Einführung in mailbox.org Guard

Mit unserem mailbox.org Guard haben wir die erste PGP-Implementierung im Webmailer, die Komfort und Sicherheit so miteinander vereint, dass sie von jedermann flächendeckend einfach verwendet werden kann.

Vorbei die Zeit wo Verschlüsselung für die Massen an komplizierter Einrichtung oder fehlender Unterstützung für Webmail- oder Cloud-Systeme scheiterte.

Unser mailbox.org Guard ist 100% kompatibel mit OpenPGP und kann als Ergänzung zur Ende-zu-Ende Verschlüsselung mit E-Mail Clients genutzt werden. mailbox.org Guard ist kein Ersatz, sondern eine Ergänzung zu OpenPGP, ein Frontend in unserem Webmailer.

Plugin-Lösungen im Browser und Tools wie Mailvelope scheitern typischerweise an Attachments bei der Verwendung von Cloud-Dateispeichern oder sind gerade auf nicht-vertrauenswürdigen Rechnern in Internet-Cafes oder im Urlaub nicht sicher einsetzbar; zudem bezweifeln Crypto-Experten seit jeher, dass Cryptographie in JavaScript überhaupt sicher realisierbar ist oder nicht per se zuviele Angriffsmöglichkeiten und Unsicherheiten offen lässt und daher nie als hinreichend sicher bezeichnet werden kann.

Bei mailbox.org Guard als serverseitiger PGP-Implementierung kann sich jeder Nutzer ohne Hintergrundwissen seine Schlüssel selbst erzeugen. Technisch versiertere User laden in den Guard ihre eigenen Keys hoch und verwenden den Guard parallel zu einer lokalen PGP-Installation; sie haben so auch unterwegs auf nicht-vertrauenswürdigen Rechnern jederzeit sicheren Zugriff auf ihre verschlüsselte Kommunikation.

Dabei werden Ihre Schlüssel in einer sicheren Umgebung auf unseren Servern verwaltet, die von professionellen IT-Spezialisten administriert werden.

Diese Schlüssel sind dabei weiterhin durch ein nur dem User bekanntes Passwort geschützt und dem Zugriff durch uns entzogen. Erst ein aktiver Login eines Nutzers entschlüsselt diese privaten Schlüssel. Zahlreiche weitere Schutzmechanismen verhindern weiter wirkungsvoll, dass wir Serverbetreiber selbst bei einem aktiven Login des Nutzers Zugriff auf die PGP-Schlüssel erhalten oder diese im Programmspeicher im Klartext gespeichert werden.

Natürlich kann und muss man es trotzdem kritisch sehen, den eigenen Private Key aus der Hand zu geben und auf fremden Servern zu speichern. Das wollen wir nicht verheimlichen und betonen dieses Problem ausdrücklich.

Es stellt sich aber die durchaus berechtigte Frage, ob diese (weiterhin passwortgeschützten) Keys auf unseren Servern nicht trotzdem viel sicherer aufgehoben sind, als auf PC oder Smartphone.

Sicherheitsexperten wie M. Cardwell warnen ausdrücklich davor, private OpenPGP Schlüssel auf extrem unsicheren Geräten wie Smartphones zu nutzen. mailbox.org Guard bietet Ihnen als Browser-Lösung auch ohne einen auf dem Smartphone gespeicherten Key jederzeit Zugriff auf Ihre verschlüsselten E-Mails.

Da die Ver-/Entschlüsselung auf dem Server stattfindet, bietet mailbox.org Guard keine echte Ende-zu-Ende Verschlüsselung. Ziel von Guard ist es, die sogenannte „hinreichende Sicherheit“  zu gewährleisten und damit Sicherheit und bequeme Benutzbarkeit zu vereinen. Diese Sicherheitsstufe ist z.B. für Whistleblower oder Nutzer mit extrem hohen Sicherheitsanforderungen nicht ausreichend.

So oder so bleibt der mailbox.org Guard ein Angebot für diejenigen, die diesen Service im Alltag nutzen wollen; wer zu anderen Schlüssen und Anforderungen kommt, kann und soll weiterhin die lokale PGP-Installation in seinem Mailclient verwenden.

Übrigens: Auch wenn Ihre Kommunikationspartner keine Kunden bei mailbox.org sind und keine OpenPGP-Schlüssel bereitstellen können, bietet der Guard die Möglichkeit einer sicheren Kommunikation: Dafür erzeugen wir auch für externe Nutzer temporäre Postfächer auf unserem Server, in denen die Empfänger die verschlüsselten E-Mails lesen und beantworten können, geschützt durch eigene Zugangsdaten, einem 2-Faktor-Passwort und unserer guten SSL-Absicherung.

Die Vorteile im Überblick:

  • mailbox.org Guard ist 100% kompatibel mit dem etablierten OpenPGP Standard
  • Auch technisch nicht versierte Laien benötigen nur wenige Klicks zur Aktivierung.
  • Transparente Bedienung im Browser auch unterwegs
  • Serverseitige PGP-Implementierung ohne das der PGP-Key in den unsicheren Browser gelangt
  • Lesen und Schreiben OpenPGP-verschlüsselter E-Mails ist auch auf Smartphones mittels Browser ohne Einschränkungen möglich
  • Business Accounts einer Gruppe können auf gemeinsame Schlüsselverwaltung zurückgreifen
  • Temporäre Postfächer für eine weltweite sichere Kommunikation auch mit Nicht-PGP-Usern

Die Nachteile im Überblick:

  • Ver-/Entschlüsselung erfolgt auf dem Server, daher keine volle Ende-zu-Ende-Verschlüsselung.
  • Speicherung von privaten PGP-Keys auf fremden Rechnern / Servern als prinzipielles Problem
  • mailbox.org Guard bietet „hinreichende Sicherheit“, aber keine „absolute Sicherheit“
Ist der Artikel hilfreich?