Verschlüsselung: Auslaufmodell PGP

Bisher fiel die Wahl der Verschlüsselung zum Schutz von Emails meist auf Pretty Good Privacy (PGP). Aufgrund der Komplexität und der Fehlerquote sollte man sich aber eventuell nach Alternativen umschauen.

PGP ist technisch veraltet. Auf mobilen Geräten hoffnungslos verloren und auf Computern schwer zu bedienen. Laut Jürgen Schmidt, Redakteur beim c’t-Magazin, verhindert PGP sogar die Entwicklung von neuen und womöglich technisch ausgereifteren Verschlüsselungsalternativen. Speziell die grundlegende Problematik der Schlüsselverwaltung, überlässt PGP komplett dem Nutzer. Der Nutzer ist für seinen eigenen Schlüssel und ebenfalls für die Schlüssel der Email-Empfänger verantwortlich.

Die Folge sind Emails, die zwar verschlüsselt sind, bei denen der Empfänger jedoch nicht in der Lage ist, die Mails zu öffnen, da der entsprechende Schlüssel gefälscht ist. Weitere Informationen zur Problematik fehlerhafter Schlüssel sind im (kostenpflichtigen) Report des c’t-Magazins zu finden. Das Platzieren eines Fake-Schlüssels ist laut Schmidt viel zu einfach und immer noch fallen genug Nutzer auf eben solche Fakes herein. Das Problem liegt in der fehlerhaften Kommunikationsinfrastruktur.

(…) Einen PGP-Key-Server kann Hinz & Kunz ohne jegliche Überprüfung Schlüssel für meine E-Mail-Adresse hochladen

Erfolge für eine erfolgreiche End-to-End-Verschlüsselung zeigt Schmidt am Beispiel von Apples iMessage. iPhone-Besitzer wissen nicht einmal, dass ihre Kurznachrichten verschlüsselt werden. Das Programm TextSecure zeigt, wie man in Bezug auf Offenheit und Sicherheit Verbesserungen einfügen kann und dass es keine Frage von Geld bzw. Kapital ist, um Änderungen entsprechend umzusetzen.

Der Versuch PGP zu sanieren ist laut Schmidt wenig sinnvoll und verhindert die Arbeit an modernen, sicheren und zeitgemäßeren Alternativen. Außerdem führt ein Festhalten an der aktuellen Lösung ohnehin nicht zum gewünschten Erfolg – einer massentauglichen und sicheren Verschlüsselung für unsere privaten Daten.