Verschlüsseln und Signieren von E-Mails

Weltweit wird der unverschlüsselte E-Mail Verkehr systematisch gescannt. Führend ist die NSA mit ECHELON, was schon im Jahr 2000 aufgedeckt wurde und auch zur Industriespionage sowie zum Abhören von NGOs verwendet wird. Frankreich betreibt ein ähnliches System unter dem Namen "French ECHELON". Der schwedische Geheimdienst FRA scannt im Auftrag der NATO mit einem Supercomputer, da 70% des internationalen Internettraffic aus Russland über Schweden läuft. Die Schweiz hat das Onyx Projekt und nutzt ebenfalls einen Supercomputer zur Verarbeitung der Datenmengen. Für Russland, Saudi Arabien, Syrien, Iran und Ägypten wurden entsprechende Aktivitäten nachgewiesen und die "Great Firewall" von China verfügt ebenfalls über die nötigen Features.

In Deutschland wird der E-Mail Verkehr im Rahmen der "Strategischen Fernmeldeaufklärung" von den Geheimdiensten gescannt. Eine von der G-10 Kommision des Bundestages freigegebene Stichwortliste mit 16.400 Begriffen (Stand 2010) wird für die automatisierte Vorauswahl verwendet, um nach Prolieferation, Waffenhandel und Terroristen zu suchen. Im Jahr 2010 meldeten die Scanner 37 Mio. E-Mails als verdächtig. 2011 hat der BND es geschafft, die automatisierten Scanner mit einem Spamfilter zu kombinieren, so dass "nur noch" 2,1 Mio. E-Mails als verdächtig gemeldet und kopiert wurden.

Ein allgemein gehaltener Bericht der PKGr zur Spionagepraxis des BND vom Jun. 2016 (lokale Kopie, PDF) zeigt, dass der BND seinen Spionageauftrag unzulässig weit ausdehnt und wie die NSA einige EU Institutionen beobachtet, Regierungsvertreter und Ministerien befreundeter EU/NATO Staaten ausspioniert und NGOs gezielt beobachtet.

OpenPGP und S/MIME

OpenPGP und S/MIME sind seit mehr als 20 Jahren etablierte Standards für die Verschlüsselung von E-Mails. Da die Nutzung nicht trivial einfach wie bei modernen Krypto-Messengern ist, konnten sich beide Standards außerhalb der Community der IT-Nerds nicht nennenswert verbreiten.

OpenPGP und S/MIME können folgende Aufgaben erfüllen:

Mit dem Verschlüsseln von E-Mails wird die Vertraulichkeit des Inhalts der E-Mail gewährleistet. Eine Nachricht kann nur vom Empfänger geöffnet und gelesen werden.
Mit dem Signieren von E-Mails wird die Authentizität der Nachricht gewährleistet. Anhand der Signatur kann der Empfänger prüfen, ob eine Mail wirklich von dem angegebenen Absender kommt und unterwegs nicht modifiziert wurde.
Die Metadaten im Header der E-Mail (Absender, Empfänger, verwendete Software, evtl. die IP-Adresse des Absenders usw.) werden durch diese beiden Verfahren nicht(!) verschleiert und können für die Kommunikationsanalyse verwendet werden.

OpenPGP und S/MIME nutzen Asymmetrische Kryptografie. Das heißt, es werden unterschiedliche Schlüssel zum Verschlüsseln und zum Entschlüsseln verwendet:

Jeder Anwender besitzt ein Schlüsselpaar bestehend aus einem geheimen und einem öffentlichen Schlüssel. Während der geheime Schlüssel sorgfältig geschützt nur dem Anwender selbst zur Verfügung stehen darf, muss der öffentliche Schlüssel an alle Kommunikationpartner verteilt werden.
Wenn Beatrice eine verschlüsselte Nachricht an Anton senden will, nutzt sie den öffentlichen Schlüssel von Anton, um die Nachricht zu chiffrieren. Nur Anton kann den Inhalt dieser E-Mail mit seinem geheimen Schlüssel dechiffrieren und lesen.
Wenn Anton eine signierte E-Mail an Beatrice senden will, erstellt er eine Signatur (digitale Unterschrift) mit seinem geheimen Schlüssel. Beatrice kann mit dem öffentlichen Schlüssel von Anton die Unterschrift und damit die Echtheit der Nachricht verifizieren, da nur Anton Zugriff auf seinen geheimen Schlüssel haben sollte.

Verschlüsselung und Signatur können kombiniert werden. Dabei wird der Inhalt der Nachricht zuerst signiert und dann alles zusammen (Nachricht + Signatur) verschlüsselt.

OpenPGP und S/MIME haben es in den letzten 20 Jahren nicht geschafft, eine massentaugliche Usability zu entwickeln. Wenn man erst 10 Seiten Anleitung lesen muss, zusätzliche Software instalieren muss, die Schlüssel selbst erstellen oder beglaubigen lassen muss, sich um die Verteilung der Schlüssel kümmern muss... und es danach noch jedem Partner erklären muss, dann ist diese Krypto einfach nicht massentauglich.

Pretty Easy Privacy (PEP) und Autocrypt

PEP und Autocrypt hatten das Ziel, die Usability von OpenPGP zu verbessern und damit eine breitere Anwendung von E-Mail Verschlüsselung zu ermöglichen. Es wurden bei Sicherheit und Flexibilität teilweise erhebliche Einschränkungen in Kauf genommen, allerdings ohne dabei das Ziel einer nennenswert größeren Verbreitung von OpenPGP zu erreichen.

Bei Pretty Easy Privacy (PEP) sind die Einschränkungen moderat:

Bei der Einrichtung eines Accounts erstellt PEP im Hintergrund automatischen ein Schlüsselpaar (RSA, 2048 Bit). Der private Key wird standardmäßig nicht mit einem Passwort gesichert, da die PEP-Entwickler es als überflüssiges und störendes Feature ansehen. Es wird eine Verschlüsselung der Festplatte empfohlen (schützt nicht gegen Dritte mit Admin-Rechten).

(Optional kann man einen Passwortschutz für private Schlüssel aktivieren und alle Schlüssel neu erstellen.)
PEP tauscht die öffentlichen Schlüssel automatisch als E-Mail Attachement aus. Nach einer ersten, unverschlüsselten Mail (aktiver Modus) oder spätestens nach der zweiten ausgetauschten E-Mail (passiver Modus) werden alle weiteren E-Mails verschlüsselt. Den Erstkontakt mit einem Key von Web- oder Keyservern zu verschlüsseln, ist nicht vorgesehen.

Hinweis: E-Mails mit BCC Adressen werden nicht(!) verschlüsselt.
Der Betreff und weitere Header werden standardmäßig verschlüsselt (Memoryhole).
Auf der Gegenseite akzeptiert PEP den ersten Key von einem Kommunikationspartner und verwendet ihn zukünftig automatisch (trust in first use). Alle weiteren Keys werden verworfen, um Sicherheitsprobleme wie bei Autocrypt zu vermeiden. (Dem erfahrenen Anwender wird damit lediglich der Klick auf "OpenPGP-Schlüssel importieren" erspart.)
Verifizierung von Schlüsseln ist anhand von 5 oder 10 Trustwords möglich, die über einen unabhängigen, sicheren Kanal oder bei einem Treffen verglichen werden müssen.
Mit PEP-Sync können die Schlüssel zwischen mehreren Geräten synchronisiert werden.
PEP verwendet statt GnuPG die eigene Implementierung Sequoia PGP als Backend.

Mit dem Autocrypt Schlüsseltausch wurden die Sicherheit von OpenPGP drastisch geschwächt, um den Austausch der Schlüssel zu vereinfachen. OpenPGP mit Autocrypt bietet keine sichere Verschlüsselung sondern nur noch some protection most of the time. Außerdem wurden die E-Mail Provider per Definition als "vertrauenswürdig" deklariert und damit wesentliche Ziele einer Ende-zu-Ende Verschlüsselung über Board geworfen. Der Schutz gegen den E-Mail Provider war und ist das wesentliche Ziel jeder Ende-zu-Ende Verschlüsselung.

Eine Ende-zu-Ende Verschlüsselung, die nicht mehr gegen die Provider schützt, ist einfach überflüssig. Bedauerlicherweise ist Autocrypt in vielen Tools zur E-Mail Verschlüsselung standardmäßig aktiviert, was die Nutzung von OpenPGP für sicherheitskritische Anwendungen (beispielsweise für Whistleblower) kaputt gemacht hat.

In der Entwickler Community sind die Ansichten gespalten. Bei dem Mailvelope Browser Add-on wurde Autocrypt implementiert und standardmäßig aktiviert. Die Thunderbird Entwickler bezeichnen es als "Gossip Feature" und haben es nicht implementiert.

Mit countermitm gibt es eine Erweiterung für den Autocrypt Schlüsseltausch, die eine Verifizierung von Schlüsseln einführt und ein "Network of Trust", um bei Autocrypt mögliche Man-in-the-Middle Angriffe auf OpenPGP Schlüssel für verifizierte Schlüsseln zu verhindern.

contermitm gehört nicht zum Autocrypt Standard und wird unabhängig davon entwickelt.