Volksverschlüsselung: Telekom & Fraunhofer-Institut wollen E-Mail-Verschlüsselung einfach machen
Stellt man Menschen die Frage, warum sie ihre Mails nicht verschlüsseln, dann bekommt man viele Antworten. Eine die immer dabei ist: es ist zu kompliziert. Und ja, dem durchschnittlichen Anwender darf man da durchaus Recht geben. Oftmals wirkt eine solche Software auf den Nicht-Profi wie das sprichwörtliche Buch mit den sieben Siegeln. Anläufe für eine etwas leichtere Verschlüsselung hat es schon zuhauf gegeben. Die letzten Ambitionen hatten da Web.de und GMX, die auf die bereits bei uns im Blog vorgestellte Open Source-Lösung Mailvelope setzen.
Der neuste Schrei hört auf den ganz schlimmen Namen „Volksverschlüsselung“ und kommt vom Fraunhofer-Institut für Sichere Informationstechnologie. Die haben sich mit der Deutschen Telekom zusammengetan, um Menschen das einfache Verschlüsseln von E-Mails möglich zu machen. Der Fokus liegt hier auf Benutzerfreundlichkeit, im ersten Halbjahr 2016 soll die Lösung verfügbar gemacht werden. Die Volksverschlüsselung ist eine Entwicklung von Fraunhofer, die Deutsche Telekom betreibt die Lösung in einem Hochsicherheits-Rechenzentrum.
„Die Volksverschlüsselung ist kostenlos, unkompliziert und transparent. Für uns das beste Werkzeug, um eine Ende-zu-Ende-Verschlüsselung von E-Mails in der breiten Bevölkerung zu verankern. Mit jedem Entwicklungsschritt der Software wollen wir die Volksverschlüsselung für weitere Nutzer zugänglich machen und damit die Nutzerbasis verbreitern„, sagt Dr. Thomas Kremer, Datenschutzvorstand der Deutschen Telekom.
Prof. Michael Waidner, Leiter des Fraunhofer SIT: „Mit der Volksverschlüsselung setzen wir die Prinzipien „Security by Design“ und „Usability by Design“ in die Praxis um. Beide haben in jeder Phase des Entwurfs eine wichtige Rolle gespielt. Durch die Volksverschlüsselung wollen wir kryptografische Methoden, die in der Forschung etabliert sind, endlich allen Menschen zugänglich machen. Als Institut der Fraunhofer-Gesellschaft sehen wir das als Teil unseres gesellschaftlichen Auftrags an.“
Die Volksverschlüsselung genannte Software soll im ersten Schritt mit Systemen zusammenarbeiten, die auf Windows setzen. Hier sollen Nutzer dann beispielsweise über Outlook oder Thunderbird verschlüsselt kommunizieren können. In weiteren Schritten sind Versionen für Mac OS X, Linux, iOS und Android geplant. Die Software unterstützt zunächst den S/MIME-Standard, in einem nächsten Schritt wird sie zusätzlich OpenPGP unterstützen.
Fraunhofer wird den Quellcode nach Veröffentlichung der Software allgemein zur Verfügung stellen.
Die Software erzeugt zunächst auf dem Gerät des Nutzers die kryptografischen Schlüssel, mit denen sich E-Mails und Daten verschlüsseln und signieren lassen. Nachdem sich der Nutzer erfolgreich per DTAG Telekom Login (entspricht dem Anmeldeverfahren im Kundencenter) oder dem elektronischen Personalausweis authentifiziert hat, werden bei der Zertifizierungsstelle der Volksverschlüsselung digitale Zertifikate für Verschlüsselung und Signatur erzeugt.
Nach Empfang der Zertifikate sucht die Software automatisch auf dem Gerät des Nutzers nach E-Mail-Programmen, Browsern und anderen Anwendungen, die Kryptografie nutzen können. Die Schlüssel und Zertifikate werden dann automatisch in die Anwendungsprogramme zur Nutzung der Zertifikate eingebracht, wie man seitens Telekom und Fraunhofer mitteilt.
Die steile Aussage: „Auch technisch weniger bewanderten Nutzern ist es somit möglich, ohne großen Aufwand ihre E-Mails und Daten zu verschlüsseln.“ Die Nutzung von Infrastruktur und Software soll in der ersten Ausbaustufe für Privatanwender kostenlos sein. Die Entwicklung von unternehmensspezifischen Lösungen soll kostenpflichtig sein. Eine FAQ zum Thema wurde vom Fraunhofer Institut bereits ins Netz gestellt.
Schaffen der Anbieter es tatsächlich E-Mail-Verschlüsselung extrem einfach für die Massen zu gestalten, dann bin ich der Erste, der sein Cap zieht und applaudiert. Dran glauben kann ich irgendwie nicht. Aber ich lasse mich 2016 gerne überraschen.
Bin ebenfalls skeptisch aber gespannt.
Wobei die differenzierten Kommentare a la „der BND und die NSA wissen doch eh alles“ nur noch Minuten auf sich warten lassen dürften.
der BND und die NSA wissen doch eh alles
😀
Also danke Caschy für den Link ist aber noch nicht das gelbe vom EI bzw. Vegetarisch nicht ganz Vegan. Oder nicht ganz Koscher bzw. Halal aber Haram
…weil die Metadaten im Webinterface (nicht im Backend) aufgezeichnet werden können. Perfekt wären Devices auf die nur Daten gespielt werden können mit privaten Schlüssel.
Ein Handy mit App das nur OCR-Foto to personelprivate Key kann wenn du verstehst, was ich meine – weil die Gefahr groß ist, das ein personelprivatekey gestohlen wird
Kaum ein Android-E-Mail-Client kann mit diesen X.509-Zertifikate umgehen.
Ich war lange auf der Suche nach solch einem Programm und bin bei R2Mail2 gelandet.
Eine Registrierung per Personalausweis oder Postident macht das Verfahren auch nicht benutzerfreundlich, sondern kompliziert und abhängig.
Ich habe nix zu verbergen.
Nichts, was es micht schon gibt.
Neu verpackt in Axel Sprigers Bild-Manier (Volksverblödung).
Verschlüsselung ist mit Thunderbird/Enigmail auf dem PC und K9/OpenKeychain total einfach.
Der Grund, warum ich das kaum nutze ist, dass man nicht ausschließlich den Weg verschlüsseln und daneben seine Inbox/Outbox im Klartext belassen kann. Dadurch kann man nicht das Mailarchiv Volltext-indizieren und man findet nichts wieder.
Solange das nicht geht, verzichte ich schweren Herzens auf Verschlüsselung.
@Zoner: Das geht auf dem PC mit Enigmal seit Version 1.8 (über Filterregeln).
@Zoner soweit ich weiß kann The Bat! auch in verschlüsselten Mails suchen – Caschy kann da bestimmt mehr zu sagen.
Wenn sich das durchsetzen soll, muss das automatisch und vor allem system- und plattformübergreifend funktionieren, auch eine Beschränkung auf lokal installierte Clients ist der Sache nicht dienlich.
Das mit den Filterregeln hört sich interessant an, danke für den Tipp!
Ich habe die Lösung gesehen und sie ist an sich wirklich anwenderfreundlich im Erzeugen und Verteilen der Zertifikate. Jedoch ist eben PostIdent oder neuer Personalausweis ein Hindernis, aber schwache Verschlüsselung mittels ausschließlicher Mailauthentifizierung ist halt wieder so schwach wie der bald kommende kostenlose SSL-Schwachsinn. Interessant wäre es, würden Zertifikate so verteilt, die auch in den Systemen verteilt sind und für private Nutzung bieten die anerkannte Zertifizierungsstellen ja auch kostenlose Zertifikate an, warum hier wieder eine neue Insel schaffen?
Das wird nie was.
Das Problem ist einfach. Wenn ich jemanden einen EMail Schreibe weiß ich ja nicht was sein Client kann und was er installiert hat.
Solange man nicht sicher sein kann, das jeder diese auch wieder Entschlüsseln kann, ohne was zu installieren oder einen Dienst zu nutzen. Wird das nie was.
@Dieder
Verschickst Du Deine Briefpost auch ohne Umschlag, wenn Du nix zu verbergen hast?
Nett Ansatz. Wobei es mittlerweile auch nicht mehr so schwer ist. Zumindest was Thunderbird und PGP betrifft.
Was mir aber nicht gefällt ist der Zwang mit dem elektronischen Paß. Warum MUß (kann wäre was anderes, es gibt auch sinnvolle Verwendungen dafür) man bei der Registrierung somit seine Person bekanntgeben? Besser wäre, wenn es optional wäre und man später aber erkennen kann, ob jemand seinen Ausweis gezeigt hat. Der Zwang ist z.B. für Whistleblower ein Unding, sie müssen anonym bleiben können. Schlimm ist auch, daß anscheinend die secret keys auf dem Server erstellt werden, oder habe ich das falsch verstanden?
WOBEI:
Wenn OpenPGP später implentiert wird, besteht die Möglichkeit auch, wenn auch nicht mehr so einfach.
@Didier Frosch:
Na, dann poste bitte Deine Kontodaten, installiere öffentliche Webcams in Deinem Zuhaus, schließe nie ab, filme Deine Kopulationen und publiziere sie . Mal abgesehen davon, achte einfach mal darauf was die ganzen Konzerne an Daten übre Dich sammeln um Dich mit Werbung zu bombardieren. Man kann jede Menge legales verbergen.
PS: Warum sollte der Name Volksverschlüsselung ganz schlimm sein? Zu wenig englisch? Der Name paßt perfekt, gerade wegen des Bezugs zum Volksautomobil.
Mich stört das „Ende-zu-Ende“ ..
von der Idee her würde es bedeuten, dass BND und Konsorten da nicht mehr einfach reingucken können, wie es ihnen passt. Ich gehe leider davon aus, dass das ein Trugschluss ist.
Verschlüsselung ist NICHT kompliziert. Es ist nur dann kompliziert, wenn man dieses Mantra laufend vor sich her trägt und nicht willens ist, sich mal damit zu beschäftigen.
Problematischer ist, dass es wenige Lösungen gibt (Thunderbird/Enigmail, TheBat, claws, ein PlugIn für Outlook, das ist es im wesentlichen schon).
Mailvelope ist brauchbar, aber wahrscheinlich etwas frickelig. Es wird übrigens auch von „de-mail“ genutzt. Es ist einfach eine Hilfskrücke wie z.B. https://certified.privnote.com/ oder ähnliche Seiten, nutzt aber wenigstens PGP/GnuPG. Das mit dem „cut&paste“ ist sicherlich nicht jedermanns Sache (ich habe da z.B. Riesenprobleme bei meinen Android-Geräten).
Zur E-Mail-Verschlüsselung kann ich nur folgendes anmerken: Nicht jeder sollte lesen können, was ich privat so von mir gebe. Man muss sich doch nur vorstellen, durch wie viele „Hände“ so eine E-Mail geht. Sie wird doch nicht direkt dem Empfänger zugestellt, sondern immer irgendwo (zuletzt auf dem Empfänger-Email-Server) zwischengespeichert. Dort kann sie JEDER, der die entsprechenden Zugriffsrechte hat, lesen. Das sind z.B. alle damit befassten IT-Mitarbeiter etc.. Irgendwie geht es doch NIEMANDEM – außer dem Empfänger – etwas an, was ich da so von mir gebe. Im Hinblick auf unsere oder fremde Schlapphüte ist es mir ein Vergnügen, wenn die Aufwand beim Entschlüsseln haben (Original-E-Mail, Schlüssel, entschlüsselte E-Mail speichern), um anschließend zu lesen, dass ich einen Date verabredet habe. Es geht doch nicht um die Totalverschlüsselung, sondern nur darum, dem Unbefugten Hindernisse in den Weg zu legen. Eine hundertprozentige Sicherheit gibt es nirgends im Leben, auch nicht beim Verschlüsseln.
http://www.tutanota.de
guter Alternative zu sämticen Email Anbietern, und Posteo kennt man ja eh. Aber die Art und Weise wie Tutanota das angeht mit verschlüsselung der Emails auf für nicht PGP oder Tutanota Nutzer, finde ich sehr gut.
Finde ich gut wenn sich auch die großen Unternehmen damit beschäftigen den Einstieg in verschlüsselte Kommunikation zu erleichtern.
Jedoch finde ich den Ansatz von PrettyEasyPrivacy angenehmer.
Die setzen auf PGP auf und verzichten auf zentralisierte Instanzen wie Schlüsselserver und CAs.