E-Mail-Verschlüsselung: PGP in Android-Apps nutzen gegen PRISM & Co.

Lukas Funk
14

Seit den Enthüllungen um das US-Spionageprogramm PRISM rückt das Thema Datenschutz und Privatsphäre erneut verstärkt in den Blickpunkt der Öffentlichkeit. Mit PGP steht schon seit Jahren eine Verschlüsselungs-Lösung für E-Mails zur Verfügung, welche inzwischen auch auf Android eine abhörsichere Kommunikation erlaubt. Wir erläutern die Hintergründe und stellen drei E-Mail-Apps vor, die PGP unterstützen.

E-Mail-Verschlüsselung: PGP in Android-Apps nutzen gegen PRISM & Co.

Was ist PGP?

PGP steht für Pretty Good Privacy, zu deutsch „ziemlich gute Privatsphäre“ — und genau das ist es, was das Programm bietet: Durch mehrere parallel angewandte Verschlüsselungsverfahren, unterschiedliche Algorithmen und ein sogenanntes Web of Trust wird sichergestellt, dass E-Mails, aber auch andere Daten, nur die Personen erreichen und gelesen werden können, für deren Augen sie gedacht sind. Doch wie funktioniert das eigentlich?

Verschlüsselte Daten, verschlüsselte Schlüssel

Die Grundlage von PGP bilden zwei Schlüssel, welche jedem Teilnehmer eindeutig zugeordnet sind: ein so genannter Private Key und ein Public Key. Wie der Name schon sagt, steht ersterer nur dem Empfänger einer E-Mail selbst zur Verfügung und dient zum Entschlüsseln von Nachrichten, während letzterer von jedem benötigt wird, der dem Empfänger eine verschlüsselte E-Mail schicken möchte. Das Prinzip dahinter: Verschlüsseln kann jeder, der den Public Key hat. Entschlüsseln kann jedoch nur derjenige, der im Besitz des Private Keys (und meist einer dazugehörigen Passphrase) ist.

In der Regel sind Public Keys und die mit ihnen assoziierten Benutzernamen und E-Mail-Adressen auf lokal oder global organisierten Public Key-Servern zu finden, welche von Universitäten und anderen wissenschaftlichen Einrichtungen betrieben werden. Sie können aber auch auf beliebigen Webseiten zum Download angeboten oder in E-Mail-Signaturen enthalten sein.

Beim Verschicken einer E-Mail wird zunächst ein zufälliger Schlüssel (Random Key) erstellt, mit welchem die Nachricht verschlüsselt wird. Der Schlüssel selbst wird dann mit dem Public Key des Empfängers so verschlüsselt, dass nur dessen Private Key den Schlüssel entschlüsseln kann. Beides wird anschließend dem Empfänger zugestellt.

Auf der Empfängerseite kommen nun Nachricht und Schlüssel an, beide in unterschiedlich verschlüsselter Form. Mit seinem Private Key kann der Empfänger zunächst den Random Key entschlüsseln, mit dessen Hilfe dann die Nachricht selbst entschlüsselt wird.

Was trotz dieser vereinfachten Darstellung zunächst sehr verwirrend klingt, läuft dank PGP-kompatibler Software in Sekundenschnelle automatisch ab. Folgende Grafik stellt den Prozess übersichtlich dar:

PGP-diagram-wikipedia

Alternativ können Nachrichten mit dem PGP-Schlüssel lediglich signiert, nicht aber verschlüsselt werden. So wird sichergestellt, dass die Nachricht tatsächlich vom angegebenen Absender stammt und zwischenzeitlich nicht manipuliert wurde. Der Inhalt der Nachricht erscheint aber weiterhin im Klartext.

Web of Trust

Zwar ist jedem Benutzer von PGP bzw. seiner E-Mail-Adresse ein eindeutiges Schlüsselpaar zugeordnet, doch wie kann man sichergehen, dass sich hinter der Adresse auch der richtige Empfänger verbirgt? PGP setzt hierzu auf ein sogenanntes Web of Trust, ein Vertrauensnetzwerk. Dieses sieht vor, dass Nutzer von PGP, welche wiederum andere Nutzer persönlich kennen, deren Identität mittels eines Zertifikats bestätigen. Eigens hierfür veranstaltete Signing Parties, häufig organisiert von Betreibern von Public Key-Servern oder lokalen PGP-Nutzergruppen, dienen dem schnellen Einstieg von PGP-Neulingen.

Neuere Implementierungen von PGP bauen dieses System mit einer hierarchischen Ordnung weiter aus: Jeder PGP-Nutzer erhält einen Vertraulichkeitswert zwischen 0 und 2, welcher den Grad seiner Vertraulichkeit festlegt. Während in Wert von 0 die selbe Autorität besitzt wie eine Web of Trust-Signatur, kommt Stufe 2 einer zentralen Zertifizierungsstelle gleich.

Gegenüber anderen Verschlüsselungsmethoden, die sich tatsächlich nur auf eine zentrale Zertifizierungsstelle verlassen, hat PGP den großen Vorteil der Dezentralität. Wird eine zentrale Zertifizierungsstelle angegriffen, sind im schlimmsten Fall alle von ihr ausgegebenen Zertifikate kompromittiert; im Web of Trust dagegen können nur unmittelbar in Verbindung stehende Zertifikate unbrauchbar gemacht werden. Dennoch sorgt der Mangel einer zentralen Verwaltungsstelle speziell dann für Probleme, wenn ein Nutzer den Zugriff auf seinen Private Key verliert. Dieser kann dann nicht wiederhergestellt werden, an ihn gerichtete, verschlüsselte Nachrichten sind unbrauchbar.

Geschichtliches

Von Phil Zimmermann 1991 als quelloffene Verschlüsselungstechnik für den Privatgebrauch entwickelt, wurde PGP nach einigen Firmengründungen und -Wechseln inzwischen vom Sicherheitsunternehmen Symantec aufgekauft, von welchem es kommerziell vermarktet wird. Aus den Spezifikationen des Verschlüsselungsprogramms hat sich aber der openPGP-Standard herausgebildet, welcher ständig weiterentwickelt und von mehreren teils quelloffenen Programmen wie GnuPG (Gnu Privacy Guard) verwendet wird.

PGP und Android

PGP ist mit vielen Anwendungen auf verschiedensten Plattformen nutzbar, neben Plugins für Mozilla Thunderbird und Apples Mail-Anwendung existieren auch Apps, mit welchen sich verschlüsselte E-Mails von Android aus versenden lassen.

android-privacy-guard-apg-screenshots

APG

k-9-screenshots

APG steht für Android Privacy Guard und hat sich zum Ziel gesetzt, den openPGP-Standard für Android umzusetzen. Die App an sich bietet neben der Erstellung von PGP-Keys die Möglichkeit, Texte und Daten mit Public Keys zu verschlüsseln, zu signieren und zu verschicken, entfaltet aber erst im Zusammenspiel mit K-9 Mail oder Kaiten Mail ihr volles Potenzial. Ihr Interface ist veraltet, aber zweckmäßig.

Download: APG (kostenlos)

APG (kostenlos) qr code

K-9 Mail

kaiten-mail-screenshots

Ein kostenloser Open Source E-Mail-Client, welcher mit vielen wichtigen Protokollen wie IMAP, POP3 und Exchange zusammenarbeitet. Heraus sticht er aber durch seine Integration von APG, welche das Verschlüsseln von Nachrichten direkt im Kompositionsfenster Erlaubt. Neben einem Interface, welches dem der Gmail-App in nichts nachsteht und ebenso für Tablets optimiert ist, bietet K-9 Komfortfunktionen wie Push-Benachrichtigungen, Labels und einen gemeinsamen Posteingang für mehrere Accounts.

Download: K-9 Mail (kostenlos)

K-9 Mail (kostenlos) qr code

Kaiten Mail

Kaiten, im Englischen gesprochen wie K-10, ist die kommerzielle Weiterentwicklung von K-9 und gleicht diesem im Design. Von den Erfindern des Vorbilds selbst ins Leben gerufen, bietet Kaiten seinen Nutzern die neuesten Komfort-Features, bevor diese mit hoher Wahrscheinlichkeit auch für K-9-User freigegeben werden. Die APG-Unterstützung ist hier natürlich auch gegeben. Wer also die Entwickler hinter K-9 unterstützen und einige exklusive Features nutzen möchte, der sollte zu Kaiten Mail greifen. Eine werbefinanzierte Gratis-Version steht ebenfalls zur Verfügung.

Download: Kaiten Mail (3,99 Euro)

Kaiten Mail (3,99 Euro) qr code

Download: Kaiten Mail (kostenlos, mit Werbeeinblendung)

Kaiten Mail (kostenlos, mit Werbeeinblendung) qr code

Fazit: einfacher Einstieg, komplizierte Umsetzung

Wer nun von PGP überzeugt ist und zukünftig auch über Android verschlüsselt kommunizieren möchte, dem sei als Einstiegspunkt die Seite Biglumber empfohlen. Hier lassen sich nach Städten sortiert Key Signing Partys finden, über welche wiederum der Kontakt zur lokalen Crypto-Community hergestellt werden kann.

Ein eigenes PGP-Schlüsselpaar lässt sich über verschiedene Wege erstellen: Nutzer der Linux-Distribution Ubuntu etwa nutzen das integrierte Schlüsselbund-Tool, Windows-Nutzer starten mit GPG4win und Mac-User mit GPGTools. Um auf dem Desktop verschlüsselte Mails zu verschicken, empfiehlt sich die Kombination aus Thunderbird und Enigmail, auf dem Smartphone greift man zu den oben vorgestellten Apps.

Den eigenen Schlüssel kann man abschließend auf einen Public Key Server wie etwa den des MIT hochladen, um für Kontakte auffindbar zu sein. Alternativen finden sich auf der entsprechenden Wikipedia-Seite.

Mit den inzwischen verfügbaren Tools gestaltet sich der Einstieg in die Welt verschlüsselter E-Mail-Kommunikation denkbar einfach. Dennoch verhindern zwei große Nachteile die allgemeine Verbreitung: Zunächst ist sie nur sinnvoll, wenn alle Teilnehmer PGP-Verschlüsselung verwenden, was bei nicht technikaffinen Menschen selten der Fall ist. Zweitens ist es nicht möglich, PGP-Verschlüsselung über Webmail-Angebote zu nutzen, weshalb die rapide Verbesserung und der Komfort solcher Services wie Gmail und Outlook.com den PGP-Nutzerzahlen nicht zuträglich ist.

Trotzdem ist dieser Komfortverlust erträglich im Angesicht solcher Überwachungsprogramme wie PRISM, zumal man mit mobilen Clients wie den oben genannten auch abseits des Hausrechners die Möglichkeit hat, verschlüsselte Mails zu lesen.

Bildquelle: Wikipedia

Weitere Themen: K-9 Mail

Neue Artikel von GIGA ANDROID

GIGA Marktplatz
}); });