Unsere vollwertige PGP-Verschlüsselung für E-Mails und Dateien im Web-Browser

Vor rund eineinhalb Jahren haben wir zum Start von mailbox.org mit der vollständig verschlüsselten INBOX gezeigt, dass PGP für die breite Masse und im Alltagsleben funktioniert und es möglich ist, einen E-Mail-Dienst zu betreiben, bei dem auch die Server-Betreiber auf die in den Postfächern der Nutzer gespeicherten E-Mails nicht mehr zugreifen können. Schon damals war uns aber klar, dass dies nur der erste Schritt sein kann — denn für PGP-verschlüsselte E-Mails gab es bislang keine einfach zu verwendende PGP-Unterstützung in Webmail-Systemen, die jederzeit und überall sicheren Zugriff auf die verschlüsselten E-Mails ermöglicht. Zwar gibt es beispielsweise für Firefox auch PGP-Plugins wie Mailvelope, die auch mit mailbox.org funktionieren, aber auch Mailvelope kann PGP nur teilweise und unkomfortabel entschlüsseln und hat zudem Probleme mit Dateianhängen, z.B. wenn diese direkt auf unserem Server in den mailbox.org Drive Dateispeicher gesichert werden sollen. Ein einfaches PGP-Plugin, das Mails über Cut & Paste oder andere Tricks decodiert anzeigen kann, aber nicht vollwertig in den Webmailer integriert ist, ist nur eine halbgare Lösung. Wir aber wollen konsequent zeigen, dass verschlüsselte Kommunikation im Alltag ohne Komforteinschränkungen funktioniert und von jedermann verwendet werden kann.   Sind PCs und mobile Smartphones überhaupt sicher? Sicherheitsexperten bezweifeln seit jeher, dass JavaScript-Browserplugins wie Mailvelope überhaupt sichere Kryptographie ermöglichen können. Auch mobile Endgeräte wie Android- oder iPhones gelten nicht als sicheres Umfeld, denen man einen privaten PGP-Schlüssel anvertrauen darf. Wie aber soll man jederzeit — auch unterwegs, auch auf fremden Rechnern oder unsicheren Mobilgeräten — auf seine verschlüsselten E-Mails zugreifen können? Aus diesem Grunde haben wir uns nicht mit Mailvelope & Co zufrieden gegeben, sondern in den letzten 18 Monaten die Entwicklung einer vollwertigen PGP-Unterstützung für unseren Webmailer vorangetrieben: Entschlüsselung, Verschlüsselung, Mail-Signierung und ein Key-Management für Public-Keys anderer User gehören zu den essentiellen Dingen, wenn man PGP im Alltag tatsächlich transparent und sicher benutzen möchte. Es hat uns viel Gehirnschmalz, Konzeptpapiere, technische Diskussionen, eine gehörige Prise Geduld und Überzeugungsarbeit gekostet, aber seit einigen Wochen waren wir in der Lage, den Countdown auf die Lösung dieser Ansprüche und Erfüllung unserer Wünsche herunterzuzählen: Heute, am 2. Juli 2015, können wir den „mailbox.org Guard“ vorstellen und produktiv für alle mailbox.org-Nutzer anbieten. Zusammen mit Open-Xchange, dem Hersteller der Office-Software von mailbox.org, haben wir die (uns bekannte) erste vollwertige PGP-Implementierung für einen Webmailer entwickelt, die jederzeit und überall sicheren Zugriff auf PGP-verschlüsselte E-Mails ermöglicht — und so ganz nebenbei auch die persönlichen Dateien im mailbox.org Drive mit PGP-verschlüsseln kann. Denn wir von mailbox.org wollen, dass niemand anderes als der rechtmäßige Besitzer, diese Daten zu Gesicht bekommen kann. Serverseitige PGP-Schlüsselverwaltung: Hui oder Pfui? Wir haben uns dabei ganz bewußt für eine Implementierung entschieden, bei der der sensible „Private Key“ von PGP auf unserem mailbox.org-Server gespeichert wird. Wie schon 2014 in unserem 2. Stiftfilm thematisiert, kann man das je nach Standpunkt als Sicherheitsvortei