PGP-verschlüsseltes Google Mail (ohne PGP): Whiteout Mail

Die Chrome-App Whiteout Mail https://whiteout.io/ aus München erweitert Webmailer wie Google Mail um Verschlüsselungsfunktionen (auf Basis von OpenPGP, aber ohne das Gefummel). Derzeit gibt es Whiteout Mail nur für Chrome (auch Dragon, Iron) auf Windows und Chrome (und Iron) auf Mac sowie Chromium auf Linux, sowie für Chrome OS. Google Mail ist derzeit der einzige unterstützte Webmail-Dienst.

Das soll nicht so bleiben, schrieb mir Oliver Gajek, Geschäftsführer von Whiteout Networks: “Die nächsten Meilensteine sind die Unterstützung zusätzlicher Mailprovider und insbesondere auch ein Angebot einer eigenen Mailadresse bzw. Domain auf unseren Servern. Auf unseren eigenen Servern können wir zu Domizilierung der Daten (liegen dann halt wirklich in Europa) und zu data retention (heben wir Metadaten eben nur kurz auf) noch mehr Sicherheit anbieten. Parallel dazu arbeiten wir an der ersten Version für iOS. Zu beiden Themen wird es im zweiten Quartal erste Angebote geben. Andere mobile Plattformen kommen dann in der zweiten Jahreshälfte.” Geplant sind unter anderem Support für Outlook.com, Yahoo! und T-Online.

Die Chrome-App gibts hier:

Vorsicht: Alpha! Also noch nicht mal Beta! Ging aber bei mir gut, auf allen Plattformen.

Nach der Installation zeigt sich Whiteout Mail bei den Chrome Apps:

Whiteout in den Chrome Apps

Whiteout in den Chrome Apps

Whiteout Mail nutzt das Vorhandene System nur als Transportmedium (via IMAP/SMTP, das muss also aktiviert sein). Es ist eher eine Mailprogramm-App als eine Webmail-Erweiterung. Das bedeutet auch, man muss der App die Anmeldedaten (E-Mail, Passwort) von Google Mail mitteilen.

Des weiteren ist ein Whiteout-Passwort zu spezifizieren. Es ver- und entschlüsselt eigentlich nur den für den User zunächst unsichtbaren Private Key der verschlüsselten Kommunikation. Das Passwort sollte entsprechend lang und komplex sein.

Whiteout: Passwort für Schlüssel

Whiteout: Passwort für Schlüssel

Danach meldet man sich bei der Whiteout-App jeweils nur noch mit diesem Whiteout-Passwort an, dieses wiederum meldet sich bei GMail an.

Whiteout-Anmeldung

Whiteout-Anmeldung

Mit Whiteout Mails verschlüsseln …

…ist bahnbrechend simpel, denn man schreibt einfach nur Mails. Die schreibt man in einem eigenen, derzeit noch sehr rudimentären Fenster, das einen eigenen Posteingang, -ausgang und so weiter besitzt. Dieser zeigt aus der Auswahl aller vorhandenen Mails bei Google Mail aber nur die verschlüsselten.

Whiteout-Mailbox

Whiteout-Mailbox

Es gibt daher auch keinen Verschlüsselungs-Button, man schreibt einfach seine Mail, den Rest macht Whiteout. Umgekehrt zeigt das System verschlüsselte Mails anderer Whiteout-Nutzer sofort im Klartext an:

Whiteout-Mails

Whiteout-Mails

Die Verschlüsselung wird also für den Anwender komplett transparent abgewickelt. Der Nutzer kriegt so gut wie nichts von der Verschlüsselung mit, er sieht sie nicht mal. Genau das will man eigentlich: Verschlüsselung, die auch meine Oma “nutzen” kann, nicht bloß puristische Experten, die über das 4097ste Bit diskutieren.

Als Nachteil ergibt sich, dass man derzeit nur anderen Whiteout-Nutzern solche Mails schreiben kann. Das fühlt sich ein bisschen proprietär an.

Wo sind die Whiteout-Mails?

Alle Whiteout-Mails liegen als völlig normale Mails in Google Mail. Es gibt also nur Verschlüsselung, keine Anonymität.

Die Betreffzeilen der E-Mails, ebenso die Adressaten sind in Google Mail im Klartext lesbar. Nur der Inhalt wird als Inline-PGP verschlüsselt transportiert.

Sieht so aus:

So siehts in Google Mail aus

So siehts in Google Mail aus, das Gehecksel unten ist der Inhalt der Mail

So weit, so einfach!

Und zwar wirklich einfach – man fragt sich ein wenig, warum das vorher noch keiner geschafft hat. Zum Beispiel Google selbst.

Warum kann Google Mail das nicht selbst?

Es lassen sich viele Gründe denken, warum GMail dieses Feature nicht selbst hat. Einer lautet: Geld. Whiteout verspricht ja End-to-End-Verschlüsselung, also vom Browser des Mailschreiber zum Browser des Maillesers, *nicht* bloß von Postausgang zu Posteingang. Wenn aber Google Mail die Mails nicht mehr lesen kann, kann es auch keine an die Mail angepasste Werbung mehr platzieren! Das aber ist nun mal das vornehmliche Interesse von Google: Auf alle Informationen, die es sich einsaugt und dann wieder anzeigt, Google Ads draufzukleben. Auf der anderen Seite bietet Google Mail ja nun mal POP3/IMAP, dort sieht auch niemand Ads und es juckt nicht. Google täte sich selbst einen Gefallen, Verschlüsselung wenigstens über die Labs anzubieten. Doch würde man der Krake trauen?

Alternativen?

Nimmt man Google Mail mit

dann hat man ebenfalls verschlüsselte Mail – auch via Google Mail (und beliebigen anderen). Nur halt eben etwas komplizierter.

Es gab auch mal ein Chrome-Plugin namens Safe GMail, das ist aber verschwunden.

Wo ist der Private Key?

Der Private Key wird von der Chrome-App verwaltet und aufbewahrt (bibber’) und lässt sich exportieren / importieren.

Man sollte ihn mindestens ein Mal exportieren und extern sichern. Dazu klickt man derzeit auf die drei Streifen links oben, wählt Account und dann Export Keypair. Was Sie da herunterladen, das ist eine Datei mit Ihrem privatem und Ihrem öffentlichen (OpenPGP-) Schlüssel. Diese Datei darf nicht in fremde Hände fallen und sollte auf einem USB-Stick gespeichert irgendwo sicher verwahrt werden.

Man braucht diese Schlüssel zum Beispiel, um Whiteout auf einem zweiten Rechner oder nach einer Neuinstallation nutzen zu können – denn der Schlüssel, mit dem die Mails chiffriert werden, befindet sich in der App. Verschwindet also die App / der Browser mit der App / das Betriebssystem mit dem Browser / der Rechner, verschwindet auch der Schlüssel. Auch das Whiteout-Passwort sollte man nicht verlieren, denn sonst kann man den Private Key nicht mehr verwenden. Whiteout.io bietet aber an, das Konto zurückzusetzen, so dass man einen weiteren Schlüssel anlegen kann (nicht ausprobiert).

Ist es “PGP-kompatibel”?

Obwohl Whiteout Mail OpenPGP verwendet, existiert derzeit keine Brücke zu PGP-Mails.

Allerdings basiert wie bei encrypt.to ein Teil der Funktion erkennbar auf openpgpjs.org. Soweit ich das sehe, könnten zwei Whiteout-Nutzer also ihre jeweiligen Whiteout-Keys auch in ihre vorhandenen PGP-Setups importieren und sich dann auch ohne Whiteout Mail PGP-verschlüsselte Mails schreiben, oder auch von “außen” an eine Whiteout-Adresse. Nur umgekehrt geht das nicht, weil Whiteout (derzeit) bei der Adressangabe sichtlich keine Keyserver abfragt. Sprich: Verschlüsselt ist man derzeit nur ‘innerhalb von Whiteout’, letztlich fühlt es sich daher wie ein proprietärer Dienst an.

Auf dieses Thema angesprochen schrieb mir Herr Gajek von Whiteout: “Der Umgang mit existierenden PGP-Keys kommt bald. Die Interoperabilität mit existierenden PGP-Nutzern ist für uns ganz wichtig.” Das mag sich also irgendwann ändern.

Ist der Key im Plugin sicher?

Es ist eben kein simples Plugin, sondern eine Chrome Packaged App. Ich habe zugegebenermaßen nicht die geringste technische Ahnung, wie leicht eine andere Chrome-App der Whiteout-App irgendwie den Schlüssel und das Passwort abknöpfen könnte. Doch wenn sich so eine Frage stellt, dann natürlich auch bei Tbird/PGP/Enigmail anderen Tools/Erweiterungen. Ist der Rechner kompromittiert, ist es mit einiger Wahrscheinlichkeit auch die verschlüsselte Kommunikation.

Oliver Gajek von Whiteout schrieb mir dazu: “Den Private Key persistieren wir auf dem Gerät ausschließlich mit der Passphrase verschlüsselt. Attacken während der Ausführung verhindert Chrome durch sandboxing.”, und verweist auf die App-Architektur von Chrome.

Fazit

Ich finde Whiteout Mail bislang wirklich gelungen. Man kann damit verschlüsselte Mails austauschen, (fast) ohne mit Schlüsseln, Zertifikaten, Keyservern usw. hantieren zu müssen. So kann wirklich jede und jeder verschlüsselt mailen.

Natürlich ist aber nicht alles Gold:

  • Den User vom Akt des Verschlüsselns zu befreien, bringt natürlich als Kehrseite den typischen Kontroll- und Bewusstseinsverlust mit sich: Man weiß eigentlich gar nicht, was da passiert und ob alles wirklich richtig funktioniert. Und raucht die Mühle ab, sperrt man sich effektiv aus dem verschlüsselten Teil seines Mailverkehrs aus. (Das kann man natürlich verhindern, indem man die Keys sichert – das heißt also, eben doch wieder mit Schlüsseln herumzufummeln.) (Beglaubigungen und anderes aus PGP gibt es (noch) gar nicht.)
  • Whiteout.io unterstützt derzeit nur den Dienst Google Mail. Andere sollen folgen.
  • Whiteout.io unterstützt derzeit nur den Bowser Chrome und seine Derivate (dies aber auf Win, Mac, Linux). Andere und Mobile-Apps sind geplant.
  • Es gelten die üblichen Bedenken: Kann man Whiteout vertrauen? Betreiben NSA-Staatsschurken / die Illuminaten / Aliens diese Firma? Und so weiter. Man weiß es nicht und muss dem Dienst eben vertrauen. Immerhin ist es eine GmbH mit Sitz in Deutschland.

Von allem, was ich bisher gesehen habe, gefällt mir das mit am besten, obwohl es noch sehr rudimentär ist. Wer ein Gegenüber zum Ausprobieren braucht: meine E-Mail im Screenshot.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …