Digital

Darum sind Briefe und E-Mails noch immer besser als WhatsApp, iMessage und Co.

Welche Chat-Apps und Mail-Anbieter sind sicher, benutzerfreundlich und schützen gleichzeitig die Privatsphäre? Der umfassende Leitfaden der Digitalen Gesellschaft Schweiz zeigt's auf einen Blick.

13.11.16, 11:05 13.11.16, 20:14

Mit dem neuen Nachrichtendienstgesetz (NDG) und der drohenden Weitergabe der Nutzerdaten von WhatsApp an Facebook ist die Wahl des «richtigen» Kommunikationsmittels wichtiger als je zuvor. Nicht nur Geheimdienste, auch Kriminelle haben ein Interesse mitzulauschen – und tun dies auch.

Während bei Alltagsgesprächen jeder selbst wissen muss, wie viel ihm abhörsichere Kommunikation wert ist, sind bei vertraulichen Informationen (in Unternehmen) sichere Kommunikationsmittel Pflicht.

Auch Schweizer Unternehmen dämmert's langsam, dass Interna oder gar Firmengeheimnisse in Zeiten der (staatlich unterstützten) Online-Spionage nicht über unverschlüsselte E-Mails oder Chat-Apps diskutiert werden sollten.

Doch welche Chat-Apps oder Mail-Anbieter sind sicher, benutzerfreundlich und schützen gleichzeitig die Privatsphäre?

Die Digitale Gesellschaft Schweiz hat in einem umfassenden Vergleichstest gängige und weniger bekannte Chat-Apps und E-Mail-Programme auf Sicherheit und Nachhaltigkeit geprüft und mit herkömmlichen Diensten wie SMS, Briefpost oder Fax verglichen. Nebst WhatsApp, Snapchat oder Apples iMessage wurden auch Schweizer Chat-Apps wie Threema oder Swisscoms iO-Messenger unter die Lupe genommen.

Die Resultate im Überblick

Alle getesteten Apps, Programme und Verschlüsselungs-Methoden wurden in zehn Kategorien bewertet (siehe Übersicht am Ende des Artikels).

Sicherheit und Privatsphäre von WhatsApp, E-Mail, SMS und Co.

Handy-Nutzer können die Grafik antippen, um sie zu vergrössern. Die einzelnen Testkriterien und das Prüfverfahren werden am Ende des Artikels bzw. auf der Webseite der Digitalen Gesellschaft erklärt bild: digitale gesellschaft

Sehr gut schneiden ab:

Hinweis: Die pEp-Foundation ist Mitglied der Digitalen Gesellschaft.

Gut schneiden ab:

Nicht empfehlenswert sind:

Wer Vertrauliches mitteilt, sollte einen Kommunikations-Dienst aus der ersten, sichersten Kategorie wählen. Dazu zählen mit GnuPG oder pEp verschlüsselte E-Mails. Bei den Chat-Programmen überzeugt Jabber/XMPP mit OTR. Leider sei hier die Benutzerfreundlichkeit noch vergleichsweise schlecht.

Die Digitale Gesellschaft empfiehlt für die Kommunikation im Alltag die mittlere Kategorie «Gute Sicherheit». Dazu gehören die Schweizer Messenger-App Threema sowie die altbekannte Briefpost und E-Mail. Diese Kommunikationsmittel gewährten eine gute Balance zwischen Sicherheit, Privatsphäre und Benutzerfreundlichkeit. Bei der Briefpost etwa wird in der Regel nicht gespeichert, wer, wann mit wem kommuniziert und natürlich erfolgt anders als bei WhatsApp auch kein Zugriff auf das Adressbuch bzw. die Kontakte.

«Die Kriterien zu Sicherheit und Privatsphäre stehen oft im Widerspruch zur Benutzerfreundlichkeit. Die Gewichtung sollte entsprechend den eigenen Präferenzen und dem individuellen Anwendungsfall angepasst werden.»

Digitale Gesellschaft Schweiz

Die Frage ist nicht WhatsApp oder Threema, sondern wann und für wen welche App mehr Sinn macht.

Für vertrauliche Nachrichten nicht zu empfehlen sind Festnetz- und Mobilfunktelefonie sowie SMS-Nachrichten. Schlechte Verschlüsselung und die Vorratsdatenspeicherung (Swisscom, Sunrise und Co. speichern wer, wann, wo mit wem telefoniert oder chattet) führen zu einem ungenügenden Resultat.

Die bekannten Chat-Apps sind verschlüsselt, aber ...

Durchs Band schlecht beurteilt werden die Chat-Apps bekannter Anbieter wie Apple, Microsoft, Facebook, Google oder Swisscom. Deren Apps verschlüsseln zwar die Nachrichten, sind aber laut Digitaler Gesellschaft nicht nachhaltig. Das heisst, sie nutzen keine offenen Standards oder Open Source Software. Apps wie iMessage, WhatsApp, Facebook Messenger und Swissoms iO können daher von unabhängigen Sicherheitsexperten nicht vollständig eingesehen und geprüft werden. 

WhatsApp und iMessage fallen trotz Ende-zu-Ende-Verschlüsselung (die Nachrichten können nur von den beteiligten Kommunikationspartnern gelesen werden, nicht aber von WhatsApp oder Apple selbst) in der Schlussbewertung durch.

Dies liegt vor allem daran, dass iMessage und der zu Facebook gehörende Messenger Metadaten speichern (wer, wann mit wem kommuniziert). WhatsApp greift zudem auf das Adressbuch zu, während die Verschlüsselung von iMessage von unabhängigen Experten nicht geprüft werden kann.

Auch Skype und Google Hangouts überzeugen nicht: «Für Video-Telefonie können Skype und Hangouts nicht empfohlen werden», schreiben die Schweizer IT-Sicherheitsexperten der Digitalen Gesellschaft. «Hingegen stellen die beiden Open-Source-Projekte Retroshare und Tox sehr gute wenngleich noch wenig verbreitete Alternativen dar.»

Darum schneidet E-Mail besser ab als WhatsApp, iMessage und Co.

E-Mail galt lange als unsicher, da unverschlüsselte E-Mails einfach mitgelesen werden können. Inzwischen wird die elektronische Post von den Mail-Anbietern immer öfter verschlüsselt übertragen, was das verpönte Kommunikationsmittel auch für sensible Inhalte attraktiver macht.

«Mit zusätzlichen Erweiterungen, wie GnuPG oder pEp, kann die Sicherheit der E-Mail weiter verbessert werden», schreibt die Digitale Gesellschaft. Dies gehe im Fall von GnuPG aber auf Kosten einer weniger benutzerfreundlichen Bedienung.

Wichtig: Durch die sorgfältige Wahl des Mail-Anbieters lässt sich auch die Speicherung verräterischer Metadaten verhindern. Empfohlen werden zum Beispiel posteo.de oder mailbox.org. Schweizer Provider hingegen sind gesetzlich verpflichtet, von allen Nutzern auf Vorrat zu speichern, wann sie mit wem kommuniziert haben (siehe unten stehende Infobox).

Mit solchen Metadaten können Bewegungs-, Beziehungs- und Persönlichkeitsprofile aller Handy-Nutzer erstellt werden, wie in diesem interaktiven Beispiel erklärt wird.

Was sind Metadaten?

Seit 2002 wird jede Bewegung von Schweizer Handybesitzern ein halbes Jahr lang aufgezeichnet. Die Mobilfunkprovider müssen im Auftrag des Bundes von jedem Kunden folgende Daten speichern:
- Mit wem er wann und von wo aus kommuniziert hat
- Wer sich wann und für welche Dauer ins Internet eingeloggt hat
- Wer wann wem ein E-Mail oder SMS geschickt hat
- Wo sich der Handynutzer gerade befindet

So wurde getestet

Fünf Mitglieder der Digitalen Gesellschaft Schweiz, alle mit einem Hintergrund in der Informatik oder der Informationssicherheit, haben die zehn getesteten Kategorien ausgearbeitet.

Für den Vergleich wurden folgende Kriterien herangezogen.

Sicherheit und Privatsphäre:

Nachhaltigkeit:

Sonstiges:

Eine detailliertere Beschreibung des Testverfahrens und der gewählten Kriterien findet sich am Ende dieses Artikels.

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

Was der Staat von Ihrem Smartphone will. Und wann. Und weshalb.

«Es ist nur eine Frage der Zeit, bis der Bund auch Telefongespräche und SMS speichern will»

«Dass die Speicherung von Handydaten nichts bringt, ist kompletter Unsinn»

Das Beziehungsnetz: Wer ist beruflich wichtig, wer ist verwandt? Mit wem hat Herr Glättli wirklich viel zu tun?

Wie der Staat Daten «wegen Terror» abgreift – und uns eigentlich bloss komplett verarscht

Die Kapo Bern hat bald ein teures neues Abhörsystem. Aber der eigentliche Skandal dahinter ist die Beschaffung

Die vergessenen Jahre des Terrors: In den 70ern und 80ern zogen Terroristen eine Blutspur durch Europa

Wenn Sie immer noch glauben, Datenschutz sei nur für Menschen, die etwas zu verbergen haben, bitte hier weiterlesen

Die unsäglich peinliche Geschichte der gehackten Hacker (und Kapo-ZH-Lieferanten) in 25 Tweets erzählt

Diese Politiker sorgten sich eben noch um unsere Privatsphäre – und sagen jetzt trotzdem Ja zu mehr Überwachung

Fremde Geheimdienste sollen die Leitungen von Swisscom und Co. angezapft haben. Das musst du wissen

Polizei und Staat wollen Sie im Internet umfassend überwachen. Jeder zweite Schweizer sagt «Nein, danke!»

Alle Artikel anzeigen

WhatsApp – das musst du wissen

Abonniere unseren NewsletterNewsletter-Abo
45
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
45Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • choldrio 14.11.2016 20:54
    Highlight Heute erscheinen fast täglich solche "Studien", leider sind die selbsternannten Experten meistens keine. Die Digitale Gesellschaft hat offenbar ähnlich wenig Ahnung von der Materie wie Amnesty International, welches sich kürzlich mit seiner Einschätzung, WhatsApp und der Facebook Messenger seinen sichere Chat-Lösungen, lächerlich gemacht hat. Hier könnte auch ein Grund sein, dass die pEp-Foundation Mitglied der Digitalen Gesellschaft ist. Jedenfalls gehe ich davon aus, dass sich Dienste wie Threema schon ein paar Gedanken zu den Sicherheits-Aspekten ihrer Produkte gemacht haben.
    0 2 Melden
    • Hernani Marques 14.11.2016 21:13
      Highlight Keine Ahnung, wovon du sprichst: wenn du inhaltliche Kritik an p≡p als Ansatz hast, können wir das anschauen.

      Kurzum:

      p≡p ist peer-to-peer, end-to-end, ist quelloffen, automatisiert Schlüsselverwaltung, erlaubt Verifikation von Kontakten mittels Trustwords, ist kompatibel zu OpenPGP, was ein Standard ist und es gibt auch einen Code-Audit, der aufzeigt, dass im Kerncode keine Backdoors drin sind.

      Weder ich noch irgendjemand vom p≡p-Team, was mittlerweile an die 30 Leute sind, war an dieser Digiges-Bewertung beteiligt.

      Da p≡p GnuPG & NetPGP nutzt, fällt die Bewertung logisch ähnlich aus.
      2 0 Melden
    • Hernani Marques 14.11.2016 21:17
      Highlight Übrigens schaffen sogar Tech-Journalisten von The Intercept (leider) WhatsApp als sicher zu empfehlen:

      https://theintercept.com/2016/11/12/surveillance-self-defense-against-the-trump-administration/

      Kritik daran verhallt dann auch gerne:

      https://twitter.com/vecirex/status/798194542809726976

      Offenbar findet eine Nivellierung nach unten statt.
      2 0 Melden
    • Hernani Marques 14.11.2016 21:24
      Highlight Beim Vegleich wurde mehr als nur Sicherheit beachtet, nämlich

      - die Standardkonformität (bei Threema etwas Eigenes (Proprietäres), keine Kompatibiltität zu bestehenden Diensten / Formaten),
      - die Dezentralisierung (Threema ist zentralisiert, geht nur mit der Threema-Plattform)
      - oder die Offenlegung des Quellcodes (liegt bei Threema nicht vor; man weiss bloss, dass sie die NaCl-Cryptolibrary nutzen, die offen ist).

      Das alles führt bei Threema und anderen Lösungen dazu, dass das Gesamtergebnis gedrückt wird.

      Bei WhatsApp etwa wurde nie ein externer Code-Audit gemacht, somit: kein Vertrauen.
      1 0 Melden
  • hth 14.11.2016 12:52
    Highlight Tox oder Antox benutze ich auch sehr gut und einfach, leider klappt der Videochat noch nicht richtig, für Text aber super.

    https://play.google.com/store/apps/details?id=chat.tox.antox&hl=de
    3 0 Melden
  • Caturix 13.11.2016 12:51
    Highlight Die Brieftaube wurde vergessen.
    35 5 Melden
    • Hernani Marques 14.11.2016 16:13
      Highlight Gute Idee, da gibts sogar ein RFC zu, was den IP-Stack betrifft:

      https://en.wikipedia.org/wiki/IP_over_Avian_Carriers

      Leider ist die Paketverlustrate sehr hoch, d. h. du müsstest Nachrichtenbestandteile mit viel Redundanz oder mehrfach verschicken, was zu stärkeren Verzögerungen führen könnte. :)

      Dafür wäre es relativ stark dezentralisiert, nicht wie die Schweizer Post, die als eigentlich zentraler Provider wie die plattformbasierten Systeme im Test sonst fungiert. :)
      1 0 Melden
  • ben_fliggo 13.11.2016 12:28
    Highlight Ziemlich technokratische Teststudie. Und die Watson-Aufbereitung ist wirr und ungenau, was bei solchen Themen recht heikel ist.
    23 19 Melden
  • MingaOida 13.11.2016 12:15
    Highlight Wenn alle meine Freunde WhatsApp benutzen kann Threema oder andere Programme noch so gut abschneiden, der allgemeine Gruppenzwang besteht nun mal. Und ganz ehrlich ich steige noch eher ins Auto und fahre 15 Minuten um mit einer Person zu reden als ihr einen Brief zu schreiben mit der Nachricht:
    Hey, na wie geht es.? Lust heute Abend ins Kino zu gehen.? Gruss
    Das kommt mich billiger und vorallem ist es schneller.
    30 8 Melden
    • ben_fliggo 13.11.2016 12:23
      Highlight Das ist genau das Problem. Viele haben schlicht keine Lust umzusteigen. Und vor allem, wenn alle paar Monate wiede etwas neues kommt, auf welches man wechseln sollte, weil bei der alten App Sicherheitsmängel ans Licht kommen. Ich sehe das bei älteren Leuten, die 'jetzt dieses Whatsäpp auch haben', aber auch bei uns jungen, die es eigentlich besser wissen sollten.
      10 2 Melden
    • Alnothur 13.11.2016 13:25
      Highlight Dabei gibt es genau die Programme und Standards, die hier am Besten abgeschnitten haben, alle länger als WhatsApp.
      8 3 Melden
    • derBurch 14.11.2016 05:18
      Highlight Dann tut es einfach. WhasApp gelöscht, Kontakt zur Welt nicht verloren. Weil echte Freundschaft nicht an ein App gebunden ist
      7 1 Melden
    • Hernani Marques 14.11.2016 09:46
      Highlight Weil das so ist, die Nutzer also nicht umsteigen, bestenfalls 4-5 verschiedene Apps auf ihrem Handy führen, benötigt es das Konzept der Nachrichtenkonergenz (Message Convergence) bzw. der vereinheitlichten Inbox (Unified Inbox), das also in einer App alle Kontakte angezeigt werden (egal ob SMS, E-Mail oder WhatsApp).

      Jede Nachricht wird dann so sicher wie möglich verschickt: entsprechend der Möglichkeiten des Kontakts. Im worst-case geht die Nachricht unverschlüsselt raus (wie meist heute).

      Das umzusetzen, ist das mittelfristige Ziel von p≡p: derzeit geht nur nur E-Mail-Verschlüsselung.
      3 0 Melden
  • why_so_serious 13.11.2016 12:15
    Highlight Zu der Bildunterschrift des Bildes von Ruthe.de: es heisst ergibt Sinn! Sinn kann man nicht machen....

    Für alle Romantiker unter euch:
    34 4 Melden
  • axantas 13.11.2016 12:05
    Highlight Also - "empfehlenswert" ist z.B. E-Mail, unverschlüsselt, "out of the Box". Dafür wird am verschlüsselten IncaMail rumgemäkelt.
    Das ergibt ja schon Sinn, die Verschlüsselung von IncaMail ist offenbar nicht sicher und man kann die knacken und dann hat man einfach so eine unverschlüsselte E-Mail, die ja empfohlen wird. ...oder so - irgendwie.

    ...ja, vielleicht habe ich da grad auch was verpasst oder die Aufstellung Klassifizierung an sich ist doch etwas seltsam.

    Soll ich jetzt mein Festnetztelefon, was ja auch nicht empfohlen wird, aufgeben?
    13 4 Melden
    • Madison Pierce 13.11.2016 19:19
      Highlight Mit der E-Mail ist es etwas kompliziert, da man über unzählige verschiedene Verfahren mailen kann. Haben Absender und Empfänger eigene (oder sonst vertrauenswürdige) Mailserver, sind die Mails auch ohne Zusatztools bei der gesamten Übertragung verschlüsselt (mit TLS auf SMTP und IMAP bzw. mit HTTPS). Zudem schaut bei eigenen Mailservern niemand in die Metadaten.

      GMX, Outlook.com etc. sind auch Mail, aber ohne diese Vorteile.

      Deshalb kann man nicht sagen "Mail ist sicher" oder "Mail ist unsicher".

      Im Test war E-Mail besser als Incamail wegen der dezentralen Infrastruktur und Open Source.
      6 0 Melden
  • Fumo 13.11.2016 11:55
    Highlight Also wenn jemand etwas testet und der Gewinner des Tests ist etwas dass dem Jemand gehört der getestet hat, dann ist das Testergebnis nichts wert.
    22 9 Melden
    • Alnothur 13.11.2016 13:26
      Highlight GnuPG gehört niemandem, und pEp ist bloss eine auf GnuPG aufgesetzte "Vereinfachung".
      12 2 Melden
    • Fumo 13.11.2016 13:56
      Highlight Ändert das etwas daran dass ihr eigenes Produkt an erster Stelle gelandet ist?
      6 9 Melden
    • Alnothur 13.11.2016 18:30
      Highlight https://de.wikipedia.org/wiki/Pretty_Easy_privacy
      4 1 Melden
    • Fumo 14.11.2016 05:18
      Highlight Was steht da das etwas daran ändert?
      1 1 Melden
    • Hernani Marques 14.11.2016 09:17
      Highlight @Fumo: du missachtest inhaltliche Gründe.

      1. Die p≡p foundation verteidigit gemäss Stiftungsurkunde drei Menschenrechte: Rechte auf Meinungsäusserungs-, Informationsfreiheit & Privatheit, deshalb ist sie Teil der Digiges:

      https://pep.foundation/docs/pEp-Stiftungsurkunde.pdf

      2. p≡p ist peer-to-peer: keine Plattform, d. h. dezentralisiert.

      3. p≡p nutzt offene Standards, auch wenn eigene Wege gegangen werden.

      4. p≡p hat einen Code-Audit durchlaufen:

      https://pep.foundation/blog/medienmitteilung--pep-ver%C3%B6ffentlicht-erstes-code-audit-der-pep-engine/index.html

      5. p≡p ist quelloffen.
      5 1 Melden
    • Fumo 14.11.2016 10:39
      Highlight Aber was ändert es daran dass es ihr eigenes Produkt ist? Nichts.
      Also ist das Ergebnis wertlos. Kann ja jeder behaupten dass seine Produkte im eigenem Test als beste abschliessen und somit für die Allgemeinheit als Beste zu sehen sind.
      1 7 Melden
    • Hernani Marques 14.11.2016 11:14
      Highlight Kein Softwarebestandteil von p≡p gehört der Digiges oder wird nur schon von dieser entwickelt. Die Software gehört der p≡p foundation (Schweiz) & p≡p-Firmen in der Schweiz und Luxembourg.

      Mehr noch: das GnuPG-Projekt ist nicht Teil der Digiges, das aber ist das, was p≡p für die Crypto nutzt, abgesehen von NetPGP auf iOS (aus vor allem lizenzrechtlichen Gründen): E-Mail mit pEp ist also eine Sonderform von E-Mail mit GnuPG oder E-Mail mit NetPGP.

      Rein logisch wirds also dünn für Ihre Argumentationskette.

      Ausser wir betrachten die Dinge postfaktisch, was ja die neue Moderne zu sein scheint.
      4 2 Melden
    • Fumo 14.11.2016 11:46
      Highlight pEp ist ein kommerzielles Produkt der sich die GnuPG Lizenz zu nutze macht um daraus Geld zu schinden.
      Objektiv gesehen hätte man nur GnuPG testen und nennen sollen ohne ein Produkt bei dem man selbst Geld verdient zu propagieren. Das ist Logik.
      2 2 Melden
    • Hernani Marques 14.11.2016 12:31
      Highlight p≡p ist genauso quelloffen wie GnuPG es ist: genau mit derselben Lizenz.

      Aller Quellcode hier:

      https://pep.foundation/pep-software/index.html

      Es ist gemäss GNU GPL v3 (und so so mancher FLOSS-Lizenz mehr) möglich, Geld zu verdienen: indem man Support verkauft, analog zu Red Hat.

      Die p≡p foundation verkauft übrigens gar nichts, sondern stellt die Kernkomponenten (p≡p code und p≡p adapter) allen zur Verfügung.

      Der noch grössere Clou, der Ihrer Argumentationskette jedwede Grundlage nimmt, ist, dass die p≡p-Firmen dabei sind, mit den Betreibern von GnuPG *gemeinsame* Mitarbeiter anzustellen.
      2 0 Melden
    • Hernani Marques 14.11.2016 12:39
      Highlight Zum Argument der kommerziellen Natur von Dingen im Test, obwohl p≡p ja auch von allen kostenlos genutzt werden kann (aller Quellcode liegt vor): einige der anderen Lösungen liegen weder im Quellcode noch irgendwie kostenlos vor. Sie sind nur rein kommerziell zu haben.

      Wieso p≡p separat aufgeführt werden kann, und deshalb auch nur zwei Sterne bei der Standardkonformität erhält, ist, weil es GnuPG / NetPGP zwar nutzt, aber viele Konzepte vom OpenPGP-Standard ändert: z. B. verschlüsselt p≡p standardmässig die Betreffszeilen und versucht Keyserver zu vermeiden.

      Zudem ist PGP-Crypto der Anfang.
      1 0 Melden
  • Philu 13.11.2016 11:52
    Highlight Bin gerade etwas schockiert, dass Incamail, das vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) als sichere Zustellplattform anerkannt ist, so schlecht abschneidet...
    15 2 Melden
    • ARoq 13.11.2016 12:11
      Highlight Rauchen ist gesund.

      Freundlichst,
      Ihr Zigarettenhersteller
      36 3 Melden
  • FabianK 13.11.2016 11:45
    Highlight Ich werde trotzdem weiterhin Telegram benutzen. Die Benutzerfreundlichkeit schlägt einfach alles andere bei weitem, viele Freunde benutzen es und es schneidet immerhin besser als WhatsApp ab.
    21 8 Melden
    • Pana 14.11.2016 03:25
      Highlight Same here.
      1 0 Melden
  • demokrit 13.11.2016 11:42
    Highlight "pEp verschlüsselte E-Mails" - geht das nur mit einem Client à la Thunderbird?
    3 7 Melden
    • Alnothur 13.11.2016 13:27
      Highlight Webmail kann diese Sicherheit per se nicht bieten. Hast du Speicherplatzmangel?
      2 1 Melden
    • demokrit 13.11.2016 17:42
      Highlight Es war eine einfache Frage, liebe Hater.

      Ich bevorzuge schon eine Weblösung, da ich mehrere PCs verwende.
      1 4 Melden
    • Hernani Marques 14.11.2016 09:06
      Highlight p≡p hat ein Adapterkonzept und die Entscheidung, was in welcher Reihenfolge mit p≡p ausgestattet wird, hängt primär von der Verbreitung oder Kooperationen (in Business oder Community) ab:

      am weitesten entwickelt ist entsprechend das Outlook-Add-in, eine Android-Beta exisitert und Enigmail hat p≡p angefangen zu integrieren (ist mit Enigmail 2.0 per default aktiviert).

      Im Whitepaper steht, auch Webmailer werden unterstützt werden:
      https://pep.foundation/docs/pEp-whitepaper.pdf

      Ein dafür geeigneter Adapter, wie der pEpJSONServerAdapter, ist hier:
      https://letsencrypt.pep.foundation/dev/
      2 0 Melden
    • Hernani Marques 14.11.2016 09:10
      Highlight Noch ein Zusatz wegen mehrerer Geräte: das wird von p≡p ebenfalls angepackt.

      Im Rahmen von p≡p sync wird es plattformübergreifend möglich, privates und öffentliches Schlüsselmaterial über mehrere Geräte zu synchronisieren.

      Bei E-Mail (was zurzeit einzig unterstützt wird), heisst das, dass alle Geräte, die einer Gerätegruppe anzugehören haben, als gemeinsamen Nenner eine bestimmte E-Mail-Adresse benötigen.

      p≡p erlaubt es sodann, mittels "technischer E-Mails" (sog. beacons) Schlüssel- und (später) anderes Material (Kalender, Kontakte etc.) über die diversen Geräte zu verteilen: cloudless.
      2 0 Melden
    • demokrit 14.11.2016 10:41
      Highlight Hernani: "Im Rahmen von p≡p sync wird es plattformübergreifend möglich, privates und öffentliches Schlüsselmaterial über mehrere Geräte zu synchronisieren." Gut zu wissen. Lass' es mich wissen, sobald ihr soweit seid. Bis dahin verwende ich Protonmail.

      Ziehen solche Beacons keine zusätzliche Aufmerksamkeit auf sich?
      1 0 Melden
    • Hernani Marques 14.11.2016 11:03
      Highlight Die Beacons stellen Mails an dich selber dar. Sie fallen ohne kompromittiertes TLS nur in der eigenen Mailbox auf. Das funktioniert bei E-Mail deshalb nur mit IMAP.

      Sie sind als solche markiert und werden von p≡p nicht angezeigt, fallen auch dir selber (wenn p≡p installiert ist), nicht auf.

      Auslösen musst du das initial selber, indem du eine Gerätegruppe bilden willst.

      Die Implementierung in Outlook & Android erfolgt. Es laufen Tests, dann gibts Release:

      Android: https://cacert.pep-security.lu/gitlab/android/k9-pep/activity (CAcert)
      Outlook: https://cacert.pep-security.lu/trac/timeline
      2 0 Melden
    • demokrit 14.11.2016 12:35
      Highlight Erzeugen die Beacons nicht verdächtige Zusatz-Traffic?

      Ich bin auf Linux, interessant wäre darum für mich allenfalls Thunderbird.
      0 0 Melden
    • Schne 14.11.2016 13:30
      Highlight Wenn dein Mailanbieter IMAP unterstützt ist die Synchronisation zwischen den Geräten kein Problem. Wenn dus einmal eingerichtet hast, wirst du die Blitze verstehen: Wir schütteln nur alle gerade den Kopf, dass jemand Webmail benutzt.
      2 0 Melden
    • demokrit 14.11.2016 14:18
      Highlight Naja, Hernani hat eben gesagt, das Ganze sei erst in Entwicklung, Protonmail landet ja in der Aufstellung ziemlich weit oben, bei einem beliebigen Mailanbieter hätte ich jetzt sicher nicht mehr vertrauen. Der Normaluser will sich nicht mit komplizierten Einrichtungsprozeduren und Backups herumärgern.
      0 1 Melden
    • Hernani Marques 14.11.2016 15:55
      Highlight Du hast zusätzliche Mails für den Austausch des Materials: Mails als "Broadcasting", um nach Geräten zu suchen, Geräte, die antworten, und das konkrete Material, das dann ausgetauscht wird, nachdem der Benutzer das Vertrauen ausgesprochen hat - auf den Geräten, die er hat. Weitere Mails gehen raus, wenn sich auf den Geräten etwas am Material ändert, das synchronisiert wird. Traffic ist bei Schlüsseln im KB-Bereich.

      Wenn die SMTP- und IMAP-Verbindungen TLS verwenden, merkt davon kaum jemand etwas Konkretes. Die Nachrichten sind auch nur beschränkt zeitlich gültig und werden gelöscht.
      1 0 Melden
    • Hernani Marques 14.11.2016 16:00
      Highlight Nachteil von ProtonMail ist sicher, dass du an eine bestimmte Plattform gebunden ist, die immer laufen muss. Mit Nicht-ProtonMail-Nutzern (etwa bei GMX) wird nicht verschlüsselt und du kannst dir bei ProtonMail zur Zeit auch nicht sicher sein, dass die öffentlichen Schlüssel der anderen Nutzer echt sind. Das ist ein ganz ähnliches Problem wie bei Keyservern.

      Die Ver- und Entschlüsselung läuft zwar lokal ab, das JavaScript aber wird von ProtonMail ausgeliefert: was auch wieder eine zentrale Angriffsfläche liefert.

      Solche Angriffsrisiken nehmen mit der Grösse des Nutzerkreises erheblich zu.
      2 0 Melden
    • demokrit 15.11.2016 13:13
      Highlight Spannend wäre zu ergründen, ob der Geheimdienst die damit verursachte Charakteristik der Traffic der Verwendung von p=p zuschreiben kann. Dann würde man ähnlich wie Protonmail bereits verdächtig, weil man es benutzt.

      Ja, diese Plattformabhängigkeit besteht, allerdings wäre Protonmail wohl schnell weg vom Markt, wenn die Plattform mal nicht mehr laufen würde.

      Bis jetzt habe ich sowieso noch niemanden kennen gelernt, der verschlüsselt.

      Wir bei nicht p=p-Nutzern verschlüsselt? Wie soll das gehen?
      0 0 Melden
    • Hernani Marques 15.11.2016 21:36
      Highlight Die Idee wäre, mit p≡p Kanäle, die die User haben, ob das Chat-, IM- oder Mailkanäle sind, automatisch zu verschlüsseln. Verschlüsselung muss also zum Normalfall werden. Dann ist nichts verdächtig, sondern normal.

      Zusätzlich können bestehende Apps, die bereits Verschlüsselung machen, p≡p für die Crypto nutzen, indem man p≡p um die benötigte Crypto-Methode erweitert: im Moment ist p≡p OpenPGP-kompatibel, hinzu kommen sicher noch XMPP/OTR, Axolotl etc.

      Das heisst auch, dass im Moment bestehende OpenPGP-Nutzer mit p≡p-Nutzern kommunizieren können.

      Eine p≡p-Plattformabhängigkeit gibts nie.
      0 0 Melden

HIPSTERLITHEATER

Berner Tastatur

Wie ich mir als Zürcher die Berner Tastatur vorstelle.

Artikel lesen