• IT-Karriere:
  • Services:

Trollen mit Pep

Um für die Nutzer die E-Mail-Verschlüsselung besonders einfach zu gestalten, übernimmt Pep die komplette Schlüsselverwaltung. Jeder gesendeten E-Mail wird der generierte Pep-Schlüssel automatisch angehängt. Nutzt auch der Empfänger die Software, antwortet dessen Pep automatisch mit seinem Schlüssel. Allerdings werden nicht nur diese automatisch ausgetauschten Schlüssel angenommen, sondern jeder Schlüssel im Anhang einer E-Mail.

Stellenmarkt
  1. MAN Energy Solutions SE, Oberhausen
  2. IDS GmbH, Region Nord-/Ostdeutschland

Ich generiere GPG-Schlüssel für verschiedene E-Mail-Adressen mit unterschiedlichen Domainendungen und sende sie als E-Mail-Anhang an eine Thunderbird-Installation mit Enigmail im Junior-Modus. Dort öffne ich die E-Mails und sehe - nichts. Thunderbird zeigt mir ungewöhnlicherweise nicht einmal an, dass die E-Mails einen Anhang enthalten. Die Schlüssel werden förmlich vor dem Nutzer versteckt, tauchen aber anschließend - vollautomatisch - in der Schlüsselverwaltung von Enigmail und im Schlüsselspeicher von GPG auf. Selbst ein Schlüssel für das Empfängerkonto, für das Pep bereits Schlüssel erstellt hat, wird ungefragt angenommen.

Wurde bereits verschlüsselt mit einer E-Mail-Adresse kommuniziert und ein Schlüsselaustausch durchgeführt, speichert Pep zwar meine untergejubelten Schlüssel, verwendet sie jedoch nicht. Bei allen E-Mail-Adressen, bei denen das nicht der Fall ist, werden die untergejubelten Schlüssel verwendet. Sei es, weil noch kein Schlüsselaustausch stattgefunden hat oder weil die betreffende E-Mail-Adresse keine Verschlüsselung mit GPG unterstützt. Diesen Mailadressen sendet der Nutzer automatisch unlesbare - weil mit meinen Schlüsseln verschlüsselte - E-Mails.

Zu einem Sicherheitsproblem dürfte es hier zwar nur im Einzelfall kommen, allerdings eignet sich Pep wunderbar, um Leute zu trollen.

Dieser Automatismus kann jedoch an einer anderen Stelle zu Sicherheitsproblemen führen: GPG wird nicht nur zum Verschlüsseln von E-Mails eingesetzt, sondern auch zum Signieren von Software. Beispielsweise lässt sich mittels der Signaturen vor der Installation einer Nextcloud oder des Tor-Browsers überprüfen, ob die Software auf dem Weg mit einem Trojaner infiziert wurde. Über Pep könnten Nutzern gefälschte Schlüssel von Nextcloud, dem Tor-Projekt oder anderen Softwareprojekten untergeschoben werden. Wird die heruntergeladene Software auf dem Weg verändert und mit den gefälschten Schlüsseln signiert, könnten sich die Nutzer Schadsoftware einfangen - auch wenn sie die Software überprüft haben.

Nutzer wollen gefragt werden

Der Schlüsselaustausch ist immer ein kritischer Punkt von Public-Key-Kryptografie, an dem beispielsweise Man-in-the-Middle-Attacken (MitM) ansetzen können. Mit diesen werden die Schlüssel von beiden Kommunikationspartnern abgefangen und ausgetauscht. Dieses zentrale Problem löst Pep nicht, sondern automatisiert es.

Letztlich nimmt Pep Nutzern vor allem jede Menge Kontrolle aus der Hand und stellt kaum Fragen. Möchtest du Pep verwenden? Möchtest du diesen Schlüssel importieren? Diese Fragen sollte Pep den Nutzern stellen, statt den gesamten Verschlüsselungsprozess vor ihnen zu verstecken.

Am Ende erreicht Pep nicht einmal sein originäres Ziel. Die verschiedenen Betriebs-Modi und Automatismen vereinfachen das Leben des Nutzers nicht. Im Gegenteil, es verwirrt sie, untergräbt ihre Entscheidungen und damit ihre Sicherheit. In meinem Umfeld hat Pep bisher vor allem eins geschafft: Zu nerven und zu verunsichern. Die Freude war meist dann am größten, wenn die Option zum Deaktivieren von Pep gefunden wurde. Eine absichtlich mit Pep verschlüsselte E-Mail habe ich noch nicht erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. ab 62,99€
  2. (aktuell u. a. HyperX Alloy Elite RGB Tastatur für 109,90€, Netgear EX7700 Nighthawk X6 Repeater)
  3. 49,51€ (Bestpreis!)

Urs E. 07. Jun 2019

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf

ikhaya 30. Mai 2019

"Für sichere Kommunikation gibt es andere Systeme, die ihrerseits gut funktionieren." Is...


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  2. Elektroauto von VW Es hat sich bald ausgegolft
  3. ID.3 kommt Volkswagen verkauft den E-Golf zum Schnäppchenpreis

Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  2. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte
  3. Streaming Disney+ startet am 31. März 2020 in Deutschland

    •  /