ProtonMail, Tutanota und unseen.is

Die E-Mail Dienste ProtonMail (Schweiz) und Tutanota (Deutschland) stellen einfache Nutzung von Verschlüsselung sowie Kompatibilität mit den gängigen E-Mail Protokollen in den Vordergrund und bemühen sich um Schutz gegen staatlichen Zugriff.

Das Schreiben und Lesen von E-Mails erfolgt primär im Webinterface mit einem Webbrowser. Einen E-Mail Client wie Thunderbird kann man nur über Umwege verwenden (ProtonBridge). Das ermöglicht die Realisierung einer einfach nutzbaren E-Mail Verschlüsselung.

Vorteile gegenüber Web.de, GMX, GMail u.a.

ProtonMail und Tutanota bieten viele Vorteile für Normalanwender, die Ihre E-Mails bisher im Webinterface von Web.de, GMX, GMail, Yahoo! oder Hotmail bearbeitet haben.

Die Provider respektieren die Privatsphäre der Nutzer, schnüffeln nicht in den Mails rum, geben keine Daten weiter und beobachten die Nutzer nicht mit HTML-Wanzen in E-Mails beim Lesen von Newslettern.
E-Mails, Adressbücher und Kalender werden verschlüsselt auf den Servern gespeichert. Auch die Betreiber haben keinen Zugang zu den Daten. Das schützt gegen Beschlagnahmung von Daten durch Behörden aber nicht gegen eine TKÜ nach §100 a/b StPO.
Die Provider bieten einen einfachen Zugang zur E-Mail Verschlüsselung. Man muss sich nur sehr wenig mit Verschlüsselung beschäftigen, um sie in der Praxis einsetzen zu können. Zwischen den Nutzern des Dienstes werden alle Nachrichten verschlüsselt.
Auch auf dem Smartphone ist die verschlüsselte Kommunikation via E-Mail nutzbar. Tutanota und Protonmail bieten passende Apps an:
- Tutanota App im Google Play Store
- ProtonMail App im Google Play Store
Protonmail bietet vollständigen OpenPGP-Support auch für die Kommunikation mit externen Partnern. Man kann seine öffentlichen Schlüssel exportieren und dem Partner schicken. Außerdem kann man die Schlüssel der externen Partner importieren.

Externe Nutzer ohne einen Account bei Tutanota können nicht direkt via PGP-verschlüsselten E-Mails kommunizieren. Der Nutzer von Tutanota muss eine Nachricht an den externen Kontakt schicken. Die Nachricht wird verschlüsselt auf dem Server gespeichert und der Empfänger bekommt einen Link, unter dem er die Nachricht lesen und beantworten kann.
Die Verwendung von E-Mail Clients ist nur bei ProtonMail möglich. Dafür muss man die ProtonMail Bridge lokal auf dem eigenen Rechner installieren. Die Bridge ist ein lokales Mail Gateway mit SMTP- und IMAP-Schnittstelle (kein POP3). Die Schlüsselverwaltung erfolgt dabei weiterhin auf dem ProtonMail Server.
Die SSL/TLS-Verschlüsselung für die Webseiten wird vom Qualsys SSL Server Test mit A+ bewertet und Features zur Verbesserung der Transportsicherheit für E-Mails werden zeitnah implementiert.
Tutanota unterstützt U2F als zweiten Faktor zur Anmeldung im Webinterface.

Am besten kommen die Vorteile dieser Dienste zur Geltung, wenn alle Kommunikationspartner einen Account bei ProtonMail bzw. Tutanota haben.

Nachteile der Verschlüsselung im Browser

Konzeptionell bedingt haben diese Mailprovider einige Schwächen. Die Verschlüsselung bietet "hinreichende" Sicherheit und ist für hohe Sicherheitsansprüche nicht geeignet. Das wird im Threat Model bei ProtonMail auch deutlich angesprochen:

If you are Edward Snowden, or the next Edward Snowden, and have a life and death situation that requires privacy, we would not recommend using ProtonMail.

Webanwendungen bieten mehr Angriffsmöglichkeiten auf die Verschlüsselung als lokal installierte Tools. Thomas Roth demonstrierte in dem Video Hacking protonmail - with a browser, wie man die Verschlüsselung von ProtonMail mit einfachen XSS-Hacks angreifen konnte. Die Lücken sind inzwischen beseitigt, vergleichbare Probleme hätte es bei Thunderbird aber nie geben können.

Die alternative Nutzung starker Kryptografie mit OpenPGP Samrtcards mit lokal installierten Tools ist bei beiden Diensten nicht möglich, auch wenn der Anwender dazu in der Lage wäre.

Der Code für die Verschlüsselung wird durch die Webanwendung beim Aufruf der Webseite geladen oder aktualisert. Außerdem werden die Schlüssel der Empfänger bei Bedarf vom Server geladen. Dieses Konzept nennt man "Server-basierte Kryptografie". (Es ist damit nicht "Server-basierte Verschlüsselung" gemeint!) Das Konzept ist nicht neu. Es wurde bereits von Hushmail und Countermail eingesetzt (mit Java statt Javascript) oder von Cryptocat (für Chats) und die Kritikpunkte an dem Konzept kann man hier übernehmen.

Die Server-basierte Kryptografie von Hushmail wurde 2007 von der DEA kompromittiert. Hushmail wurde gezwungen, die E-Mails von mehreren Accounts entschlüsselt bereitzustellen und musste der Aufforderungen nachkommen. Auch alle oben genannten Dienste könnten die Verschlüsselung unbemerkt kompromittieren, wenn sie es für Behörden tun müssten.
Server-basierte Kryptografie ist für hohe Sicherheitsansprüche politischer Aktivisten o.ä. nicht geeignet wie P. Ball in einem Essay bei Wired am Beispiel von Cryptocat dargelegt.

Tutanota und ProtonMail bieten inzwischen Apps für Android und iPhones an, die den Code für die Verschlüsselung enthalten und aus den Appstores installiert werden können können. Damit entfällt diese Schwäche für Smartphone Nutzer.

Auf dem Desktop PC könnte man die ProtonMail Bridge als Mail-Gateway installieren oder die Software von Tutatnota von Github auschecken und lokal installieren. Auch das schützt gegen Angriffe, ist allerdings komplizierter, als OpenPGP zu konfigurieren.

Key Recovery durch den Provider (aka "Krypto-Key-Backdoor")

Die genannten Provider speichern alle Nachrichten und Kontakte verschlüsselt auf den Servern. Die Nutzer können auf die Daten zugreifen, wenn sie sich mit einem Passwort authentifizieren. Das Passwort schützt den Zugriff auf die Schlüssel.

Welche Möglichkeiten gibt es für ein Key Recovery, wenn man sein Passwort vergessen hat?

ProtonMail bietet ein Key Recovery via externer Mailadresse, wenn man sein Passwort vergisst. Wenn man diese Möglichkeit nutzt, werden alle E-Mails und Daten gelöscht, da sie ohne das alte Passwort nicht mehr entschlüsselt werden können. Wer das Passwort vergessen hat, verliert alle Daten aber nicht den Account.
Tutanota bietet für normale Nutzer keine Möglichkeit des Key Recovery. Bei Tutanota Premium Accounts werden die Daten mit dem Key des Nutzers und dem Key der Account Administratoren verschlüsselt. Das heißt, der Administrator eines Premium Account könnte sich Zugriff auf die Daten verschaffen, aber die Administratoren von Tutanota haben keinen Zugriff auf die Daten.

Somit gibt es bei beiden Services wahrscheinlich keine konzeptuelle "Krypto-Key-Backdoor".

Mit einem Beschluss des Landgericht Köln vom Nov. 2020 wird Tutanota gezwungen, bis Ende des Jahres 2020 eine Backdoor für die verschlüsselte Speicherung zu implementieren und der Polizei die Beschlagnahmung der Daten für ein Postfach zu ermöglichen, das für die Versendung einer Erpressungsmail an einen Autozulieferer genutzt wurde. (c't 25/2020)

Da es sich dabei nicht um eine Katalogstraftat handelt, ist eine TKÜ zur Überwachung nicht möglich und der Polizei bleibt nur die Option der Beschlagnahmung gespeicherter Daten, die nicht durch das Telekommunikationsgeheimnis §10 GG geschützt sind.

Gegen diesen Zugriff auf die E-Mail Kommunkation durch staatliche Behörden bei der Verfolgung von "Eierdieben" sollte die verschlüsselte Speicherung bei ProtonMail und Tutanota sowie die OpenPGP verschlüsselte Inbox bei mailbox.org und Posteo.de schützen.

Tutanota wehrt sich gegen die Auflage zur Implementierung der Backdoor. Der eingelegte Widerspruch hat keine aufschiebende Wirkung und deshalb musste Tutanota mit der Implementierung bereits beginnen. Wenn der Widerspruch abgelehnt wird, hätte das Urteil auch für mailbox.org und Posteo.de Konsequenzen. (Aber ich denke, dass die Begründung durch das Landgericht Köln vor der nächsten Instanz nicht bestehen wird.)