Apps kurz vorgestellt: E-Mails verschlüsseln mit p≡p

Nachrichten

Mobiles / Nachrichten 5 Views

Das ist p≡p

Die Abkürzung p≡p (Eigenschreibweise, ausgesprochen „pep“) steht für „Pretty Easy Privacy“ (Deutsch: ziemlich einfache Privatsphäre). Das soll den Anspruch signalisieren, Verschlüsselungstechnologie besonders leicht handhabbar und massentauglich zu machen.

Die Android-App ist einerseits eine vollwertige E-Mail-App. Gleichzeitig sorgt sie mehr oder weniger von selbst dafür, dass versendete E-Mails verschlüsselt werden. Dabei ist eine Ende-zu-Ende-Verschlüsselung gemeint. Das heißt, dass die Mail auf Ihrem Gerät verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt wird.

E-Mails werden standardmäßig auch jetzt schon verschlüsselt – allerdings nur auf den Wegen zwischen den E-Mail-Providern. Bei den E-Mail-Providern liegen die Mails hingegen entschlüsselt vor. Damit kann jeder die Mails lesen, der sich dort Zugriff verschaffen kann.

Mit einer Ende-zu-Ende-Verschlüsselung, wie sie p≡p vornimmt, sind die Mails auch bei den Mail-Anbietern, beispielsweise t-online, web.de oder Gmail, nicht mehr lesbar.

Verschlüsselung leicht gemacht

Wer bisher E-Mail-Verschlüsselung auf dem Smartphone nutzen wollte, brauchte dafür stets zwei Anwendungen: Eine E-Mail-App und eine Verschlüsselungs-App. p≡p vereint beides in einer Anwendung. Die p≡p-App gibt es für das mobile Betriebssystem Android, eine iOS-App soll im Sommer 2018 folgen.

Zudem ist die Handhabung so weit wie möglich vereinfacht. So sendet die App automatisch Ihren öffentlichen Schlüssel im Anhang mit, wenn Sie eine Mail an einen neuen Empfänger schicken.

Sobald die App den öffentlichen Schlüssel des Gegenübers kennt, verschlüsselt sie ausgehende E-Mails automatisch. Verschlüsselte E-Mails macht sie von selbst lesbar. Beides geht auch dann, wenn das Gegenüber nicht p≡p nutzt, sondern eine andere Verschlüsselungs-Software, wie etwa PGP.

Hat die App für einen Kommunikationspartner keinen öffentlichen Schlüssel, verschickt sie ganz „normal“ unverschlüsselte E-Mails.

Kombination aus p≡p und K-9

Die Android-App basiert auf einem schon bestehenden Programm, der Mail-App K-9. Sie ist quelloffen (in der Fachsprache heißt das „Open Source“). Das bedeutet: der Programmcode der App ist öffentlich einsehbar, so dass Dritte ihn überprüfen können.

Zudem dürfen andere den Programmcode für eigene Zwecke nutzen und verändern. Die p≡p-Macher haben von dieser Möglichkeit Gebrauch gemacht und die Verschlüsselungstechnologie p≡p in K-9 integriert. Das Ergebnis stellen sie als eigene App zur Verfügung, ebenfalls unter einer Open-Source-Lizenz.

Kostenpflichtig im Play-Store, kostenlos in F-Droid

Die p≡p-App gibt es für 0,59 Euro (Stand Juni 2018) im Play-Store von Google und kostenlos im alternativen App-Store F-Droid, der nur quelloffene Anwendungen auflistet. „So können sich Nutzer entscheiden, ob sie für die App etwas bezahlen möchten oder nicht“, erklärt Volker Birk, einer der Gründer von p≡p.

Allerdings war die App im F-Droid-Store während unserer Recherche nicht auf dem neuesten Stand und verfügte nicht über alle Funktionen der Play-Store-Version. Laut Birk liegt das daran, dass Softwareaktualisierungen bei F-Droid manchmal später ankommen, weil die internen Prüfprozesse länger dauern, als beim Google Play-Store. Wir empfehlen, dass Sie vor dem Herunterladen auf beiden App-Stores die jeweilige Versionsnummer der p≡p-App vergleichen.

Wer steht hinter p≡p?

Entwicklerin der p≡p-Verschlüsselungstechnologie ist eine Schweizer Stiftung, die p≡p Foundation. Konkrete Anwendungsprogramme wie die Android-App dagegen entwickelt ein kommerzielles Unternehmen in Luxemburg, die pep security SA. Die Aktiengesellschaft verdient Geld, indem sie Unternehmen beim Einbau der p≡p-Verschlüsselung in firmeninterne Kommunikationssysteme unterstützt. Drittens gibt es noch die p≡p-Kooperative mit Sitz in Berlin. Diese sieht sich als Menschenrechtsorganisation und wirbt für p≡p-Anwendungen als Werkzeug für mehr Datenschutz und Privatsphäre.

Zu den Gründungsmitgliedern der Kooperative gehören verschiedene Persönlichkeiten des öffentlichen Lebens, unter anderem die Schriftstellerinnen Juli Zeh und Sibylle Berg sowie der Soziologieprofessor Wilhelm Heitmeyer.

Die Idee zu p≡p stammt von dem Schweizer Informatiker Volker Birk, der p≡p als Werkzeug zur digitalen Selbstverteidigung sieht. Es soll der Totalüberwachung von digitaler Kommunikation entgegenwirken. Mitgründer ist der Luxemburger Leon Schumacher, der zuvor in leitender Position unter anderem für die IT des Stahlkonzerns ArcelorMittal und des Pharmakonzerns Novartis zuständig war.

Große Pläne

Neben der Android-App gibt es bereits eine p≡p-Anwendung für Outlook auf dem PC und für das quelloffene Pendant Thunderbird. Eine iOS-App befindet sich in einem Teststadium, sie soll im Juli 2018 fertig sein. Weiterhin arbeitet das Projekt an einer p≡p-Integration für die Gmail-App. Mittelfristig soll p≡p auch die Kommunikation jenseits von Maildiensten verschlüsseln. Konkret geplant ist eine Anwendung für die Chat-Technologie Jabber.

Zudem planen die Entwickler von p≡p, das Kompatibilitätsproblem in der E-Mail-Verschlüsselung zu lösen. Es gilt als wichtiger Grund dafür, dass E-Mail-Verschlüsselung sich bislang kaum durchgesetzt hat.

Momentan gibt es zwei verbreitete Verschlüsselungsstandards: PGP und S/MIME. Beide sind nicht kompatibel. Das heißt: Wird eine E-Mail mit PGP verschlüsselt, kann sie ein Empfänger, der S/MIME nutzt, nicht entschlüsseln und umgekehrt. Momentan ist die p≡p-App nur kompatibel mit PGP und openPGP. Das soll sich ab Version 1.1 ändern.

Dann soll es möglich sein mit der p≡p-App verschlüsselte Mails auszutauschen, sowohl mit Nutzern von PGP als auch mit Nutzern von S/MIME. Die Version ist laut Volker Birk für Oktober 2017 geplant.

Manko: kein Passwortschutz

In einem Punkt fällt die p≡p-App leider hinter verbreitete Sicherheitsstandards zurück. Der private Schlüssel zur Entschlüsselung von E-Mails liegt stets in einer Datei auf dem verwendeten Gerät. Üblicherweise müssen Sie nach dem Start des E-Mail-Programms ein Passwort eingeben, das diese Datei schützt. Das Programm kann nicht einfach so auf den privaten Schüssel zugreifen.

Bei der p≡p-App müssen Sie dagegen kein Passwort für den privaten Schlüssel eingeben. Das birgt Gefahren. Nehmen wir an, eine unbefugte Person erlangt Zugriff auf Ihr ungesperrtes Smartphone: Dann kann diese Person durch Öffnen der App Ihre verschlüsselten E-Mails lesen.

Das p≡p-Team hat sich bewusst gegen den Passwortschutz entschieden. Sie befürchten, dass Nutzer, wenn Sie jedes Mal von neuem ein Passwort eingeben müssen, ganz die Lust auf Verschlüsselung verlieren. Diese Abwägung ist nachvollziehbar. Allerdings wäre es gut, wenn Nutzer einen Passwortschutz manuell in der App einstellen könnten. Das ist momentan nicht möglich.

Für die Sicherheit Ihrer Mailkommunikation ist deswegen das allgemeine Sicherheitsniveau Ihres Geräts entscheidend.

Fehlt noch: Import und Export von Schlüsseln

Eine wichtige Funktion steht zur Zeit leider noch aus: das bequeme Importieren und Exportieren von Schlüsselpaaren. Das ist zum Beispiel nötig, wenn Sie auf Ihrem Laptop oder auf einem anderen Smartphone bereits Schlüssel besitzen und diese auch in der p≡p-App verwenden wollen.

Laut Volker Birk ist diese Funktion in der nächsten Version der App enthalten, die die Nummer 1.0.200 tragen wird. Diese Version sei bereits fertig entwickelt, zur Zeit prüfe sie noch die Qualitätssicherungsabteilung von p≡p. Dann werde sie im Google Play-Store und in F-Droid eingereicht und nach deren Prüfprozessen veröffentlicht.

Wir empfehlen, dass Sie bis zur Version 1.0.200 warten und p≡p erst dann auf Ihrem Gerät installieren. Die Versionsnummer finden Sie unter „Aktuelle Version“, wenn Sie im Play-Store-Eintrag oder im F-Droid-Eintrag der App nach unten scrollen.

Mehr zum Thema bei mobilsicher.de

Der Beitrag Apps kurz vorgestellt: E-Mails verschlüsseln mit p≡p erschien zuerst auf mobilsicher.de.

Comments