PGP - empowered by Facebook

PGP (Pretty good privacy) ist ein sehr bekannter Ansatz und das Enigmail Add-on ein häufig genutztes Programm zur Verschlüsselung und  zum digitalen Unterschreiben von Daten und E-Mails.

Ein Problem bei PGP ist die Schlüsselverwaltung: Um eine verschlüsselte Nachricht an einen Freund oder eine Kollegin zu schicken, braucht man deren so genannten öffentlichen Schlüssel. Dieser kann zwar öffentlich gemacht werden und ist auf entsprechenden Schlüssel-Servern zu finden, allerdings kann man sich als Nutzer nicht sicher sein,  ob der dort hinterlegte Schlüssel auch wirklich der Person gehört, deren Namen daneben steht. Dieser Umstand wird von dem PGP Konzept derzeit nicht benutzerfreundlich adressiert.

Facebook bietet seit Juni 2015 ein Feld im Nutzerprofil zur Bereitstellung des öffentlichen Schlüssels an und bietet damit eine Basus für eine benutzerfreundlichere Überprüfung des Inhabers eines öffentlichen Schlüssels.

Um das beschriebene Problem mit Hilfe des entsprechenden Feldes im Facebook Profil auszuschalten, wurde das Enigmail Add-on für Thunderbird dahingehend weiterentwickelt, dass die in Facebook eingetragenen öffentlichen PGP-Schlüssel von Facebook-Freunden automatisch importiert werden können. Diese Funktion können Nutzer mit nur wenige Klicks und ohne ein Verständnis der dahinterstehenden Mechanismen nutzen.

Funktionsweise

Nutzer der Erweiterung werden nach der Schlüsselgenerierung zunächst  dabei angeleitet, ihren öffentlichen Schlüssel in ihr Facebook-Profil einzutragen. Diese Anleitung können Nutzer auch dann starten, wenn sie bereits einen öffentlichen Schlüssel besitzen. Darüber hinaus können Nutzer jederzeit die Schlüssel ihrer Facebook-Freunde herunterladen. Dazu müssen die Login-Informationen für den Facebook Account eingegeben werden. Dies ist notwendig, um alle Freundesprofile durchsuchen zu können. Mit den Informationen wird sich lediglich lokal bei Facebook eingeloggt - sie werden verschlüsselt übertragen und verlassen den PC ansonsten nicht. Anschließend dauert es (abhängig von der Anzahl der Freunde mit hinterlegtem öffentlichen Schlüssel) einige Minuten, um die Schlüssel zu importieren.

Download

Es gibt ein Video, welches die Funktionsweise demonstriert.

Der Quellcode kann vom SECUSO GitHub heruntergeladen werden.