OpenPGP im Umbruch: Implementierungen, bessere Standards und ein groĂźer Streit

Die OpenPGP-Community modernisiert E-Mail-Sicherheit, doch nach Streitigkeiten der Arbeitsgruppe entstehen nun zwei zueinander inkompatiblen Standards.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen

Die Logos von OpenPGP (links) und LibrePGP (rechts). Man muss leider bezweifeln, dass die Projekte wieder zusammenfinden.

(Bild: IETF / LibrePGP; Montage: c’t)

Lesezeit: 8 Min.
Inhaltsverzeichnis

E-Mails sind lesbar wie Postkarten, weshalb man sie verschlüsseln sollte, am besten Ende-zu-Ende. Das Mittel der Wahl dafür ist häufig OpenPGP, unter anderem, weil OpenPGP-Nutzer sich keine (kostenpflichtigen) Zertifikate besorgen müssen, wie es die Alternative S/MIME erfordert.

OpenPGP geht zwar auf Phil Zimmermanns Programm Pretty Good Privacy (PGP) aus den frĂĽhen Neunziger Jahren zurĂĽck, war jahrzehntelang aber mit einem anderen Programm weitgehend synonym, dem GNU Privacy Guard (GnuPG) von Werner Koch. Egal ob man Outlook mit gpg4win, Thunderbird mit Enigmail oder einen Linux-Mailer wie Evolution oder KMail nutzte: Die eigentliche Arbeit verrichtete immer GnuPG, das quasi eine Referenzimplementierung von OpenPGP darstellte.

Mehr zum Thema E-Mails

Das System weiterzuentwickeln, gestaltete sich dennoch vergleichsweise zäh, obgleich es genug zu tun gibt: E-Mail-Verschlüsselung mit OpenPGP hat zahlreiche Probleme, von alternder oder sogar veralteter Kryptografie über kaum vorhandenen Schutz von Metadaten bis zu massiven Defiziten beim Schlüsselmanagement. Die in der Vergangenheit üblichen SKS-Schlüsselserver haben Datenschutzprobleme (was sie auch in Konflikt mit der DSGVO bringt) und sind vor allem für SPAM-Attacken anfällig. Zwischenzeitlich konnten vollgespammte Schlüssel GnuPG sogar unbenutzbar machen, was der Idee der Schlüsselverifizierung über ein Web-of-Trust einen herben Schlag verpasst hat.

Das war die Leseprobe unseres heise-Plus-Artikels "OpenPGP im Umbruch: Implementierungen, bessere Standards und ein großer Streit". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.