Springe zum Hauptinhalt

Bewertung PGP-Verschlüsselung bei Web.de und GMX

Für Di­gi­tal­cou­ra­ge ha­be ich ei­ne kur­ze Be­wer­tung neu­en PG­P-­Ver­schlüs­se­lung bei we­b.­de und GMX er­stell­t.

Laut ei­nem Ar­ti­kel in der Zeit­schrift c't:

"Die [...] Va­ri­a­n­te des Plug­-­ins Mail­ve­lo­pe er­stellt und ver­wal­tet al­le PG­P-­Sch­lüs­sel lo­kal im Brow­ser."

Die Ver­schlüs­se­lung er­folgt eben­falls im Brow­ser.

Aus ei­ner Mel­dung bei hei­se on­line:

[... Si­che­rung...] dann wählt man das Schlüs­sel­pass­wort und si­chert schließ­lich die au­to­ma­tisch er­zeug­ten Schlüs­sel samt Pass­wor­t. Die­se Da­ten wer­den in einen Con­tai­ner ge­pack­t, der lo­kal ver­schlüs­selt und dann bei 1&1 ge­spei­chert wird. Das hier­für zu­fäl­lig er­zeug­te 26­-­stel­li­ge Pass­wort bleibt beim Nut­zer.

Bei der Si­che­rung Der pri­va­te Schlüs­sel und des­sen Pass­wort lan­det al­so bei GMX und we­b.­de, ge­schützt mit ei­nem 26­-­Zei­chen lan­gen Pass­wor­t. Dem Bei­spiel nach be­steht das Pass­wort aber nur aus Klein­buch­sta­ben und Zif­fern, ent­spricht al­so *sehr grob* ge­schätzt ei­nem Pass­wort von 23 Zei­chen mit Klein, Groß, Zif­fern.

Laut http://img.ui-portal.de/cms/webde/produkte/sicherheit/pgp/lp/Anleitung-Verschluesselte-Kommunikation-WEB.DE.pdf ist die Sicherung optional, die Leute werden aber dazu angehalten bze. animiert, die Schlüssel zu sichern.
Mit dieser Sicherung kann man die Schlüssel auch auf andere Rechner übertragen. das geht jedoch auch, indem man die Schlüssel in der Browser-Erweiterung exportiert - ist nicht so bequem, verhindert aber, dass der Schlüssel beim Provider landet. Schade, dass GMX und web.de hier keine Möglichkeit anbieten, den als z.B. QR-Code Schlüssel auszudrucken, sondern die Leute dazu animieren, den Schlüssel zu ihnen hoch zu laden.

Un­klar ist mir noch, ob die ge­sam­te Nach­richt ver­schlüs­selt wird, oder nur der In­halt und die An­hän­ge eben nicht. Sie­he hier zu auch die­se Hin­wei­se von Pos­teo.

Bewertung

Ins­ge­samt schient die Lö­sung ganz pas­sa­bel. Es gibt je­doch ei­ni­ge kri­ti­sche Punk­te:

  1. Um die­­se Funk­ti­on zu be­­nut­­zen, be­nö­tigt man ein Brow­­ser­­-­­Plug­­-­­in, man kann al­­so nicht mehr den Rech­­ner ei­­nes Be­­kann­ten nut­­zen (das soll­te man so­wie­­so eher nicht, aber das ist ei­­ne an­­de­­re Fra­­ge). Wes­halb liest man sei­­ne Mails dann über­­haupt im Brow­­ser und be­­nutzt nicht gleich ein rich­ti­­gen Mail­­-­­Pro­­gram­m?!

  2. Es ist un­­­kla­r, wie gut die Soft­wa­re­­-­­­Kom­­po­­nen­te opneP­G­P.js ist, mit der die ei­­gent­­li­che Ver­­sch­lüs­­se­­lung er­­fol­g­t.

  3. Die Schlüs­­sel wer­­den in­­­ner­halb des Brow­­sers ver­­wa­l­tet. Sie ste­hen an­­de­ren An­wen­­dun­­gen al­­so nicht zur Ver­­­fü­­gung.

Da­mit bleibt als ein­zi­ge Be­grün­dung: Weil es be­quem ist. Nun, das ist p≡p (Pret­ty Ea­sy Pri­vay) auch. Das ver­wen­det aber Soft­wa­re­-­Kom­po­nen­ten, die seit lan­gen Jah­ren aus­ge­reicht sin­d, bei­spiels­wei­se GnuPG.

[Up­da­te 2015­-­09­-­14: Be­wer­tung auf­ge­nom­men]

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de