Warum verwendet niemand verschlüsselte E-Mail-Nachrichten?
Angesichts der großen Besorgnis über staatliche Überwachung, Unternehmensspionage und den alltäglichen Identitätsdiebstahl kann es überraschend sein, dass so wenige Menschen verschlüsselte E-Mail-Nachrichten verwenden. Versuchen Sie, verschlüsselte E-Mails zu verwenden, und Sie werden feststellen, dass es schwierig und kompliziert ist, sie zu verwenden.
Mit verschlüsselten E-Mails müssen Sie umgehen. Sie können zwar mit der Komplexität umgehen, aber die Personen, mit denen Sie kommunizieren möchten, müssen auch damit umgehen.
Eigene E-Mails verschlüsseln vs. verschlüsselte E-Mail-Dienste
Wir unterscheiden hier zwei Arten der E-Mail-Verschlüsselung. Es gibt einige Dienste, die vorgeben, einfach verschlüsselte E-Mails anbieten zu können. Sie erledigen die Verschlüsselung für Sie und nehmen Ihnen den Ärger mit der Verwaltung der Verschlüsselungsschlüssel aus der Hand. Wenn Sie mit demselben Dienst verschlüsselte E-Mails zwischen zwei Konten senden, bleiben die verschlüsselten E-Mail-Nachrichten im Dienst selbst geschützt.
Dies scheint verlockend zu sein, eröffnet jedoch eine große Schwäche. Sie vertrauen darauf, dass der Dienst mit Ihrer Verschlüsselung umgehen kann, und Dienste wie Lavabit wurden von den Regierungen gezwungen, den Zugriff auf die verschlüsselten E-Mail-Nachrichten ihrer Kunden zuzulassen. Die US-Regierung forderte sogar eigene private Schlüssel von Lavabit, um auf alle verschlüsselten E-Mails aller Kunden zugreifen zu können.
Wenn Sie wirklich privat und sicher kommunizieren möchten, müssen Sie die E-Mail-Verschlüsselung selbst vornehmen. Dies bedeutet, dass Sie Ihre eigenen Verschlüsselungsschlüssel generieren und schützen, anstatt sie mit einem verschlüsselten E-Mail-Dienst zu speichern.
Funktionsweise der E-Mail-Verschlüsselung
Normalerweise denken wir an PGP-Verschlüsselung, wenn wir an verschlüsselte E-Mails denken. Es gibt jedoch andere Standards wie die in Microsoft Outlook integrierte S / MIME-Verschlüsselungsfunktion. Wenn Sie PGP verwenden, verfügen Sie über einen öffentlichen und einen privaten Schlüssel. Sie geben den öffentlichen Schlüssel an Personen, die Ihnen eine E-Mail senden möchten. Sie verwenden den öffentlichen Schlüssel zum Verschlüsseln ihrer E-Mails. Sie können ihre E-Mails nur mit Ihrem privaten Schlüssel entschlüsseln. Um PGP verwenden zu können, müssen Sie ein öffentliches / privates Schlüsselpaar generieren, Ihren privaten Schlüssel schützen und jedem, der Sie per E-Mail kontaktieren möchte, Ihren öffentlichen Schlüssel geben. Die Person, mit der Sie kommunizieren, muss auch wissen, wie verschlüsselte E-Mail-Nachrichten verschlüsselt, gesendet, empfangen und entschlüsselt werden, und benötigt ein eigenes Schlüsselpaar.
Der Inhalt der E-Mail erscheint als zufälliger Unsinn, genauso wie der Inhalt einer verschlüsselten Datei als unsinnige, bedeutungslose Daten erscheint, bis die Datei entschlüsselt wird.
Beachten Sie, dass ein Großteil einer E-Mail unsicher ist, auch wenn Sie verschlüsselte E-Mails verwenden. Die Felder "Betreff", "An" und "Von" werden im Allgemeinen unverschlüsselt gesendet. Überwachungsbehörden, die den Internetverkehr überwachen, können überwachen, wer mit wem kommuniziert, und sogar die Betreffs der einzelnen E-Mails sehen. Die E-Mail-Verschlüsselung ist ein Patch auf einem unverschlüsselten System, das nur den Nachrichtentext verschlüsselt.
Wie würden Sie tatsächlich verschlüsselte E-Mails verwenden?
Macht nichts aus der Theorie. So würden Sie tatsächlich verschlüsselte E-Mails verwenden.
Die meisten Benutzer nutzen meist webbasierte E-Mail-Dienste wie Google Mail, Outlook.com und Yahoo! Mail Für diese Dienste ist diese Funktion nicht integriert (obwohl Google angeblich an der Integration der PGP-Verschlüsselung in Google Mail gearbeitet wird). Sie müssen dazu eine Browsererweiterung verwenden. Mailvelope scheint zu funktionieren und bietet PGP-Unterstützung für Webmail-Sites wie Google Mail. Sie müssen es in Ihrem Webbrowser installieren, um die E-Mail-Verschlüsselung zu verwenden.
Diese Funktion ist auch nicht in die zugehörigen mobilen Apps integriert. Natürlich können Sie mit einer Erweiterung auf die verschlüsselte E-Mail-Nachricht in Ihrem Webbrowser zugreifen, aber wie lesen Sie sie auf Ihrem Smartphone? Dazu benötigen Sie eine dedizierte App. Sie können nicht nur die Google Mail-App oder die standardmäßige Mail-App Ihres Telefons verwenden. K-9 Mail bietet PGP-Unterstützung für Android, wenn Sie beispielsweise APG installiert haben.
Die Dinge sind kompliziert, selbst wenn es um Desktop-E-Mail-Clients geht, die dies besser integrieren können. Microsoft Outlook verfügt beispielsweise über eine integrierte Funktion zum digitalen Signieren und Verschlüsseln von E-Mails, verwendet jedoch S / MIME und ist nicht mit PGP kompatibel.
Das beliebteste Dienstprogramm zum Verschlüsseln von E-Mails ist die Enigmail-Erweiterung für Mozilla Thunderbird. Mozilla hat aufgehört, Thunderbird zu entwickeln, und könnte es eines Tages einstellen, so dass dies kaum eine ideale Lösung ist. Die Enigmail-Erweiterung integriert OpenPGP in den Thunderbird-Desktop-E-Mail-Client und gibt Ihnen die erforderlichen Schlüsselerstellungs-, Verschlüsselungs- und Entschlüsselungsoptionen. Sie müssen die GNU Privacy Guard (GnuPG) -Software separat installieren.
Sie können verschlüsselte E-Mails nur in einem Client verwenden, der PGP unterstützt. Selbst wenn Sie Thunderbird verwenden, müssen Sie überlegen, was Sie tun müssen, wenn Sie auf diese E-Mails in einem Webbrowser, auf Ihrem Smartphone, auf Ihrem Tablet oder auf einem System ohne Ihren privaten Schlüssel zugreifen müssen.
Die Probleme mit verschlüsselten E-Mails
Hier ist eine kurze Zusammenfassung dessen, was Sie bei der Verwendung verschlüsselter E-Mails erleben werden:
- Sie müssen die Funktionsweise der Verschlüsselung zwischen öffentlichen und privaten Schlüsseln verstehen, ein Schlüsselpaar generieren und Ihren öffentlichen Schlüssel der Person zur Verfügung stellen, mit der Sie kommunizieren möchten.
- Andere Personen, mit denen Sie kommunizieren möchten, müssen auch all diese Dinge verstehen und tun.
- Beide Personen müssen ihre privaten Schlüssel sicher aufbewahren, damit sie nicht gefährdet werden oder verloren gehen. In diesem Fall verlieren Sie den Zugriff auf die E-Mails. Sie müssen auch Ihr Widerrufszertifikat aufbewahren, da es Ihren öffentlichen Schlüssel ungültig machen kann, falls Sie Ihren privaten Schlüssel verlieren.
- Ihre privaten Schlüssel müssen mit einer sicheren Passphrase verschlüsselt werden, die Sie nicht vergessen müssen, die sich von Ihrem E-Mail-Konto-Passwort unterscheidet.
- Sie müssen sicherstellen, dass Sie beide denselben E-Mail-Verschlüsselungsstandard verwenden, unabhängig davon, ob es sich um PGP oder S / MIME oder einen anderen Standard handelt.
- Sie müssen eine Drittanbieterlösung verwenden - entweder eine Browsererweiterung, eine Smartphone-App oder ein E-Mail-Client-Plugin. Wenn Sie sich für die am besten unterstützte Option entscheiden, müssen Sie einen E-Mail-Client, eine Erweiterung und ein Verschlüsselungssoftwarepaket separat installieren.
- Sie benötigen eine Mischung aus verschiedenen Smartphone-Apps und Desktop-Lösungen, wenn Sie auf all Ihre Geräte auf Ihre E-Mails zugreifen möchten.
- Selbst wenn Sie all diese Dinge tun, können die Leute immer noch sehen, mit wem Sie kommunizieren und was die Themen Ihrer Nachrichten sind.
Bei all dieser Komplexität - und mit so vielen Informationen, auch wenn Sie PGP ordnungsgemäß verwenden - ist es kein Wunder, dass verschlüsselte E-Mails so wenig verwendet werden. Es ist auch keine Überraschung, dass die Leute sich für Dienste wie Lavabit entscheiden, die eine bequeme Methode zur Vereinfachung der Verschlüsselung darstellen, aber tatsächlich viel weniger zuverlässig sind als das Verschlüsseln eigener E-Mails.