„PGP ist ein Freund der NSA“: Sicherheitsforscher kritisiert Verschlüsselungssoftware

E-Mails. (Grafik: Shutterstock / ra2studio)
Verschlüsselte E-Mail-Kommunikation: PGP verrät Metadaten
In dem Film „Citizen Four“ von Laura Poitras über Edward Snowden wurde das Verschlüsselungsprogramm Pretty Good Privacy (PGP) noch lobend erwähnt, und auch deutsche E-Mail-Anbieter wie GMX oder Web.de setzen auf die Ende-zu-Ende-Verschlüsselung per PGP. Nutzer sollten sich allerdings nicht allzu sehr auf diesen Schutz ihrer Privatsphäre verlassen, wie der Sicherheitsforscher Nicholas Weaver vom International Computer Science Institute warnt.

PGP verspricht Sicherheit bei der E-Mail-Kommunikation, ist aber wohl ziemlich geschwätzig. (Grafik: Shutterstock)
Weaver zufolge würde PGP zu viele Metadaten verraten, was vor allem die Geheimdienste wie die NSA freuen dürfte. Der verschlüsselte Inhalt der E-Mails sei demnach zwar nicht zu decodieren. Aber bei mit einem herkömmlichen PGP-Client verschlüsselten E-Mails könnten die KeyIDs herausgefiltert werden, was die Adressen aller Empfänger, in den meisten Fällen auch die des Senders umfasse. Letztgenannter könnte die eigene E-Mail nicht mehr entschlüsseln, wäre er nicht selbst auch Empfänger.
PGP-verschlüsselte E-Mails als Einfallstor für die NSA
Mithilfe der KeyIDs können E-Mail-Adressen und Namen herausgefunden werden. Mit entsprechenden Programmen, über die Geheimdienste verfügen dürften, könnte ein Kommunikationsnetz bestimmter Personen erstellt werden. Das biete eine Einstiegsmöglichkeit, um in Systeme einzudringen und Schlüssel zu stehlen, meint Weaver.
„PGP ist ein Freund der NSA“, zitiert die Website Motherboard den Sicherheitsforscher. Um sich bei der E-Mail-Kommunikation vor der Überwachung durch Geheimdienste zu schützen, müsste man laut Weaver neben PGP auch ein neues E-Mail-Konto sowie einen Anonymisierungsdienst wie Tor nutzen. Die KeyID des Senders könne zudem entfernt werden oder dieser lässt sich nicht als Empfänger aufnehmen, kann dann aber auch die Nachricht nicht mehr entschlüsseln.
via www.zdnet.de