Licht am Ende des Tunnels

document-encrypted-yellowGerade erst konnte ich das Video zu meinem Rant über Security und Usability veröffentlichen, da gibt es auch schon wieder Grund zur Freude. Mit Threema gibt es endlich eine Software mit echter Ende-zu-Ende-Verschlüsselung und einer kinderleichten Möglichkeit die Schlüssel anderer Menschen zu überprüfen. Bis auf vier etwas Menschen (alles Digital-Natives wohlgemerkt) konnte ich alle meine Whatsapp-Kontakte davon überzeugen auf die sicherere Alternative umzusteigen. Dass dabei die Angst vor Facebook der treibende Faktor war und nicht die Überzeugung, dass Verschlüsselung notwendig ist, ist zwar schade aber nicht zu ändern. Noch mehr Grund zur Freude liefert das Update von APG, dem Android Privacy Guard, mit dem man (zusammen mit K-9 Mail) echte OpenPGP-Unterstützung für seine Mails bekommt. Das Programm hat dank der Arbeiten von Dominik Schürmann am Fork OpenPGP-Keychain, der jetzt zurück in APG integriert wurde, einen reisen Schritt nach vorne in Sachen Usability gemacht. Wer es nicht kennt, sollte es sich auf jeden Fall man angucken!

Wenn das so weiter geht, freue ich mich wieder etwas mehr auf die Zukunft 🙂

Wie soll man so verschlüsseln?

document-encrypted-yellowIch habe vor einer halben Ewigkeit mal einen PGP-Schlüssel erzeugt und ins Netz hochgeladen. Damals ist das schnell wieder eingeschlafen, weil es kein wirkliches Bedrohungsszenario gab und kaum sonst jemand mitmachen wollte. Das Bedrohungsszenario gibt es nun und sogar relativ gut besuchte Kryptopartys, die jedermann in digitaler Selbstverteidigung unterrichten. Das Problem alleine ist, dass die Software oft Mist ist.

Henne und Ei

Das Hauptproblem bei Emailverschlüsselung ist, dass beide Seiten mitmachen müssen und dies zusätzlichen Aufwand bedeutet. Der Erste, der damit anfängt, hat zunächst kaum einen Nutzen, muss aber aller Welt erklären, warum da so komische Zeichen unter seiner Mail stehen oder warum seine Emails immer anhänge haben, die für den unbedarften Nutzer erst mal nach „Vorsicht Virus“ aussehen. Menschen sind in der Regel aber nur bereit zusätzlichen Aufwand zu betreiben, wenn sie dafür auch eine Gegenleistung erhalten. Es entsteht ein Henne-Ei-Problem. Weil nur ganz wenige Verschlüsselung einsetzen, gibt es wenig Nutzen. Weil es nur wenig nutzen gibt, setzen nur ganz wenige Verschlüsselung ein.

Den Teufelskreis durchbrechen

Den Teufelskreis kann eine Killer-App oder eine gesellschaftliche Bewegung durchbrechen. Entweder kommt eine Anwendung auf den Markt, die total hip und cool ist und das alles automatisch mitbringt, oder die Nutzer gehen den steinigen Weg, weil sie sich wirklich Gedanken machen. Ersteres hat sich bisher noch nie als Geschäftsmodell für den Massenmarkt durchgesetzt. Letzteres könnte jetzt funktionieren, da selbst Teile des bürgerlichen Lagers gerade interessiert sind und somit die kritische Masse erreicht werden könnte.

Schlechte Software ist schlecht

Diese Normalnutzer, mit deren Hilfe man die kritische Masse erreichen könnte, muss man jedoch sehr pfleglich behandeln. Sie wollen einfach zu bedienende Software bei der sie keine Angst haben, sie nicht zu verstehen. Genau diese Software gibt es aber nicht. Kryptosoftware ist immer noch von Freaks für Freaks. Wenn sich das nicht ändert, wird die ganze Bewegung erneut einschlafen.

Ich habe GPG4win und Enigmail ans Laufen gebracht, aber dabei fast geschrien vor Verzweiflung. Die GUI ist schlecht, die Integration ist schlecht, die Bedienbarkeit ist alles andere als intuitiv. Ein Dialogfeld meldet nachdem man Einstellungen gemacht hat, dass diese zukünftig ignoriert werden, weil man ja eine besondere Softwarekonfiguration hätte. Genau diese Werte werden aber eben nicht ignoriert. Die Anzeige weist darauf hin, dass es unter „Details“ weitere Hinweise zur Meldung gibt, dass nur Teile der Email verschlüsselt / signiert seien. Genau dort findet man aber eben keine weiteren Details. Es ist zum Heulen. Eine Usability-Katastrophe. Wie kann ich von einem Normalanwender erwarten, dass er ein Programm benutzt, welches selbst einen Diplom Informatiker in den Wahnsinn treibt? Der Assistent begrüßt den Benutzer übrigens mit einem fröhlichen

„Ja, ich möchte vom Assistenten geholfen bekommen.“

Auch bei Android sieht es nicht besser aus. Ich habe nur eine Kombination von Emailprogramm und Schlüsselverwaltung gefunden, die überhaupt integriert funktionieren (also ohne manuelles Copy / Paste): K9 Mail und APG. APG wird seit 2010 nicht mehr aktualisiert; der aktivste Fork ist im Beta-Stadium und ist in kein Emailprogramm integriert. Die APG Oberfläche minimalistisch zu nennen ist sehr höflich; die Schlüsselverwaltung ist zu Beginn ein leerer Bildschirm und man muss erraten, dass man die Menutaste drücken muss, um hier überhaupt etwas machen zu können. Besonders ab Android 4 sind die drei kleinen Punkte, die ein Menu andeuten, sehr leicht für Normalanwender zu übersehen. Der Import von Schlüsseln von Key-Servern ist in der Schlüsselverwaltung nicht vorhanden; der ist im Menu des Hauptbildschirms versteckt.

Selbst unter Outlook 2010 kann man nicht einfach einen Assistenten aufrufen, der einem ein Schlüsselpaar generiert und automatisch mit dem entsprechenden Account verknüpft. Nein, man muss entweder an einem Exchange-Server hängen und hoffen, dass der Administrator eine ID ausstellen kann und darf, oder ein kommerzielles Zertifikat kaufen; bei letzterem bin ich mir jetzt nicht sicher, ob man da zwingend trotzdem einen Exchange-Server braucht, aber ich befürchte schon.

Ich bin enttäuscht

Insgesamt muss ich sagen, dass ich schwer enttäuscht bin über den Zustand der Software. Einfach ist dabei gar nichts und die großen Emailanbieter haben kein Interesse daran etwas zu ändern; die wollen schließlich die Emails scannen können, um SPAM und Viren heraus zu filtern und nebenbei maßgeschneiderte Werbung für den Kunden zu erstellen.

Ich glaube nicht, dass wir in einem Jahr mehr Mails verschlüsseln als heute. Die Geheimdienste wird es freuen.

Update

Zum dem Thema habe ich mittlerweile sogar einen Vortrag gehalten.