Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker. Pep tritt an, die E-Mail-Verschlüsselung radikal zu vereinfachen - und macht alles noch komplizierter.

Ein Erfahrungsbericht von veröffentlicht am
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet.
Pretty Easy Privacy ist kein Superheld, der unser Netz rettet. (Bild: Pep Coop/Screenshot Golem.de/CC-BY-SA 4.0)

Glenn Greenwald wäre fast die Snowden-Story entgangen, weil ihm die Einrichtung von PGP/GPG zu aufwendig war. GPG, so die oft vorgebrachten Vorwürfe, sei kompliziert, keineswegs nutzerfreundlich und nicht mehr zeitgemäß. Die naheliegende Lösung: PGP in einfach und unkompliziert. Genau mit diesem Ziel tritt Pep (Pretty Easy Privacy) an und will die E-Mail-Verschlüsselung radikal vereinfachen.

Inhalt:
  1. Pretty Easy Privacy (Pep) ausprobiert: Einfache E-Mail-Verschlüsselung kann so kompliziert sein
  2. Trollen mit Pep

Ich habe sie ausprobiert und festgestellt: Statt ihrem Ziel gerecht zu werden, macht die Open-Source-Verschlüsselungs-Software alles komplizierter, fordert von GPG-Nutzern nicht weniger, sondern mehr Know-how und untergräbt die teils hart erarbeitete Sicherheit.

Ich benutze GPG seit meiner Schulzeit und das täglich. Ich habe Freunde und Bekannte überredet, GPG zu benutzen, Workshops gehalten und Menschen die Nutzung von GPG nähergebracht. Jedes Update, das ich installiere, wird mit Hilfe einer Signatur durch GPG geprüft. Kurz: Ich bin ein Freund von GPG. Von Pep bin ich allerdings kein Freund geworden.

Einfaches Chaos

Als ich vor einigen Monaten das erste Mal eine verschlüsselte Mail von einem Freund bekam, in deren Betreff schlicht "p≡p" stand, schwante mir bereits Böses. Der Freund hatte seinen Computer platt gemacht, dabei Thunderbird und Enigmail neu installiert und seine GPG-Schlüssel händisch über Enigmail wieder eingespielt. Da war es allerdings bereits zu spät: Enigmail lief im Junior-Modus und übernahm mit Pep die Kontrolle. Für die eingerichteten E-Mail-Konten wurden völlig automatisiert und ohne jegliche Nachfrage GPG-Schlüssel generiert - ohne Passwort, ohne Ablaufdatum, ohne alles. Nach dem Import des ursprünglichen und selbstgenerierten Schlüssels verwendete Enigmail einfach weiter den Pep-Schlüssel - und brachte den genannten Freund pretty easy zur Verzweiflung.

Pep untergräbt die Sicherheit

Stellenmarkt
  1. Head of IT/IT-Leiter (m/w/d)
    Sanner GmbH, Bensheim
  2. Software-Entwickler (m/w/d) Applikation (Linux)
    Ultratronik GmbH, Gilching bei München
Detailsuche

Ein ähnliches Problem hatte auch ein Verein, dessen Vereinsmailadresse von mehreren Personen mit dem gleichen Schlüssel verwaltet wird. Auch hier begannen die Thunderbird/Enigmail-Installationen einzelner Nutzer, selbst Pep-Schlüssel für die Vereinsmailadresse zu generieren und zu verwenden. Die Pep-Schlüssel wurden an jede versendete E-Mail angehängt, woraufhin einige Empfänger begannen, ihre Antworten an den Verein mit ebenjenen Pep-Schlüsseln zu verschlüsseln. Die so verschlüsselten Mails konnte im besten Fall nur eine Person lesen. Im ungünstigen Falle einer weiteren Neuinstallation kam gar kein Vereinsmitglied mehr an die Inhalte heran. Die geteilte Verschlüsselung der Mailadresse war dahin.

Dass Enigmail nach der Neuinstallation im Junior-Modus lief und damit automatisiert in ihren Sicherheitseinstellungen herumpfuscht, teilte die Software den Vereinsmitgliedern nicht mit. Sie mussten erst einmal herausfinden, was eigentlich los war. Auch das Deaktivieren von Pep gestaltete sich zumindest unter Ubuntu alles andere als einfach.

In den Enigmail-Einstellungen lässt sich der Junior-Modus und damit Pep zwar deaktivieren, unter Ubuntu werden den Nutzern jedoch die Design-Einstellungen zum Verhängnis. Die einzelnen Einstellungsreiter sind schlich nicht als solche zu erkennen. Erst wenn der Reiter "Kompatibilität" entdeckt wurde und die Auswahl von "Automatisch entscheiden, ob der Junior-Modus verwendet werden soll" zu der Einstellung "Nutzung von S/MIME und Enigmail" gewechselt wurde, kann GPG wieder wie gewohnt genutzt werden. Warum Nutzer dafür erst in den Optionen suchen müssen, bleibt unklar. Vielen Thunderbird/Enigmail-Nutzern war zudem überhaupt nicht klar, was die einzelnen, verschwurbelt formulierten Optionen bedeuten. Eine Hilfestellung oder Erklärung sucht man vergebens.

Doch damit nicht genug: Pep übernimmt auch das komplette Schlüsselmanagement. In einem Test konnte ich Pep beliebige Schlüssel unterjubeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Trollen mit Pep 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Elon Musk
Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
Artikel
  1. Loongson 3A5000: Chinesische Quadcore-CPU mit eigenem Befehlssatz
    Loongson 3A5000
    Chinesische Quadcore-CPU mit eigenem Befehlssatz

    50 Prozent schneller als der Vorgänger-Chip und dabei sparsamer: Der 3A5000 mit LoongArch-Technik stellt einen wichtigen Umbruch dar.

  2. Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
    Probefahrt mit EQS
    Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

    Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
    Ein Bericht von Friedhelm Greis

  3. Förderprogramm: Bund will Fachkräfte für Akkuindustrie ausbilden lassen
    Förderprogramm
    Bund will Fachkräfte für Akkuindustrie ausbilden lassen

    Die Aus- und Weiterbildung für Fachleute im Bereich Akkuproduktion und -entwicklung wird mit 40 Millionen Euro aus der Staatskasse gefördert.

Urs E. 07. Jun 2019

Sehr problematisch, so ein Artikel. Denn immerhin schafft es p=p Leute wie mich erneut zu...

vecirex 31. Mai 2019

Es geht bei dieser Prämisse nicht um automatisiertes Vertrauen, sondern automatisierte...

ErwinL 31. Mai 2019

Beglaubigen, Bestätigen, Verifizieren, Signieren, Zertifizieren Key/Schlüssel, Signatur...

ralf.wenzel 31. Mai 2019

Mehrere Personen nutzen verschiedene Hardware für E-Mails. Gar nicht so selten. Ralf

ikhaya 30. Mai 2019

"Für sichere Kommunikation gibt es andere Systeme, die ihrerseits gut funktionieren." Is...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • ASUS TUF VG279QM 280 Hz 306,22€ • Fractal Design Meshify C Mini 69,90€ • Acer Nitro XF243Y 165Hz OC ab 169€ • Samsung C24RG54FQR 125€ • EA-Promo bei Gamesplanet • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /