Gestern erst bin ich auf das Frauenhoferprojekt "Volksverschlüsselung" gestoßen, heute habe ich es ausprobiert. Man braucht dazu:
1.) Den Windows-Client zum Generieren und Verwalten der Schlüssel/Zertifikate.
2.) Für die Generierung der Schlüsse einen nPA sowie die AusweisApp2 und ein Lesegerät (oder Smartphone mit AusweisApp2 und NfC).
Hat alles in allem problemlos funktioniert, die Volksverschlüsselungssoftware versucht auch dem User möglichst viel Arbeit abzunehmen in dem sie versucht zu erkennen welche Mailclients installiert sind und welche E-Mailadressen vorhanden sind und installiert dann nach einer E-Mailverifikation - auf Wunsch, man kann den Schritt auch überspringen - die Schlüssel und Zertifikate in den entsprechenden Clients (Mail-Programme, Browser). Klappt alles recht einfach, auch für eher ungeübte User, das ist ja auch das Ziel des Projekts. Die Zertifikate darf man nur privat verwenden. Entschlüsselung einer Testmail funktionierte problemlos, Soweit so gut, leider scheitert es an einem gewichtigen Punkt:
Die Zertifizierungsstelle ist nicht offiziell und damit nicht vertrauenswürdig. Mein E-Mailclient hat sich geweigert eine signierte Mail zu verschicken, weil:
Eine Zertifikatskette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt
Und damit ist das ganze leider unbrauchbar: Um das zu beheben muss man sich die ganze Zertifikatskette installieren, etwas was gewiss nicht zum Zielpublikum und Ziel des Projektes passt - nämlich einfache Verschlüsselung für jeden. Noch dazu müssen die Empfänger das ja genauso machen um keine fette Warnung bei entsprechenden, empfangenen S/Mime-Mails zu erhalten, ebenfalls etwas was vermutlich die meisten überfordert. Und dann kann genauso gut GPG einsetzen, wenn der Vertrauensaspekt - ein Vorteil vom S/Mime gegenüber GPG - sowieso dahin ist.
Schade eigentlich, die Software ist recht nett. Aber leider wegen der Einschränkung nutzlos.
Volksverschlüsselung - Offene Initiative für Ende-zu-Ende-Sicherheit
Ende-zu-Ende-Verschlüsselung schützt vor Massenüberwachung, denn sie stellt sicher, dass nur Sender und Empfänger Nachrichten im Klartext lesen können. Obwohl es eine Vielzahl von Verschlüsselungslösungen gibt, werden diese bislang kaum genutzt.
