• IT-Karriere:
  • Services:

PGP: Hochsicher, kaum genutzt, völlig veraltet

Angst ja, Schutz nein: Auch nach den Snowden-Enthüllungen nutzt nur ein winziger Bruchteil aller E-Mail-Nutzer eine Verschlüsselungstechnik. PGP und Co. sind gescheitert - und es wird Zeit für einen Neustart.

Artikel von Moritz Jäger veröffentlicht am
Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus.
Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus. (Bild: Martin Wolf/Golem.de)

Trotz der Snowden-Enthüllungen, trotz des aktuellen BND-Skandals, trotz der immer wieder auftauchenden Zwischenfälle: Die E-Mail erweist sich als enorm resistent. Allein in Deutschland gab es 2014 laut einer Bitkom-Studie 107 Millionen privat genutzte Adressen. Doch nur ein winziger Bruchteil ist mit einem PGP-Schlüssel gekoppelt. Auf den SKS-PGP-Keyservern, einem weltweiten Verzeichnis von PGP-Schlüsseln, sind gerade einmal vier Millionen Schlüssel hinterlegt. Woher kommt also diese krasse Diskrepanz?

Inhalt:
  1. PGP: Hochsicher, kaum genutzt, völlig veraltet
  2. PGP ist zu schwierig zu nutzen
  3. Wir brauchen einen Neustart

PGP und die entsprechenden Open-Source-Derivate wurden Anfang der 1990er-Jahre geschaffen. Sie waren und sind großartige Lösungen - von einem technischen Standpunkt aus gesehen. Allerdings kommt ein Großteil des verwendeten Codes ebenfalls aus dieser Zeit und ist über die Jahre nicht gerade gut gealtert. Um es mit den Worten von Matthew Green, einem Kryptographen und Professor an der Johns Hopkins University, zu sagen: "Sieht man sich eine moderne Implementierung von OpenPGP an, wirkt es, als würde man ein Museum über Kryptografie in den 1990ern besuchen". Und leider gilt das auch für die meisten anderen Programme: Sie sind optisch meist weit von aktuellen Designansätzen entfernt - von Ansätzen wie Forward Secrecy ganz zu schweigen.

Die Projekte sind unterfinanziert und unterbesetzt

Das ist keine Kritik an den Entwicklern der PGP-Derivate - doch meist sind die Projekte unterfinanziert und unterbesetzt, obwohl sie längst über den Hobby-Status hinausgewachsen sind. Ein Beispiel ist Gnu Privacy Guard, kurz GPG, gepflegt und entwickelt seit 1997 von dem Deutschen Werner Koch. GPG ist ein essenzieller Bestandteil zahlreicher Verschlüsselungsprojekte, darunter GpG4Win, GPG Tools oder Enigmail. Finanziert wurde die Entwicklung über Jahre durch Spenden - teilweise von deutschen Behörden.

Im Februar 2015 waren diese so weit versiegt, dass Koch und GnuPG kurz vor dem Bankrott standen. Erst nach einem Medienbericht konnte dieser abgewendet werden, unter anderem wird das Projekt jetzt von Facebook und Stripe mit jährlich jeweils 50.000 US-Dollar unterstützt, dazu kamen eine Einmalzahlung der Linux Foundation Core Infrastructure Initiative sowie zahlreiche Einzelspenden.

Probleme bei der Implementierung

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. IVU Umwelt GmbH, Freiburg im Breisgau

Kurios: Gerade Facebook, das Privatsphäre sonst eher als optional sieht, rollt als erstes großes Web-Unternehmen PGP-Verschlüsselung flächendeckend aus. Nutzer können ihre Keys in ihrem Profil hinterlegen und die E-Mail-Kommunikation verschlüsseln, allerdings nicht die Kommunikation innerhalb Facebooks.

Dass die Ansätze so veraltet sind, führt zu Problemen bei der Implementierung in modernen PGP-Anwendungen. Ein Beispiel dafür ist Mailpile, ein Webmail-Client, in den PGP-Funktionen transparent integriert sind. Damit das Mailprogramm die Verschlüsselungsfunktionen des PGP-Derivat GnuPG verwenden kann, sind 1.200 Zeilen zusätzlicher Python-Code notwendig - ein beträchtlicher Aufwand für die Programmierer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
PGP ist zu schwierig zu nutzen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

ikhaya 12. Nov 2015

Ersterer ist mittlerweile behoben.

golomdd 31. Aug 2015

Bei WhatsApp archivierte Chats werden durch die E-Mail gesendet

Niveauacreme 21. Aug 2015

"Ich nutze Bitlocker und merke keinerlei Unterschied zu einer unverschlüsselten...

ikhaya 14. Jul 2015

Na endlich :) Eine neue Botschaft: http://www.pep-project.org/2015-07/ sie leben noch. Da...

Hajo Giegerich 09. Jul 2015

Es gibt zur iX 07/2015 eine grüne Beilage, inhaltlich vom TeleTrust zusammengestellt...


Folgen Sie uns
       


Ninm Its OK - Test

Der It's OK von Ninm ist ein tragbarer Kassettenspieler mit eingebautem Bluetooth-Transmitter. Insgesamt ist das Gerät eine Enttäuschung, bessere Modelle gibt es auf dem Gebrauchtmarkt.

Ninm Its OK - Test Video aufrufen
Magenta-TV-Stick im Test: Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus
Magenta-TV-Stick im Test
Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus

Eine bequeme Nutzung von Magenta TV verspricht die Telekom mit dem Magenta-TV-Stick. Wir haben uns die Hardware angeschaut und dabei auch einen Blick auf Magenta TV geworfen. Der Dienst hat uns derzeit noch zu viele Schwächen.
Ein Test von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /