Einfach verschlüsseln!
Das PGP-Add-on Enigmail wird anfängerfreundlicher
Es ist ein neuer Anlauf, um das Henne-Ei-Problem zu überwinden: Enigmail für Thunderbird soll PGP-Verschlüsselung nun mit Erleichterungen massentauglich machen – und bringt dafür mit der Version 2.0 etliche Innovationen.
Ohne das Open-Source-Projekt Enigmail wäre PGP wohl längst einen langsamen Tod gestorben. Als kostenloses Add-on für den mächtigen Mail-Client Thunderbird macht Enigmail seit 15 Jahren sichere Ende-zu-Ende-Verschlüsselung mit OpenPGP für jeden Nutzer auf allen Desktop-Plattformen möglich. Ende März wagte Projektleiter Patrick Brunschwig mit Version 2.0 einen großen Sprung mit vielen Neuerungen, von denen einige die Verschlüsselungspuristen in der treuen Fan-Gemeinde erzürnen könnten.
So kommt Enigmail erstmals mit aktiviertem „pretty Easy privacy“ (pEp) auf den Rechner. pEp soll die komplizierte Schlüsselverwaltung vereinfachen – aber vor allem Neulingen den Start in die PGP-Welt ohne Einlernzeit erschließen (siehe Interview rechts). Installiert man Enigmail 2.0 frisch, lädt es nun nicht nur (wie bisher) den benötigten Unterbau GnuPG nach, sondern startet im sogenannten „Juniormodus“. Dieser beruht auf pEp und generiert automatisch ein Paar aus privatem und öffentlichem PGP-Schlüssel. Auf die Sicherung mit Passphrase verzichtet pEp, um es dem Neunutzer möglichst bequem zu machen.
Fortan kümmert sich pEp – vereinfacht gesagt – im Hintergrund um die Verbreitung des öffentlichen Keys und verschlüsselt wann immer möglich automatisch. Die direkte Vertrauensprüfung mit Partnern erfolgt im Konzept nicht wie sonst üblich über den Abgleich von langen und schwer lesbaren hexadezimalen Fingerprints, sondern über daraus generierte leicht austauschbare Wortketten (Trustwords). Wer Enigmail 2.0 als Silent Update erhält, kann über „Datenschutz“ in den Thunderbird-Einstellungen manuell zwischen dem Experten- in den neuen pEp-Modus hin- und herwechseln.
Komfort-Zuwachs
Auch für erfahrene Nutzer bringt Enigmail 2.0 Erleichterungen: Die neue Version unterstützt den Autocrypt-Standard. Diese Spezifikation sieht vor, dass der Client den öffentlichen Schlüssel ohne Zutun des Nutzers in einer E-Mail-Header-Zeile mitschickt. Der Versand läuft also bereits beim ersten Kontakt, die althergebrachte Vermittlung des Keys etwa über Server-Verzeichnisse ist in diesem Konzept nicht nötig. Der Haken bislang: Thunderbird ist der erste Desktop-Client, der Autocrypt spricht, mit im Boot ist bislang nur noch die Android-Mail-App K9 ab Version 5.3. Aber mehr Implementierungen sollen bald folgen.
Als Schwachstelle bei PGP gilt, dass zwar der Mail-Body, nicht aber die Betreffzeile („Subject“) verschlüsselt sind, aus der sich bisweilen viele Informationen herauslesen lassen. Enigmail 2.0 geht dieses Problem an und unterstützt nun den Standard „Memory Hole“. Nach einmaliger Warnung ist er scharfgeschaltet; nun packt Enigmail die Betreffzeile in den verschlüsselten MIME-Teil der Nachricht und ersetzt ihn durch „Betreff verschlüsselt“. In den „Erweitert“-Einstellungen lässt sich dieser Platzhalter editieren und der Mechanismus wieder abschalten.
Schnelles Bugfix
Am GUI haben die Enigmail-Entwickler nur wenig geändert: ein neues Icon hier, leicht geänderte Menü-Struktur dort. Das Add-on läuft nach seiner ausgiebigen Betatest-Phase angenehm stabil. Als „Restartless-Add-on“ kann es nun stille Updates ohne erzwungenen Neustart durchführen. Achtung: Enigmail 2.0 erfordert nun mindestens GnuPG ab Version 2.0.16 – bei einigen Nutzern könnte hier ein zusätzliches Update erforderlich sein.
Dass die Entwickler bereits nach zehn Tagen Enigmail 2.0.1 nachschieben mussten, hat vor allem mit einem Bug in der S/MIME-Implementierung zu tun, der einige Nutzer frustrierte: Enigmail hat sich bei für S/MIME konfigurierten Konten vorgeschoben und Mails ohne Nachfrage statt mit dem S/MIME-Zertifikat mit PGP signiert. Aber Version 2.0.1 kann der Nutzer wieder die Voreinstellung wählen. (hob@ct.de)
Enigmail-Download:ct.de/yr48