Trollen mit Pep

Um für die Nutzer die E-Mail-Verschlüsselung besonders einfach zu gestalten, übernimmt Pep die komplette Schlüsselverwaltung. Jeder gesendeten E-Mail wird der generierte Pep-Schlüssel automatisch angehängt. Nutzt auch der Empfänger die Software, antwortet dessen Pep automatisch mit seinem Schlüssel. Allerdings werden nicht nur diese automatisch ausgetauschten Schlüssel angenommen, sondern jeder Schlüssel im Anhang einer E-Mail.

Stellenmarkt
  1. IT-Security Specialist (w/m/d) Netzwerktechnik
    Dataport, verschiedene Standorte
  2. IT-Systemadministrator (m/w/d) First-Level-Support
    MVZ Labor Münster Hafenweg GmbH, Münster
Detailsuche

Ich generiere GPG-Schlüssel für verschiedene E-Mail-Adressen mit unterschiedlichen Domainendungen und sende sie als E-Mail-Anhang an eine Thunderbird-Installation mit Enigmail im Junior-Modus. Dort öffne ich die E-Mails und sehe - nichts. Thunderbird zeigt mir ungewöhnlicherweise nicht einmal an, dass die E-Mails einen Anhang enthalten. Die Schlüssel werden förmlich vor dem Nutzer versteckt, tauchen aber anschließend - vollautomatisch - in der Schlüsselverwaltung von Enigmail und im Schlüsselspeicher von GPG auf. Selbst ein Schlüssel für das Empfängerkonto, für das Pep bereits Schlüssel erstellt hat, wird ungefragt angenommen.

Wurde bereits verschlüsselt mit einer E-Mail-Adresse kommuniziert und ein Schlüsselaustausch durchgeführt, speichert Pep zwar meine untergejubelten Schlüssel, verwendet sie jedoch nicht. Bei allen E-Mail-Adressen, bei denen das nicht der Fall ist, werden die untergejubelten Schlüssel verwendet. Sei es, weil noch kein Schlüsselaustausch stattgefunden hat oder weil die betreffende E-Mail-Adresse keine Verschlüsselung mit GPG unterstützt. Diesen Mailadressen sendet der Nutzer automatisch unlesbare - weil mit meinen Schlüsseln verschlüsselte - E-Mails.

Zu einem Sicherheitsproblem dürfte es hier zwar nur im Einzelfall kommen, allerdings eignet sich Pep wunderbar, um Leute zu trollen.

Golem Akademie
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, virtuell
Weitere IT-Trainings

Dieser Automatismus kann jedoch an einer anderen Stelle zu Sicherheitsproblemen führen: GPG wird nicht nur zum Verschlüsseln von E-Mails eingesetzt, sondern auch zum Signieren von Software. Beispielsweise lässt sich mittels der Signaturen vor der Installation einer Nextcloud oder des Tor-Browsers überprüfen, ob die Software auf dem Weg mit einem Trojaner infiziert wurde. Über Pep könnten Nutzern gefälschte Schlüssel von Nextcloud, dem Tor-Projekt oder anderen Softwareprojekten untergeschoben werden. Wird die heruntergeladene Software auf dem Weg verändert und mit den gefälschten Schlüsseln signiert, könnten sich die Nutzer Schadsoftware einfangen - auch wenn sie die Software überprüft haben.

Nutzer wollen gefragt werden

Der Schlüsselaustausch ist immer ein kritischer Punkt von Public-Key-Kryptografie, an dem beispielsweise Man-in-the-Middle-Attacken (MitM) ansetzen können. Mit diesen werden die Schlüssel von beiden Kommunikationspartnern abgefangen und ausgetauscht. Dieses zentrale Problem löst Pep nicht, sondern automatisiert es.

Letztlich nimmt Pep Nutzern vor allem jede Menge Kontrolle aus der Hand und stellt kaum Fragen. Möchtest du Pep verwenden? Möchtest du diesen Schlüssel importieren? Diese Fragen sollte Pep den Nutzern stellen, statt den gesamten Verschlüsselungsprozess vor ihnen zu verstecken.

Am Ende erreicht Pep nicht einmal sein originäres Ziel. Die verschiedenen Betriebs-Modi und Automatismen vereinfachen das Leben des Nutzers nicht. Im Gegenteil, es verwirrt sie, untergräbt ihre Entscheidungen und damit ihre Sicherheit. In meinem Umfeld hat Pep bisher vor allem eins geschafft: Zu nerven und zu verunsichern. Die Freude war meist dann am größten, wenn die Option zum Deaktivieren von Pep gefunden wurde. Eine absichtlich mit Pep verschlüsselte E-Mail habe ich noch nicht erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  1.  
  2. 1
  3. 2


Urs E. 07. Jun 2019

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf



Aktuell auf der Startseite von Golem.de
LG HU915QE
Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
Artikel
  1. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

  2. Sexualisierte Gewalt gegen Kinder: Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle
    Sexualisierte Gewalt gegen Kinder
    Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle

    Ursprünglich hat die Sozialdemokratin die geplante EU-Überwachung des Internets befürwortet. Nun sagt sie etwas anderes zur Chatkontrolle.

  3. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • Alternate (u. a. Cooler Master Caliber R1 159,89€) • SanDisk Portable SSD 1 TB 81€ • Motorola Moto G60s 149€ [Werbung]
    •  /