• IT-Karriere:
  • Services:

Bei Thunderbird weiß man nie, was noch kommen wird.

Golem.de: Welche Änderungen werden Ihre Arbeit besonders stark beeinflussen?

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Einsatzorte
  2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München

Brunschwig: Das ist das Problem: Man weiß ja nie, was noch kommen wird. Wir wissen nur, dass XUL [die von Mozilla entwickelte Beschreibungssprache für grafische Benutzeroberflächen, Anm.] verschwinden wird, und das wäre natürlich ein Riesenknaller, weil Thunderbird auf XUL basiert. Da gibt es zum Beispiel die Nachrichtenanzeige in Thunderbird, das ist ein Tree, der wurde spezifisch für Thunderbird entwickelt. Man hat also einen beliebig viel verschachtelbaren Baum mit Tausenden von Knoten in HTML, da kann ich mir nicht vorstellen, dass das danach noch funktioniert. Das ist eine ganz große Herausforderung sowohl für Thunderbird als auch für die Addons.

Sonst gibt es noch ganz viele kleine Dinge, da wird hier eine API umbenannt und dort wird etwas herausgerupft oder gelöscht, um es moderner zu machen. Die große Schwierigkeit ist, wenn man nicht weiß, was kommt. Ich kann also nicht sagen, ich entwickle jetzt für Thunderbird 68, weil ich noch gar nicht weiß, was da sein wird.

Golem.de: Ließe sich diese Situation über eine bessere Kommunikation zwischen Addon-Entwicklern und Thunderbird verbessern?

Brunschwig: Ich bin relativ nahe dran an den Thunderbird-Entwicklern. Ich bin auf den relevanten Mailinglisten und wenn etwas von Firefox kommt, das Thunderbird beeinflusst, bin ich einer der Ersten, der informiert ist. Also mit den Thunderbird-Leuten näher kommunizieren kann ich fast nicht mehr. Die Firefox-Leute haben natürlich ihre eigene Roadmap. Da hat Thunderbird genau die gleichen Herausforderungen selbst.

Golem.de: PGP ist ja nun noch immer nicht ganz trivial zu benutzen und, Sie haben es vorhin schon kurz erwähnt, es arbeiten mehrere Projekte an Verbesserungen. Beispielsweise der Autocrypt-Standard, Web Key Directory, Pretty Easy Privacy (pEp) sowie das vom Fraunhofer-Institut für Sichere Informationstechnologie geleitete Projekt für die Vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln (VVV). Vor allem die Verwaltung und der Austausch öffentlicher Schlüssel sollen dem Nutzer dabei abgenommen werden. Welches dieser Projekte wird sich am Ende durchsetzen? Welches ist aus Ihrer Sicht das beste?

Brunschwig: (Lacht) Das ist sehr, sehr schwierig zu sagen. Ich glaube, es muss etwas sein, das offen genug ist, damit andere es auch adaptieren können. Die große Schwäche von pEp ist meines Erachtens, dass sie eine Library bauen und sagen, verwendet unsere Library und alle eure Probleme sind gelöst. Das kann nicht funktionieren, wenn ich - sagen wir - Mailvelope bin. Die werden das nie machen können. Die können nicht eine Library, die noch in C geschrieben ist, in Web Extensions einbauen.

Das heißt, ein Standard wie Autocrypt hat meines Erachtens eher Chancen als etwas wie pEp. Aber es ist wirklich schwer zu sagen. Was wirklich wichtig ist, ist, dass PGP direkt in die Tools integriert wird. Bei K-9 [der freien E-Mail-App für Android, Anm.] muss ich erst Openkeychain installieren, bei Thunderbird muss ich erst Enigmail und dann noch GnuPG dazu installieren. Allein dieser Schritt, PGP direkt, ohne Addon und ohne zusätzliche Software-Installation im Tool zu haben, würde schon sehr vieles vereinfachen.

Golem.de: Wann dürfen wir denn damit rechnen, dass Enigmail fester Bestandteil von Thunderbird wird? Woran hapert es?

Brunschwig: Gute Frage (lacht). Ich hatte eigentlich vor etwa drei Jahren mit den Thunderbird-Entwicklern abgemacht, dass wir Enigmail in Thunderbird integrieren können. Allerdings braucht das recht viel Build-Engineering-Wissen und Zeit, beides habe ich zu wenig. Auch bei Thunderbird gab es niemanden, der die Kapazität dafür hatte. Mittlerweile hat Thunderbird begonnen, Entwickler einzustellen und ich hoffe, dass dadurch auch die Kapazität geschaffen werden kann, dass Enigmail integriert werden kann.

Golem.de: Es klingt so, als räumten Sie pEp weniger Zukunftsfähigkeit ein als Autocrypt. Wie kam es 2015 zu der Kooperation zwischen Enigmail und der pEp-Stiftung? Damals gab es eine sehr positive Pressemitteilung.

Brunschwig: Die pEp-Leute sind ja wie ich auch in Zürich. Ich wurde 2015 von Volker Birk gefragt, ob ich Interesse an einer Kooperation zwischen pEp und Enigmail hätte. Ich habe zugesagt, allerdings hat die Entwicklung bei pEp wesentlich länger gedauert als erwartet. In der Zwischenzeit wurde die Idee von Autocrypt geboren.

Ich stelle heute fest, dass es zumindest für existierende OpenPGP-E-Mail-Clients wesentlich einfacher ist, Autocrypt einzubauen, als die pEp-Engine zu integrieren. PEp ist eine exzellente Idee für E-Mail-Clients, die noch keine Verschlüsselung unterstützen, weil dann relativ wenig Code selbst geschrieben werden muss. So weit ich das beurteilen kann, ist es aber schwierig, E-Mail-Clients, die heute keine Verschlüsselung kennen, davon zu überzeugen, pEp (oder auch andere Verschlüsselungen) einzubauen.

Golem.de: Es gibt Versuche wie etwa bei Keybase, Keyserver zu zentralisieren. Wo sehen Sie die Zukunft für die Verteilung von PGP-Schlüsseln und für das dezentrale Web of Trust?

Brunschwig: Das Web of Trust ist meines Erachtens nicht überlebensfähig. Das liegt aber weniger am Web of Trust selbst, sondern an der Art und Weise, wie SKS-Keyserver funktionieren. Jeder kann für jede beliebige Adresse einen Schlüssel herstellen und ihn auf einen der Keyserver hochladen und er bleibt dort für immer. Damit sind diese Keyserver für das Auffinden von Schlüsseln eigentlich tot. Wenn ich zum Beispiel nach mir selbst suche, finde ich sechs oder sieben Schlüssel, und davon ist mindestens einer ein Fake-Schlüssel. Wie soll ich denn als Anwender wissen, welcher der richtige Schlüssel ist, das kann doch nicht sein.

Was besser funktioniert, aber das ist eher ein zentralistischer Ansatz, wäre ein Keyserver, der die Identität des Schlüsseleigentümers minimal prüft. Wenn ich zum Beispiel einen neuen Schlüssel für eine bestimmte E-Mail-Adresse hochlade, müsste ich eine verschlüsselte E-Mail mit einem Bestätigungslink erhalten. Erst wenn ich auf den Link klicke, würde der Schlüssel freigeschaltet. Das kann dann funktionieren, denn dann weiß der Keyserver, dass ich wirklich der Eigentümer der E-Mail-Adresse bin, von der ich behaupte, dass ich es sei. Gleichzeitig würde das auch ein Problem mit der Datenschutz-Grundverordnung lösen, indem es die Möglichkeit schaffte, einen Schlüssel auch wieder zu löschen. Das geht ja bei heutigen Keyservern auch nicht.

Also Keyserver und das heutige Web of Trust haben glaube ich keine Zukunft. Aber Keyserver generell, warum nicht? Der andere Ansatz ist der des Web Key Directory, der allerdings bedingt, dass die E-Mail-Provider tatsächlich ein solches bereitstellen. Das kann ich mir bei einem Provider wie Google aber offen gesagt nicht vorstellen. Eine Mischung aus etwas Dezentralem, wie es Autocrypt vorhat, kombiniert mit zentralisierten Keyservern wie Keybase oder einem verifizierenden Keyserver, das kann funktionieren.

Golem.de: Noch einmal zurück zu Enigmail selbst: Wie viele Entwickler arbeiten derzeit an dem Addon?

Brunschwig: Neben mir gibt es noch zwei, drei Entwickler, die hin und wieder zum Code beitragen. Ich würde aber sagen, dass 90 Prozent des Codes von mir stammen.

Golem.de: Sie sind für einen zentralen Baustein sicherer E-Mail-Kommunikation verantwortlich. Wie viel können Sie bei einem so kleinen Team in Ihre eigene IT-Sicherheit, beispielsweise beim Entwicklungsprozess, investieren?

Brunschwig: Nicht so verrückt viel, aber zum Glück ist es relativ einfach. Der Build-Prozess besteht ja bei einem Addon im Wesentlich aus dem Packen einer Zip-Datei. Ansonsten bekomme ich ein bisschen Unterstützung von den Leuten aus der Autocrypt-Szene, die mir da in der letzten Zeit geholfen haben. Aber ja, alles, was ich in Dinge investiere, die nicht zum Code gehören, geht eben vom Code ab. Wenn ich eine neue Webseite mache, wenn ich eine neue Build-Umgebung aufbaue, das geht von meiner Zeit für die Entwicklung des eigentlichen Enigmail-Addons ab.

Golem.de: Das klingt, als hinge da sehr viel von Ihrem persönlichen Engagement in der Freizeit ab. Wie sähe denn eine bessere Lösung für die Weiterentwicklung von Enigmail aus?

Brunschwig: Also ich hätte nichts dagegen, wenn jemand käme und sagen würde, ich habe hier zwei Entwickler, die hauptberuflich an Enigmail arbeiten. Da würde ich sagen, gut, macht das, ihr dürft mich gerne nach Unterstützung fragen, meinetwegen auch als Code-Reviewer, aber übernehmt gerne die Softwareentwicklung. Ich selbst betreue Enigmail als Hobby und möchte es weiterhin als Hobby machen. Entweder weitere Entwickler tragen auf freiwilliger Basis bei, oder eben als Professionelle. Ansonsten hängt es eben weiter nur an mir.

Golem.de: Wie steht es um die Finanzen beim Enigmail-Projekt?

Brunschwig: Naja, ich bekomme ab und zu Spenden, das sind, wenn es hochkommt, vielleicht 2.000 Euro im Jahr. Ein einziges Mal habe ich eine Spende von zwei Bitcoin gekriegt, das war dann ein bisschen mehr (lacht). Aber ja, das ist auch eine Idee: Wenn ich genügend Spenden hätte, könnte ich mir vorstellen, dass ich einen Entwickler für eine entsprechende Zeit bezahle, damit er eine bestimmte Funktion für Enigmail baut. Das könnte ich mir gut vorstellen, aber dazu bräuchte es ein paar Spenden mehr.

Golem.de: Vielen Dank für das Gespräch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 E-Mail-Verschlüsselung: "90 Prozent des Enigmail-Codes sind von mir"
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 484,99€/290,99€ (Release 10.11.)
  2. 499,99€/299,99€ (Release 10.11.)
  3. 499,99€/299,99€ (Release 10.11.)
  4. (u. a. Apacer DIMM 16 GB DDR4-3200 Kit für 57,90€, JBL Tuner XL Radio für 129,90€, Deepcool...

SchreibenderLeser 30. Dez 2018

Das ist ja meine These.

xMarwyc 20. Nov 2018

Stimmt, vor 25 Jahren war Verschlüssung ja auch voll das große Thema in der Bevölkerung...

hG0815 13. Nov 2018

Ah cool, das ist diese Mutt Alternative von der ich so viel gutes gehört habe ;-) Warum...

SchreibenderLeser 13. Nov 2018

Nicht ganz. Man kann sich im RL treffen, Schlüssel austauschen und dann auf dem Weg...

ikhaya 13. Nov 2018

PGP direkt in TB zu machen scheiterte meines Wissens nach Mal daran dass man gpg als...


Folgen Sie uns
       


    •  /