Die Letterbox: E-Mail-Verschlüsselung, einfach gemacht

Bitcoin.de unterstützt ein Forschungsprojekt der Freien Universität Berlin, das vorhat, die Verschlüsselung von E-Mails nutzerfreundlicher zu machen. Mit dem E-Mail-Client Letterbox liegt nun das erste Ergebnis des Projekts vor. Wer kann, sollte es unbedingt ausprobieren – etwa um die automatischen E-Mails von Bitcoin.de zu verschlüsseln.

Stellen Sie sich vor, Ihre Bank schickt Ihnen einen Kontoauszug – oder gar eine PIN – auf einer Postkarte. Unvorstellbar, oder? Die Wirklichkeit im Internet ist aber, dass fast genau dies permanent passiert. Wenn Ihnen beispielsweise Bitcoin.de einen Trade per E-Mail bestätigt, wird diese Mail in der Basis-Einstellung als Postkarte zugesandt: Sowohl der Postbote (der Internetdienstleister, der die Datenpakete ausliefert) als auch Ihr Briefkasten (Ihr E-Mail-Provider) können mitlesen.

Aus diesem Grund bietet Bitcoin.de schon seit 2014 den Kunden an, die automatisch ausgestellten E-Mails mit PGP verschlüsseln zu lassen. Um sicherzugehen, dass die E-Mails auch wirklich von Bitcon.de sind, werden die Mails auf Wunsch auch signiert. Digitale Signaturen sind wie Unterschriften – und eine normale E-Mail ist nicht nur wie eine Postkarte, sondern noch nicht mal unterschrieben.

Um es den Kunden einfacher zu machen, Verschlüsselung zu benutzen, unterstützt Bitcoin.de als assoziierter Partner das Enzevalos-Forschungsprojekt an der Freien Universität Berlin. Dieses Projekt beschäftigt sich vor allem damit, wie man Verschlüsselung nutzerfreundlich machen kann.

Das digitale Postgeheimnis hängt von der Nutzerfreundlichkeit ab

Wie wichtig solche Projekte sind, leuchtet einem ein, wenn man sich fragt, warum nicht jeder Verschlüsselung und Signaturen verwendet. Würden Sie, wenn Sie die Wahl haben, eine Postkarte anstatt eines Briefes schreiben? Würden Sie es akzeptieren, dass Sie wichtige Briefe ohne Unterschrift bekommen? Vermutlich nicht. Eigentlich sollte jeder, dem am Briefgeheimnis und an der Rechtskraft von Dokumenten liegt, Verschlüsselung benutzen. Und zwar immer. Warum sollten wir Standards aufgeben, nur weil die Dinge digital geworden sind?

Das Problem ist nun jedoch, dass es relativ wenig Software gibt, die dies auf eine einfache, intuitive Weise ermöglichen. Das üblicherweise benutzte Programm, OpenPGP, ist nicht gerade dafür bekannt, es dem User leicht zu machen. Auch die anderen gebräuchlichen Programme – Enigmail für Thunderbird, Mailvelope für den Browser – sind nicht eben ein Glanzlicht an Nutzerfreundlichkeit. Wer Outlook oder die E-Mail-Clients für Android oder iOS benutzt, wird es gar noch schwerer haben.

Mit der Letterbox-App planen die Forscher von Enzevalos nun, die Nutzung von Verschlüsselung ein Stück einfacher zu machen. Dieses erste Ergebnis des Projekts ist nun als App für iOS bereit, getestet zu werden. Wer mitmachen will, kann sich hier anmelden.

Verschlüsselung, ausnahmsweise einfach

“Das Besondere an dem E-Mail-Client ist, dass Ende-Zu-Ende-Verschlüsselung ‘per Default’ möglich ist und einen einfach benutzbaren und intuitiven Einstieg bietet, um die eigenen E-Mails zu verschlüsseln,” erklärt der wissenschaftliche Mitarbeiter Oliver Wiese. Man muss die App lediglich herunterladen, um direkt verschlüsseln zu können: “Dafür ist keine zusätzliche Software nötig, und Nutzende müssen keine Einstellungen auswählen oder Entscheidungen bei der Schlüsselerzeugung treffen.” Wer schon einmal Enigmail oder OpenPGP benutzt hat, weiß, wovon die Rede ist. Auch dass der öffentliche Schlüssel per Autocrypt automatisch im Header der E-Mail mitgeschickt wird, kommt der einfachen Nutzung entgegen.

Auf der Oberfläche versucht die Letterbox, Verschlüsselung so einfach wie möglich darzustellen. Dazu unterscheidet die E-Mail-App zwischen Postkarte und Brief, um anzuzeigen, ob eine Mail verschlüsselt ist oder nicht. Darüber hinaus informiert die Letterbox den User darüber, ob ein Brief “angerissen” ist, also während des Transports verändert wurde.

Die Letterbox benutzt das allgemein verwendeten OpenPGP auf RSA-Basis, um Mails zu verschlüsseln und zu signieren. RSA ist ein asymmetrisches Verschlüsselungsverfahren. Dies bedeutet, es gibt einen öffentlichen und einen privaten Schlüssel. Den öffentlichen Schlüssel kann man, wie der Name schon sagt, öffentlich ausstellen. Jeder, der ihn kennt, kann mit ihm eine Nachricht verschlüsseln – die dann nur der Besitzer des privaten Schlüssels lesen kann.

Eine App zur Verschlüsselung speichert die eigenen geheimen und öffentlichen sowie die öffentlichen Schlüssel der Adressaten. Sie sollte zudem eine Methode haben, um den eigenen öffentlichen Schlüssel zu teilen. Wenn man mit der Lettebox verschlüsselt kommunizieren will, kann man entweder einen neuen Schlüssel erzeugen oder bereits bestehende Schlüssel importieren. Dann gibt man den Schlüssel an seine Freunde und Geschäftspartner weiter – bei der Letterbox einfach, indem man eine E-Mail schreibt — und fordert diese auf, Mails in Zukunft zu verschlüsseln. Es ist wirklich nicht viel schwieriger, als einen Briefumschlag zu schließen.

Die Letterbox und Bitcoins

Es ist leicht, die Letterbox mit Bitcoin.de zu verwenden. Man muss dazu lediglich den öffentlichen Schlüssel – in der App die ID – bei Bitcoin.de in das entsprechende Feld im Menüpunkt Verschlüsselung eintragen. Anschließend wird man mit der Letterbox alle automatisch von Bitcoin.de versendeten E-mails verschlüsselt und auch signiert erhalten. Ein Video des Projekts zeigt ausführlich, wie man dazu vorgehen muss.

Also, Apple-Nutzer: Frohes Verschlüsseln mit der Testversion der Letterbox!