Abo
  • IT-Karriere:

Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker. Pep tritt an, die E-Mail-Verschlüsselung radikal zu vereinfachen - und macht alles noch komplizierter.

Ein Erfahrungsbericht von veröffentlicht am
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet.
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet. (Bild: Pep Coop/Screenshot Golem.de/CC-BY-SA 4.0)

Glenn Greenwald wäre fast die Snowden-Story entgangen, weil ihm die Einrichtung von PGP/GPG zu aufwendig war. GPG, so die oft vorgebrachten Vorwürfe, sei kompliziert, keineswegs nutzerfreundlich und nicht mehr zeitgemäß. Die naheliegende Lösung: PGP in einfach und unkompliziert. Genau mit diesem Ziel tritt Pep (Pretty Easy Privacy) an und will die E-Mail-Verschlüsselung radikal vereinfachen.

Inhalt:
  1. Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  2. Trollen mit Pep

Ich habe sie ausprobiert und festgestellt: Statt ihrem Ziel gerecht zu werden, macht die Open-Source-Verschlüsselungs-Software alles komplizierter, fordert von GPG-Nutzern nicht weniger, sondern mehr Know-how und untergräbt die teils hart erarbeitete Sicherheit.

Ich benutze GPG seit meiner Schulzeit und das täglich. Ich habe Freunde und Bekannte überredet, GPG zu benutzen, Workshops gehalten und Menschen die Nutzung von GPG nähergebracht. Jedes Update, das ich installiere, wird mit Hilfe einer Signatur durch GPG geprüft. Kurz: Ich bin ein Freund von GPG. Von Pep bin ich allerdings kein Freund geworden.

Einfaches Chaos

Als ich vor einigen Monaten das erste Mal eine verschlüsselte Mail von einem Freund bekam, in deren Betreff schlicht "p≡p" stand, schwante mir bereits Böses. Der Freund hatte seinen Computer platt gemacht, dabei Thunderbird und Enigmail neu installiert und seine GPG-Schlüssel händisch über Enigmail wieder eingespielt. Da war es allerdings bereits zu spät: Enigmail lief im Junior-Modus und übernahm mit Pep die Kontrolle. Für die eingerichteten E-Mail-Konten wurden völlig automatisiert und ohne jegliche Nachfrage GPG-Schlüssel generiert - ohne Passwort, ohne Ablaufdatum, ohne alles. Nach dem Import des ursprünglichen und selbstgenerierten Schlüssels verwendete Enigmail einfach weiter den Pep-Schlüssel - und brachte den genannten Freund pretty easy zur Verzweiflung.

Pep untergräbt die Sicherheit

Stellenmarkt
  1. BWI GmbH, Meckenheim
  2. hubergroup Deutschland GmbH, Kirchheim bei München

Ein ähnliches Problem hatte auch ein Verein, dessen Vereinsmailadresse von mehreren Personen mit dem gleichen Schlüssel verwaltet wird. Auch hier begannen die Thunderbird/Enigmail-Installationen einzelner Nutzer, selbst Pep-Schlüssel für die Vereinsmailadresse zu generieren und zu verwenden. Die Pep-Schlüssel wurden an jede versendete E-Mail angehängt, woraufhin einige Empfänger begannen, ihre Antworten an den Verein mit ebenjenen Pep-Schlüsseln zu verschlüsseln. Die so verschlüsselten Mails konnte im besten Fall nur eine Person lesen. Im ungünstigen Falle einer weiteren Neuinstallation kam gar kein Vereinsmitglied mehr an die Inhalte heran. Die geteilte Verschlüsselung der Mailadresse war dahin.

Dass Enigmail nach der Neuinstallation im Junior-Modus lief und damit automatisiert in ihren Sicherheitseinstellungen herumpfuscht, teilte die Software den Vereinsmitgliedern nicht mit. Sie mussten erst einmal herausfinden, was eigentlich los war. Auch das Deaktivieren von Pep gestaltete sich zumindest unter Ubuntu alles andere als einfach.

In den Enigmail-Einstellungen lässt sich der Junior-Modus und damit Pep zwar deaktivieren, unter Ubuntu werden den Nutzern jedoch die Design-Einstellungen zum Verhängnis. Die einzelnen Einstellungsreiter sind schlich nicht als solche zu erkennen. Erst wenn der Reiter "Kompatibilität" entdeckt wurde und die Auswahl von "Automatisch entscheiden, ob der Junior-Modus verwendet werden soll" zu der Einstellung "Nutzung von S/MIME und Enigmail" gewechselt wurde, kann GPG wieder wie gewohnt genutzt werden. Warum Nutzer dafür erst in den Optionen suchen müssen, bleibt unklar. Vielen Thunderbird/Enigmail-Nutzern war zudem überhaupt nicht klar, was die einzelnen, verschwurbelt formulierten Optionen bedeuten. Eine Hilfestellung oder Erklärung sucht man vergebens.

Doch damit nicht genug: Pep übernimmt auch das komplette Schlüsselmanagement. In einem Test konnte ich Pep beliebige Schlüssel unterjubeln.

Trollen mit Pep 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 179,99€ (Vergleichspreis 219€)
  2. (u. a. Overwatch GOTY XBO für 15€ und Blu-ray-Angebote)
  3. (u. a. Hell Let Loose für 15,99€, Hitman 2 für 15,49€ und PSN Card 25 Euro [DE] für 21,99€)
  4. (u. a. SanDisk SSD Plus 1 TB für 88€ + Versand oder kostenlose Marktabholung)

Urs E. 07. Jun 2019

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf

ikhaya 30. Mai 2019

"Für sichere Kommunikation gibt es andere Systeme, die ihrerseits gut funktionieren." Is...


Folgen Sie uns
       


Fernsteuerung für autonome Autos angesehen

Das Fraunhofer-Institut für Offene Kommunikationssysteme zeigt die Fernsteuerung von Autos über Mobilfunk.

Fernsteuerung für autonome Autos angesehen Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

10th Gen Core: Intel verwirrt mit 1000er- und 10000er-Prozessoren
10th Gen Core
Intel verwirrt mit 1000er- und 10000er-Prozessoren

Ifa 2019 Wer nicht genau hinschaut, erhält statt eines vierkernigen 10-nm-Chips mit schneller Grafikeinheit einen Dualcore mit 14++-Technik und lahmer iGPU: Intels Namensschema für Ice Lake und Comet Lake alias der 10th Gen macht das CPU-Portfolio wenig transparent.
Von Marc Sauter

  1. Neuromorphic Computing Intel simuliert 8 Millionen Neuronen mit 64 Loihi-Chips
  2. EMIB trifft Foveros Intel kombiniert 3D- mit 2.5D-Stacking
  3. Nervana NNP-I Intels 10-nm-Inferencing-Chip nutzt Ice-Lake-Kerne

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

    •  /