Google experimentiert mit End-to-End-Verschlüsselung für GMail

Eine experimentelle Chrome-Erweiterung soll es erlauben, Mails mit OpenPGP zu signieren und zu verschlüsseln. Bislang war die Technik Desktop-Mailern vorbehalten.

In Pocket speichern vorlesen Druckansicht 176 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christian Kirsch

Mehr Sicherheit beim Verwenden von Web-Mail soll eine jetzt von Google vorgestellte Erweiterung seines Browsers Chrome bringen. Sie verschlüsselt die Nachricht vor dem Versand direkt im Browser mit dem öffentlichen Key des Empfängers. Nur er kann sie mit seinem privaten Schlüssel wieder lesbar machen. Die Software ist noch im Alpha-Stadium, Interessenten müssen sie also selbst zusammenbauen und können sie nicht als fertiges Paket aus dem Chrome-Store beziehen.

Das Add-on kann in GMail die selbst verschlüsselte Mail lesbar machen (oben). Unerwünschte Mitleser bekommen nur Zeichensalat (unten).

Die Erweiterung spielt zurzeit nur mit Googles eigenem Mail-Dienst zusammen, soll aber in Zukunft mit beliebigen Web-Mailern funktionieren. Auch mit dem freien GnuPG soll sie kooperieren, etwa durch Import von dessen Schlüsseldaten. In einem ersten oberflächlichen Test funktionierte das noch nicht.

Das Add-on erzeugt bei Bedarf ein neues Schlüsselpaar. Dazu verwendet es elliptische Kurven (EC), die bislang nur von Symantecs PGP-Software unterstützt werden. Google begründet das mit Performance-Erwägungen: Das Erstellen der weiter verbreiteten RSA-Keys dauere im Browser zu lange, und EC-Schlüssel seien genauso sicher. Vom freien GnuPG gibt es zwar seit 2010 eine Beta-Version 2.1 mit EC-Unterstützung, daran hat sich jedoch anscheinend seit über zwei Jahren nichts mehr getan.

Dass Google eine echte Ende-zu-Ende-Verschlüsselung auf den Weg bringt, erstaunt viele Beobachter -- schließlich beruht sein Geschäftsmodell darauf, die Kommunikation seiner Nutzer zu analysieren und ihnen dazu passende Werbung zu präsentieren. Mit Ende-zu-Ende-Verschlüsselung von E-Mails oder Hangouts fiele das weg, analysierte erst kürzlich Jürgen Schmidt von heise Security in seinem Kommentar Kommentar: Warum Google uns echte Verschlüsselung verweigert. (ck)