Android-Feldtest: E-Mail

Als Mail-Applikation kommt bei mir aktuell K-9 zum Einsatz. Bisher habe ich alle Funktionen gefunden, die ich benötige. Zusätzlich kann K-9 auch Mails mit PGP/GPG signieren und verschlüsseln. Solch eine Mail-Applikation fehlt mir auf dem iPhone.

Leider sind bisher viele Apps nicht sonderlich schick gestaltet, wozu auch K-9 gehört. Ich hoffe, dass sich das mittelfristig nochmals ändert…

Artikel aus der Serie Android-Feldtest.

Sag “JA” zu Verschlüsselung

Warum schreibe ich diesen Artikel? Weiß doch jeder, dass die NSA mitliest… – Aber leider ist es doch noch nicht jedem bekannt. Und es ist auch nicht nur die NSA, sondern auch DEIN Nachbar!

Ich habe schon oft versucht, meinen Freundes- und Bekanntenkreis von Verschlüsselung zu überzeugen. Dies hat leider nicht so gefruchtet, wie ich es mir erhofft habe. Aussagen wie “Das ist viel zu kompliziert” oder “Ich habe doch nichts zu verbergen” musste ich mir anhören.

Um was geht‘s hier überhaupt? In erster Linie erst einmal um sichere Kommunikation über einen Messenger (sowas wie WhatsApp meine ich 😉 ). Die E-Mail-Verschlüsselung habe ich hier schonmal behandelt – benötigt aber dringend mal wieder ein Update.

Warum solltest du kein WhatsApp mehr nutzen:

  • dein komplettes Adressbuch wird zu den WhatsApp-Servern in die USA hochgeladen
  • deine Textnachrichten werden unverschlüsselt übertragen. Dies wurde z.B. bei Heise Security und TheNextWeb bekannt
  • über eine Webseite oder ein Programm auf einem beliebigen Computer kann dein WhatsApp-Status von einem Fremden verändert werden
  • ein Fremder kann mit einem sehr leicht generierbaren Passwort (IMEI bzw. MAC-Adresse deines Geräts) von einem anderen Smartphone in deinem Namen Nachrichten versenden
  • WhatsApp-Zahlungen sind manipulierbar
  • miese Kommunikation des Unternehmens WhatsApp bzgl. aktueller Probleme

Teilweise wurden diese Sicherheitslücken bereits geschlossen – jedoch viel zu spät. Das Unternehmen reagierte erst Wochen oder Monate später.

Diese ganzen Gründe und Umstände reichen meines Erachtens nach aus, um sich schnellst möglich nach einer Alternative umzusehen. Ein radikaler Umstieg auf eine andere App wäre zwar sinnvoll, aber nicht immer machbar. Deswegen ist ein langsamer Umstieg natürlich auch OK.

Meine Empfehlungen sind aktuell folgende Apps:

Threema

Meine Threema ID: WFE389HW

iOS

[app 578665578]

Android (ab 4.x)

google-play-logo

Hoccer XO

iOS

[app 641387450]

Android

google-play-logo

Update (26.10.2013):

Hoccer XO ist nun auch kostenlos für Android im Play-Store verfügbar. Habe mich aber noch nicht ausgiebig mit beschäftigt. Mein Anspruch an solche Apps ist, dass ich auf mehreren Devices den gleichen Account nutzen kann. Dies scheint aktuell weder bei Threema noch bei Hoccer XO zu funktionieren.

Mailverschlüsselung mit PGP/GPG

Seit kurzer Zeit beschäftige ich mich (mal wieder) mit meiner Mailverschlüsselung. Da seit Mac OS X 10.7 die Vollverschlüsselung der Festplatte (und auch externer HDDs) möglich und handhabbar ist, kommt es bei mir auch fleißig zum Einsatz. Da dachte ich mir, dass nun auch die Kommunikation etwas mehr Aufmerksamkeit verdient hat.

Für die Mailverschlüsselung gibt es grundsätzlich 2 Möglichkeiten. Einerseits mit S/MIME, was auf Client- bzw. User-Zertifikaten basiert. Diese vererben das Vertrauen von den Root-CAs, was bedeutet, dass man diesen einen gewissen Vertrauensvorschub geben muss. Und dass dies in der Vergangenheit schonmal nach hinten los gegangen ist, wundert mich nicht wirklich.

Die zweite Möglichkeit der Verschlüsselung – und diese kommt bei mir zum Einsatz – ist PGP bzw. GnuPG. Hierfür habe ich einen öffentlichen und einen privaten Schlüssel erstellt. Mein Key ist 0x15FD2A1F. Der öffentliche Schlüssel ist einerseits auf den Keyservern (z.B. http://pgp.mit.edu/) und andererseit auf meiner Website (http://kruemmel.it/15FD2A1F.asc) veröffentlicht. Die Nachrichten, die mit meinem öffentlichen Schlüssel verschlüsselt werden, können nur mit meinem privaten geheimen Schlüssel entschlüsselt werden.

Als Mailprogramm auf dem Mac OS X 10.8 setze ich hier Thunderbird mit Enigmail-Plugin ein. Auf dem iPhone nutze ich momentan oPenGP Lite. Für das Webinterface habe ich vor Kurzem das Chrome- bzw. Firefox-Plugin Mailvelope gefunden. Dies setzt auf ein bestehendes Webinterface von gMail, Yahoo, oder auch ein eigenes Roundcube auf. Leider werden die importierten öffentlichen Schlüssel nicht synchronisiert, wie man es von Chrome von den ganzen Einstellungen, Favoriten und Erweiterungen gewohnt ist.

Fazit: Leider ist die Implementierung von GPG (auf dem Mac und iOS; zu anderen Systemen kann ich noch nichts sagen) noch nicht wirklich vorangeschritten. Dieses Verschlüsselungsverfahren gibt es seit nahezu 20 Jahren, aber leider wurde hier noch zu wenig Entwicklungsaufwand reingesetzt. Dadurch ist der Einrichtungs- und Bedienungsaufwand viel zu hoch, was den Normaluser abschreckt. Natürlich bedeutet eine höhere Sicherheit immer Einbußen bei dem Komfort, aber da steckt noch viel Verbesserungspotential drin…