere Prinzipien von OpenPGP veranschaulichen, zum Beispiel das Unterschreiben fremder öffentlicher Schlüssel und damit das Prinzip des Web of Trust. Nach dieser Einführung haben die meisten Teilnehmer das Prinzip verstanden und es reicht, wenn ich später bei der Handhabung von GnuPG und Enigmail ab und zu auf die Vorhängeschlösser zurückkomme. Eins haben die Teilnehmer dann auf jeden Fall begriffen: den geheimen Schlüssel gibt man niemals aus der Hand!

Doch genau das passiert bei Mailbox.org. Der geheime Schlüssel wird auf einem fremden Server gespeichert. Man muss ihn aus der Hand geben – ja schlimmer noch – man erzeugt ihn auf dem fremden Rechner. Anfänger, die sich mit OpenPGP nicht auskennen, werden bei der ersten Nutzung aufgefordert einen Schlüssel zu erzeugen, mit dem sie ihre E-Mails künftig verschlüsseln wollen. So entwickelt man vielleicht niemals ein Verständnis dafür, dass man den geheimen Schlüssel absolut geheim halten soll. Vielleicht versteht man auch nicht, dass es sich um ein Schlüsselpaar handelt und welche Funktion welcher Schlüssel hat. Der naive Nutzer könnte glauben, dass er einen Schlüssel gemacht hat und seine Mails mit der Passphrase entschlüsselt. Vielleicht wird er sogar das Guard-Passwort, das man für Verwaltungszwecke auf der Plattform benötigt, mit Passphrase des Schlüssels verwechseln.

Um es dem Nutzer so bequem wie möglich zu machen, verschleiert Mailbox.org einige zentrale Prinzipien und erhöht die Komplexität durch das Guard-Passwort. Jeder Nutzer muss sich drei Passworte merken: sein Login-Passwort, sein Guard-Passwort und die Passphrase zum Entsperren des Schlüssels. Ich weiß nicht, ob das gut ist.

UPDATE:

Wie aus den Kommentaren hervorgeht, benötigt der Benutzer auf der Webplattform selbst nur zwei Passworte: sein Login-Passwort und das Guard-Passwort. Allerdings benötigt er noch seine normale PGP-Passphrase für den PGP-Schlüssel selbst, wenn er Mails auch in einem Mailprogramm liest.

Es mag sein, dass durch diesen Dienst mehr Menschen zukünftig ihre E-Mails verschlüsseln. Das ist sicher zu begrüßen. Aber werden sie auch begreifen, was sie tun? Ich habe da Zweifel. Und generell bin ich der Meinung, dass Verschlüsselung keine Frage der Technik ist, sondern der persönlichen und kollektiven Einstellung. Der Web-of-Trust ist für mich eins der wesentlichen Prinzipien von OpenPGP, und das Signieren fremder Schlüssel ist überhaupt noch nicht implementiert.

Fazit

Die Implementierung von OpenPGP in Mailbox.org ist keine Ende-zu-Ende-Verschlüsselung, da die Verschlüsselung auf Servern von Mailbox.org erfolgt und dort auch die geheimen Schlüssel gespeichert sind. Die Anbieter sind in ihrer gewohnten Transparenz ausführlich auf diese Problematik in einem Blogpost eingegangen. Man braucht Vertrauen zum Anbieter. Wer aber bereit ist, seine geheimen Schlüssel auf einem unsicheren Smartphone zu speichern, der braucht eigentlich keine Angst vor einem fremden Server haben, der professionell und sicher verwaltet wird.

Die Implementierung von OpenPGP ist nicht vollständig. Das heißt, ich kann nicht alle Funktionen von OpenPGP nutzen. An ein paar Ecken hakt es noch. So wird ein Schlüssel beispielsweise als abgelaufen angezeigt, wenn lediglich einer der Unterschlüssel abgelaufen ist. Dateien in Drive lassen sich offenbar nur mit dem eigenen Schlüssel verschlüsseln, sodass ich keine verschlüsselten Daten für andere Personen via Web-Frontend hinterlegen kann. Eine Anbindung an die Keyserver-Infrastruktur gibt es noch nicht. Öffentliche Schlüssel müssen mühsam mit der Hand hochgeladen werden.

Trotz dieser Einschränkungen ist das Engagement von Mailbox.org zu begrüßen. Es ist in jedem Fall wichtig, mehr Menschen an die Verschlüsselung heranzuführen. Und ich bin sicher, dass die Implementierung in Zukunft weiter verbessert wird.

Kommentar 04.07.2015

Alle Tags
Alle Rubriken

Archiv 1998 – 2023

Jan Ulrich Hasecke (juh) gehörte in den 90er Jahren zu den Protagonisten der Netzliteratur-Szene. »juh's Sudelbuch« erscheint seit 1998 und ist damit eins der ältesten Blogs im deutschsprachigen Raum. Im Jahr 2000 veröffentlichte er den Roman »Die Reise nach Jerusalem«. In seinem jüngstes Buch widmet er sich Joseph Beuys und seiner Idee der Sozialen Plastik.

ISBN 978-1533603692

Die Reise nach Jerusalem ist eine kleine Flucht; die Flucht Viktors vor einer Liebe, die in Paris begann und in einem französischen Provinzkrankenhaus endete, in dem seine Geliebte, Aline, starb. Im Heiligen Land trifft Viktor Rona, eine junge Israelin, die ihn immer wieder schmerzlich an Aline erinnert. Die Reise nach Jerusalem wird für Viktor zu einer Reise in die Vergangenheit. Je mehr er sich in Rona verliebt, um so stärker empfindet er den Verlust Alines.
Bei Amazon bestellen

ISBN 978-1523458769

»Jeder Mensch ist ein Künstler«, dieser Satz von Joseph Beuys wurde oft und gerne missverstanden. Dass jeder Mensch ein genialer Maler oder Bildhauer sei, hat Beuys nie behauptet. Nach seinem erweiterten Kunstbegriff ist jeder Mensch ein Künstler, weil er an der Gestaltung der Gesellschaft mitwirkt. Beuys wollte nicht unsere Vorstellungen von Zeichnungen, Gemälden und Plastiken durcheinander bringen, sondern unseren Begriff von der Gesellschaft revolutionieren. Bei der Sozialen Plastik geht es um die gemeinsame und kreative Gestaltung unserer Welt.
Bei Amazon bestellen

ISBN 978-1499130201

Der Essay »Demeter und die Allmende des Seins« öffnet Horizonte in eine Vergangenheit, ohne die wir heute nicht leben könnten, und eine Zukunft, die ohne uns nicht sein kann. Mit einer auf den Erkenntnissen der Biologie basierenden, spekulativen Interpretation des Demeter-Mythos zeichnet das Buch die Entwicklung des Urgetreides nach, das aus natürlichen Süßgräsern ›wie von selbst‹ entstanden ist. Es zeigt sich, dass die Entstehung des Urgetreides durch die Lebensgewohnheiten von vorzeitlichen Jägern und Sammlern unbewusst begünstigt wurde.
Bei Amazon bestellen

ISBN 978-1499173604

The essay entitled ›Demeter and the Commons of Being‹ is the foundation for a 21st-century philosophy. This book explores a past which has made our present lives possible and looks to a future which will not come to pass without our help. Using a speculative approach based on biological findings to interpret the myth of Demeter, this book traces the development of ancient cereal varieties that evolved from native Poaceae ‘as if by magic’.
Bei Amazon bestellen

ISBN 978-1484071434

Eine filmwissenschaftliche Arbeit über das Realismuskonzept in der Fernsehserie ›Dekalog‹ des polnischen Filmemachers Krzysztof Kieślowski.
Bei Amazon bestellen

ISBN 978-1482046373

Flüsterwitze und Anekdoten aus der Zeit des Nationalsozialismus und des Zweiten Weltkriegs sowie aus den Hungerjahren der unmittelbaren Nachkriegszeit. Gesammelt im 3. Reich, aufgeschrieben im Jahr 1947 von Annegret Wolf (geb. Hasecke) und 2013 von Jan Ulrich Hasecke herausgegeben und mit Anmerkungen versehen.
Bei Amazon bestellen

ISBN 978-1500986483

Wie sein großes Vorbild Georg Christoph Lichtenberg bearbeitet Hasecke in Glossen und Essays das Zeitgeschehen so lange mit dem satirischen Seziermesser, bis die drei Grazien Dummheit, Bosheit und Verblendung in ihrer ganzen Schönheit zum Vorschein kommen. Das Sudelbuch ist ein Spiegel unserer Zeit. Der erste Band enthält Sudeleien von 1998 bis 2005
Bei Amazon bestellen

ISBN 978-1502478900

Der Herausgeber des politischen Kulturmagazins ›Die Gazette‹, Fritz R. Glunk, nannte Hasecke einmal einen ›Moralisten der Moderne‹ und sagte: »Seine besten Texte lesen sich so zupackend, als kämen sie geradewegs aus der Encyclopédie von Diderot und d’Alembert.« Der zweite Band enthält Sudeleien von 2006 bis 2014
Bei Amazon bestellen