Tag Archiv für Enigmail

PGP ist zu kompliziert

Auf Zeit Online gab’s neulich mal wieder einen Artikel zum Thema e-Mailverschlüsselung und über die wie Pilze aus dem Boden sprießenden e-Mailanbieter, die dem Benutzter e-Mailverschlüsselung nahebringen wollen. Nicht das ich an dieser Stelle den Neulingen per se unterstellen möchte, quasi Ausgründungen der Geheimdienstwelt zu sein, aber eine gewisse Vorsicht scheint angebracht zu sein, bevor man sich womöglich in falscher Sicherheit wiegt. Ich persönlich habe eine prinzipielle Abneigung gegen alle Verfahren, bei denen private Schlüssel, in welcher Form auch immer, beim Anbieter erzeugt werden und/oder dort verbleiben. Diese Sammlungen werden immer, auch wenn der Anbieter keine verdeckte Agenda hat, ein primäres Ziel von Angreifern (Justiz, Geheimdienste, Hacker) darstellen. Private Schlüssel gehören grundsätzlich nicht in fremde Hände — auch nicht in die Cloud —, sondern ausschließlich auf den eigenen Rechner. Will der Angreifer unter diesen Bedingungen an private Schlüssel kommen, ist er gezwungen jeden einzelnen Rechner zu infiltrieren, was derzeit ein pauschales Abgreifen im Vorübergehen bei Millionen von Nutzern wirkungsvoll aushebelt. Ist der Angreifer allerdings Willens und in der Lage den Rechner eines Benutzers zu infiltrieren, hat der Benutzer ein echtes Problem, denn an diesem Punkt verliert die Wichtigkeit zum Zugang des privaten Schlüssels enorm an Bedeutung, da der Angreifer Zugriff auf die Daten vor der Ver-, bzw. nach der Entschlüsselung hat. Auch eine verschlüsselte Festplatte ist dann nutzlos. Trotz aller Sammelwut der Geheimdienste und der sie beauftragenden Regierungen, würde eine individuelle Infiltration immer noch hochselektiv erfolgen. Derzeit werden die Daten nur deshalb in dem ungeheuren Ausmaß gesammelt, weil es eben sehr einfach ist und sich praktisch niemand dagegen zur Wehr setzt. Weiterlesen