PEP – Pretty Easy Privacy

Verschlüsselte Kommunikation einfach gemacht

Zwei Dinge sind in den letz­ten Mo­na­ten über­deut­lich ge­wor­den: Ei­ner­seits ist spä­tes­tens duch das Be­kannt­wer­den der ge­heim­dienst­li­chen Mas­sen­über­wa­chung klar ge­wor­den, dass es für Je­der­mann einen Be­darf an ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on gibt. An­de­rer­seits zeigt die Not­wen­dig­keit, Leute mit Vor­trä­gen, Cryp­to­par­ties, etc. zu „schu­len“, daß eine si­che­re Kom­mu­ni­ka­ti­on noch lange nicht so be­nut­zer­freund­lich ist, wie man es haben woll­te. Pret­ty Easy Pri­va­cy (pEp) ist ein Pro­jekt, das den Ver­such un­ter­nimmt, ver­schie­dens­te Kom­mu­ni­ka­ti­ons­for­men (von Email über Whats­App bis Face­book und SMS) zu ver­schlüs­seln, und dabei so be­nut­zer­freund­lich wie ir­gend­mög­lich zu sein. Das Pro­jekt läuft be­reits seit über einem Jahr, nun bit­tet das Team um fi­nan­zi­el­le Un­ter­stüt­zung auf in­diego­go, um seine Ziele schnel­ler zu er­rei­chen.

Ich habe mir die­sen Vor­trag über pEp an­ge­se­hen und ver­su­che mal, die Funk­tio­nen zu skiz­zie­ren:

Die ei­gent­li­che Ver­schlüs­se­lung über­nimmt pEp nicht selbst, son­dern baut auf er­prob­te Soft­ware. Als Stan­dard wird PGP ver­wen­det, wei­te­re Ver­fah­ren (S/MIME, CMS) sind eben­falls vor­ge­se­hen. pEp über­nimmt die An­steue­rung sowie das Schlüs­sel­ma­nage­ment.

Eine Trans­port­schicht über­nimmt die Über­mitt­lung der Nach­rich­ten über ver­schie­de­ne Kom­mu­ni­ka­ti­ons­we­ge wie E-Mail, Whats­App, Jab­ber, SMS und wei­te­re. Der hier­aus ent­ste­hen­de Charme: Es ist ein Aus­tausch der Über­mitt­lungs­ka­nä­le mög­lich; so kann bei­spiels­wei­se eine in­itia­le Kom­mu­ni­ka­ti­on über E-Mail oder Whats­App er­fol­gen, spä­ter kann soft­ware­sei­tig die Da­ten­über­tra­gung z.B. auf eine P2P-Über­mitt­lung via GNU­n­et um­ge­stellt wer­den, um so einen Schutz der Me­ta­da­ten zu er­mög­li­chen – und das, ohne daß Be­nut­zer oder An­wen­dung etwas än­dern müs­sen.

Die ganze Bi­blio­thek wird über eine API (mit ver­schie­de­nen Lan­gua­ge-Bin­dings) den Ent­wick­lern an­ge­bo­ten, wel­che dann pEp in ihre An­wen­dung in­te­grie­ren oder eine se­pa­ra­te An­wen­dung damit bauen kön­nen. In Ent­wick­lung ist ein Plu­gin für Out­look sowie Apps für An­dro­id und iOS.

pEp ver­wen­det vor­han­de­ne Schlüs­sel, an­sons­ten wer­den PGP-Schlüs­sel au­to­ma­tisch ge­ne­riert. pEp ver­wen­det für das Schlüs­sel­ma­nage­ment je­doch nicht die Stan­dard-Me­cha­nis­men von PGP. Auf Key­ser­ver wird so­weit als mög­lich ver­zich­tet, und die In­for­ma­ti­on über va­li­dier­te Schlüs­sel bleibt lokal – so wer­den we­ni­ger Me­tain­for­ma­tio­nen öf­fent­lich sicht­bar. Das Über­prü­fen eines Schlüs­sels ge­schieht mit Hilfe von „Safe Words“, wie man es von zfone schon kann­te.

Schlüs­sel und Kon­fi­gu­ra­ti­on zwi­schen den ei­ge­nen Ge­rä­ten wird über einen E-Mail-ba­sie­ren­den Me­cha­nis­mus syn­chro­ni­siert. Als Ne­ben­ef­fekt soll pEp bei die­ser Ge­le­gen­heit auch die ei­ge­ne Kon­takt­lis­te und den pri­va­ten Ka­len­der mit­syn­chro­ni­sie­ren kön­nen.

pEp holt die Be­nut­zer bei ihren ak­tu­el­len Kom­mu­ni­ka­ti­ons­me­di­en ab. Part­ner, die noch kein pEp nut­zen, wer­den un­ver­schlüs­selt an­ge­schrie­ben. Schritt für Schritt kann pEp im Be­kann­ten­kreis eta­bliert wer­den, und durch die Mög­lich­keit, das Trans­port­me­di­um trans­pa­rent um­stel­len zu kön­nen, kön­nen die Ge­sprächs­part­ner spä­ter sanft auf einen Kom­mu­ni­ka­ti­ons­weg um­ge­stellt wer­den, der nicht nur ver­schlüs­sel­te Kom­mu­ni­ka­ti­on er­laubt, son­dern auch einen Schutz der Me­ta­da­ten bie­tet.

Alles in allem klingt das Pro­jekt nach einer gro­ßar­ti­gen Idee, das die Welt eher ges­tern als heute drin­gend be­nö­tigt. Daher kann ich mich dem Auf­ruf zum fi­nan­zi­el­le Un­ter­stüt­zung un­ein­ge­schränkt an­schlie­ßen. Ich hoffe, daß viele Leser die­ses Ar­ti­kels dem eben­falls fol­gen.