OpenPGP Verschlüsselung mit Gmail

Emails sind wie Postkarten. Der Inhalt ist frei zugänglich auf dem Weg zwischen Sender und Empfänger. Das weiss jeder! Oder etwa nicht? Aus diesem Grund wurde schon 1991 ein Verfahren entwickelt, welches Nachrichten verschlüsselt und/oder signiert. PGP (Pretty Good Privacy) hatte im Verlauf seiner Geschichte verschiedene Eigentümer (von McAfee bis Symantec), so dass 1998 schliesslich OpenPGP entstand um etwaige Zweifel bzgl. Hintertüren aus dem Weg zu räumen. Nun macht sich Google daran, die Benutzerfreundlichkeit der Email Verschlüsselung stark zu verbessern.

Email Verschlüsselung heuteOpenPGP EndToEndLogo

PGP oder GnuPG existieren zwar schon lange, doch basieren diese auf dem sogenannten «Web of Trust», was soviel heisst wie gegenseitiges Vertrauen durch Schlüsselaustausch ohne zentrale Zertifizierungsstelle. Im Klartext: Ich muss meinen öffentlichen Schlüssel mit allen Kommunikationspartnern teilen, damit diese verschlüsselte Emails an mich senden können. Gleichzeitig benötige ich die öffentlichen Schlüssel aller meiner Email-Partner, damit ich diese mit verschlüsselten Inhalten beglücken kann. Wie ich die Schlüssel austausche, ist meine Sache. Es ist also technisches Wissen, Software und eine entsprechende Konfiguration notwendig. Darum wird diese Art von Verschlüsselung kaum verwendet.

Vereinfachte End-zu-End Verschlüsselung mit OpenPGP

Google hat im letzten Sommer mit der Ankündigung überrascht, eine Chrome Erweiterung zu entwickeln, welche es erlaubt, Emails im Webmail zu verschlüsseln und/oder zu signieren. Basieren wird die Lösung auf dem OpenPGP Standard. Die Anwendung im Browser soll transparent und simpel sein.

Der Ansatz von Google (und Yahoo)

Wie Google dann im letzten Dezember verkündete, hat die Chrome OpenPGP Erweiterung noch immer den Alpha Status. Der Quellcode ist jedoch öffentlich, da Google sogar Prämien für gefundene Fehler bezahlt. Ferner arbeitet auch Yahoo in diesem Projekt mit, d.h. die Endlösung wird nicht limitiert sein auf Gmail. Der Quellcode schliesslich verrät den entscheidenden Plan: Google entwickelt einen Schlüsselserver. Wie weiter oben beschrieben, ist Schlüsselmanagement und -verteilung das Hauptproblem bei der Benutzerfreundlichkeit aller Sicherheitslösungen. Darum versucht Google mit einem Schlüsselserver zumindest eine Ebene der Komplexität zu entfernen. Die öffentlichen Schlüssel werden gesammelt und über ein Verzeichnis zur Verfügung gestellt. Möchte man nun eine Mail verschlüsselt versenden, holt sich das Webmail automatisch den öffentlichen Schlüssel des Empfängers in diesem Verzeichnis. Ein ausgeklügelter Mechanismus stellt dabei sicher, dass die Schlüssel im Verzeichnis auch vertrauenswürdig sind.

Blick in die Zukunft

Die finale Version wird erst erscheinen, wenn Google die Technologie als stabil und sicher beurteilt, das dürfte jedoch im 2015 sein. Die Zeichen stehen nicht schlecht, dass es ein Erfolg werden könnte:

  • basierend auf OpenPGP
  • offen für andere Anbieter (Yahoo ist schon an Bord)
  • einfach für den normalen Benutzer anwendbar

Möchten Sie mehr über Gmail, Google Apps und den Nutzen für Ihr Unternehmen wissen? Kontaktieren Sie uns!

Google Security Blog: http://googleonlinesecurity.blogspot.de/
Quellcode bei GitHub: https://github.com/google/end-to-end
Dokumentation bei GitHub: https://github.com/google/end-to-end/wiki/Key-Distribution