Eine Lanze für PGP/GPG

Die c’t fordert in ihrem aktuellen Editorial, das man PGP sterben lassen solle, da es technisch veraltet sei und neuen Ideen nur im Weg stehen würde.

Mal ganz abgesehen davon, das PGP momentan das einzige Verschlüsselungssystem für Mails ist, von dem bekannt ist, das sich die Nachrichtendienste daran die Zähne ausbeißen und bei dem man nicht auf irgendwelche mehr oder weniger vertrauenswürdige Zertifizierungsstellen angewiesen ist, halte ich viel mehr die Implementierung von PGP in aktuelle Mail-Clients gelinde gesagt für total scheiße.

Es wäre auch heute schon durchaus möglich, Mails mit PGP zu verschlüsseln, ohne das der Anwender ständig involviert werden muss:

  • PGP-Keys könnten bei der Einrichtung der Mail-Konten automatisch erzeugt und auf einen Keyserver hochgeladen werden, sofern sie noch nicht existieren und der User es wünscht.
  • Auf das Hinterlegen der Key-ID in den Kontoeinstellungen kann man genau so gut verzichten, indem man vor dem Absenden einer Mail im lokalen PGP-Keyring nach einem privaten Schlüssel für die Absender-Adresse schaut und diesen dann verwendet.
  • Beim Empfang einer verschlüsselten Nachricht wird automatisch im Hintergrund der öffentliche Schlüssel der Absenderadresse importiert und die Mail anschließend entschlüsselt.
  • Wenn im lokalen PGP-Keyring ein öffentlicher Schlüssel für die Empfängeradresse vorhanden ist, wird die Mail automatisch verschlüsselt.
  • Alternativ könnte vor dem Absenden einer Mail online geprüft werden, ob ein öffentlicher Schlüssel für die Empfängeradresse existiert. Wenn ja, wird der Key importiert und die Mail verschlüsselt.

Man könnte also durchaus PGP so in die Mail-Clients integrieren, das der Anwender außer bei der erstmaligen Erzeugung des PGP-Keys für eine Mail-Adresse es gar nicht bemerkt. Wenn man es denn wollte …

Oder um es etwas technischer zu formulieren: PGP ist im Grunde nur ein Framework für die Verschlüsselung von Daten, das bislang nur lieblos in die Mail-Clients integriert wurde, weil die Entwickler nicht willens oder in der Lage waren, sich die Perspektive der Endanwender zu versetzen.

CC BY-SA 4.0 Eine Lanze für PGP/GPG von Heiko Adams ist lizenziert unter Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 4.0 international.

4 Antworten auf „Eine Lanze für PGP/GPG“

  1. Zunächst. Ich kann alles unterschreiben was Du sagst.

    Und doch kann ich auch die Argumentation von Jürgen Schmidt gut nachvollziehen. Ich glaube nicht, dass er wirklich PGP konkret aufgeben will. Ich glaube, er überzeichnet das Bild, dass er entwirft. Und, mal ganz ehrlich, aus Sicht eines Menschen, der schon sehr lange Projekte schiebt: Bestehendes ändern, dass schon seit vielen Jahren existiert und für das es eingefahrene Schnittstellen gibt, ist quasi unmöglich. Und an genau dem Punkt setzt nach meiner Interpretation Jürgen Schmidt an. Jetzt, im Augenblick, ist aus meiner Sicht, PGP quasi unersetzbar. Andererseits wird es auch aus meiner Sicht erst große Fortschritte geben, wenn ein vollkommen neuer Ansatz das Licht der Welt erblickt.

    1. Das ist ja auch mein Gedanke. Auf absehbare Zeit wirst Du GPG nicht ersetzen können und darum kannst Du nur die Implementierung in die Clients überdenken und verbessern.

  2. Leider tut sich bei der Implementierung offenbar eher wenig. Gerade weil Mozilla ja vor einiger Zeit beschlossen hat, Thunderbird nicht weiter zu entwickeln, kommt hier keine große Fahrt auf. Ich würde mich doch sehr freuen, wenn man bei Mozilla das Thunderbird-Projekt nochmal anschaut und vielleicht gerade vor dem Hintergrund der Snowden-Dokumente und dem Tun von NSA und GCHQ seinen Fokus auch wieder mehr auf Thunderbird richten würde. Indes muss man akzeptieren, dass die Ressourcen begrenzt sind. Und ein sich Abwenden vom (Mozilla)Browser täte der Akzeptanz am Markt sicher nicht gut tun. Es ist wie es oft ist: die großen mit den dicken Etats, hier mal nicht Microsoft, Facebook, Google & Co., sondern eher die Etats der „five eyes“ Staaten, sind einmal mehr wie der Kampf David gegen Goliath. Leider..

    1. Naja, für Thunderbird gibt es ja mit Enigmail schon eine sehr gute GPG-Implementierung. Bei Evolution z.B. sieht das schon wieder ganz anders aus. Im negativen Sinne.

      Ich überlege auch schon, ob ich von Evolution wieder zurück zu Thunderbird wechsle. Dank IMAP-Konten ist ja zum Glück recht schmerzfrei möglich 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.