Google erweitert Chrome um End-to-End-Mail-Verschlüsselung auf OpenPGP-Basis

Anders als GnuPG oder Gpg4Win arbeitet die OpenPGP-basierte Verschlüsselung hier direkt im Browser. Auch die privaten Schlüssel sollen nach Aussage von Google nur im Browser existieren und nur bei Bedarf exportierbar sein.

End-to-End ähnelt damit schon vorhandenen Systemen, zum Beispiel:

  • Whiteout aus München:
    Als Chrome-App arbeitet Whiteout.io, das ebenfalls OpenPGP verwendet und dass sich derzeit sozusagen über Google Mail stülpt; dort sind allerdings künftige IMAP-Dienste geplant, sowie eigene Apps für iOS und Android, und auch ein eigener Maildienst. Der Private Schlüssel wird im Browser gespeichert. Anders als End-to-End läuft Whiteout in der Chrome-Sandbox und darf damit als sicherer gelten als End-to-End.
  • Private.ki aus Mainz:
    Ganz ohne Erweiterung und ohne Chrome arbeitet Private.ki, das keine Maildienste unterstützt, weil es selbst einer ist. Der Private Schlüssel wird im Browser gespeichert.
EndToEnd-Icon-128

End-To-End-Icon

Googles End-to-End-Erweiterung für Chrome ist noch nicht im Chrome-Store zu haben, zunächst soll die Öffentlichkeit die Möglichkeit haben, sich den Code anzuschauen. Schlauer Schachzug, denn mit dem Vulnerability Reward Program gibt Google ja Geld für den Nachweis von Softwareproblemen aus – das wirkt offen, transparent, einsichtig.

Ist Google auf dem richtigen Weg? Ich persönlich glaube eher, man testet nach altbekannter Google-Art erst mal, wie kalt das Wasser im Krypto-Pool ist. Wird irgendeiner das ganze Ernst nehmen? Und wenn die Erweiterung dann irgendwann mal im Store liegt – wird sie jemand benutzen? Wohl kaum, die FAQ deutet zum Beispiel an, dass Public Keys mit dem Privaten in einem gemeinsamen Ring liegen und umständlich importiert werden müssen – soooo viel einfacher wird’s damit dann halt auch nicht, Thunderbird/Enigmail dürfte nach kurzer Eingewöhnung simpler sein.

Eines gelingt Google mit der Image-trächtigen Aktion auf jeden Fall: Man ist den Vorwurf los, alle Mails „mitzulesen“ – Googles PR-Roboter können von nun an unermüdlich leiern, der User könne sich ja dank Google schützen. Irgendwie, ein bisschen. Natürlich wird es nur ein einstelliger Prozentanteil der Benutzer tatsächlich tun (so wie bei der Verschlüsselung der Transportwege, die sichtlich auch niemanden juckt) – und dass Google hier nicht seine Schnüffelmail-Werbung einblenden kann, wird der Konzern sicher verschmerzen. Was meinen Sie?

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …