Bewertung PGP-Verschlüsselung bei Web.de und GMX
Für Digitalcourage habe ich eine kurze Bewertung neuen PGP-Verschlüsselung bei web.de und GMX erstellt.
Laut einem Artikel in der Zeitschrift c't:
"Die [...] Variante des Plug-ins Mailvelope erstellt und verwaltet alle PGP-Schlüssel lokal im Browser."
Die Verschlüsselung erfolgt ebenfalls im Browser.
Aus einer Meldung bei heise online:
[... Sicherung...] dann wählt man das Schlüsselpasswort und sichert schließlich die automatisch erzeugten Schlüssel samt Passwort. Diese Daten werden in einen Container gepackt, der lokal verschlüsselt und dann bei 1&1 gespeichert wird. Das hierfür zufällig erzeugte 26-stellige Passwort bleibt beim Nutzer.
Bei der Sicherung Der private Schlüssel und dessen Passwort landet also bei GMX und web.de, geschützt mit einem 26-Zeichen langen Passwort. Dem Beispiel nach besteht das Passwort aber nur aus Kleinbuchstaben und Ziffern, entspricht also *sehr grob* geschätzt einem Passwort von 23 Zeichen mit Klein, Groß, Ziffern.
Unklar ist mir noch, ob die gesamte Nachricht verschlüsselt wird, oder nur der Inhalt und die Anhänge eben nicht. Siehe hier zu auch diese Hinweise von Posteo.
Bewertung
Insgesamt schient die Lösung ganz passabel. Es gibt jedoch einige kritische Punkte:
Um diese Funktion zu benutzen, benötigt man ein Browser-Plug-in, man kann also nicht mehr den Rechner eines Bekannten nutzen (das sollte man sowieso eher nicht, aber das ist eine andere Frage). Weshalb liest man seine Mails dann überhaupt im Browser und benutzt nicht gleich ein richtigen Mail-Programm?!
Es ist unklar, wie gut die Software-Komponente opnePGP.js ist, mit der die eigentliche Verschlüsselung erfolgt.
Die Schlüssel werden innerhalb des Browsers verwaltet. Sie stehen anderen Anwendungen also nicht zur Verfügung.
Damit bleibt als einzige Begründung: Weil es bequem ist. Nun, das ist p≡p (Pretty Easy Privay) auch. Das verwendet aber Software-Komponenten, die seit langen Jahren ausgereicht sind, beispielsweise GnuPG.
[Update 2015-09-14: Bewertung aufgenommen]