Abo
  • IT-Karriere:

Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker. Pep tritt an, die E-Mail-Verschlüsselung radikal zu vereinfachen - und macht alles noch komplizierter.

Ein Erfahrungsbericht von veröffentlicht am
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet.
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet. (Bild: Pep Coop/Screenshot Golem.de/CC-BY-SA 4.0)

Glenn Greenwald wäre fast die Snowden-Story entgangen, weil ihm die Einrichtung von PGP/GPG zu aufwendig war. GPG, so die oft vorgebrachten Vorwürfe, sei kompliziert, keineswegs nutzerfreundlich und nicht mehr zeitgemäß. Die naheliegende Lösung: PGP in einfach und unkompliziert. Genau mit diesem Ziel tritt Pep (Pretty Easy Privacy) an und will die E-Mail-Verschlüsselung radikal vereinfachen.

Inhalt:
  1. Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  2. Trollen mit Pep

Ich habe sie ausprobiert und festgestellt: Statt ihrem Ziel gerecht zu werden, macht die Open-Source-Verschlüsselungs-Software alles komplizierter, fordert von GPG-Nutzern nicht weniger, sondern mehr Know-how und untergräbt die teils hart erarbeitete Sicherheit.

Ich benutze GPG seit meiner Schulzeit und das täglich. Ich habe Freunde und Bekannte überredet, GPG zu benutzen, Workshops gehalten und Menschen die Nutzung von GPG nähergebracht. Jedes Update, das ich installiere, wird mit Hilfe einer Signatur durch GPG geprüft. Kurz: Ich bin ein Freund von GPG. Von Pep bin ich allerdings kein Freund geworden.

Einfaches Chaos

Als ich vor einigen Monaten das erste Mal eine verschlüsselte Mail von einem Freund bekam, in deren Betreff schlicht "p≡p" stand, schwante mir bereits Böses. Der Freund hatte seinen Computer platt gemacht, dabei Thunderbird und Enigmail neu installiert und seine GPG-Schlüssel händisch über Enigmail wieder eingespielt. Da war es allerdings bereits zu spät: Enigmail lief im Junior-Modus und übernahm mit Pep die Kontrolle. Für die eingerichteten E-Mail-Konten wurden völlig automatisiert und ohne jegliche Nachfrage GPG-Schlüssel generiert - ohne Passwort, ohne Ablaufdatum, ohne alles. Nach dem Import des ursprünglichen und selbstgenerierten Schlüssels verwendete Enigmail einfach weiter den Pep-Schlüssel - und brachte den genannten Freund pretty easy zur Verzweiflung.

Pep untergräbt die Sicherheit

Stellenmarkt
  1. SSC-Services GmbH, Böblingen bei Stuttgart
  2. ING-DiBa AG, Nürnberg, Frankfurt

Ein ähnliches Problem hatte auch ein Verein, dessen Vereinsmailadresse von mehreren Personen mit dem gleichen Schlüssel verwaltet wird. Auch hier begannen die Thunderbird/Enigmail-Installationen einzelner Nutzer, selbst Pep-Schlüssel für die Vereinsmailadresse zu generieren und zu verwenden. Die Pep-Schlüssel wurden an jede versendete E-Mail angehängt, woraufhin einige Empfänger begannen, ihre Antworten an den Verein mit ebenjenen Pep-Schlüsseln zu verschlüsseln. Die so verschlüsselten Mails konnte im besten Fall nur eine Person lesen. Im ungünstigen Falle einer weiteren Neuinstallation kam gar kein Vereinsmitglied mehr an die Inhalte heran. Die geteilte Verschlüsselung der Mailadresse war dahin.

Dass Enigmail nach der Neuinstallation im Junior-Modus lief und damit automatisiert in ihren Sicherheitseinstellungen herumpfuscht, teilte die Software den Vereinsmitgliedern nicht mit. Sie mussten erst einmal herausfinden, was eigentlich los war. Auch das Deaktivieren von Pep gestaltete sich zumindest unter Ubuntu alles andere als einfach.

In den Enigmail-Einstellungen lässt sich der Junior-Modus und damit Pep zwar deaktivieren, unter Ubuntu werden den Nutzern jedoch die Design-Einstellungen zum Verhängnis. Die einzelnen Einstellungsreiter sind schlich nicht als solche zu erkennen. Erst wenn der Reiter "Kompatibilität" entdeckt wurde und die Auswahl von "Automatisch entscheiden, ob der Junior-Modus verwendet werden soll" zu der Einstellung "Nutzung von S/MIME und Enigmail" gewechselt wurde, kann GPG wieder wie gewohnt genutzt werden. Warum Nutzer dafür erst in den Optionen suchen müssen, bleibt unklar. Vielen Thunderbird/Enigmail-Nutzern war zudem überhaupt nicht klar, was die einzelnen, verschwurbelt formulierten Optionen bedeuten. Eine Hilfestellung oder Erklärung sucht man vergebens.

Doch damit nicht genug: Pep übernimmt auch das komplette Schlüsselmanagement. In einem Test konnte ich Pep beliebige Schlüssel unterjubeln.

Trollen mit Pep 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 8,99€
  2. (-72%) 16,99€
  3. 2,99€

Urs E. 07. Jun 2019 / Themenstart

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019 / Themenstart

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019 / Themenstart

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019 / Themenstart

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf

ikhaya 30. Mai 2019 / Themenstart

"Für sichere Kommunikation gibt es andere Systeme, die ihrerseits gut funktionieren." Is...

Kommentieren


Folgen Sie uns
       


Proglove Scanhandschuh ausprobiert

Der Mark II von Proglove ist ein Barcode-Scanner, den sich Nutzer um die Hand schnallen können. Das Gerät ist klein und sehr leicht - wir haben es nach wenigen Minuten schon nicht mehr bemerkt.

Proglove Scanhandschuh ausprobiert Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Elektromobilität: Wohin mit den vielen Akkus?
Elektromobilität
Wohin mit den vielen Akkus?

Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
Ein Bericht von Dirk Kunde

  1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
  2. Batterieherstellung Kampf um die Zelle
  3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

Digitaler Knoten 4.0: Auto und Ampel im Austausch
Digitaler Knoten 4.0
Auto und Ampel im Austausch

Auf der Autobahn klappt das autonome Fahren schon recht gut. In der Stadt brauchen die Autos jedoch Unterstützung. In Braunschweig testet das DLR die Vernetzung von Autos und Infrastruktur, damit die autonom fahrenden Autos im fließenden Verkehr links abbiegen können.
Ein Bericht von Werner Pluta

  1. LTE-V2X vs. WLAN 802.11p Wer hat Recht im Streit ums Auto-WLAN?
  2. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  3. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    •  /