Abo
  • Services:
Anzeige
PEP will die Verschlüsselung von Nachrichten einfacher machen.
PEP will die Verschlüsselung von Nachrichten einfacher machen. (Bild: PEP)

Verschlüsselung: PEP will Nachrichtenverschlüsselung einfacher machen

PEP will die Verschlüsselung von Nachrichten einfacher machen.
PEP will die Verschlüsselung von Nachrichten einfacher machen. (Bild: PEP)

Das Projekt Pretty Easy Privacy will die Verschlüsselung von Nachrichten einfacher machen. Dabei erfindet PEP die Verschlüsselung nicht neu, sondern setzt auf bestehende Systeme wie PGP und Gnunet.

Anzeige

Bei den Datenspuren in Dresden, einer Veranstaltung des dortigen Chaos Computer Clubs, wurde am Wochenende das Projekt PEP vorgestellt. PEP steht für Pretty Easy Privacy und ist ein Versuch, Verschlüsselung für die breite Masse verfügbar zu machen.

PEP entstand im Umfeld des Chaos Computer Clubs Zürich und wird zurzeit federführend von Volker Birk entwickelt. Das Problem sei im Wesentlichen, so Birk, dass die bestehenden Verschlüsselungssysteme für viele Anwender zu kompliziert sind. An sein Publikum gerichtet, erläuterte Birk, dass die Anwesenden vermutlich in der Lage sind, herauszufinden, ob ihr Kommunikationspartner einen PGP-Schlüssel besitzt und auch wissen, wie sie dessen Echtheit prüfen und ihn anschließend nutzen können. Birks Ansatz ist, diese Vorgehensweise zu automatisieren.

Plugin für Outlook verfügbar

Als erstes Testobjekt wurde ein Plugin für Microsoft Outlook entwickelt. Wenn ein Nutzer nun eine E-Mail mit Outlook schreibt, so versucht PEP im Hintergrund, eine Möglichkeit zur verschlüsselten Kommunikation zu finden. Wenn der Empfänger bereits einen PGP-Key hat, wird dieser genutzt. Ebenso kann S/MIME genutzt werden. In der Standardeinstellung wird die Verbindung als "gelb" angezeigt. Das bedeutet, dass zwar Verschlüsselung genutzt wird, die Echtheit des Schlüssels aber nicht überprüft wurde.

Um die Echtheit zu prüfen, können sich die Kommunikationsteilnehmer Wörter gegenseitig vorlesen. Die Wörter repräsentieren die Fingerprints der genutzten kryptographischen Schlüssel. Das Überprüfen von Fingerprints wird bei PGP schon lange genutzt, doch statt Wörtern werden bislang üblicherweise hexadezimale Zahlenfolgen genutzt. Das sei, so Birk, für viele Anwender abschreckend. Die von PEP verwendeten Fingerprints sind lediglich ein Mapping der bestehenden Hexadezimalzeichen auf gewöhnliche Wörter.

Unterstützung für alle gängigen Nachrichtensysteme geplant

Das Outlook-Plugin soll nur der Anfang sein. Geplant ist, für sämtliche gängigen Nachrichtensysteme PEP-Erweiterungen zu schreiben. Birk will sich dabei an dem orientieren, was von der Masse der Anwender genutzt wird. So sollen auch Whatsapp- und Facebook-Nachrichten unterstützt werden. Auch Webmail-Anwendungen sollen mittels Browserplugins verschlüsselt werden. Bei mobilen Apps sind üblicherweise keine Plugin-Schnittstellen vorgesehen, daher müsse man hier auf eigene Apps ausweichen. Birk hofft, durch zusätzliche Features Nutzer von Whatsapp und ähnlichen Diensten trotzdem zum Umstieg bewegen zu können. Die offene Groupware Kolab hat bereits angekündigt, PEP in ihrer nächsten Version zu unterstützen.

Wenn beide Anwender PEP nutzen, ist geplant, dass die Nachricht nicht mehr über das bisher verwendete Kommunikationssystem verschickt wird. Stattdessen kommt hier Gnunet zum Einsatz, ein dezentrales Netzwerk, welches die Identität seiner Teilnehmer verschleiert. Gnunet gewährleistet somit auch einen Schutz der Metadaten. Die Idee dabei: Wenn irgendwann immer mehr Menschen PEP nutzen, könnte es sich irgendwann als neuer Kommunikationsstandard durchsetzen und bestehende Systeme ablösen. Birk plant, sämtliche verwendeten Technologien als RFC bei der IETF einzureichen, um sie zu standardisieren.

PEP ist freie Software

PEP ist freie Software und steht unter der GPL. Geplant ist auch eine Enterprise-Version für Firmenkunden. Diese soll sich jedoch technisch nicht von der freien Version unterscheiden. Der Grund hierfür ist laut Birk, dass große Firmen oft lieber ein Paket aus Software und Supportverträgen einkaufen möchten. Um den Anforderungen aus der Businesswelt zu entsprechen, will Birk auch umstrittene Features einbauen. So wollen Firmen meist eine Möglichkeit des Key Escrow: Eine zentrale Stelle soll in der Lage sein, bei Bedarf den Schlüssel eines Mitarbeiters zu rekonstruieren, beispielsweise falls dieser die Firma verlässt.

Um die Kunden in der Business-Welt anzusprechen, kooperiert Birk mit Leon Schumacher. Schumacher hat früher für Novartis und Arcelormittal gearbeitet. Laut Birk habe man für die Testphase drei große Firmen angefragt, ob sie an der Nutzung von PEP Interesse hätten und alle drei hätten zugesagt. Die Mischung ist sicher eine ungewöhnliche: Einerseits will PEP neben Privatanwendern Großkonzerne als Nutzer ansprechen, andererseits beruft sich das Projekt explizit auf das Cypherpunk-Manifest als Motivation für die Entwicklung.

Um die Entwicklung zu unterstützen, hat PEP eine Kampagne auf der Crowdfunding-Plattform Indiegogo gestartet. Nach zwei Tagen sind bereits etwa 14.000 Dollar an Unterstützung zugesagt worden.

Fazit

PEP ist ein sehr ambitioniertes Projekt. Durch die Verwendung bestehender, bewährter Technologien dürfte in Sachen Kryptographie erst einmal nicht viel schiefgehen. PEP verwendet für die Verschlüsselung im Regelfall GnuPG, gravierende Sicherheitslücken darin wären eine Überraschung. Allerdings: Vieles ist bislang nur eine Ankündigung. Die Unterstützung von praktisch allen gängigen Nachrichtensystemen wird sicher eine große Herausforderung und es bleibt abzuwarten, ob das PEP-Projekt diese meistern kann.

Eine Unschönheit ist uns aufgefallen: Die Webseite von PEP ist bislang nicht via HTTPS erreichbar. Das wirkt für ein Projekt, das die Kryptographie revolutionieren will, nicht angemessen.


eye home zur Startseite
fdik 18. Sep 2014

Hallo, da gehen unsere Ansichten wohl völlig auseinander. Ich halte das kommerzielle CA...

derKlaus 17. Sep 2014

In einem Unternehmen liegen die Mails ja in erster Linie auf einem Mailserver und nicht...

hannob (golem.de) 16. Sep 2014

Sorry, ärgerlicher Fehler, ist korrigiert.



Anzeige

Stellenmarkt
  1. Kreativagentur 1punkt7 GmbH & Co. KG, Berlin, Neubrandenburg
  2. Kaufmännische Krankenkasse ? KKH, Hannover
  3. Statistisches Bundesamt, Wiesbaden
  4. operational services GmbH & Co. KG, Nürnberg


Anzeige
Spiele-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. für 44,99€ statt 60,00€
  3. 5,00€

Folgen Sie uns
       


  1. Autonomes Fahren

    Singapur kündigt fahrerlose Busse an

  2. Coinhive

    Kryptominingskript in Chat-Widget entdeckt

  3. Monster Hunter World angespielt

    Die Nahrungskettensimulation

  4. Rechtsunsicherheit bei Cookies

    EU warnt vor Verzögerung von ePrivacy-Verordnung

  5. Schleswig-Holstein

    Bundesland hat bereits 32 Prozent echte Glasfaserabdeckung

  6. Tesla Semi

    Teslas Truck gibt es ab 150.000 US-Dollar

  7. Mobilfunk

    Netzqualität in der Bahn weiter nicht ausreichend

  8. Bake in Space

    Bloß keine Krümel auf der ISS

  9. Sicherheitslücke

    Fortinet vergisst, Admin-Passwort zu prüfen

  10. Angry Birds

    Rovio verbucht Quartalsverlust nach Börsenstart



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

Fitbit Ionic im Test: Die (noch) nicht ganz so smarte Sportuhr
Fitbit Ionic im Test
Die (noch) nicht ganz so smarte Sportuhr
  1. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  2. Wii Remote Nintendo muss 10 Millionen US-Dollar in Patentstreit zahlen
  3. Ionic Fitbit stellt Smartwatch mit Vier-Tage-Akku vor

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

  1. Re: iPhone X = Experimental

    stoneburner | 08:13

  2. Deutschlands größter Speicher steht in Goldisthal

    barforbarfoo | 07:41

  3. Re: 24/32

    esqe | 07:05

  4. Re: Entwickler kündigen

    GodsBoss | 06:56

  5. Re: Nicht jammern, sondern machen

    esqe | 06:54


  1. 17:56

  2. 15:50

  3. 15:32

  4. 14:52

  5. 14:43

  6. 12:50

  7. 12:35

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel