Abo
  • Services:
Anzeige
Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus.
Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus. (Bild: Martin Wolf/Golem.de)

PGP: Hochsicher, kaum genutzt, völlig veraltet

Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus.
Wer von verschiedenen Geräten auf seine E-Mails zugreift, braucht auf jedem Gerät auch die PGP-Schlüssel, sonst sehen die Mails so aus. (Bild: Martin Wolf/Golem.de)

Angst ja, Schutz nein: Auch nach den Snowden-Enthüllungen nutzt nur ein winziger Bruchteil aller E-Mail-Nutzer eine Verschlüsselungstechnik. PGP und Co. sind gescheitert - und es wird Zeit für einen Neustart.
Von Moritz Jäger

Trotz der Snowden-Enthüllungen, trotz des aktuellen BND-Skandals, trotz der immer wieder auftauchenden Zwischenfälle: Die E-Mail erweist sich als enorm resistent. Allein in Deutschland gab es 2014 laut einer Bitkom-Studie 107 Millionen privat genutzte Adressen. Doch nur ein winziger Bruchteil ist mit einem PGP-Schlüssel gekoppelt. Auf den SKS-PGP-Keyservern, einem weltweiten Verzeichnis von PGP-Schlüsseln, sind gerade einmal vier Millionen Schlüssel hinterlegt. Woher kommt also diese krasse Diskrepanz?

Anzeige

PGP und die entsprechenden Open-Source-Derivate wurden Anfang der 1990er-Jahre geschaffen. Sie waren und sind großartige Lösungen - von einem technischen Standpunkt aus gesehen. Allerdings kommt ein Großteil des verwendeten Codes ebenfalls aus dieser Zeit und ist über die Jahre nicht gerade gut gealtert. Um es mit den Worten von Matthew Green, einem Kryptographen und Professor an der Johns Hopkins University, zu sagen: "Sieht man sich eine moderne Implementierung von OpenPGP an, wirkt es, als würde man ein Museum über Kryptografie in den 1990ern besuchen". Und leider gilt das auch für die meisten anderen Programme: Sie sind optisch meist weit von aktuellen Designansätzen entfernt - von Ansätzen wie Forward Secrecy ganz zu schweigen.

Die Projekte sind unterfinanziert und unterbesetzt

Das ist keine Kritik an den Entwicklern der PGP-Derivate - doch meist sind die Projekte unterfinanziert und unterbesetzt, obwohl sie längst über den Hobby-Status hinausgewachsen sind. Ein Beispiel ist Gnu Privacy Guard, kurz GPG, gepflegt und entwickelt seit 1997 von dem Deutschen Werner Koch. GPG ist ein essenzieller Bestandteil zahlreicher Verschlüsselungsprojekte, darunter GpG4Win, GPG Tools oder Enigmail. Finanziert wurde die Entwicklung über Jahre durch Spenden - teilweise von deutschen Behörden.

Im Februar 2015 waren diese so weit versiegt, dass Koch und GnuPG kurz vor dem Bankrott standen. Erst nach einem Medienbericht konnte dieser abgewendet werden, unter anderem wird das Projekt jetzt von Facebook und Stripe mit jährlich jeweils 50.000 US-Dollar unterstützt, dazu kamen eine Einmalzahlung der Linux Foundation Core Infrastructure Initiative sowie zahlreiche Einzelspenden.

Probleme bei der Implementierung

Kurios: Gerade Facebook, das Privatsphäre sonst eher als optional sieht, rollt als erstes großes Web-Unternehmen PGP-Verschlüsselung flächendeckend aus. Nutzer können ihre Keys in ihrem Profil hinterlegen und die E-Mail-Kommunikation verschlüsseln, allerdings nicht die Kommunikation innerhalb Facebooks.

Dass die Ansätze so veraltet sind, führt zu Problemen bei der Implementierung in modernen PGP-Anwendungen. Ein Beispiel dafür ist Mailpile, ein Webmail-Client, in den PGP-Funktionen transparent integriert sind. Damit das Mailprogramm die Verschlüsselungsfunktionen des PGP-Derivat GnuPG verwenden kann, sind 1.200 Zeilen zusätzlicher Python-Code notwendig - ein beträchtlicher Aufwand für die Programmierer.

PGP ist zu schwierig zu nutzen 

eye home zur Startseite
ikhaya 12. Nov 2015

Ersterer ist mittlerweile behoben.

golomdd 31. Aug 2015

Bei WhatsApp archivierte Chats werden durch die E-Mail gesendet

Niveauacreme 21. Aug 2015

"Ich nutze Bitlocker und merke keinerlei Unterschied zu einer unverschlüsselten...

ikhaya 14. Jul 2015

Na endlich :) Eine neue Botschaft: http://www.pep-project.org/2015-07/ sie leben noch. Da...

Hajo Giegerich 09. Jul 2015

Es gibt zur iX 07/2015 eine grüne Beilage, inhaltlich vom TeleTrust zusammengestellt...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Neutraubling, Regensburg
  2. IT-Dienstleistungszentrum Berlin, Berlin
  3. medavis GmbH, Karlsruhe
  4. MediFox GmbH, Hildesheim


Anzeige
Hardware-Angebote
  1. 24,04€

Folgen Sie uns
       


  1. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  2. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  3. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  4. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  5. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  6. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft

  7. Bundestagswahl

    Innenminister sieht bislang keine Einmischung Russlands

  8. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  9. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  10. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

Play Austria: Die Kaffeehauskultur reicht bis in die Spielebranche
Play Austria
Die Kaffeehauskultur reicht bis in die Spielebranche
  1. Human Head Studios Nach 17 Jahren kommt die Fortsetzung für Rune
  2. Indiegames Erfahrungen mit der zufallsgenerierten Apokalypse
  3. Spielebranche Mikrotransaktionen boomen zulasten der Kaufspiele

  1. Die Chinesen sind deutlich im Vorteil

    cicero | 01:44

  2. Glaubst du das selbst?

    Tunkali | 01:43

  3. Re: Ein Beitrag voller Grenzfälle

    as (Golem.de) | 00:50

  4. Re: Funktioniert Netflix denn mittlerweile bei UM?

    Xiut | 00:46

  5. Re: von denen sechs sitzen können

    Patman | 00:44


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel