13. August 2015 PGP und FTAPI – Urvater und Durchstarter

„Pretty Good Privacy“ (PGP) firmiert trotz seines Alters als der bekannteste offene Verschlüsselungsstandard. Obwohl das Programm weit mehr als nur „ziemlich gute Privatsphäre“ ermöglicht, weist das Programm auch Schwächen auf, die einer weiteren Verbreitung im Weg stehen. Warum FTAPI sich den „Urvater“ der E-Mail-Verschlüsselung trotzdem zum Vorbild genommen hat und was wir anders machen, erfahrt ihr hier.

Die Gründe dafür, dass PGP immer noch einen treuen Stamm an Fans hat, obwohl es schon etwas in die Jahre gekommen ist, liegen auf der Hand: Bei korrekter Verwendung lässt die Urform der E-Mail-Verschlüsselung in Sachen Sicherheit keine Wünsche offen. Der Open-Source-Ansatz schafft durch Transparenz Vertrauen und bietet Schutz gegen Backdoors. Um den Traum von global verschlüsselter, digitaler Kommunikation in Erfüllung gehen zu lassen, eignet sich das Programm dennoch nicht: Für diesen Zweck ist PGP schlicht zu komplex, setzt zu viel Wissen auf Anwenderseite voraus, was die Verbreitung hemmt. Deshalb bleibt es in seiner reinen Form eine Insellösung, die innerhalb eines eingeweihten Personenkreises zwar tadellos funktioniert, aber eben auch auf Nutzer derselben Lösung beschränkt bleibt. Zu diesem Ergebnis kommt auch  Jürgen Schmidt in einem heise-Editorial von diesem Jahr, in dem er fordert: „lasst PGP sterben“. 

Insellösung für eingeweihten Personenkreis

Natürlich gibt es Hardliner, die der Meinung sind, dass all diejenigen, die nicht bereit sind, sich eingehend mit der Thematik Verschlüsselung auseinander zu setzen, selbst Schuld haben, wenn ihre E-Mails mitgelesen werden – die Möglichkeit sich zu schützen, stünde ihnen schließlich theoretisch offen. Diese Sichtweise greift aber zu kurz und lässt einen entscheidenden Aspekt außer Acht: In unserer modernen, ultra-vernetzten Gesellschaft ist digitale Privatsphäre kostbarer als je zuvor. Deshalb muss sichere Verschlüsselung für jedermann möglich sein, unabhängig von individuellen technischen Fähigkeiten.

Was wir anders machen als PGP: Komfort für den User

Genau an dieser Stelle setzt FTAPI an: Wir unterstützen PGP als sichere Lösung zum Schutz der Privatsphäre. Aus diesem Grund  arbeiten wir momentan an einer Integrationsmöglichkeit für PGP-Nutzer in unser System. Aber unsere Vision und unser Anspruch ist es, sichere Kommunikation so einfach und alltagstauglich wie möglich zu machen. Alle unsere Lösungen sind anwenderfreundlich gestaltet und verzichten auf unnötige Features. So funktioniert unsere Form der Ende-zu-Ende Verschlüsselung intuitiv mit wenigen Klicks, fällt im Alltag kaum auf und gelingt so einfach und schnell wie das Verfassen einer „normalen“ E-Mail.

Smarter Schlüsselaustausch bildet die Basis

Möglich wird die Kombination von  leichter Bedienbarkeit und  höchster Sicherheit durch unsere unkomplizierte und automatisierte Umsetzung des Schlüsselaustauschs. Während Nutzer von PGP ihre Public Keys in der Regel erst manuell austauschen müssen, was umständlich und – je nach Umsetzung – potentiell gefährlich sein kann, reicht es als FTAPI-User sein eigenes Passwort und die E-Mail-Adresse seines Gegenübers zu kennen, um sicher verschlüsselt zu kommunizieren. Trotz der simplen Handhabung sind die Prozesse, die im Hintergrund ablaufen komplex und machen dank hybrider Ende-zu-Ende Verschlüsselung mittels AES 256bit und RSA 4096 keinerlei Zugeständnisse in puncto Sicherheit.

Privatsphäre ohne Limits

Ausschlaggebend für den Mehrwert eines Verschlüsselungstools ist aus Sicht des Users, neben der leichten Bedienbarkeit, mit wem, bzw. mit wie vielen Personen verschlüsselte Kommunikation möglich ist. Für FTAPI-Nutzer lautet die Antwort ganz simpel: Mit jedem, solange er einen E-Mail-Account besitzt. Dank Gast-Accounts und SubmitBox können Geschäftspartner und Privatpersonen sowohl verschlüsselte E-Mails empfangen und umwandeln, als auch selbst Ende-zu-Ende verschlüsselte Nachrichten an FTAPI-Nutzer versenden – auch wenn sie selbst noch keine Verschlüsselungslösung nutzen. Damit bleibt der Kreis der potentiellen Kommunikationspartner eben nicht auf Anwender desselben Standards beschränkt, wie es bei PGP der Fall ist. Wie genau das möglich ist und welche Chancen sich daraus ergeben, erfahrt ihr in Kürze in einem weiteren Blogpost.

zurück