Seit den Veröffentlichungen rund um die Spionagetätigkeiten der NSA, des GCHQ und auch des BND ist das Thema der sicheren Kommunikation im Internet populär wie kaum zuvor. Das meist genutzte Kommunikationsmittel, privat wie auch beruflich, ist dabei die E-Mail. Viele Menschen greifen dabei auf einen der großen Mailanbieter, wie Google, Microsoft oder GMX, zurück. Das Problem daran ist, dass die verschickten und empfangenen Nachrichten auf den Servern jener Konzerne liegen, teilweise gar in den USA, was den Zugriff amerikanischer Behörden auf die eigene Kommunikation erleichtert. Um wieder die Kontrolle über seine eigenen Mails zu erlangen, wurde nun das Projekt Mailpile gestartet. Ziel ist es, einen freien und offenen Webmail-Client zu entwickeln, der auf dem eigenen Computer oder Server läuft und mit dem ohne Zusätze per OpenPGP verschlüsselt kommuniziert werden kann.
Vorangetrieben wird das Projekt von Bjarni Einarsson, Gewinner des Nordic Free Software 2010, Smári McCarthy, Direktor des International Modern Media Institute und Mitglied der isländischen Piratenpartei, sowie Brennan Novak. Damit Mailpile ein Erfolg wird und möglichst schnell fertig gestellt werden kann, benötigen die Entwickler allerdings finanzielle Unterstützung. Aus diesem Grund wurde nun eine Crowdfunding Kampagne auf Indiegogo gestartet. Ziel ist es bis zum 10. September 100.000 Euro einzunehmen, um bis zum Januar 2014 eine erste funktionsfähige Alpha-Version veröffentlichen zu können. Diese soll sowohl auf einem Server sowie auf dem eigenen Rechner laufen können und ein intuitives Interface bieten. Großes Augenmerk wird darüber hinaus in die Suchfunktion und die integrierten Verschlüsselungsmöglichkeiten von Mailpile gelegt. So sollen beispielsweise nicht nur die Mails an sich, sondern auch die Suchanfragen und die Einstellungen verschlüsselt werden können.
Sollten mehr als 100.000 Euro eingenommen werden, soll nach Aussagen der Entwickler auch eine Mehrbenutzerversion für Familien, Freunde oder kleine Unternehmen entwickelt werden. Auch eine eingebaute Unterstützung von XMPP (Jabber) soll folgen. Die Veröffentlichung einer ersten stabilen Version ist nach jetzigem Stand für den Sommer 2014 geplant. Ausführliche Informationen zu Mailpile findet ihr auf der Homepage des Projekts sowie direkt auf der Kampagnenseite bei Indiegogo. Wer sich den Quellcode ein wenig genauer ansehen möchte, findet diesen auf github.
Wäre es nicht sinnvoll den bestehenden im Quelltext verfügbaren MailClient ThunderBird um natives PGP zu ergänzen statt einen neuen WebmailService zu erstellen?
Wäre es nicht sinnvoller Thunderbird (welcher im Quelltext verfügbar ist) um natives PGP zu ergänzen?
Wenn das ohne Installation von Enigmail und externem Programm funktionieren würde, könnte man die bestehenden E-Mail-Provider weiter nutzen.
Die Bemühung finde ich ja löblich. Allerdings sollte zu allererst darüber nachgedacht werden, wie man zu einer Hardware kommt, die nicht nicht schon „ab Werk“ kompromitierbar ist. Ich verweise da als Beispiel gerne auf die flächendeckende Einführung des EFI/UEFI-Bios, wo man ohne Einwilligung und Signatur-Key von Microsoft, kein freies OpenSource Betriebssystem installieren kann. Ein „Überwacher“ kann dann vom User und dem jeweiligen OS unbemerkt, allerlei Schweinereien im UEFI-BIOS hinterlegen, die ein „Abschnorcheln“ zum leichten Spiel machen. Wohlgemerkt, ohne jede Eingriffsmöglichkeit des rechtmäßigen Besitzers der Hardware.
Durchaus richtig, aber deswegen kann und sollte man dennoch auch am anderen Ende entwickeln. Mit der Begründung „ohnehin kompromitierbar“ kommt keiner weit. Das eine kann jetzt getan werden, das andere kann ein Kampf gegen Windmühlen werden.
…..so weit ist es ja noch nicht.. Ich gehe stark davon aus, dass es auch in Zukunft Hardware geben wird, auf der Linux läuft!
Kleine, aber wichtige Schritte in die richtige Richtung!
Ich habe mir in den letzten Tagen einige Posts und Podcasts von unseren lieben Experten zum Thema Verwendung von PGP et al. angetan… Völlig unbrauchbar, nicht nur für die breite Masse.
Die geschützte Kommunikation muss intuitiv und einfach zu aktivieren sein. Das Projekt ist gut und Thundebird / Icedove sollten schnell folgen.
Wieso „folgen“? Thunderbird kann alles das bereits. Mailpile ist bisher nur heisse Luft und an der relativen (naja…) „Komplexität“ von asymmetrischen Verschlüsselungsverfahren wird Mailpile auch nichts ändern können.
Wirkliche Sicherheit beim Kommunizieren, bei gleichzeitiger, vollkommener Vermeidung jeder geistigen Anstrengung funktioniert weder im „richtigen Leben“, noch elektronisch.
Thunderbird kann PGP nicht out-of-the-box.
Noch ein Programm installieren hier und ein Plugin da, das ist nicht nutzerfreundlich und schafft eben die Lücke in der Akzeptanz.
Von 100%iger Sicherheit und 0% Aufwand hat niemand gesprochen, das sind nur kill-Phrasen.
Der Aufwand muss angemessen sein, so gering wie möglich. Im besten Fall entwickelt sich dann durch die schrittweise Verstärkung aus Verbreitung + Verbesserung eine gute Lösung.
Unbrauchbar waren nicht enigmail und pgp, sondern die zahlreichen Analogien in den Erklärversuchen unserer lieben Experten – für pros amüsant, für n00bs sehr verwirrend.
Was ist an Thunderbird mit Enigmail unbrauchbar?
Was sind das für Experten die das behaupten?
Und glaubst du Menschen für die das Internet ihr Webbrowser ist und die URLs ins Google-Suchfeld tippen installieren sich einen httpd?
es geht doch um die Mailprovider, wie Googlemail oder Yahoo, die mit der NSA zusammenarbeiten (müssen)
Das User-Interface von Enigmail, bzw. die Integration in Thunderbird ist einfach nur grauenhaft. Textboxen sind zu klein, an den entscheidenden Stellen wird die Ausgabe von GnuPG ohne weitere Erklärung 1:1 und unformatiert in Dialogboxen ausgegeben, der Schlüsselimport ist ohne Einführung nicht benutzbar – welcher nicht-Techie soll damit zurechtkommen wollen..?
IMHO kennen die Urheber dieser (übrigens nicht wirklich innovativen oder besonders durchdachten) Idee den Unterschied zwischen Webmail und E-Mail nicht.
Clientseitig gibt es solche Lösungen längst. zB Thunderbird oder Claws . Eine serverseitige Lösung macht wenig Sinn, da auf dem Mailserver ohnehin schon mindestens der IMAP-Server läuft und Webmail lediglich eine hässliche Krücke ist, dem anstatt des nativen Protokolls, für das es bereits Clients gibt. ein HTTP-Frontend überzustülpen, das dann wiederum vom Browser des Nutzers aus bedient werden kann. Genauso gut (eher sehr viel besser) könnte der Nutzer gleich Thunderbird (oder einen anderen nativen Mail-Client) benutzen, um direkt am Server „anzudocken“, anstatt über den (notorisch unsicheren) Browser einen Webmail-Server, der dann wiederum erst mit eigentlichen (IMAP/SMTP) Server kommuniziert, aufzurufen, was genau so von-hinten-durch-die-Brust-ins-Auge ist, wie es klingt.
Eventuell ist auch lediglich die automatische Verschlüsselung auf dem eigenen Mail-Server damit gemeint (InHouse). Was mir persönlich am besten gefallen würde, da der Anwender davon nix mitbekommt bzw. sich kein zusätzliches Wissen diesbezüglich aneignen müsste.
Als freie Software gibts z.B. DJIGZO, was aber „nur“ S/MIME and PDF encryption kann. Allerdings ist die Handhabung auf dem Smartphone sagen wir mal „Anwenderunfreundlich“. Besser fände ich hierfür PGP…
Damit hätten wir die Clients. Damit bieten aber immer noch Google und Co allein die kostenlosen Mail-Server dazu an. Und solange die Provider nur für teurer Geld feste IPs anbieten, ist auch mit dem eigenen Server für Omi Essig.
Studenten können meist auch nach Abschluss noch die Server der Hochschule verwenden, aber was machen Normalsterbliche?
Clientseitig kann ich auch mit Gmail via Thunderbird/enigmail verrschlusseln.Die Metadatensammlun bekommen wir aber nur los, wenn wir genug Server haben, die ihre Daten einfach nicht mit loggen…
Trotzdem eine gute Idee. Enigmail benutze ich auch nur solage, weil es sich am einfachsten installieren und verwalten ließ.
Äh, Roundcube? Sorry, falls ich da auf dem Schlauch steh, hat das eine inkompatible Lizenz oder ist anderweitig geschmäht?
Das Ziel von Mailpile ist es offensichtlich, als „offline“-Webapp zu funktionieren, d.h. es ist im Grunde nichts anderes als jeder IMAP-Client (Thunderbird, KMail, etc.), nur dass es eben HTML/JS-basiert ist und im Browser läuft.
Wer will, kann es sich nichtsdestotrotz auf nen Webserver packen und von dort aus nutzen.
Das ist mit Roundcube etc. nicht möglich, da diese ein serverseitiges PHP/CGI/…-Backend benötigen.
Ah. So wird ein Schuh draus. Im Grunde ist ein Webmail-Server schliesslich auch nur ein IMAP/SMTP-Client.
Ob man eine solche Installation allerdings sicher bekommt, halte ich für äusserst fraglich. Schliesslich haben „Dienste“ eher mal direkten Zugriff auf die Hardware beim Provider – und dann haben sie den Client und somit auch noch die PGP-Passwörter im Sack. Ich bleibe dabei: lokaler Client auf verschlüsseltem Dateisystem + PGP/GPG sind die weit bessere Lösung, als alles „Webmail“-Gehampel.
All die o.g. Ansätze/Lösungen haben allerdings den Nachteil, dass lediglich der Inhalt aber nicht die Metadaten der Nachricht verschlüsselt werden, welche für staatliche Schnüffel-Extremisten mit am wertvollsten sind.
Einen gänzlich anderen und besseren Ansatz benutzt Bitmessage. Dezentral, vollverschlüsselt, anonym und zudem noch OpenSource. Gibts bis jetzt allerdings nicht für mobile Gerätschaften…
mal schauen was draus wird. demnächst soll auch die testphase von startmail starten (https://beta.startmail.com/). diese soll auch von haus aus PGP unterstützen.
wichtig für eine breite akzeptanz wird es aus meiner sicht auch werden, die verschlüsselung auch auf mail-applikationen für smartphones zu bringen. klar will ich meine mails verschlüsseln, aber ich will nicht auf die möglichkeit verzichten, sie unterwegs abrufen zu können.
Sollte man nicht lieber Projekte wie Mailvelope fördern? Da wird OpenPGP Funktionalität über das vorhandene UI der jeweiligen WebMail Anbieter gestülpt. Als Plugin für Chrome/Chronium und Firefox und ohne das GNUPG extra installiert werden muss, weil OpenPGP.js verwendet wird.
Ich persönlich halte von dem oben genannten Mailpile nix. Nen lokalen Webmailer zu installieren, damit ich per Browser dann Mailen kann? Es gibts mit Thunderbird ein gutes Mail Programm mit vorbildlicher OpenPGP Unterstützung. Dienste wie GMail oder Hotmail kann man damit auch verwenden, ohne die Webmailer der Anbieter benutzen zu müssen. Das man noch GnuPG an sich installieren muss, auf Windows Maschinen, dürfte nicht so schwer sein. Auf Unixoiden Betriebssystemen ist GnuPG meistens schon mit dabei weil es für die Repositorys benutzt wird.
Was definitiv fehlt ist ein gut funktionierendes OpenPGP Plugin für Outlook und den Windows Mailer der mit den Live Essentials von Microsoft mitgeliefert wird. Damit alle relevanten Mailprogramme es vernünftig unterstützen.
Wie man vorgehen will um Metadaten nicht zu erzeugen ist mir Schleierhaft. Irgendwie muss ja das Ziel definiert werden. Und bis E-Mail wirklich Obsolet wird kann es noch sehr lange dauern. Ist genauso wie mit Fax. Steinalt aber erfreut sich nach wie vor großer Beliebtheit.
Sicherheit und Einfach sind leider Dinge die sich nicht so ohne weiteres vereinen lassen. Sicherheit auf Knopfdruck wird Utopie bleiben. Dann lieber weiter Aufklären wie man die Werkzeuge richtig benutzt.
Eine Verschlüsselung von Emails macht nur Sinn wenn das darunter liegende Betriebssystem aller an der Kommuniaktion beteiligter Clients nicht kompromittiert ist. Da man davon ausgehen kann das ALLE Windows Rechner eine „Hintertür“ für NSA und Co in sich tragen (Peinlicher Fehler deckt die Unterwanderung von Windows durch die NSA auf), ist ergo die Behauptung „eine sichere Verschlüsselunmg von Nachrichten unter Windows wäre machbar“ reine Augenwischerei an der man sich nicht beteiligen sollte, schon längst nicht hier in diesem Blog!
Ob das jetzt zu paranoid ist oder nicht, sei dahingestellt.
Aber nichts zu tun, und es ihnen unnötig einfach zu machen, ist der falsche Weg.