Dienstag, 15. September 2015

Gmail: Google plant angeblich Ende-zu-Ende-Verschlüsselung à la PGP für den E-Mail-Dienst

Einem Bericht von Venture Beat zufolge arbeitet Google derzeit an Mitteln und Wegen seinen E-Mail-Service Gmail mit einer Ende-zu-Ende-Verschlüsselung auszurüsten, um NSA und andere Schnüffler aus privater Korrespondenz herauszuhalten. Um dies zu bewerkstelligen, versucht das Unternehmen aus Moutain View Open Source Verschlüsselungsmechanismen wie PGP leichter benutzbar zu machen, damit sie für die breite Masse einsetzbar sind.
Seitdem Edward Snowden enthüllte, in welchem Ausmaß die NSA Internetnutzer weltweit ausspioniert, ist das Thema Sicherheit und Verschlüsselung in der Mitte der Gesellschaft angekommen. Da die US-Spionagebehörde unter anderem auch Googles Datenleitungen angezapft haben soll, verschlüsselte das Unternehmen daraufhin den Traffic auch auf internen Leitungen und machte gesicherte Verbindungen verpflichtend HTTPS in Gmail, um der Schnüffelei einen großen Riegel vorzuschieben.
Damit scheint sich Google aber noch nicht zufrieden zu geben, denn laut Informationen von Venture Beat, die aus angeblich zuverlässiger Quelle stammen, versucht Google derzeit Wege zu finden, eine noch sicherere Verschlüsselung in seinen Gmail-Dienst zu integrieren. Unter anderem soll dabei versucht werden, den seit 20 Jahren existierenden Open Source Verschlüsselungs-Standard PGP (Pretty Good Privacy) zum Bestandteil des E-Mail-Dienstes zu machen.
PGP kurz erklärt: Das asymmetrische Verschlüsselungsprotokoll bietet eine Ende-zu-Ende-Verschlüsselung, die mittels eines Schlüsselpaares erreicht wird und nur vom Empfänger geöffnet werden kann. Zum Senden einer sicheren Mail per PGP muss dem Sender ein öffentlicher Schlüssel vorliegen, der wie eine E-Mail-Adresse mit dem Empfänger verknüpft ist. Mittels dieses Keys und der entsprechenden Software verschlüsselt man die zu versendende Mail. Kommt sie beim Empfänger an, muss diese, damit sie wieder lesbar gemacht werden kann, mit einem zugehörigen privaten Schlüssel dechiffriert werden. Dieser Schlüssel liegt nur dem Empfänger vor und ist in der Regel mit einem Passwort versehen. Um auf die Mail zu antworten, wird ebenso ein öffentlicher Key benötigt. Das Verfahren stellt nicht nur sicher, dass Nachrichten nur vom gewünschten Empfänger gelesen werden können, sie besitzt auch die Möglichkeit zur Absender-Authentifizierung. So kann sichergestellt werden, dass eine E-Mail definitiv von der Person stammt, die im Absender angegeben ist.
Eine genauere Erklärung von PGP sowie eine Reihe an Android-Apps haben wir an anderer Stelle für euch zusammengefasst.
PGP-diagram-wikipedia
Die Nutzung dieser Verschlüsselungsmethode hat sich aufgrund seiner recht umständlichen Handhabung bis heute nicht durchgesetzt. Zwar gibt es diverse Tools für weit verbreitete Mail-Clients und auch Android-Apps, doch ist PGP im Unterschied zum WhatsApp-Messenger, der sicherheitstechnisch bekanntlich relativ offen ist, weniger einfach zu handhaben. Mit der Integration von PGP in Gmail würde Google dem System einen Schub an Aufmerksamkeit und Akzeptanz verleihen. Allerdings spielt zudem eine große Rolle, wie simpel der Verschlüsselungsprozess in Gmail letztlich vonstatten geht. Jedoch ist derzeit noch recht unklar, wie Google dies bewerkstelligen wird.
Darüber hinaus ist ebenso fraglich, in welchem Ausmaß Google diese Verschlüsselung integrieren wird, schließlich lebt das Unternehmen von Werbung und den Daten, die wir ihm geben – auch unsere Mails werden von Google nach bestimmten Keywords gescannt, damit auf uns zugeschnittene Werbung angezeigt wird. Mit einer Ende-zu-Ende-Verschlüsselung bliebe Google der Zugriff auf unsere Mails verwehrt.
Ganz praktisch würde dies auch bedeuten, dass eine einfache Durchsuchbarkeit der eigenen Mails nicht mehr gegeben wäre. Davon abgesehen ist die Tatsache problematisch, dass in Google Mail als Webdienst das Konzept eines nur lokal vorliegenden privaten Schlüssels kaum zu integrieren wäre. Ein Private Key in der Cloud hingegen führte das Sicherheitskonzept von PGP ad absurdum und böte damit deutlich weniger Sicherheit als „echtes“ PGP.

Keine Kommentare:

Kommentar veröffentlichen