Google will für seine Google-Mail-Nutzer angeblich eine sichere PGP-Verschlüsselung entwickeln. Diese Verschlüsselung hebelt entweder Googles eigenes Geschäftsmodell mit personalisierter Werbung aus oder ist weiterhin unsicher. Beides geht nicht.
Google will den Nutzern seines E-Mail-Dienstes Google Mail angeblich eine einfach zu bedienende PGP-Verschlüsselung zur Verfügung stellen. Im Zuge des NSA-Skandals war dem Unternehmen aufgefallen, dass die internen Verbindungen zwischen den eigenen Servern nicht ausreichend verschlüsselt und damit angreifbar waren. Dieses Problem hat Google mit dem https-Standard nun behoben. Das https-Protokol sichert jedoch nur die Verbindungen gegen Angriffe von außen. Wer sich Zugriff auf die Server verschafft, kann die Inhalte trotzdem auslesen.
Linktipp – E-Mails mit PGP und Thunderbird sicher verschlüsseln
Dem Internet-Giganten geht diese Maßnahme offensichtlich nicht weit genug. Nun soll auch eine Ende-zu-Ende-Verschlüsselung der Inhalte der E-Mails der Google-Mail-Nutzer erfolgen. Dafür gibt es bereits seit rund 20 Jahren mit PGP (Pretty Good Privacy) einen zuverlässigen Sicherheitsstandard. Wie viele Open-Source-Programme ist PGP jedoch etwas umständlich zu bedienen.
Wie funktioniert PGP?
PGP arbeitet mit asymmetrischen Schlüsselpaaren. Jeder Nutzer generiert mit einem Programm ein Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel darf unter keinen Umständen an irgendjemanden weitergegeben werden. Den öffentlichen Schlüssel müssen die Anwender dagegen nicht vertraulich behandeln.
Linktipp – E-Mails verwalten: So nutzt ihr Gmail optimal
Schreibt ein Anwender eine E-Mail, wird der Inhalt mit einem zufällig generierten dritten Schlüssel chiffriert. Diesen unleserlichen Kauderwelsch schickt man nun an den Empfänger. Der zufällig generierte Schlüssel wird zudem mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und ebenfalls an den Empfänger geschickt. Dieser kann nun mit seinem privaten Schlüssel den zufällig generierten dritten Schlüssel lesen und mit diesem dann die eigentliche E-Mail entschlüsseln.
Linktipp – TrueCrypt, Bitlocker und FileVault: Drei Programme um seine Daten vor Spionen zu sichern
Außerdem signiert der Absender vor dem Abschicken der E-Mail diese mit seinem privaten Schlüssel. Besitzt der Empfänger den öffentlichen Schlüssel des Absenders, kann er somit feststellen, ob die E-Mail auch wirklich von dieser Person kommt.
Googles PGP wird nicht sicher sein
Es gibt bei PGP nur zwei Dinge, die nicht passieren dürfen: Man darf das Schlüsselpaar nicht verlieren, sonst kann man die eigenen E-Mails nicht mehr lesen. Außerdem darf man den privaten Schlüssel niemals weitergeben – und auch nicht in einer Cloud ablegen.
Linktipp – Tipps & Tricks: Privatsphäre bei Facebook
Googles Geschäftsmodell basiert jedoch unter anderem darauf, dass das Unternehmen unsere E-Mails mit Algorhithmen durchsucht, um personalisierte Werbung einblenden zu können. Google interessiert dabei der Inhalt unserer E-Mail nicht im geringsten. Die Algorhithmen müssen jedoch Keywords erkennen können, damit dieses Werbe-System funktioniert. Liegt der private Schlüssel also auf der Festplatte des Google-Mail-Nutzers, können Googles Algorhithmen die E-Mail nicht mehr durchsuchen.
Die Alternative ist, dass Google die privaten Schlüssel seiner Nutzer auf einem zusätzlichen Server verwaltet. Googles Algorhithmen könnten dann die E-Mails mit diesen Schlüsseln nach Keywords durchsuchen. Allerdings müssen die Nutzer Google vertrauen, dass das Unternehmen die Schlüssel nicht herausgeben wird, die Schlüssel nicht missbraucht und diesen Schlüssel-Server außerdem zuverlässig gegen jegliche Angriffe Dritter schützen kann. Die letzten beiden Punkte hängen von Google selbst ab, ersteres stellt jedoch ein Problem dar: Die Geheimgerichte der USA können Google per Beschluss dazu zwingen, die Schlüssel an den Staat weiterzugeben. Google darf die Öffentlichkeit und die Betroffenen von so einem Urteil nicht unterrichten. Von Sicherheit kann bei diesem System also keine Rede sein.
Linktipp – So sicher wie möglich am Mac
