Die Letterbox: E-Mail-Verschlüsselung, einfach gemacht

Bitcoin.de unterstützt ein Forschungsprojekt der Freien Universität Berlin, das vorhat, die Verschlüsselung von E-Mails nutzerfreundlicher zu machen. Mit dem E-Mail-Client Letterbox liegt nun das erste Ergebnis des Projekts vor. Wer kann, sollte es unbedingt ausprobieren – etwa um die automatischen E-Mails von Bitcoin.de zu verschlüsseln.

Stellen Sie sich vor, Ihre Bank schickt Ihnen einen Kontoauszug – oder gar eine PIN – auf einer Postkarte. Unvorstellbar, oder? Die Wirklichkeit im Internet ist aber, dass fast genau dies permanent passiert. Wenn Ihnen beispielsweise Bitcoin.de einen Trade per E-Mail bestätigt, wird diese Mail in der Basis-Einstellung als Postkarte zugesandt: Sowohl der Postbote (der Internetdienstleister, der die Datenpakete ausliefert) als auch Ihr Briefkasten (Ihr E-Mail-Provider) können mitlesen.

Aus diesem Grund bietet Bitcoin.de schon seit 2014 den Kunden an, die automatisch ausgestellten E-Mails mit PGP verschlüsseln zu lassen. Um sicherzugehen, dass die E-Mails auch wirklich von Bitcon.de sind, werden die Mails auf Wunsch auch signiert. Digitale Signaturen sind wie Unterschriften – und eine normale E-Mail ist nicht nur wie eine Postkarte, sondern noch nicht mal unterschrieben.

Um es den Kunden einfacher zu machen, Verschlüsselung zu benutzen, unterstützt Bitcoin.de als assoziierter Partner das Enzevalos-Forschungsprojekt an der Freien Universität Berlin. Dieses Projekt beschäftigt sich vor allem damit, wie man Verschlüsselung nutzerfreundlich machen kann.

Das digitale Postgeheimnis hängt von der Nutzerfreundlichkeit ab

Wie wichtig solche Projekte sind, leuchtet einem ein, wenn man sich fragt, warum nicht jeder Verschlüsselung und Signaturen verwendet. Würden Sie, wenn Sie die Wahl haben, eine Postkarte anstatt eines Briefes schreiben? Würden Sie es akzeptieren, dass Sie wichtige Briefe ohne Unterschrift bekommen? Vermutlich nicht. Eigentlich sollte jeder, dem am Briefgeheimnis und an der Rechtskraft von Dokumenten liegt, Verschlüsselung benutzen. Und zwar immer. Warum sollten wir Standards aufgeben, nur weil die Dinge digital geworden sind?

Das Problem ist nun jedoch, dass es relativ wenig Software gibt, die dies auf eine einfache, intuitive Weise ermöglichen. Das üblicherweise benutzte Programm, OpenPGP, ist nicht gerade dafür bekannt, es dem User leicht zu machen. Auch die anderen gebräuchlichen Programme – Enigmail für Thunderbird, Mailvelope für den Browser – sind nicht eben ein Glanzlicht an Nutzerfreundlichkeit. Wer Outlook oder die E-Mail-Clients für Android oder iOS benutzt, wird es gar noch schwerer haben.

Mit der Letterbox-App planen die Forscher von Enzevalos nun, die Nutzung von Verschlüsselung ein Stück einfacher zu machen. Dieses erste Ergebnis des Projekts ist nun als App für iOS bereit, getestet zu werden. Wer mitmachen will, kann sich hier anmelden.

Verschlüsselung, ausnahmsweise einfach

“Das Besondere an dem E-Mail-Client ist, dass Ende-Zu-Ende-Verschlüsselung ‘per Default’ möglich ist und einen einfach benutzbaren und intuitiven Einstieg bietet, um die eigenen E-Mails zu verschlüsseln,” erklärt der wissenschaftliche Mitarbeiter Oliver Wiese. Man muss die App lediglich herunterladen, um direkt verschlüsseln zu können: “Dafür ist keine zusätzliche Software nötig, und Nutzende müssen keine Einstellungen auswählen oder Entscheidungen bei der Schlüsselerzeugung treffen.” Wer schon einmal Enigmail oder OpenPGP benutzt hat, weiß, wovon die Rede ist. Auch dass der öffentliche Schlüssel per Autocrypt automatisch im Header der E-Mail mitgeschickt wird, kommt der einfachen Nutzung entgegen.

Auf der Oberfläche versucht die Letterbox, Verschlüsselung so einfach wie möglich darzustellen. Dazu unterscheidet die E-Mail-App zwischen Postkarte und Brief, um anzuzeigen, ob eine Mail verschlüsselt ist oder nicht. Darüber hinaus informiert die Letterbox den User darüber, ob ein Brief “angerissen” ist, also während des Transports verändert wurde.

Die Letterbox benutzt das allgemein verwendeten OpenPGP auf RSA-Basis, um Mails zu verschlüsseln und zu signieren. RSA ist ein asymmetrisches Verschlüsselungsverfahren. Dies bedeutet, es gibt einen öffentlichen und einen privaten Schlüssel. Den öffentlichen Schlüssel kann man, wie der Name schon sagt, öffentlich ausstellen. Jeder, der ihn kennt, kann mit ihm eine Nachricht verschlüsseln – die dann nur der Besitzer des privaten Schlüssels lesen kann.

Eine App zur Verschlüsselung speichert die eigenen geheimen und öffentlichen sowie die öffentlichen Schlüssel der Adressaten. Sie sollte zudem eine Methode haben, um den eigenen öffentlichen Schlüssel zu teilen. Wenn man mit der Lettebox verschlüsselt kommunizieren will, kann man entweder einen neuen Schlüssel erzeugen oder bereits bestehende Schlüssel importieren. Dann gibt man den Schlüssel an seine Freunde und Geschäftspartner weiter – bei der Letterbox einfach, indem man eine E-Mail schreibt — und fordert diese auf, Mails in Zukunft zu verschlüsseln. Es ist wirklich nicht viel schwieriger, als einen Briefumschlag zu schließen.

Die Letterbox und Bitcoins

Es ist leicht, die Letterbox mit Bitcoin.de zu verwenden. Man muss dazu lediglich den öffentlichen Schlüssel – in der App die ID – bei Bitcoin.de in das entsprechende Feld im Menüpunkt Verschlüsselung eintragen. Anschließend wird man mit der Letterbox alle automatisch von Bitcoin.de versendeten E-mails verschlüsselt und auch signiert erhalten. Ein Video des Projekts zeigt ausführlich, wie man dazu vorgehen muss.

Also, Apple-Nutzer: Frohes Verschlüsseln mit der Testversion der Letterbox!

About Christoph Bergmann (1192 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden. Sie können Bitcoin oder Bitcoin Cash an die folgende Adresse spenden: 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC Weitere Adressen (bech32, SegWit, Litecoin, Ethereum) finden Sie HIER. Um uns beiden Gebühren zu sparen, sollten Sie diese Seite unbedingt anklicken. Dort erfahren Sie auch, wie Sie das Bitcoinblog anderweitig unterstützen können. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER. Wer anonym einen Tipp oder einen Gastbeitrag einreichen will, sollte davon Gebrauch machen.

7 Comments on Die Letterbox: E-Mail-Verschlüsselung, einfach gemacht

  1. Gibt es auch eine Anleitung für Enigmal oder OpenPGP?
    Geht es überhaupt? -> Stichwort Schlüsselformat des Schlüssels von Bitcoin.de

    • OpenPGP ist der Stabdard, kein Programm. Anleitungen für GnuPG und Enigmail findest du im Netz haufenweise, s.a. https://emailselfdefense.fsf.org/ . wenn konkrete Probleme bestehen, gibt es eine Mailingliste für Enigmail, es empfiehlt sich aber nach dem eigenen Problem zu suchen, die hatten zu 99,9% schon andere. Auch der Besuch einer Kryptoparty kann viele Fragen klären, die es zur Nutzung aber i.d.R. auch gar nicht bedarf. Ab Version 2.0 von Enigmail (gerade in Beta) steht auch das nutzerfreundliche Pretty Easy Privacy auf der Roadmap: https://pep-project.org/ – schon seit einiger Zeit für Outlook und Android/K-Mail verfügbar. Mehr kommt.

      Und wenn Letterbox nur RSA kann, sollte das Backend möglichst schnell ausgetauscht werden, das ist nicht mehr zeitgemäß. Besser als bisherige Apps (Android/Openkeychain, iOS/OpenPG) finde ich es jedenfalls nicht.

  2. name required // 15. February 2018 at 10:36 // Reply

    Soweit mir bekannt bauen Mail Clients zu E-Mail Provider und die E-Mail provider untereinander eine verschlüsselte Verbindung auf. D.h. der “Postbote” kann mitnichten mitlesen.
    Die E-Mail Provider natürlich schon.

    Tolle Sache, die größte Hürde bei Mail Verschlüsselung ist nach wie vor die Schlüsselverwaltung.

    • Name (required) // 16. February 2018 at 14:03 // Reply

      Korrekt.

      Kleiner Ausschnitt aus dem Yahoo FAQ mit dem Titel “Wie funktioniert die automatisierte Ermittlung von Schlüsselobjekten in Yahoo Mail?”:

      > Die automatisierten Systeme von Yahoo analysieren alle Kommunikationsinhalte (wie zum Beispiel E-Mail […]) und alle in Ihren Account hochgeladenen Fotos und andere Inhalte […]

      Dass Provider deine E-Mails (automatisiert) durchsuchen können ist also keine Frage sondern Realität. In dem Falle wäre ja der “Postbote” dein Provider.

      Quelle:
      https://policies.yahoo.com/ie/de/yahoo/privacy/products/mail/faq/index.htm

      Ältere Video Quelle zum Thema Provider = “Postbote”:

  3. “Wer schon einmal Enigmail oder OpenPGP benutzt hat, weiß, wovon die Rede ist.”

    Inzwischen ist das benutzen von Enigmail & OpenPGP keine Geheimwissenschaft mehr, sondern für jeden halbwegs intelligenten Menschen einfach nutzbar. Es ist nur noch ein Vorurteil, dass es schwer zu nutzen ist.

    Übrigens kann man innerhalb von Thunderbird die nötigen Schlüssel leicht für jedes Postfach erstellen. Auch für das Anhängen des eigenen öffentlichen Schlüssel gibt es inzwischen eine Option innerhalb von Thunderbird und kann ohne tiefere Kenntnis einfach genutzt werden.

    Justiert mal eure Realität bitte. 😉

    • Ich benutze GPG und Enigmail. Fand das Einrichten von Enigmail nicht ganz unkompliziert, finde die Benutzung mit mehreren Konten z. T. verwirrend, und stehe immer vor einem Rätsel, wenn ich meinen public Key exportieren will. OpenGPG finde ich klarer, aber dazu muss man halt in der Command-Line rumtippen …

    • Dann ist nur noch das Problem zu lösen, daß die meisten Kommunikationspartner bei Verschlüsselungen nicht mitmachen wollen. Ein früherer Kumpel von mir bestand sogar darauf zu telefonieren, weil man Email doch so leicht überwachen könne! Also erklärte ich ihm telefonisch, daß man Email doch immerhin verschlüsseln könne, was am Telefon nicht funktioniert. Natürlich fruchtete auch jene Diskussion nicht.
      ランマ

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s