PGP und FTAPI – Urvater und Durchstarter der Verschlüsselung
„Pretty Good Privacy“ (PGP) firmiert trotz seines Alters als der bekannteste offene Verschlüsselungsstandard. Obwohl das Programm weit mehr als nur „ziemlich gute Privatsphäre“ ermöglicht, weist es auch Schwächen auf, die einer weiteren Verbreitung im Weg stehen. Trotzdem hat sich FTAPI – Münchener Tochterunternehmen von QSC und Experte für Mail- und Datenverschlüsselung – PGP zum Vorbild genommen. Warum das so ist und was die Münchener anders machen.
Die Gründe dafür, dass PGP immer noch einen treuen Stamm an Fans hat, obwohl es schon etwas in die Jahre gekommen ist, liegen auf der Hand: Bei korrekter Verwendung lässt die Urform der E-Mail-Verschlüsselung in Sachen Sicherheit keine Wünsche offen.
Der Open-Source-Ansatz schafft Vertrauen durch Transparenz und bietet Schutz gegen sogenannte Backdoors. Dies sind Sicherheitslücken, die absichtlich in Software eingebaut werden. Sie ermöglichen es, Zugriffsicherungen zu umgehen und so auf geschützte Funktionen eines Computerprogramms zuzugreifen. Doch ein frei einsehbarer Quellcode bietet jedermann die Möglichkeit diesen selbst zu prüfen. Sollte eine Sicherheitslücke vorhanden sein, kann sie durch die Community schnell entdeckt und beseitigt werden.
Um den Traum von global verschlüsselter, digitaler Kommunikation in Erfüllung gehen zu lassen, eignet sich das Programm dennoch nicht: Für diesen Zweck ist PGP schlicht zu komplex, setzt zu viel Wissen auf Anwenderseite voraus, was die Verbreitung hemmt.
Deshalb bleibt es in seiner reinen Form eine Insellösung, die innerhalb eines eingeweihten Personenkreises zwar tadellos funktioniert, aber eben auch auf Nutzer derselben Lösung beschränkt bleibt.
Zu diesem Ergebnis kommt auch Jürgen Schmidt in einem „heise“-Editorial vor einigen Monaten, in dem er fordert: Lasst PGP sterben!
Pretty Good Privacy (PGP): Insellösung für Eingeweihte
Natürlich gibt es Hardliner, die der Meinung sind: All diejenigen, die nicht bereit sind, sich eingehend mit der Thematik Verschlüsselung auseinander zu setzen, seien selbst schuld, wenn ihre E-Mails mitgelesen werden. Die Möglichkeit sich zu schützen, stünde ihnen schließlich theoretisch offen.
Diese Sichtweise greift aber zu kurz und lässt einen entscheidenden Aspekt außer Acht: In unserer modernen, ultra-vernetzten Gesellschaft muss sichere Verschlüsselung für jedermann möglich sein, unabhängig von individuellen technischen Fähigkeiten.
Genau an dieser Stelle setzt FTAPI an: Wir unterstützen PGP als sichere Lösung zum Schutz der Privatsphäre. Aus diesem Grund arbeiten wir momentan an einer Integrationsmöglichkeit für PGP-Nutzer in unser System.
Aber unsere Vision und unser Anspruch ist es, sichere Kommunikation so einfach und alltagstauglich wie möglich zu machen. Alle unsere Lösungen sind anwenderfreundlich gestaltet und verzichten auf unnötige Features.
Unser Ziel war es also, eine Form der Verschlüsselung zu schaffen, die so sicher wie PGP ist, aber gleichzeitig für jedermann leicht verwendbar. So funktioniert unsere Form der Ende-zu-Ende-Verschlüsselung intuitiv mit wenigen Klicks, fällt im Alltag kaum auf und gelingt so einfach und schnell wie das Verfassen einer „normalen“ E-Mail.
FTAPI: Smarter Schlüsselaustausch bildet die Basis
Möglich wird die Kombination von leichter Bedienbarkeit und höchster Sicherheit durch unsere automatisierte Umsetzung des Schlüsselaustauschs.
Der FTAPI-User muss nur sein eigenes Passwort und die E-Mail-Adresse seines Gegenübers zu kennen, um sicher verschlüsselt zu kommunizieren.
Dagegen müssen Nutzer von PGP ihre Public Keys in der Regel erst manuell austauschen, was umständlich und – je nach Umsetzung – potentiell gefährlich sein kann.
Bei FTAPI kommt das so genannte SecuPass-Verfahren zum Einsatz, mit dem die zur Verschlüsselung erforderlichen „Keys“ generiert und gespeichert werden. Mit ihnen ist ein automatischer, digital abgeschirmter Schlüsselaustausch zwischen den Kommunikationspartnern möglich.
SecuPass macht eine manuelle Generierung der Schlüssel überflüssig und es müssen keine kryptographischen Kennungen mehr per E-Mail oder Telefon ausgetauscht werden – und das unabhängig davon, welche Endgeräte verwendet werden.
Trotz der simplen Handhabung sind die Prozesse, die im Hintergrund ablaufen, komplex und machen dank hybrider Ende-zu-Ende-Verschlüsselung mittels AES 256bit und RSA 4096 keine Zugeständnisse in puncto Sicherheit.
PGP eignet sich hingegen kaum zur Verwendung auf mobilen Endgeräten, da passende Apps Mangelware sind und die Komplexität weiter erhöhen. Zudem stellt der Import des Schlüsselpaars auf das jeweilige Device an sich ein Risiko dar.
Privatsphäre ohne Limits – Kompatibilität macht den Unterschied
Ausschlaggebend für den Mehrwert eines Verschlüsselungstools ist aus Sicht des Users, neben der leichten Bedienbarkeit, mit wem, bzw. mit wie vielen Personen verschlüsselte Kommunikation möglich ist. Für FTAPI-Nutzer lautet die Antwort: mit jedem, solange er einen E-Mail-Account besitzt.
Jedes Unternehmen, das FTAPI-Lizenzen erwirbt, erhält 9.999 Gast-Accounts. Somit können externe Kommunikationspartner, die bisher nicht verschlüsseln, mit nur einer Mail dazu eingeladen werden, sich kostenlos bei FTAPI zu registrieren, somit auch verschlüsselte Mails in Klartext umzuwandeln und selbst sicher zu verschlüsseln. Einzige Einschränkung für die Partner: Sie können ihre Gast-Accounts nur zur Kommunikation mit dem jeweiligen Lizenzinhaber nutzen, von dem sie eingeladen wurden.
Noch unkomplizierter wird es mit der SubmitBox, einer Art verschlüsseltem Postfach, das für jeden Mitarbeiter-Account automatisch erstellt wird. Kommunikationspartner, egal ob es sich dabei um Externe handelt oder nicht, müssen lediglich die URL der SubmitBox über ihren Browser aufrufen. Anschließend können sie, mit wenigen Klicks, je nach Einstellung sogar Ende-zu-Ende-verschlüsselte Dateien und Nachrichten dort hinterlassen. Eine Registrierung oder Anmeldung bei FTAPI wird dafür nicht benötigt.
Dank dieser beiden Features bleibt der Kreis der potentiellen Kommunikationspartner eben nicht auf Anwender desselben Standards beschränkt, wie es bei PGP der Fall ist.
Die Kompatibilität wirkt sich also stark auf den konkreten Nutzen einer Verschlüsselungslösung im Alltag aus und sollte bei der Wahl eines passenden Tools deshalb unbedingt berücksichtigt werden.
Weitere Informationen:
- FTAPI-Website: www.ftapi.com
- FTAPI-Blog über die SubmitBox: Dropbox erweitert Funktionsumfang: FTAPI als Vorbild für Speicherriesen?
- „heise“-Editorial: Lasst PGP sterben!
- QSC-Blog: Experton Group: QSC punktet bei Managed Security-Services und sicherer E-Mail-Kommunikation
- QSC-Blog: FTAPI erhält Nominierung für Smart Digital Award
Teaser- und Beitragsbild: #55367458. Public-Key © Foto_don / fotolia.
Abbildung: „Funktionsprinzip von PGP (Nur Verschlüsselung, ohne Signierung)“ (CC-BY-SA 4.0) Gregorerhardt/Wikipedia.
Drucken