PGP: Hochsicher, kaum genutzt, völlig veraltet

Angst ja, Schutz nein: Auch nach den Snowden-Enthüllungen nutzt nur ein winziger Bruchteil aller E-Mail-Nutzer eine Verschlüsselungstechnik. PGP und Co. sind gescheitert - und es wird Zeit für einen Neustart.

Artikel von Moritz Jäger veröffentlicht am
Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus.
Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus. (Bild: Martin Wolf/Golem.de)

Trotz der Snowden-Enthüllungen, trotz des aktuellen BND-Skandals, trotz der immer wieder auftauchenden Zwischenfälle: Die E-Mail erweist sich als enorm resistent. Allein in Deutschland gab es 2014 laut einer Bitkom-Studie 107 Millionen privat genutzte Adressen. Doch nur ein winziger Bruchteil ist mit einem PGP-Schlüssel gekoppelt. Auf den SKS-PGP-Keyservern, einem weltweiten Verzeichnis von PGP-Schlüsseln, sind gerade einmal vier Millionen Schlüssel hinterlegt. Woher kommt also diese krasse Diskrepanz?

Inhalt:
  1. PGP: Hochsicher, kaum genutzt, völlig veraltet
  2. PGP ist zu schwierig zu nutzen
  3. Wir brauchen einen Neustart

PGP und die entsprechenden Open-Source-Derivate wurden Anfang der 1990er-Jahre geschaffen. Sie waren und sind großartige Lösungen - von einem technischen Standpunkt aus gesehen. Allerdings kommt ein Großteil des verwendeten Codes ebenfalls aus dieser Zeit und ist über die Jahre nicht gerade gut gealtert. Um es mit den Worten von Matthew Green, einem Kryptographen und Professor an der Johns Hopkins University, zu sagen: "Sieht man sich eine moderne Implementierung von OpenPGP an, wirkt es, als würde man ein Museum über Kryptografie in den 1990ern besuchen". Und leider gilt das auch für die meisten anderen Programme: Sie sind optisch meist weit von aktuellen Designansätzen entfernt - von Ansätzen wie Forward Secrecy ganz zu schweigen.

Die Projekte sind unterfinanziert und unterbesetzt

Das ist keine Kritik an den Entwicklern der PGP-Derivate - doch meist sind die Projekte unterfinanziert und unterbesetzt, obwohl sie längst über den Hobby-Status hinausgewachsen sind. Ein Beispiel ist Gnu Privacy Guard, kurz GPG, gepflegt und entwickelt seit 1997 von dem Deutschen Werner Koch. GPG ist ein essenzieller Bestandteil zahlreicher Verschlüsselungsprojekte, darunter GpG4Win, GPG Tools oder Enigmail. Finanziert wurde die Entwicklung über Jahre durch Spenden - teilweise von deutschen Behörden.

Im Februar 2015 waren diese so weit versiegt, dass Koch und GnuPG kurz vor dem Bankrott standen. Erst nach einem Medienbericht konnte dieser abgewendet werden, unter anderem wird das Projekt jetzt von Facebook und Stripe mit jährlich jeweils 50.000 US-Dollar unterstützt, dazu kamen eine Einmalzahlung der Linux Foundation Core Infrastructure Initiative sowie zahlreiche Einzelspenden.

Probleme bei der Implementierung

Stellenmarkt
  1. Team Manager (m/w/d) Embedded Security
    Elektrobit Automotive GmbH, Radolfzell
  2. Project Manager*in FCAS (w/m/d)
    Hensoldt, Immenstaad, Ulm
Detailsuche

Kurios: Gerade Facebook, das Privatsphäre sonst eher als optional sieht, rollt als erstes großes Web-Unternehmen PGP-Verschlüsselung flächendeckend aus. Nutzer können ihre Keys in ihrem Profil hinterlegen und die E-Mail-Kommunikation verschlüsseln, allerdings nicht die Kommunikation innerhalb Facebooks.

Dass die Ansätze so veraltet sind, führt zu Problemen bei der Implementierung in modernen PGP-Anwendungen. Ein Beispiel dafür ist Mailpile, ein Webmail-Client, in den PGP-Funktionen transparent integriert sind. Damit das Mailprogramm die Verschlüsselungsfunktionen des PGP-Derivat GnuPG verwenden kann, sind 1.200 Zeilen zusätzlicher Python-Code notwendig - ein beträchtlicher Aufwand für die Programmierer.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
PGP ist zu schwierig zu nutzen 
  1. 1
  2. 2
  3. 3
  4.  


ikhaya 12. Nov 2015

Ersterer ist mittlerweile behoben.

golomdd 31. Aug 2015

Bei WhatsApp archivierte Chats werden durch die E-Mail gesendet

Niveauacreme 21. Aug 2015

"Ich nutze Bitlocker und merke keinerlei Unterschied zu einer unverschlüsselten...

ikhaya 14. Jul 2015

Na endlich :) Eine neue Botschaft: http://www.pep-project.org/2015-07/ sie leben noch. Da...



Aktuell auf der Startseite von Golem.de
Google Fonts
Abmahnungen an Webseitenbetreiber mit Google-Schriftarten

Nach einer Entscheidung des Landgerichts München erhalten Webseitenbetreiber mit eingebundenen Google Fonts vermehrt Abmahnungen.

Google Fonts: Abmahnungen an Webseitenbetreiber mit Google-Schriftarten
Artikel
  1. Programmiersprache: JSON-Erfinder will Javascript in Rente schicken
    Programmiersprache
    JSON-Erfinder will Javascript in Rente schicken

    Douglas Crockford, der Erfinder des Datenformats JSON und Mitentwickler von Javascript, findet, dass die Sprache in Rente geschickt werden sollte.

  2. Paw Patrol: US Space Force schickt Roboterhunde auf Patrouille
    Paw Patrol
    US Space Force schickt Roboterhunde auf Patrouille

    Die US Space Force wird einen hundeähnlichen Roboter von Ghost Robotics auf Patrouille schicken, um Personalkosten zu senken.

  3. Windows auf dem Mac: Parallels wird merklich teurer
    Windows auf dem Mac
    Parallels wird merklich teurer

    Parallels 18 bietet eine native Unterstützung für Windows 11 und eine bessere Ressourcenzuweisung. Allerdings wird die Software teurer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: WD SSD 1TB m. Kühlkörper (PS5) 119,90€, MSI 29,5" 200 Hz 259€, LG QNED 75" 120 Hz 1.455,89€ • MindStar (XFX RX 6950 XT 999€, Gainward RTX 3070 559€) • Gigabyte Deals • Der beste Gaming-PC für 2.000€ • Apple Week bei Media Markt • be quiet! Deals [Werbung]
    •  /