Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker. Pep tritt an, die E-Mail-Verschlüsselung radikal zu vereinfachen - und macht alles noch komplizierter.

Ein Erfahrungsbericht von veröffentlicht am
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet.
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet. (Bild: Pep Coop/Screenshot Golem.de/CC-BY-SA 4.0)

Glenn Greenwald wäre fast die Snowden-Story entgangen, weil ihm die Einrichtung von PGP/GPG zu aufwendig war. GPG, so die oft vorgebrachten Vorwürfe, sei kompliziert, keineswegs nutzerfreundlich und nicht mehr zeitgemäß. Die naheliegende Lösung: PGP in einfach und unkompliziert. Genau mit diesem Ziel tritt Pep (Pretty Easy Privacy) an und will die E-Mail-Verschlüsselung radikal vereinfachen.

Inhalt:
  1. Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  2. Trollen mit Pep

Ich habe sie ausprobiert und festgestellt: Statt ihrem Ziel gerecht zu werden, macht die Open-Source-Verschlüsselungs-Software alles komplizierter, fordert von GPG-Nutzern nicht weniger, sondern mehr Know-how und untergräbt die teils hart erarbeitete Sicherheit.

Ich benutze GPG seit meiner Schulzeit und das täglich. Ich habe Freunde und Bekannte überredet, GPG zu benutzen, Workshops gehalten und Menschen die Nutzung von GPG nähergebracht. Jedes Update, das ich installiere, wird mit Hilfe einer Signatur durch GPG geprüft. Kurz: Ich bin ein Freund von GPG. Von Pep bin ich allerdings kein Freund geworden.

Einfaches Chaos

Als ich vor einigen Monaten das erste Mal eine verschlüsselte Mail von einem Freund bekam, in deren Betreff schlicht "p≡p" stand, schwante mir bereits Böses. Der Freund hatte seinen Computer platt gemacht, dabei Thunderbird und Enigmail neu installiert und seine GPG-Schlüssel händisch über Enigmail wieder eingespielt. Da war es allerdings bereits zu spät: Enigmail lief im Junior-Modus und übernahm mit Pep die Kontrolle. Für die eingerichteten E-Mail-Konten wurden völlig automatisiert und ohne jegliche Nachfrage GPG-Schlüssel generiert - ohne Passwort, ohne Ablaufdatum, ohne alles. Nach dem Import des ursprünglichen und selbstgenerierten Schlüssels verwendete Enigmail einfach weiter den Pep-Schlüssel - und brachte den genannten Freund pretty easy zur Verzweiflung.

Pep untergräbt die Sicherheit

Stellenmarkt
  1. Software Developer (d/m/w) - Firmware
    OSRAM GmbH, Paderborn
  2. Solution Architect Enterprise Integration & API Platform (m/w / divers)
    Lufthansa Cargo AG, Frankfurt am Main
Detailsuche

Ein ähnliches Problem hatte auch ein Verein, dessen Vereinsmailadresse von mehreren Personen mit dem gleichen Schlüssel verwaltet wird. Auch hier begannen die Thunderbird/Enigmail-Installationen einzelner Nutzer, selbst Pep-Schlüssel für die Vereinsmailadresse zu generieren und zu verwenden. Die Pep-Schlüssel wurden an jede versendete E-Mail angehängt, woraufhin einige Empfänger begannen, ihre Antworten an den Verein mit ebenjenen Pep-Schlüsseln zu verschlüsseln. Die so verschlüsselten Mails konnte im besten Fall nur eine Person lesen. Im ungünstigen Falle einer weiteren Neuinstallation kam gar kein Vereinsmitglied mehr an die Inhalte heran. Die geteilte Verschlüsselung der Mailadresse war dahin.

Dass Enigmail nach der Neuinstallation im Junior-Modus lief und damit automatisiert in ihren Sicherheitseinstellungen herumpfuscht, teilte die Software den Vereinsmitgliedern nicht mit. Sie mussten erst einmal herausfinden, was eigentlich los war. Auch das Deaktivieren von Pep gestaltete sich zumindest unter Ubuntu alles andere als einfach.

In den Enigmail-Einstellungen lässt sich der Junior-Modus und damit Pep zwar deaktivieren, unter Ubuntu werden den Nutzern jedoch die Design-Einstellungen zum Verhängnis. Die einzelnen Einstellungsreiter sind schlich nicht als solche zu erkennen. Erst wenn der Reiter "Kompatibilität" entdeckt wurde und die Auswahl von "Automatisch entscheiden, ob der Junior-Modus verwendet werden soll" zu der Einstellung "Nutzung von S/MIME und Enigmail" gewechselt wurde, kann GPG wieder wie gewohnt genutzt werden. Warum Nutzer dafür erst in den Optionen suchen müssen, bleibt unklar. Vielen Thunderbird/Enigmail-Nutzern war zudem überhaupt nicht klar, was die einzelnen, verschwurbelt formulierten Optionen bedeuten. Eine Hilfestellung oder Erklärung sucht man vergebens.

Doch damit nicht genug: Pep übernimmt auch das komplette Schlüsselmanagement. In einem Test konnte ich Pep beliebige Schlüssel unterjubeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Trollen mit Pep 
  1. 1
  2. 2
  3.  


Urs E. 07. Jun 2019

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

  2. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  3. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /