Menü
iX Magazin

E-Mail-Verschlüsselung: Bewährt sich Autocrypt in der Praxis?

Die E-Mail-Verschlüsselung kommt einfach nicht an. Autocrypt sieht die Schuld bei der komplizierten, händischen Schlüsselverwaltung. Welche Vorteile das Verfahren bietet, beleuchtet ein Artikel der aktuellen iX 5/2018.

Von
vorlesen Drucken Kommentare lesen 159 Beiträge
E-Mail-Verschlüsselung: Bewährt sich Autocrypt in der Praxis?

Nur wenige Nutzer verschlüsseln ihre E-Mails. Gute und seit vielen Jahren existierende Verfahren wie OpenPGP und S/MIME setzen sich nicht durch. Autocrypt sieht den Fehler bei der Verwaltung der kryptografischen Schlüssel: Sie sei zu kompliziert. Was die Spezifikation anders macht und was Anwender in der Praxis beachten müssen, zeigt Jan Bundesmann in einem kostenlosen Artikel der aktuellen iX 5/2018.

Zunächst einmal setzt Autocrypt ebenfalls auf ein Public-Key-Verfahren, allerdings ohne zentrale Instanz. Die Schlüssel erhalten die Nutzer bei der jeweils ersten erhaltenen Nachricht im Header der E-Mail. Sie manuell beziehen und das Vertrauen einstellen muss der Anwender also nicht. Zudem kann man angeben, wann und ob man seine E-Mails verschlüsseln will – das geschieht ebenfalls im Header.

Autocrypt-Clients verschlüsseln nur behutsam: wenn der Nutzer es explizit wünscht oder wenn alle Adressaten zuvor kundgetan haben, dass sie Verschlüsselung bevorzugen – ansonsten bleibt es beim Klartext. Dass Nutzer ihre Mails lesen können, ist den Entwicklern der Spezifikation wichtiger als die Verschlüsselung. Insgesamt soll so die Zahl der abgesicherten Nachrichten steigen, da das Verfahren dem Nutzer einige Arbeit erspart.

Autocrypt verlässt sich auf den Header der E-Mails, den Clients durchsuchen müssen. Bisher haben jedoch nur wenige Entwickler ihre Software hierfür angepasst, darunter allerdings Enigmail für Thunderbird. Auch kritisieren manche Beobachter, dass Autocrypt lediglich ein kryptografisches Rauschen erzeuge, vor aktiven Angreifern (Man in the Middle) hingegen nicht schütze. Das liegt daran, dass das Verfahren keine Authentifizierung der Zuordnung von Schlüsseln zu Nutzern vorsieht.

Siehe dazu auch:

(fo)