Encrypt.to erlaubt das Versenden von verschlüsselten E-Mails, ohne dass sich der Absender um Schlüssel oder Zertifikate kümmern muss.

In die analoge Welt übersetzt entspricht die E-Mail einer Postkarte: Jeder, der sie in die Hand bekommt, kann sie ohne allzu großen Aufwand lesen. Um sie der Analogie folgend auf die Ebene eines Einschreibebriefs anzuheben, muss man sie verschlüsseln. Dann muss ein neugieriger Zeitgenosse den Umschlag öffnen, um sie zu lesen, und kann sie auch nicht spurlos entsorgen. Der Vergleich hinkt zwar ein wenig, gibt die Situation aber zumindest grundlegend wieder.

E-Mail-Verschlüsselung verbunden mit einer Signatur sorgt dafür, dass sich E-Mails eindeutig einem Absender zuordnen lassen und von diesem zum Empfänger gelangen, ohne dass Dritte sie auf dem Weg lesen oder manipulieren können. Allerdings ist die Technik dahinter für viele Anwender ein Buch mit sieben Siegeln, was dazu führt, dass die überwiegende Mehrzahl der E-Mails immer noch ungeschützt als Postkarten durchs Internet wandert.

Nicht einfach genug

In den letzten Jahren haben einige E-Mail-Dienstleister die Verschlüsselung vereinfacht. Bei E-Mail-Clients, die Personen mit niedriger Technikaffinität nicht ausreichend unter die Arme greifen, hilft das jedoch nur wenig. Alleine das notwendige Erstellen eines privaten und öffentlichen Schlüssels und deren korrekte Verwaltung stellt viele Anwender vor Verständnisprobleme.

Für weitere Verwirrung sorgt die Frage, ob man den Transport der Mail (Stichwort Ende-zu-Ende-Verschlüsselung) oder die Mail selbst verschlüsseln möchte. Das Absichern des Transports erfolgt üblicherweise per Transport Layer Security (TLS), früher als SSL bekannt. Für das Verschlüsseln des Inhalts haben sich S/MIME und PGP als bevorzugte Techniken herauskristallisiert.

Sie merken schon, das Thema hat es in sich. Wir möchten hier deshalb eine einfache Methode namens Encrypt.to [1] vorstellen, die es zwar schon seit 2014 gibt, die aber etwas mehr Bekanntheit verdient hat. Es handelt sich um einen Webdienst, der im Browser läuft und das Versenden verschlüsselter E-Mails ohne Vorkenntnisse ermöglicht.

Encrypt.to eignet sich für Personen, die nur ab und zu verschlüsselte E-Mails versenden möchten. Es basiert auf OpenPGP.js, einer Javascript-Implementierung des OpenPGP-Standards [2]. Der Quellcode unterliegt einer MIT-Lizenz [3] und steht auf Github [4] bereit. Der Dienst entstammt dem Diaspora-Projekt, einem föderalen Netzwerk [5].

Einfaches Senden

Im einfachsten Fall versenden Sie mit Encrypt.to eine verschlüsselte E-Mail, indem Sie die URL https://encrypt.to/Ziel@beispiel.de in einem Webbrowser aufrufen. Es öffnet sich eine Maske, die oben bereits die angegebene Empfängeradresse enthält (Abbildung 1). Nachdem Sie Ihre Nachricht eingegeben haben, tragen Sie noch die gewünschte Absenderadresse ein und klicken anschließend auf Verschlüsseln und Senden.

Abbildung 1: Die Eingabemaske ist selbsterklärend. Sie müssen lediglich Text und Absenderadresse eingeben, bevor der Dienst die Mail verschlüsselt und versendet.

Statt der Empfängeradresse können Sie auch direkt den passenden öffentlichen Schlüssel in der Form 0x12345678 eingeben, wobei die Zeichen hinter dem x die acht letzten Zeichen der Key-ID sind. Hat der Empfänger für die zu nutzende Adresse keinen Schlüssel freigegeben, erscheint anstelle des Eingabefelds eine Fehlermeldung (Abbildung 2). Die Maske erlaubt das Setzen eines Hakens bei Pro Modus. Dort können Sie eine andere Key-ID auswählen, sofern der Empfänger mehrere Schlüssel hinterlegt hat.

Abbildung 2: Haben Sie einen Link mit einer Empfängeradresse eingegeben, für die kein öffentlicher Schlüssel hinterlegt ist, erscheint eine Fehlermeldung.

Empfänger entschlüsselt

Der Empfänger erhält daraufhin zwei E-Mails. Die erste kommt von Encrypt.to und weist darauf hin, dass eine verschlüsselte E-Mail versendet wurde. Die zweite E-Mail enthält dann die verschlüsselte Nachricht. Während der Absender nicht einmal wissen muss, dass PGP existiert, benötigt der Empfänger einen Schlüsselsatz, dessen öffentlicher Schlüssel auf einem offiziellen Key-Server wie etwa http://keys.openpgp.org liegen muss (Abbildung 3).

Abbildung 3: Der Empfänger, hier am Beispiel von Mailbox.org, muss die Passphrase für den hinterlegten Schlüssel eingeben, um die Nachricht zu entschlüsseln.

Wenn Sie sich bei Encrypt.to registrieren, stehen Ihnen weitere Funktionen offen. Um auch den öffentlichen Schlüssel geheim zu halten, lässt sich dieser dann auf deren nicht öffentlichem Key-Server hinterlegen. Zudem kann man den Link http://encrypt.to/nickname anlegen. Den wichtigsten Vorteil stellt aber der Versand von Anhängen dar. Die Nutzung der Zusatzfunktionen kostet 11 Euro pro Jahr. Die bei der Registrierung anzugebende Kreditkarte wird erst belastet, wenn das Konto nach sieben Testtagen noch besteht.

Sicherheitsfragen

Im Jahr 2018 erhielt die Webseite von den renommierten Qualys SSL Labs [6] die Wertung A+. Da Qualys danach die Kriterien änderte und die Unterstützung von veralteten Protokollen wie TLS 1.0 und 1.1 seitdem zur Abwertung führen, erhält Encrypt.to heute nur noch die Wertung B (Abbildung 4), da der Dienst diese Protokolle aus Gründen der Kompatibilität zu älteren Android-Versionen bis 4.3 und zu Webbrowsern wie IE 7, 8 oder 10 weiter unterstützt. Für Nutzer hat das keine Bedeutung, sofern Sie aktuelle Versionen verwenden. Sie können zusätzlich auch einen schnellen Audit vornehmen [7].

Abbildung 4: Die derzeitige Benotung mit B muss Sie nicht weiter stören. Bei Verwendung aktueller Webbrowser oder Android-Versionen entspricht dies der Note A1.

Fazit

Für wen ist Encrypt.to nun sinnvoll? Jeder, der häufiger verschlüsselte E-Mails versenden und empfangen möchte, sollte sich mit der Technik im verwendeten Client oder dem Webmailer seines Vertrauens befassen. Viele Clients wie Thunderbird oder Anbieter wie Posteo oder Mailbox.org machen das heutzutage recht einfach.

Wer dagegen nur wenige verschlüsselte E-Mails versenden möchte oder muss, der kann getrost zu Encrypt.to greifen. Für 11 Euro im Jahr erhält man noch mehr Anonymität sowie die Möglichkeit zum Versand von Anhängen. Zudem lässt sich Encrypt.to bei Bedarf auch in die eigene Webseite einbauen. (cla)