Zukunftsfähigkeit von PGP und S/MIME

Hallo zusammen,

ich möchte gerne ein Thema ansprechen, das hier im Forum immer wieder zur Sprache kommt oder zumindest in Nebensätzen erwähnt wird: die Nutzung datenschutzfreundlicher E-Mail-Anbieter und die Frage nach Verschlüsselung.

Viele von uns verwenden sicher E-Mail-Dienste wie mailbox.org, Posteo, Proton oder Mailfence – und es gibt natürlich noch viele weitere Alternativen. Doch oft stellt sich in Diskussionen die Frage: Welcher Anbieter ist der „Beste“?

Neulich habe ich überlegt, mein aktuelles E-Mail-Postfach zu Tutanota zu transferieren. Warum? Vielleicht der Wunsch nach Veränderung – ich weiß es selbst nicht genau. Doch dann fiel mir ein: Tutanota unterstützt weder PGP noch S/MIME.

Das hat mich zunächst ins Grübeln gebracht, und ich war schon kurz davor, die Idee wieder zu verwerfen. Aber dann habe ich mich gefragt: Wie oft nutze ich diese Verschlüsselungsmethoden überhaupt? Rückblickend vielleicht 2 bis 4 Mal im Jahr – wenn überhaupt.

Tatsächlich bieten die wenigsten meiner Kommunikationspartner PGP oder S/MIME an. Behörden nutzen selbsterstellte S/MIME-Zertifikate und ein paar Unternehmen – wie Mullvad – ermöglichen PGP für den Supportkontakt. Doch der Großteil der E-Mails wird nach wie vor unverschlüsselt verschickt.

Das bringt mich zu den folgenden Fragen:

• Wie zukunftsfähig sind PGP und S/MIME eigentlich?
• Was müsste passieren, damit Verschlüsselung für die breite Masse attraktiver wird?
• Warum gibt es bisher so wenig Bewusstsein dafür?

Glaubt ihr, dass S/MIME und PGP in naher Zukunft stärker genutzt werden? Oder werden sich alternative Verschlüsselungsmethoden, wie die Secure-Send-Funktionen von mailbox.org, Tutanota und anderen Anbietern bei denen das Gegenüber über einen Link den Inhalt aufrufen muss, durchsetzen?

Und wie sieht es bei euch aus: Wie häufig kommuniziert ihr tatsächlich per PGP oder S/MIME?

Ich freue mich auf eure Meinungen und Erfahrungen!

Moin

es gibt dazu einen ziemlich aktuellen Podcast von Linux.ch.
Kann man sich mal anhören.

Gruß

(TH)omas

Ich halte PGP für tot mangels geeignetem Schlüsselmanagement. Bei S/MIME und vertrauenswürdigen Zertifikaten sieht das besser aus, bringt aber nur etwas wenn man auf Signaturen steht. Mehr Details in der Datenschutz & Datensicherheit (DuD) 11/2024 - gibt es in gut sortierten Bibliotheken.

gefunden, leider nur bei GAFA: https://podcasts.apple.com/de/podcast/ciw111-e-mail-verschlüsselung/id1527155920?i=1000675890076

E-Mail wird ganz ersetzt durch irgendwas wie Whatsapp.

https://gnulinux.ch/ciw111-podcast

Gruß

Moin zusammen,

wer sagt mir Unwissenden was „GAFA“ ist. Ich höre meine PodCasts immer mit AntennaPod. Damit habe ich den Kanal gefunden.

Gruß

(TH)omas

Google, Amazon, Facebook, Apple

Danke für die Info, man lernt aus.

Die erweitere Version davon ist übrigens FAGMAN. Wissen auch nur die Wenigsten.

Da Facebook in Meta aufgegangen ist, tut’s eigentlich auch MAGA (wo das M dann zusätzlich für Microsoft stünde). Aber das Akronym ist leider schon für einen politschen Slogan verbrannt…

Oder brauchen wir noch ein O für Open AI? Das packen wir wegen der Finanzverflechtungen aber mühelos als dritte Bedeutung in das M

E-Mail-Verschlüsselung scheitert IMHO vor allem daran, dass das gesamte Schlüsselmanagement für den Anwender zu kompliziert implementiert wurde.

Dieses muss eigentlich automatisiert eine verschlüsselte Kommunikation realisieren (z. B. durch Verfahren wie automatische Schlüsselübernahme wie Trust-on-first-use) und insbesondere bei der Nutzung mehrerer Geräte eine Synchronisation erlauben.

Als Option sollte die Vertrauenswürdigkeit durch persönliche Überprüfung oder Zertifikate ergänzt werden können.

Selbst Apple, die prinzipiell einen verschlüsselten Keychain-Sync über die Geräte des Anwenders haben, synchronisieren nicht das Öffentliche / Private Schlüsselmaterial des Benutzers zwischen den Geräten.

Bei S/MIME kommt hinzu, dass Zertifikate etwas kosten und dann auch noch jährlich, manuell erneuert werden müssen.

Bei PGP ist der größte Hemmschuh, dass ein Großteil der E-Mail-Clients das Verfahren nicht von Haus aus unterstützen.

Fazit:

Aus meiner Sicht wird E-Mail-Verschlüsselung in einer Nische bleiben.

Einzig wenn jeder der großen Betriebssystemhersteller (Apple, Google, Microsoft) sich der automatischen Schlüsselsynchronisationa annehmen und eine CA kostenlos die notwendigen S/MIME Zertifikate automatisiert bereitstellen würde, könnte es mit einer Verbreitung der E-Mail-Verschlüsselung noch etwas werden.

Sinnvoller ist es in direkten Kommunikation verschlüsselte Messenger einzusetzen und beim Empfang von E-Mails von Unternehmen auf einen vertrauenswürdigen E-Mail-Anbieter, ggf. eine automatisierte Eingangsverschlüsselung durch den Anbieter, zu setzen.

Mit dem richtigen Messenger (z. B. Signal, Threema) löst man gleich noch das Problem des Meta-Datenschutzes der Kommunikation, was E-Mail bedingt durch sein Design immer mit sich bringt.

es bräuchte bei PGP noch ein vertrauenswürdiges Schlüsselmanagement für die Kommunikationspartner.

Das Schlüsselmanagement vieler Messenger ist nicht besser, weil es Gerätekonfigurationen statt Personen identifiziert/authentifiziert. Siehe https://blog.lindenberg.one/MythosEndeZuEndeVerschlusselung.

Diese Forderung des „vertrauenswürdigen Schlüsselmanagements“ bzw. der zwingenden individuellen Prüfung des Kommunikationspartners ist aus meiner Sicht einer der Gründe, warum PGP für die Masse keine Lösung darstellt.

Ja, ohne eine Authentifizierung des Eigentümers des Schlüssels hat man eine Verschlüsselung ohne verifizierte Identität und dieses kann auch jemand ganz anderes sein. Aber die Forderung der verpflichtenden Prüfung und Vertrauenskonfiguration des Schlüssels ist eine hohe Hürde, die im Endeffekt dann den Einsatz von Verschlüsselung verhindert. Im Ergebnis werden wenige E-Mails mit gut verifizierten Schlüsseln verschlüsselt, die Masse der E-Mails gehen aber werden aber weiterhin unverschlüsselt auf den beteiligten Mailsystemen (zwischen-)gespeichert.

Ich würde daher eher einen „trust on first use“ Ansatz wählen, bei dem ein zugeschickter Schlüssel vom Client automatisiert übernommen und dann für die weitere Kommunikation genutzt wird. Hierdurch würde immer nur die erste Kontaktaufnahme E-Mail unverschlüsselt übertragen und danach alle E-Mails zumindest verschlüsselt.

(S/MIME nutzt diese Verfahren, hat aber natürlich den Vorteil eines gewissen Vertrauensankers über das jeweilige Zertifikat. Das Problem von S/MIME für die Akzeptanz sind IMHO die kostenpflichtigen Zertifikate und das sehr kurze Ablaufdatum und daraus resuliterender Aufwände für den Anwender.)

Um den Anwender jedoch über den Vertrauensstatus der Verschlüsselung zu informieren, müsste der Mail-Client jedoch die Vertrauenswürdigkeit des Schlüssels direkt anzeigen. Threema hat da meiner Meinung nach ein recht einfach verständliches Verfahren:

Rot = Schlüsselidentität ist ungeprüft
Gelb = Schlüsselidentität ist von einer anderen, vertrauenswürdigen Instanz geprüft
Grün = Schlüssel wurde selbst verifiziert

(bei E-Mail muss man noch einen eindeutige Status ergänzen, der vor unverschlüsselten E-Mails warnt).

Aber im Endeffekt ist „Ende-zu-Ende-Verschlüsselung“ in verteilten Software-Implementationen ja sowieso Augenwischerei, da Du als Absender nie wissen kannst, wie Dein Kommunikationspartner mit der Kommunikation umgeht. Viele Firmen verwenden z. B. bei der E-Mail-Verschlüsselung zur Gewährleistung von Stellvertretungsregelungen Verschlüsselungsgateways, die die vermeintliche Ende-zu-Ende-Verschlüsselung am Mailübergang des Unternehmens terminieren und die E-Mails am Ende unverschlüsselt in den internen Infrastrukturen übertragen und speichern.

Das widerspricht zumindest dem BSI Grundschutz CON.1.A4. Wie willst Du den Schlüssel dann aktualisieren?

Oder zentral hinterlegte Schlüssel. In beiden Fällen bringt es m.E. keinen Sicherheitsgewinn gegenüber einem eigenen Emailserver.

Wenn jemand seinen Schlüssel erneuert, würde dieser bei einem „Trust on first use“ Verfahren wiederum automatisch von den Mailclients übernommen, der Empfänger jedoch über die Aktualisierung informiert.

Der unbedarfte Benutzer würde vermutlich den neuen Schlüssel unbesehen nutzen, aber immerhin würden E-Mails weiterhin nur verschlüsselt verschickt, sodass Mailinhalte zwar von einem Man-in-the-middle Angreifer, aber immer noch von wesentlich weniger Mitlesern auf dem Übertragungsweg und der Datenspeicherung gelesen werden könnten.

Der wissende Benutzer würde natürlich versuchen den Schlüsseltausch beim Absender zuerst zu verifizieren und danach erst den neuen Schlüssel verwenden.

Bringen wir es auf den Punkt:

Die Anforderungen und Aufwände eine Schlüsselauthentisierung ohne Zertifizierungsinstanzen wirklich sicher hinzubekommen sind der Hemmschuh, der die PGP-basierende E-Mail-Verschlüsselung von einer Verbreitung abhält.

Bei S/MIME mit Zertifikaten besteht zwar ein einfaches Verfahren des Schlüsselaustausch über signierte E-Mails und dem automatischen Vertrauen durch die CAs. Bei S/MIME sind jedoch Kosten und die manuellen Aufwände für die Erneuerung der Zertifikaten der Hemmschuh. In Ergebnis hat sich auch dieses Verfahren sich nicht außerhalb von geschlossenen Firmenverbünden mit automatisierten Prozessen durchsetzen können.

Dumm ist an dem Thema nur, dass durch die hohen Schwellen des Schlüsselhandlings vor dem Einsatz von Mailverschlüsselung das Ergebnis ist, dass praktisch niemand verschlüsselte E-Mails verschickt. Aus Angst vor dem individuellen Man-in-the-middle Angriff lassen wir daher lieber jedem beteiligten Mailprovider die Möglichkeit E-Mail-Kommunikation auch massenhaft auszuwerten.

P. S. Ich beziehe mich hier explizit auf den Einsatz von Mailverschlüsselung im privaten Umfeld und nicht auf vertrauliche Unternehmenskommunikation an die explizite Anforderungen gestellt werden.

stimmt nicht. Bestimmt 99,9% der Emails sind transportverschlüsselt.

Email kann man selbst betreiben oder einen vertrauenswürdigen Anbieter auswählen. Wer bei Google oder United Internet bleibt ist definitiv selbst schuld.

Na klar kann man sich vertrauenswürdige E-Mail-Anbieter auswählen und damit die Risiken eine Zugriffs des Anbieters auf die auf den Servern gespeicherten E-Mails verringern oder den Rechtsraum festlegen dem der Anbieter unterliegt.

Auch sollte in der Zwischenzeit der Großteil der Mailserver-zu-Mailserver-Kommunikationen über transportverschlüsselte Übertragungen vor dem Mitlesen der Netzwerk-Betreiber geschützt sein. Auf jedem Mailserver der in der Kommunikation eingebunden ist werden E-Mails jedoch weiterhin unverschlüsselt (zwischen-)gespeichert.

Aber Du hattest Dich ja auf das vertrauenswürdige Schlüsselmanagement bezogen, welches Du als Anwender ja für PGP oder S/MIME basierende Mailinhaltsverschlüsselung benötigst. Hier habe ich ausgeführt wo ich die Probleme bei dieser aus der reinen Lehre nachvollziehbaren Forderung sehe, die jedoch aus meiner Sicht einen erheblichen Beitrag an der „Nicht-Verbreitung von E-Mail-Verschlüsselung basierend auf PGP und S/MIME“ darstellt.

Insofern sind heutige verschlüsselte Messenger wie Signal oder auch iMessage hinsichtlich des Schlüsselmanagements definitiv nicht perfekt, haben jedoch effektiv die verschlüsselte Kommunikation für Normalbenutzer massiv nach vorne gebracht. Einfach weil alle Kommunikationen nicht explizit angegriffener Kommunikationspartner wesentlich besser geschützt sind als E-Mail es je erreichen konnte.

Heutzutage sind in fast allen Fällen maximal zwei Verantwortliche dabei: Sender- und Empfänger-Organisation. Relay für andere ist seit dem Aufkommen von Spam aus der Mode gekommen. Jede Organisation entscheidet selbst, was sie wie verschlüsselt. Bei mir werden mit ganz wenigen Ausnahmen alle Daten verschlüsselt gespeichert, insbesondere auch alle Emails.

das ist in meinen Augen mehr Marketing als Sicherheit. Den einzigen Vorteil und gleichzeitig Nachteil den ich bei Messengern sehe ist, dass sie nichts auf Dauer speichern.

Die Authentifizierung mit SMTP-DANE bei Email ist deutlich sinnvoller als die bei vielen Messengern.

@Butterplume was hast Du denn jetzt mitgenommen?

Ist das ein schlechter Scherz? Signal ist in nahezu allen Sicherheits- und Datenschutzbereichen E-Mails mit PGP o.ä. überlegen.

Ehrlich gesagt kann ich Dir @Joachim auch nicht mehr folgen.

Es wäre klasse, wenn Du nachvollziehbar begründen könntest, warum Du der Meinung bist, dass SMTP-DANE bei Email deutlich sinnvoller als die Ende-zu-Ende-Verschlüsselung von Signal oder Threema ist und warum die Sicherheitsfunktionen aktueller Messenger mehr Marketing als Sicherheit darstellen und der E-Mail unterlegen sein sollen.

Für mich sind wir hier aber eh weit ab vom eigentlich Thread-Thema „Zukunftssicherheit von PGP und S/MIME“.