Ende-zu-Ende-VerschlüsselungDe-Mail kündigt OpenPGP-Unterstützung per Browser-Plugin an

Die „Arbeitsgemeinschaft De-Mail“ reagiert auf den größten Kritikpunkt der nationalen Staatsmail „De-Mail“. Detlef Borchers berichtet über eine heutige Pressekonferenz: De-Mail integriert Ende-zu-Ende-Verschlüsselung mit PGP.

In den Räumen der Telekom-Repräsentanz demonstrierte die Arbeitsgemeinschaft De-Mail das neu entwickelte Plugin. Es soll als Open Source veröffentlicht werden, denn alle Beteiligten kennen die Kritik der netzaktiven Szene an De-Mail. Es soll deutlich gemacht werden, dass keine Hintertüren existieren, wie dies von der sonst obligaten „kurzzeitigen Virenkontrolle“ vermutet wird, die bei de De-Mail-Anbietern stattfindet. Bei allen De-Mail-Anbietern soll es kostenlos sein, die PGP-Option zu nutzen.

Wer sich wie üblich bei De-Mail anmeldet, wird ab April auf die PGP-Verschlüsselung hingewiesen. Wenn sie aktiviert werden soll, muss sich der De-Mail-Nutzer auf das Sicherheitsniveau „hoch“ begeben, also zusätzlich eine mTAN oder die eID des neuen Personalausweises einsetzen. Erst danach wird das Plugin installiert, ein zusätzliches Passwort vergeben und der geheime wie der öffentliche Schlüssel auf dem Rechner des Nutzers kreiert. Dann wird der Nutzer gefragt, ob er alle Personen in seinem privaten De-Mail-Adressbuch einladen möchte, künftig PGP zu benutzen. Wird dies bejaht, erscheint bei diesen Personen beim nächsten Login ins System die De-Mail-Installationsprozedur.

Laut Spiegel Online kommt das Mailvelope-Plugin zum Einsatz, was auf der OpenPGP.js-Implementierung des OpenPGP-Standards basiert.

Sie stützen sich dabei auf die offene Erweiterung „Mailvelope“ für die Webbrowser Firefox und Google Chrome.

Weitere Kritikpunkte wie hohe Kosten, Identifizierungs-Zwang und Rechtssicherheit der Zustellung sind davon unberührt.

Update: Möglicherweise ist die Ende-zu-Ende-Verschlüsselung der De-Mail nur ein Abfallprojekt der versprochenen Ende-zu-Ende-Verschlüsselung für die normale Mail bei United-Internet. Die wurde ja bis Ende des Jahres versprochen.

Update 2: Wir haben mal nachgefragt:

netzpolitik.org: Was passiert bei PGP mit De-Mail, wenn man das „Kennwort zum Verschlüsseln“ (also das zum Private Key) vergisst?

Telekom: Auf pgp-Verschlüsseltes hat der Nutzer keinen Zugriff mehr, wenn er den Key verliert oder vergisst.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

17 Ergänzungen

  1. Die Frage ist, wieso sollte man dann De-Mail überhaupt noch verwenden? Wieso sollte ich einen weiteren Versuch akzeptieren, für Dinge, die im Internet schon lange preiswert funktionieren, zu bezahlen?

    Eine private (nicht repräsentative) Umfrage unter Jugendlichen ergab:
    „Mail? Ist so was von out. Brauchen wir nur noch für den alten Herrn“

    1. Vielleicht weil alles gut implementiert ist und ein gutes übersichtliches GUI und komfortables Keymanagement hat. Außerdem eine Sicherheit, dass die Person mit der ich mir schreibe und mit denen ich meine Schlüssel austausche auch wirklich die ist für die ich sie halte.

      Ich unterstelle DE-Mail nun keineswegs, dass das auf sie zutrifft, aber wenn es so wäre dann würde ich da vielleicht auch für bezahlen bzw. nicht-netzaffinen Leuten empfehlen es zu benutzen. Nach einer gründlichen Prüfung wie das ganze aufgestellt ist :) Und ich nehme nicht an, dass DE-Mail wirklich ordentlich abeitet in all diesen Belangen, allerdings hab ich es mir auch noch nie Live angeschaut.

      1. Ganz ehrlich, das (komfortable Keymanagement) habe ich auch so seit Jahren. Meine Frau interessiert die Technik gar nicht und trotzdem kommt sie damit problemlos zurecht.

        Ja, man könnte es besser machen. Doch De-Mail tut das nicht (oder wenigstens nur für „sich“ selbst).

    1. Wir haben nochmal nachgehakt:

      netzpolitik.org: Vielen Dank nochmal. Nur um das Klarzustellen: Nicht nur „der Nutzer“ hat dann keinen Zugriff mehr, sondern niemand, richtig?

      De-Mail: Nach meinem Verständnis von pgp ist das so…

      netzpolitik.org: Nach meinem auch, aber die ursprüngliche Antwort war sehr spezifisch. Können sie nochmal rückfragen und das so bestätigen?

      De-Mail: der Standard kommt nicht von uns, daher kann ich Ihre Frage nicht so allgemeingültig beantworten wie Sie dies wünschen. ich kann nur aus Providersicht sagen, dass die Schlüssel auf den Computern der Nutzer liegen, wir sie nicht haben und damit auch keinen Zugriff haben.

  2. Woher habt ihr die Infos, dass das Mailvelope-Plugin genutzt werden soll? Heise schreibt nichts darüber (die reden von einem „neu entwickelte Plugin“) und auch keine andere Nachrichtenseite, die ich bisher dazu gelesen habe.

  3. Nach drei Jahren wird nun endlich auf einen wesentlichen Kritikpunkt eingegangen, allerdings nur als Option.
    Die Chance wurde bereits zu Beginn vertan, als man es vermied von Anfang an Ende-zu-Ende-Verschlüsselung verbindlich für alle (inkl. Behörden) einzubauen. Dann hätte man vielleicht ein sicheres Kommunikationssystem für Behörden, Firmen und Privatpersonen etablieren können. So ist es zu wenig zu spät.

    1. Das hängt davon ab, ob die Behörden verpflichtet werden, Ende-zu-Ende-Verschlüsselung zu nutzen bzw. zumindest anzubieten. Bisher war davon noch nicht die Rede. So lange keine Verpflichtung besteht, bezweifle ich, dass ausgerechnet deutsche Behörden „early adopter“ sein werden.

    2. Zumindest nicht in Aachen.
      Hier hat die Verwaltung bereits 2013 explizit die Verwendung von PGP ausgeschlossen.

      Weil das Vorhalten der Schlüssel aller Aachener Bürger zuviel Speicherplatz benötigt. Keine Pointe.

      1. Erster Gedanke: Ja, das ist sicher ein Problem, all die Schlüssel irgendwo parat zu haben.

        Zweiter Gedanke: Wozu gibt’s keyserver? Reicht doch, wenn man die staatlichen Stellen kennt, und jeder Bürger beim Perso-Verlängern mal kurz mit seiner Schlüssel-Nummer vorbeikommt. Wird eh erst dann relevant, wenn der Bürger auch tatsächlich schreibt.

        Wenn man denn Ahnung von der Technik hätte (oder einfach mal wen fragte, der das hat), dann könnte man mit ein paar Minuten Nachdenken doch eine irgendwie praktikable Lösung auch für den öffentlichen Dienst skizzieren.
        Ist aber schon seltsam, Vorratsdaten wollen sie, aber für PGP-keys ist kein Platz…

  4. Naja,

    das ist alles glaube ich ziemlich zweischneidig.
    Ich stelle mir den Vorgang i.d.R. augenblicklich so vor:
    Person X hat bei Behörde A ein Anliegen, bzw. einen Vorgang. Die/er SachbearbeiterIn legt sammelt den Schriftverkehr nun in einer Akte. Es kommt zu einer Beendigung des Vorgangs. Die Akten werden X Jahre eingelagert, und können wieder herangezogen werden.
    Sollte Behörde B nun ebenfalls einen Vorgang mit mit derselben Person haben, so ist es manchmal schneller die Behörden könnten untereinander Daten abgleichen, i.d.R. aber ist das Vorgehen, Person X reicht Ergebnis von Behörde A selbst ein, vorzuziehen. So geht der Überblick über die zu Grunde liegenden Daten nicht verloren (aka bleibt transparent).
    Nun geht es mit (P)GP(G) ans mailen. Schlüssel weg, mail futsch? Das wäre gesetzeswidrig (‚Archivpflicht‘). Mail ausdrucken und der Akte beilegen (‚Internetausdrucker!‘).
    De-Mail bietet die Lösung (fiktiv):
    – einfach zusätl. mit unserem Archiv-Schlüssel mitverschlüsseln, wir entschlüsseln und archivieren für 10Jahre ggn. kleinen Aufpreis (Wir sind staatl. anerkannter Archivierer! – Mit Zert und Siegel).

    Und schon haben wir eine Zentrale Stelle, an der alles eingelagert ist, betrieben von Unternehmen, die gerade im Augenblick vor einem Ausschuss erklären müssen, was sie mit den Daten ihrer Kunden getan haben. Und alles staatlich gefördert (die Technik ist sicher! – Steht so im Gesetz, und daran hat sich auch die Technik zu halten!) bzw. fast schon gefordert.

    Irgendwie kann ich mir nicht helfen, aber die Erkenntnisse die momentan zu solchen Themen ans Tageslicht kommen, lassen nur einen Schluss zu: vermeide alles was vom Staat (oder staatsnahen/ehem. Staatsunternehmen ) als ’sicher‘ gepriesen wird, ’sicher‘ ist dort nur eines: es wird bei einem Verein enden, der für die Staatssicherheit zuständig ist, oder (wenn es so schlimm wie in USA wird) bei einem GEheimdienst der den STAat als POlizei vor Terroristen wie uns schützt.

    Ob ähnliches ‚Bauchgefühl‘ der Grund dafür ist, das das Ding einfach nicht benutzt wird?

  5. Zu Update 2
    Könnt ihr noch nachfragen ob auch neben dem Nutzer niemand anderes mehr Zugriff auf die Daten hat?
    Liest sich ein wenig wie ein über spezifisches Dementi. :)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.