Webmail: Yahoo macht Quellcode für E-Mail-Verschlüsselung zugänglich

Yahoo will das Versenden von E-Mails sicherer und für jeden handhabbar machen und führt eine Möglichkeit zur Ende-zu-Ende-Verschlüsselung auf PGP-Basis für seinen Webmail-Dienst ein. In seinem Blog ruft das Unternehmen nun Firmen und Sicherheitsforscher dazu auf, mitzuhelfen und stellt den Quellcode der Browser-Erweiterung auf GitHub zur Verfügung. Das Durchforsten kann sich durchaus lohnen, denn im Zuge seines Bug-Bounty-Programms lockt das Internetunternehmen mit Belohnungen.

Die Nutzung von PGP mit einem Webmail-Dienst ist schwierig. Schließlich stammt der Code des Webmail-Front-Ends vom Server des Anbieters. Dem sollte man jedoch seine Schlüssel nicht anvertrauen, denn der Anbieter könnte diesen Code so modifizieren, dass er eine unverschlüsselte Version der E-Mail erhält oder sogar die Schlüssel bekommt. Deshalb hat Google bereits ein Browser-Plug-in gebaut, das lokal – unter ausschließlicher Kontrolle des Anwenders – läuft und das Webmail-Front-End von Gmail um die PGP-Funktionen erweitert. Dieses Plug-in hat Yahoo jetzt so umgebaut, dass es mit dem eigenen Webmail-Front-End zusammenarbeitet. Der derzeitige Code von Yahoo befinde sich aber noch in einem experimentellen Stadium und wird noch nicht für den täglichen Einsatz empfohlen.

Yahoo spricht sich primär für eine einfache Nutzbarkeit beim Versand einer Ende-zu-Ende verschlüsselten E-Mails aus. Dabei soll das Verschlüsseln, Entschlüsseln, Signieren und Verifizieren von Mails quasi automatisiert ablaufen. Die versprochene einfache Handhabung der Browser-Erweiterung demonstriert das Unternehmen im Vergleich zum Client GPGTools in einem Video:

Yahoo will die Erweiterung für verschiedene Browser voraussichtlich Ende dieses Jahres veröffentlichen. Im Sommer vergangenen Jahres kündigte das Unternehmen die Ende-zu-Ende-Verschlüsselung für seinen Webmail-Dienst erstmals auf der Black-Hat-Konferenz an. (des)