Lasst PGP sterben!

@ctmagazin | Editorial

Pretty Good Privacy, kurz PGP, gilt vielen als der Retter unserer Privatsphäre: Damit könne jedermann so verschlüsseln, dass sich selbst die NSA daran die Zähne ausbeißt. Doch tatsächlich ist PGP nicht die Lösung, sondern das Problem.

PGP ist technisch veraltet, schon auf PCs schwer zu bedienen und auf Smartphones ein nahezu hoffnungsloser Fall. Allein die Existenz dieses Dinosauriers blockiert die Entwicklung neuer, innovativer E-Mail-Verschlüsselungstechniken.

Das zentrale Problem aller Verschlüsselungskonzepte - die Verwaltung der Schlüssel - schiebt PGP komplett auf den Anwender ab. Er muss sich nicht nur um seine eigenen Schlüssel kümmern, sondern sogar um die aller Leute, denen er Mails schicken will. Das Resultat: Mehr als die Hälfte der PGP-verschlüsselten Mails, die mich in den letzten Monaten erreichten, kann ich nicht lesen. Irgendwer kann sie entschlüsseln - aber nicht ich. Sie wurden nämlich mit gefälschten Schlüsseln erstellt, die irgendein Scherzkeks auf meinen Namen ausgestellt und auf die Key-Server geladen hat (siehe: "Die Schlüssel-Falle" auf Seite 160).

Es sei Experten unbenommen, dass sie komische Codes austauschen, um Schlüssel zu checken. Aber für Erika und Max Mustermann muss das zwingend die Kommunikationsinfrastruktur übernehmen. Und hier versagt PGP völlig. Jedes Forum überprüft bei einer Anmeldung meine E-Mail-Adresse. Aber auf einen PGP-Key-Server kann Hinz & Kunz ohne jegliche Überprüfung Schlüssel für meine E-Mail-Adresse hochladen. Noch immer fallen reihenweise Anwender auf solche simplen Fakes rein.

Wie gute Ende-zu-Ende-Verschlüsselung heute aussehen muss, demonstriert Apple mit iMessage: Millionen von iPhone-Besitzern wissen nicht einmal, dass sie ihre Kurznachrichten verschlüsseln. Das Chat-Programm TextSecure zeigt, wie man das in Bezug auf Offenheit und Sicherheit noch verbessern kann und dass es keinen Multi-Milliarden-Dollar-Konzern braucht, um das umzusetzen.

Wir brauchen auch für E-Mail solche massentauglichen Verschlüsselungssysteme. Doch statt weiter zu versuchen, den lahmenden Dinosaurier PGP aufzupäppeln, sollte man ihn lieber aussterben lassen. Das schafft Raum für Neues - es ist höchste Zeit, die Arbeit an zeitgemäßen Nachfolgern aufzunehmen.

Jürgen Schmidt Jürgen Schmidt

Artikel kostenlos herunterladen

Kommentare

Kommentare lesen (86 Beiträge)

Infos zum Artikel

86Kommentare
Kommentare lesen (86 Beiträge)
  1. Avatar
  2. Avatar
  3. Avatar
Anzeige

Anzeige

Anzeige