Monthly Archive:: Juli 2018

Daten- und Informantenschutz

Was hat es mit der neuen Email-Verschlüsselung p≡p auf sich?

Die Kritik war ja berechtigt: Email-Verschlüsselung ist zu kompliziert für den täglichen Gebrauch, z.B. im Journalismus. Seit einigen Jahren haben verschiedene Entwickler deshalb nach Lösungen gesucht. Ein gut durchdachter Ansatz namens „Pretty Easy Privacy“ (p≡p bzw. pEp) bekam 2015 bei einem Crowdfunding über 50.000$, auch dank bekannter Unterstützer wie Juli Zeh, Marc-Uwe Kling und Sibylle Berg. Vor einigen Wochen wurde die Lösung nun in das bekannte Enigmail (Thunderbird-Plugin) eingebaut, ein Plugin für Outlook gibt es schon länger. Das tolle: Die Lösung basiert auf dem klassischen OpenPGP, ist entsprechend kompatibel und genauso sicher – aber macht absolut keine Mühe. Damit gibt es endlich einen Kandidaten für eine „Volksverschlüsselung“, die alle nutzen können – aber insbesondere natürlich sensible Berufsgruppen wie Journalisten. Und mit der Unterstützung für Outlook kann man auch im Umfeld klassischer Büro-IT verschlüsselt kommunizieren (und so z.B. die strengen Datenschutzanforderungen der DSGVO umsetzen).

Was ist einfacher geworden

  • Man muss nur noch ein einziges Plugin installieren. Alle benötigten Bestandteile werden bei Bedarf nachgeladen
  • Man muss keine Schlüssel mehr erzeugen. Das geschieht automatisch
  • Man muss die Schlüssel nicht mehr austauschen oder auf einen Schlüsselserver laden. p≡p erkennt automatisch, wenn der Email-Partner eine Verschlüsselung hat und tauscht die Schlüssel mit ihm aus. Spätestens die zweite Email ist also schon verschlüsselt, ohne dass man etwas machen musste.
  • Man muss standardmäßig keine Passwörter mehr eingeben, um die Emails zu lesen
  • Zukünftig: Man muss die Schlüssel nicht mehr manuell von einem Gerät auf das andere übertragen

Wer kann/soll die neue Verschlüsselung jetzt schon nutzen?

Absolut alle, die ihre Emails mit Thunderbird oder Outlook lesen (oder bereit sind, von Apple Mail auf Thunderbird umzusteigen). Wer Emails vor allem auf dem Handy liest, sollte noch etwas warten: Eine App für Android ist fast fertig – der automatische Import der Schlüssel funktioniert aber noch nicht. Wer die Mühe nicht scheut, kann als vorübergehenden Workaround eine klassische OpenPGP-Kombi auf dem Handy installieren, und die Schlüssel manuell über USB aufs Handy übertragen (Tutorial).
Auch eine App für iOS ist in Arbeit.
Für Nutzer, die ihre Emails im Browser lesen, wird es vermutlich keine Lösung geben. (Dafür gibt es zwar das bekannte Plugin Mailvelope, aber dort wird man p≡p nicht verwenden. Der Grund: p≡p schreibt Nachrichten grundsätzlich in den Anhang. Und weil die Webmail-Dienste die Anhänge nicht automatisch anzeigen, wäre eine Integration in Mailvelope nutzlos oder sehr unpraktisch).

Wie installiert man die neue Verschlüsselung?

Thunderbird: p≡p ist im klassischen Enigmail integriert. Im Thunderbird-Menü also unter Plugins nach Enigmail suchen, dann den Installations-Anweisungen folgen.
Outlook: Das installierfertige Plugin richtet sich an gewerbliche Nutzer (25€/Jahr) und wird von Digitalcourage vertrieben. Die Software ist aber dennoch Open Source und kann theoretisch auch kostenlos selbst kompiliert und genutzt werden. Auch hier ist mit der Installation alles einsatzbereit.
Die App für Android (Play Store/F-Droid) ist da, aber noch nicht wirklich nutzbar.
Die App für iOs ist noch in der intensiven Entwicklung.

Wie nutze ich die neue Verschlüsselung?

Nach der Einrichtung hat man ohne Zutun ein eigenes Schlüsselpaar und kann beliebigen Leuten wie gewohnt Emails schreiben. Diese sind erstmal unverschlüsselt, was unten in der Leiste angezeigt wird.

Wenn der Emailpartner auch p≡p nutzt, tauschen die zwei Emailsprogramm aber nach dem ersten Emailwechsel automatisch im Hintergrund die Schlüssel aus. Bereits wenn ich eine zweite Email schreibe, ist die Verschlüsselung aktiviert.

Wenn man sich zusätzlich noch gegen die seltenen Man-in-the-Middle-Angriffe schützen will, muss man auf das gelbe Dreieck oder das gelbe „Sicher“ am unteren Rand klicken und damit den „Handshake“ starten. Codewörter live oder per Telefon überprüfen und bestätigen – nun ist der Status immer grün (Sicher & Vertraut).

Optional kann man sich mit einem Handshake gegen die seltenen man-in-the-middle-Angriffe schützen.

Wie lese ich meine verschlüsselten Emails auf mehren Geräten?

Das war früher ebenfalls mühsam: Die Schlüssel mussten manuell z.B. vom Laptop auf das Handy übertragen werden, damit man dort auch verschlüsselte Emails lesen konnte. In der Zukunft ist vorgesehen, dass man Geräte zu einer sogenannten Device Group zusammenfasst. Diese legen ihre Schlüssel dann in einem IMAP-Ordner ab (Update: das hab ich falsch verstanden) tauschen ihre Schlüssel dann über den IMAP-Ordner verschlüsselt aus (nur nach Trustword-Abgleich), so dass alles immer synchronisiert ist und alle Emails überall lesbar sind. So kann man beispielsweise auch auf dem Handy mit der p≡p-App die verschlüsselten Emails lesen.
Dieser Teil ist allerdings noch nicht fertig (weder in Enigmail noch in der App). Lesen auf mehreren Computern ist mit einem Zwischenschritt aber kein Problem: In Thunderbird kann man alle Schlüssel (auch den privaten Schlüssel) über Menü/Enigmail/Schlüsselverwaltung in eine Datei exportieren und dann auf dem anderen Computer importieren.

Hat sich etwas an der Sicherheit geändert?

  1. Am markantesten ist der Wegfall der Passphrase, die man früher immer eingeben musste. Sie schützte den Schlüssel auf dem System vor unbefugtem Zugriff. Der Nutzen der Passphrase war allerdings nie sonderlich hoch, meinen auch Experten jenseits von p≡p (darunter auch der Enigmail-Entwickler Patrick Brunschwig oder die Autocrypt-Entwickler). Ein Angreifer, der sich bereits auf dem Rechner befindet, kann die Passphrase mit einem Keylogger superleicht umgehen. Da das ständige Eingeben der Passphrase für die tägliche Nutzung anstrengend ist, hat man diesen zusätzlichen Schutz in neuen Installationen weggelassen.
    Man kann aber weiterhin manuell in der Schlüsselverwaltung eine Passphrase für seinen Schlüssel nachtragen. Wer OpenPGP bereits vorher genutzt hat (siehe unten), behält seine Passphrase (könnte diese aber auch manuell entfernen, indem er als neue Passphrase nichts eingibt).
    Eine Passphrase könnte in zwei Fällen weiterhin als zusätzlicher Schutz empfehlenswert sein:

    • Auf mobilen Geräten, die kein verschlüsseltes Betriebssystem haben
    • Auf Systemen, bei denen sich mehrere User einen Rechner teilen
  2. Erhöht wurde dagegen die Sicherheit beim Nachrichtenbetreff, der nun mitverschlüsselt wird.
  3. Die gegenseitige Überprüfung, dass die Schlüssel korrekt sind, wurde verbessert. Früher konnte man Schlüssel gegenseitig signieren, um mit einem „Web of Trust“ möglichst viele Einträge zu erhalten. Das haben allerdings wenige gemacht (ich selbst auch nicht, zu meiner Schande). Bei p≡p gibt es die Möglichkeit, mit dem Kommunikationspartner einmalig live oder per Telefon einige Codewörter zu überprüfen (Handshake). Das ist im Prinzip genauso wie die Überprüfungsfunktion bei vielen Messengern. Da man nur in seltenen Fällen mit einer bestimmten Person eine so hohe Sicherheit wünscht (die gegen die seltenen und aufwändigen Man-in-the-Middle-Angriffe schützt), ist das meiner Meinung nach die bessere Lösung als das alte Web of Trust. p≡p zeigt die Vertraulichkeit des Schlüssel mit einem einfachen Farbschema an (farblos/gelb/grün).

Was machen Nutzer, die bereits Enigmail oder eine Verschlüsselung installiert hatten?

Das neue Enigmail hat sich vermutlich schon automatisch geupdated, so dass p≡p bereits verfügbar ist. Die alten Schlüssel werden automatisch weiterhin verwendet. Um die neuen Features wie den automatischen Schlüsselaustausch oder den Handshake mit Codewörtern zu nutzen, musst man im Thunderbird-Menü unter „Einstellungen/Einstellungen“ im Privatsphäre-Tab die Nutzung von p≡p erzwingen. Fertig! Ich kann die Umstellung nur empfehlen. Wer gerne doch wieder mit dem klassischen OpenPGP arbeitet, kann jederzeit zurückwechseln („Einstellungen/Einstellungen/Privatsphäre/Nutzung von S/MIME und Enigmail erzwingen).
Update: Unbedingt nach der Installation einen Blick auf „Enigmail/Schlüssel verwalten …“ werfen und prüfen, ob pEp nicht doch neue Schlüssel angelegt hat. Nicht in allen Situationen klappt die Übernahme der alten Schlüssel. In einem Fall verursachte die Passphrase des Schlüssels Probleme (die konnte ich löschen), in einem anderen Fall war die pEp-Engine irritiert von zwei Email-Konten in Thunderbird, die den gleichen Schlüssel nutzen. Wenn man das Setup nicht an die etwas einfache Logik von pEp anpassen kann (ein Konto, ein Schlüssel), sollte man einfach wieder auf das klassische OpenPGP („S/MIME und Enigmail“) zurückschalten und die neuen Schlüssel löschen, damit kein Durcheinander entsteht.

Gibt es Nachteile, wenn man die neue Verschlüsselung im Alltag nutzt?

Nicht mehr, als bei der klassischen Emailverschlüsselung:

  • Bei der Neuinstallation muss man die alten Schlüssel aus einem Backup wiederherstellen, um die alten Emails lesen zu können. Dies wird in Zukunft bei neueren Version allerdings automatisch geschehen.
  • Verschlüsselte Emails können nicht mehr online im Webbrowser gelesen werden
  • Bei längeren Emails muss man einige Sekunden warten, bis die Email entschlüsselt ist
  • Verschlüsselte Emails lassen sich nicht durchsuchen

Die beiden letzten Punkte kann man aber lösen, indem man die Emails dauerhaft entschlüsselt speichert. Für gesendete Emails gibt es einen Punkt in den Einstellungen (den Haken bei „Nachrichten sicher speichern“ entfernen), für empfangene Emails kann man das Entschlüsseln mit Filtern organisieren.