Im Bestreben das durch die massive Überwachung durch die NSA unterwanderte Vertrauen in die eigenen Services wiederherzustellen, verschärft Softwarehersteller Google nun die Gangart. Am Dienstag hat das Unternehmen ein neues Projekt zur Verschlüsselung von Gmail-Nachrichten direkt im Browser vorgestellt.

PGP

Wie der Name “End-to-End” bereits verrät, wird dabei nicht bloß der Transport der Mails abgesichert, durch die Verwendung von OpenPGP kann auch Google selbst die Daten nicht mitlesen - und so auch auf richterliche Anordnung keine Daten an Behörden weitergeben. In der Vergangenheit hatte NSA-Aufdecker Edward Snowden immer wieder betont, dass gut implementierte Verschlüsselungslösungen wie PGP weiterhin ein effektives Mittel gegen Geheimdienstspionage ist.

Source Code

Die jetzige Veröffentlichung ist dabei noch nicht für die breite Masse gedacht. Vielmehr fordert man SicherheitsexpertInnen dazu auf, den zur Verfügung gestellten Source Code von End-to-End einer eingängigen Prüfung zu unterziehen, um von vorneherein grundlegende Implementationsdefizite auszuschließen. Immerhin hat man für End-to-End erstmals alle kryptografischen Funktionen in Javascript implementiert, und dafür eine eigene Bibliothek entwickelt.

Details

Weitere Details zur technischen Umsetzung verrät man auf der Projektseite. So sollen aus Sicherheitsgründen keinerlei Schlüssel auf den Systemen von Google abgespeichert werden, diese verbleiben auf dem jeweiligen lokalen Rechner. Eine Beschränkung von End-to-End besteht darin, dass die Erweiterung - aus Performancegründen - nur Schlüssel nach dem noch recht neuen Elliptic-Curve-Verfahren erstellen kann. Alte RSA-basierte Schlüsselpaare sollen allerdings importiert werden können.

Nahtlos

Ein entscheidender Vorteil von End-to-End soll die nahtlose Integration mit Gmail sein, wodurch die Nutzung wesentlich einfacher als bei üblichen PGP/GPG-Lösungen sein soll. Eine Aussage, die sich derzeit noch nicht überprüfen lässt, gibt es doch noch keine fertige, einfach zu nutzende Version des Tools. Dieses soll erst nach den Test der grundlegenden Infrastruktur folgen, und dann als Erweiterung für den Chrome-Browser veröffentlicht werden.

Transparenz

Parallel dazu hat Google seinen Transparency Report um eine neue Kategorie erweitert: So wird nun auch aufgeführt, in welchem Maß große Anbieter die Transportverschlüsselung von E-Mails unterstützen. Diese Daten werden anhand der Kommunikation mit Gmail erhoben, dass schon seit längerem sämtliche Mails intern und zu Providern, die STARTTLS unterstützen, verschlüsselt verschickt. Dies schützt zwar - im Gegensatz zu PGP - nicht vor dem Mitlesen durch den eigenen Mailanbieter, verhindert aber zumindest, dass die Mails auf dem Transportweg von Dritten ausspioniert werden können.

Bewegung

Dabei zeigen sich deutliche Fortschritte in den letzten Monaten: Wurden im Dezember des vergangenen Jahres erst 33 Prozent aller Mails zwischen Gmail und anderen Providern verschlüsselt transportiert, sind es aktuell bereits 58 Prozent (wenn die eingehenden und ausgehenden Mails zusammengefasst werden). Zusätzlich zum vollständigen Datensatz bietet Google auch die Möglichkeit, den Status von einzelnen Mail-Providern abzufragen. (apo, derStandard.at, 4.6.2014)