Facebook integriert PGP/GPG

Seit Anfang des Monats besteht bei Facebook die Möglichkeit einen PGP-Schlüssel in das eigene Profil hochzuladen. Gleichzeitig veröffentlicht Facebook seinen Schlüssel 0xDEE958CF:

Fingerabdrücke von Facebook, Inc.
Schlüssel:
	31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF
Unterschlüssel:
	D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7

Ausgerechnet die Datenkrake Facebook, Geheimdienste mal außen vor gelassen, wird nun zum Vorreiter in Sachen PGP? An der ungehemmten Datensammelei bei Facebook wird dies nicht das Geringste ändern, dies, wie der Verkauf der Daten, ist schließlich sein Geschäftsmodell. Facebook wird daher niemals Funktionen implementieren, welche die Aktivitäten des Nutzers vor Facebook verbergen könnten. Was sich zunächst paradox anhört scheint mir dennoch der richtige Weg zu sein.

Wer will kann nun einen selbst erzeugten Schlüssel in sein Profil hochladen, denn Facebook erstellt keine Schlüsselpaare für die Nutzer. Glücklicherweise muß man sagen, denn von Facebook erstellten Benutzerschlüsseln könnte man nicht das Geringste Vertrauen entgegenbringen.

Mit den Schlüsseln sollen fortan alle Benachrichtigungsmails von Facebook an den jeweiligen Nutzer mit dessen Schlüssel verschlüsselt und mit dem Schlüssel von Facebook unterschrieben rausgehen. Zunächst beschränkt sich der Einsatz von PGP nur auf die Kommunikation zwischen Facebook und Nutzer, die Sicherheit der einzelnen Postings innerhalb von Facebook, bleibt dabei unverändert. Auch wenn ich den Einbau dieser Funktionalität bei Facebook mehr für eine Werbekampagne, als für echtes Interesse an mehr Datensicherheit halte, hat das Vorgehen handfeste Vorteile für alle, auch wenn der einzelne Facebooknutzer nicht sehr viel besser dasteht.

  • Sofern Facebook seinen Schlüssel sicher verwahrt, wird es Fälschern drastisch schwerer gemacht Betrugs-e-Mails im Namen von Facebook zu verschicken, denn sie können keine gültige Signatur der e-Mail erzeugen. Bei konsequentem Einsatz der Signaturfunktion durch Facebook, ließen sich dann alle unsignierten bzw. Mails mit fehlerhafter Signatur ungelesen löschen. (Dies ginge theoretisch schon jetzt, da alle e-Mails aus der Domäne Facebook.com eine DKIM-Signatur tragen, die aber kaum jemand prüft.) Dies ist auch einer Hauptgründe warum Unternehmen grundsätzlich signierte e-Mails versenden sollten, denn dann ließe sich deren Echtheit schnell verifizieren.
  • Insgesamt steigt der Anteil an PGP-verschüsselten e-Mails am Netzverkehr und in den Postfächern. Auch wenn die Dienste bei Facebook immer noch alles mitlesen können, enthalten gehackte Postfächer mehr für den Hacker wertlose, da verschlüsselte Daten.
  • Facebook mit seinen Millionen Nutzern zeigt mit seinem Vorgehen, daß der routinemäßige, automatische Versand von verschlüsselten und signierten e-Mails praktisch möglich ist und gibt damit den Stand der Technik vor. In Zukunft kann sich kein Unternehmen mehr auf fehlende Machbarkeitsstudien berufen. Man kann nur hoffen, daß viele Unternehmen, die regelmäßig Dokumente wie bspw. Rechnungen an ihre Kunden verschicken, dem Beispiel von Facebook folgen. Der allgemeinen Datensicherheit und dem Schutz vor Betrügern und Identitätsdieben käme dies zugute.
  • Eine gewisse Werbewirkung für den Einsatz von verschlüsselten e-Mails und damit eine stärkere Verbreitung von GPG/PGP könnte die Folge sein. Dies kommt allen Verschlüsselungswilligen entgegen, auch wenn sie kein Facebook benutzen. Allerdings bleibt es fraglich, ob sich tatsächlich jemand entschließen sollte allein wegen Facebook GPG zu benutzen, dafür sind die Vorteile auf Facebook vernachlässigbar gering, aber die Möglichkeit zur Verschlüsselung wird so vielleicht vermehrt in die Köpfe getragen.
  • Interessant wird es auch dadurch, daß Nutzer ihre Schlüssel gegenseitig austauschen können. Damit wird Facebook zumindest für seine Nutzer zu einem Schlüsselserver, allerdings einem, von dem man seinen Schlüssel auch wieder löschen und durch einen anderen ersetzen kann. Das Auffinden des richtigen Schlüssels wird damit für den Normalbenutzer deutlich vereinfacht. Da auch hier jeder jeden Schlüssel hochladen kann, ist ein Abgleich der Fingerabdrücke durch die Benutzer über einen unabhängigen Kanal also weiterhin unabdingbar.

Der Erfolg von Facebooks Neuerung hängt nun im Wesentlichen von den Nutzern ab, die dazu aufgerufen sind, ihre Schlüssel hochzuladen. Ich persönlich würde aber, wenn ich Facebook benutzen würde, dazu tendieren einen separaten Schlüssel für Facebook zu erzeugen, der ausschließlich dort eingesetzt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.