#447 E-Mail-Verschlüsselung

Hallo Thommi,

ich wünsche Dir alles Gute für Dein neues Jahr.
Du hast ein logisches Problem überwunden, welches die Leute typischerweise mit E-Mail-Verschlüsselung haben und bist prompt auf das nächste, eher organisatorische Problem gestossen - der Akzeptanz bei potentiellen Kommunikationspartner.

E-Mail-Verschlüsselung vergleiche ich immer gerne mit einem verschließbaren Briefkasten. Die Leute mit einer Mailbox ohne pgp-Key haben keinen richtigen Briefkasten. Das ist mehr eine Kiste in die jedermann alles mögliche reinstecken kann. Werbung, Reklame, Postwurfsendungen (spam) und Briefe, die nichtmal eine vollständige Adresse besitzen. Das E-Mailkommunikation trotzdem manchmal funktioniert ist eigentlich nur darauf zurückzuführen, dass die technische Infrastruktur darunter recht robust ist. Aber Zuverlässigkeit und Authentizität sieht anders aus.

Die Leute sind es am Rechner nicht gewohnt, dass sie selber Arbeit hineinstecken müssen, um zusätzliche Sicherheit und Zuverlässigkeit zu bekommen. Softwarefirmen verkaufen Firewalls und Virenscanner als vermeintlich einfache Lösung für alles - aber in Wirklichkeit sind das nur Placebos (google snakeoil)

Einen verschliesbaren Briefkasten bringt komischerweise jeder an seinem Haus an. Jeder achtet auf eine vollständige Adresse, wenn er einen Brief schreiben möchte und falls er eine Antwort erwartet schreibt er auch einen vollständigen Absender mit drauf. Das ist alles ganz normal und akzeptiert, so lange man nicht an den Rechner sitzt. Dort soll alles plötzlich viel komfortabler und einfacher sein als im realen Leben? Aber stell Dir mal was vor: Der pgp-Key ist real und er ist Dein verschliesbarer Briefkasten. Der öffentliche Teil Deines Schlüssels gehört zu Deiner E-Mail-Adresse genauso wie die Postleitzahl oder die Hausnummer zu Deiner Post-Adresse gehören.

Wenn das Akzeptanzproblem überwunden ist, steht meist das Problem an, dass Du die benötigten öffentlichen Schlüssel Deiner Kommunikationspartner nicht kennst. Was macht Du da, wenn Du nicht am Rechner sitzt und eine Adresse suchst? Du würdest denjenigen nach seiner Adresse fragen oder einen gemeinsamen Bekannten Dritten oder vielleicht im Telefonbuch nachschlagen?

Das alles gibt es bei der verschlüsselten E-Mail auch. Du kannst die Leute nach ihrem öffentlichen Schlüssel fragen und den in Deinem Schlüsselbund (Keyring) verwahren. Du kannst gemeinsame Bekannte nach einem Schlüssel eines Dritten fragen. Und schließlich gibt es auch so etwas ähnliches wie öffentliche Telefonbücher für öffentlichen Schlüssel - wie z.B. wwwkeys.de.pgp.net beim DFN-Cert. Und das funktioniert erschreckenderweise genauso wie ein Telefonbuch - du gibt den gesuchten Namen ein und findest vollständige Adressen, die zu dem Namen passen.

Alles vorhanden, aber es wird nicht benutzt, vielleicht weil es nicht bekannt ist, die Leute keine Notwendigkeit darin sehn, da Ursache und Wirkung im Softwarebereich angeblich nicht gelten sollen.

Der richtige Spass fängt erst an, falls Du versuchst auf verschiedenen, netzwerktechnisch getrennten Rechnern Deine E-Mail zu lesen. Oder wenn Du mit Hilfe eines Web of Trust (ja, das gab es schon vor Web 2.0 und war mal mehr als eine Marketingphrase) versuchst, die Authentizität von öffentlichen pgp-Keys nachzuweisen. Aber ich denke das führt jetzt zu weit und betrifft 80% der Anwender überhaupt nicht.

Ich hoffe ich habe Dir mit diesem elaborierten Text nicht zu sehr vor den Kopf gestossen und freue mich jetzt schon auf die erste verschlüsselte und vielleicht sogar signierten eMail von Dir.

—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v1.4.6 (GNU/Linux)

mQCNAzOXJTkAAAEEAOGM7ukTMzxDjashQ3cOwV3/YYKBMyG/tBDqp629JH/OFzrY
2/LweKvnN6/DUurcIdDU/O8J7q9d45653P/cnalyJAX2yWpe2aHyPvKUp+uowlxo
cK4n00Y+1n0MhuG2TRReQZaMwArpDe5sHltmF4JXgDA3p8T81ItWtlOvbhYZAAUR
tB5TdmVuIERpY2tlcnQgPHN2ZW5AcmVtb3RlLm9yZz6JAJUDBRAzlyU5i1a2U69u
FhkBAcPUA/47kkeu/7Y05Lgn835uRD53ekjgWWwcvbg+gklNlKTnTjYMdQ4dbrox
bXAxNpM8jsED9afK6V69/kSMX4B+OX1maxktoY8WOsCsdOovJ3O5d8YZ97jBBVf/
o5JsG0aMmpOa9MMYy2UoXXCm4I29tDEg/8Spje294nF0bLJUPDNIHg==
=tup+
—–END PGP PUBLIC KEY BLOCK—–

Es ist nicht ganz so, das E-Mail einem Anschlag an einem öffentlichen schwarzen Brett oder einer Littfaßsäule entspricht. So einfach ist es für Otto-Normal-User mit seinem Nachtsichtgerät auch nicht. Der Personenkreis ist beschränkt - vielleicht so: E-Mail ist wie eine Postkarte. Jeder der sie für Dich transportiert oder aufbewahrt kann sie lesen, verändern oder verschwinden lassen.

Oder wie es der ehemalige Postmaster (!) am RZ der Universität Karlsruhe, Erik Weber, anno 1996 mal formuliert hatte:

> Mail ist unzuverlaessig, nicht vertrauenswuerdig.
> Aber wenn’s funktioniert, ist’s ganz nett. ”

Daran hat sich bis heute nur geändert, dass E-Mail jetzt öfter nervt, wenn sie den falschen Text beinhaltet.

Vielleicht fällt Dir ja noch ein Vergleich ein, der anziehender auf den ,,ignoranten User” wirkt. Ich würde mich schon über eine verschlüsselte Nachricht von Dir freuen