• IT-Karriere:
  • Services:

Trollen mit Pep

Um für die Nutzer die E-Mail-Verschlüsselung besonders einfach zu gestalten, übernimmt Pep die komplette Schlüsselverwaltung. Jeder gesendeten E-Mail wird der generierte Pep-Schlüssel automatisch angehängt. Nutzt auch der Empfänger die Software, antwortet dessen Pep automatisch mit seinem Schlüssel. Allerdings werden nicht nur diese automatisch ausgetauschten Schlüssel angenommen, sondern jeder Schlüssel im Anhang einer E-Mail.

Stellenmarkt
  1. BEHG HOLDING AG, Berlin
  2. Universität Potsdam, Potsdam

Ich generiere GPG-Schlüssel für verschiedene E-Mail-Adressen mit unterschiedlichen Domainendungen und sende sie als E-Mail-Anhang an eine Thunderbird-Installation mit Enigmail im Junior-Modus. Dort öffne ich die E-Mails und sehe - nichts. Thunderbird zeigt mir ungewöhnlicherweise nicht einmal an, dass die E-Mails einen Anhang enthalten. Die Schlüssel werden förmlich vor dem Nutzer versteckt, tauchen aber anschließend - vollautomatisch - in der Schlüsselverwaltung von Enigmail und im Schlüsselspeicher von GPG auf. Selbst ein Schlüssel für das Empfängerkonto, für das Pep bereits Schlüssel erstellt hat, wird ungefragt angenommen.

Wurde bereits verschlüsselt mit einer E-Mail-Adresse kommuniziert und ein Schlüsselaustausch durchgeführt, speichert Pep zwar meine untergejubelten Schlüssel, verwendet sie jedoch nicht. Bei allen E-Mail-Adressen, bei denen das nicht der Fall ist, werden die untergejubelten Schlüssel verwendet. Sei es, weil noch kein Schlüsselaustausch stattgefunden hat oder weil die betreffende E-Mail-Adresse keine Verschlüsselung mit GPG unterstützt. Diesen Mailadressen sendet der Nutzer automatisch unlesbare - weil mit meinen Schlüsseln verschlüsselte - E-Mails.

Zu einem Sicherheitsproblem dürfte es hier zwar nur im Einzelfall kommen, allerdings eignet sich Pep wunderbar, um Leute zu trollen.

Dieser Automatismus kann jedoch an einer anderen Stelle zu Sicherheitsproblemen führen: GPG wird nicht nur zum Verschlüsseln von E-Mails eingesetzt, sondern auch zum Signieren von Software. Beispielsweise lässt sich mittels der Signaturen vor der Installation einer Nextcloud oder des Tor-Browsers überprüfen, ob die Software auf dem Weg mit einem Trojaner infiziert wurde. Über Pep könnten Nutzern gefälschte Schlüssel von Nextcloud, dem Tor-Projekt oder anderen Softwareprojekten untergeschoben werden. Wird die heruntergeladene Software auf dem Weg verändert und mit den gefälschten Schlüsseln signiert, könnten sich die Nutzer Schadsoftware einfangen - auch wenn sie die Software überprüft haben.

Nutzer wollen gefragt werden

Der Schlüsselaustausch ist immer ein kritischer Punkt von Public-Key-Kryptografie, an dem beispielsweise Man-in-the-Middle-Attacken (MitM) ansetzen können. Mit diesen werden die Schlüssel von beiden Kommunikationspartnern abgefangen und ausgetauscht. Dieses zentrale Problem löst Pep nicht, sondern automatisiert es.

Letztlich nimmt Pep Nutzern vor allem jede Menge Kontrolle aus der Hand und stellt kaum Fragen. Möchtest du Pep verwenden? Möchtest du diesen Schlüssel importieren? Diese Fragen sollte Pep den Nutzern stellen, statt den gesamten Verschlüsselungsprozess vor ihnen zu verstecken.

Am Ende erreicht Pep nicht einmal sein originäres Ziel. Die verschiedenen Betriebs-Modi und Automatismen vereinfachen das Leben des Nutzers nicht. Im Gegenteil, es verwirrt sie, untergräbt ihre Entscheidungen und damit ihre Sicherheit. In meinem Umfeld hat Pep bisher vor allem eins geschafft: Zu nerven und zu verunsichern. Die Freude war meist dann am größten, wenn die Option zum Deaktivieren von Pep gefunden wurde. Eine absichtlich mit Pep verschlüsselte E-Mail habe ich noch nicht erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  1.  
  2. 1
  3. 2


Anzeige
Mobile-Angebote
  1. 499,90€
  2. 569€ (Bestpreis!)
  3. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

Urs E. 07. Jun 2019

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf

ikhaya 30. Mai 2019

"Für sichere Kommunikation gibt es andere Systeme, die ihrerseits gut funktionieren." Is...


Folgen Sie uns
       


Besuch beim Cyberbunker

Wir haben uns den ominösen Cyberbunker an der Mosel oberhalb von Traben-Trarbach von außen angeschaut.

Besuch beim Cyberbunker Video aufrufen
Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Geforce RTX 3060 Ti im Test: Die wäre toll, wenn verfügbar-Grafikkarte
Geforce RTX 3060 Ti im Test
Die "wäre toll, wenn verfügbar"-Grafikkarte

Mit der Geforce RTX 3060 Ti bringt Nvidia die Ampere-Technik in das 400-Euro-Segment. Dort ist die Radeon RX 5700 XT chancenlos.
Ein Test von Marc Sauter

  1. Supercomputer-Beschleuniger Nvidia verdoppelt Videospeicher des A100
  2. Nvidia Geforce RTX 3080 Ti kommt im Januar 2021 für 1.000 US-Dollar
  3. Ampere-Grafikkarten Specs der RTX 3080 Ti und RTX 3060 Ti

    •  /