Die Kanzlerin hat PGP

seemoz-EisbärLMMails verschicken, ohne dass Schlapphüte mitlesen können, geht derzeit praktisch nur über das PGP-Verfahren („Pretty Good Privacy“). Das ist ein asymmetrisches Verschlüsselungsverfahren, an dem sich selbst die NSA die Zähne ausbeißt. Die USA versuchten verzweifelt – zum Glück erfolglos – den Export dieser Methode zu verhindern

Asymmetrische Verschlüsselung:

pgpBeruht auf jeweils zwei Schlüsseln, einem öffentlichen und einem privaten. Wenn Anna eine geheime Nachricht an Bert schicken will, geht das so: Anna schickt Bert ihren öffentlichen Schlüssel per offener E-Mail. Bert schreibt als Antwort einen Text (zum Beispiel mit einem E-Mail-Programm) und verschlüsselt den mit dem öffentlichen Schlüsseln von Alice. Wer könnte die Nachricht lesen? Nur die Person, die den passenden privaten Schlüssel hat – das ist Anna und sonst niemand. Deshalb erzeugt man einmalig ein Schlüsselpaar – einen öffentlichen (public) und privaten (secret). Aus dem öffentlichen Schlüssel, den jeder haben darf, kann aus mathematischen Gründen der geheime nicht errechnet werden – es geht nur theoretisch, aber die Zahl der Rechenoperationen müsste die Zahl der Teilchen im Universum übertreffen. Deswegen ist das Verfahren auf absehbare Zeit vollkommen sicher.

Marketing-Seifenblase E-Mail „Made in Germany“

Es findet zwar eine Verschlüsselung statt, aber nur zwischen den Servern. Die teilnehmenden Firmen (gmx, telekom, web.de, freenet, 1&1, strato) können alle Mails lesen. Die haben zwar anderes zu tun, aber: Behörden ist der Zugang nur rein rechtlich versperrt („richterlicher Beschluss“). Wie die Geschichte zeigt, wartet nicht jede Behörde auf rechtlich grünes Licht, und Nicht-Behörden ist es eh schnurz (erst recht solchen im Ausland, nun, da unser Generalbundesanwalt ganz offiziell sagt, da gäbe es nichts zu ermitteln), und interne Spione können ebenfalls ran (Missbrauch)

Sehr sicher, aber umständlich: PGP-Variante Gpg4win

Gpg4win (empfohlen u.a. vom BSI) ist ein Programmpaket für Windows-Rechner, das alle erforderlichen Komponenten enthält. Kann man hier herunterladen. Eine recht gut verständliche Anleitung gibt es hier. Man muss sich dafür allerdings etwas Zeit nehmen. Ich befürchte, die meisten geben bei Installation und Schlüsselerzeugung bald auf.

Alternativen

Tutanota ist ein einfach zu benutzender Webmailer, für den es auch eine Smartphone-App gibt. Man meldet sich für ein eigenes Postfach an. Danach kann man Mails (einschließlich Anhängen)  verschlüsselt und unverschlüsselt versenden. Für verschlüsselte Nachrichten legt man für jeden Empfänger (außer bei Tutanota-Mailadressen: dort geschieht die Verschlüsselung automatisch)  ein Passwort an, das man dem Empfänger mitteilen muss (natürlich nicht per Mail). In der kostenlosen Version gibt es 1 GB Speicherplatz, gegen Bezahlung kann man auf 5 GB aufstocken. Erfreulich ist, dass der Code OpenSource ist, also von jedermann überprüft werden kann.

Tipp:  Passwörter nicht im Browser speichern und gut aufbewahren: Wenn sie weg sind, sind sie weg! Es gibt keine Möglichkeit, sie wiederherzustellen.

Eine Beschreibung und Einschätzung von Tutanota von dritter Seite hier.

Whiteout ist fast noch einfacher und intuitiver zu bedienen. Die Chrome-App Whiteout Mail aus München erweitert Webmailer wie Google Mail um Verschlüsselungsfunktionen (auf Basis von OpenPGP, aber ohne das Gefummel). Derzeit gibt es Whiteout Mail nur für Chrome (auch Dragon, Iron), auf Windows und Chrome (und Iron), auf Mac sowie Chromium auf Linux, sowie für Chrome OS. Google Mail ist derzeit der einzige unterstützte Webmail-Dienst. Es befindet sich noch im Entwicklungsstadium und setzt derzeit noch ein (kostenloses) Google-Mail-Konto voraus, soll aber auf andere Mailer und Browser erweitert werden. Eine Kurzbeschreibung findet sich hier.

Die Betreiber versichern, dass aufgrund der App-Architektur von Chrome das Verfahren (trotz Google) sicher sei. Das zu überprüfen, reicht mein technisches Verständnis nicht aus. Kann das jemand klären?

Was mich misstrauisch stimmt, ist die Adresse „whiteout.io“. Die bedeutet, dass der Server auf einem britischen Territorium (im Indischen Ozean) liegt.

Snowden-Preis des Monats

snowdenDer Edward-Snowden-Preis des Monats Februar für Zivilcourage wird verliehen an Ladar LEVISON: Er hatte einen sicheren Mail-Service namens LAVABIT entwickelt (angeblich hat den auch Edward Snowden benutzt). Die US-Behörden wollten ihn zwingen, Spionage-Software zu installieren, damit sie die Mails seiner 410.000 Kunden lesen könnten. Anders als andere Firmen weigerte er sich, ging an die Öffentlichkeit und schloss seine Firma. Trotz alledem gab er nicht auf, stellte seinen Code zur öffentlichen Verfügung, damit daraus sichere Mail-Clienten entwickelt werden können. BRAVO ! Drängen wir die „E-Mail Made in Germany“-Unternehmen dazu, sich einzuklinken und unsere Mails abhörsicher zu machen!

Telefontip:

Unsere Telefone werden derzeit auf IP-Telefonie umgestellt. Sträuben Sie sich möglichst lange dagegen: das ist erstens nicht ausgereift (es gibt Abstürze, ohne dass Sie merken, dass Ihr Telefon tot ist), und zweitens saßen bei der Entwicklung der IP-Telefonie schon die Schlapphüte dabei, um sicherzustellen, dass das Abhören leichter ist.

Und woher weiß man, dass die Kanzlerin PGP hat? Auf http://pgp.org eingeben: ‚merkel angela kanzleramt‘. Ob sie es auch benutzt?

Ceterum censeo:
ASYL für Edward Snowden! Und: Ehrendoktorwürde der Universität Konstanz![modal id=“19250″ style=button color=default size=default][/modal]

Autor: teleMAIK