Verschlüsselte E-Mails im Webmailer von 1&1
- 2 Minuten - 290 WörterEtwa 25 Jahre nach der Entwicklung des Verschlüsselungwerkzeugs PGP und etliche Jahre nach dessen freier Umsetzung OpenPGP wird die echte Ende-zu-Ende-Verschlüsselung von E-Mails einfacher.
Einer der größten E-Mail-Anbieter in Deutschland, GMX (und zugleich die Schwester web.de - beide im Konzern 1und1 beheimatet) implementiert echte E-Mail-Verschlüsselung. Partner ist hier die Mailvelope GmbH, Entwickler der gleichnamigen Browsererweiterung, die die Schlüsselerstellung (falls noch nicht vorhanden — dazu gleich), -Verwaltung und die Verschlüsselung der Nachrichten übernimmt. Im Browser. Geheimer Schlüssel verlässt also nicht den eigenen Rechner, wie es z. T. bei anderen Anbietern der Fall ist (zumindest optional bei mailbox.org, wenn man die Mails im Webmailer entschlüsseln will). Mailvelope nutzt die Bibliothek OpenGPG.js, sodass bereits vorhandene GPG-Schlüssel importiert werden können.
Das ist wichtig, denn sonst wird man dazu angeleitet/verleitet, evtl. unnötigerweise neue Schlüssel zu erzeugen. Wichtig ist auch, dass, wenn man bereits PGP genutzt hat (z.B. mit der Erweiterung Enigmail für den populären und quelloffenen Mail-Client Mozilla Thunderbird), man sowohl seinen öffentlichen als auch privaten Schlüssel in Mailvelope importiert (der private Schlüssel wird im Browser-Profil gespeichert und nicht zu GMX oder sonstwo hochgeladen), sonst kann man keine Nachrichten verschlüsseln und entschlüsseln. Öffentliche Schlüssel von Mail-Partnern sollten ebenfalls importiert werden, sonst ist keine verschlüsselte Kommunikation möglich - das ist der übliche Weg auch bei Verwendung von Enigmail.
Irgendwo tauchte die Behauptung auf, es würden auch Metadaten der Kommunikation (“Wer, wann, mit wem kommuniziert”) verschlüsselt werden — das ist aber im (Open)PGP-Standard nicht vorgesehen, d.h. es werden nur die Inhalte verschlüsselt. Wenn die entsprechenden Provider eine Transportverschlüsselung (TLS) unterstützen – was bei immer mehr Anbietern der Fall ist –, dann wird der Übertragungskanal gegen Abhören und Manipulation abgesichert.
Der ganze Prozess wird recht gut im frei zugänglichen Artikel aus der c’t 19 des Jahrgangs 2015 beschrieben.