Zwei Dinge sind in den letzten Monaten überdeutlich geworden: Einerseits ist spätestens duch das Bekanntwerden der geheimdienstlichen Massenüberwachung klar geworden, dass es für Jedermann einen Bedarf an verschlüsselter Kommunikation gibt. Andererseits zeigt die Notwendigkeit, Leute mit Vorträgen, Cryptoparties, etc. zu „schulen“, daß eine sichere Kommunikation noch lange nicht so benutzerfreundlich ist, wie man es haben wollte. Pretty Easy Privacy (pEp) ist ein Projekt, das den Versuch unternimmt, verschiedenste Kommunikationsformen (von Email über WhatsApp bis Facebook und SMS) zu verschlüsseln, und dabei so benutzerfreundlich wie irgendmöglich zu sein. Das Projekt läuft bereits seit über einem Jahr, nun bittet das Team um finanzielle Unterstützung auf indiegogo, um seine Ziele schneller zu erreichen.
Ich habe mir diesen Vortrag über pEp angesehen und versuche mal, die Funktionen zu skizzieren:
Die eigentliche Verschlüsselung übernimmt pEp nicht selbst, sondern baut auf erprobte Software. Als Standard wird PGP verwendet, weitere Verfahren (S/MIME, CMS) sind ebenfalls vorgesehen. pEp übernimmt die Ansteuerung sowie das Schlüsselmanagement.
Eine Transportschicht übernimmt die Übermittlung der Nachrichten über verschiedene Kommunikationswege wie E-Mail, WhatsApp, Jabber, SMS und weitere. Der hieraus entstehende Charme: Es ist ein Austausch der Übermittlungskanäle möglich; so kann beispielsweise eine initiale Kommunikation über E-Mail oder WhatsApp erfolgen, später kann softwareseitig die Datenübertragung z.B. auf eine P2P-Übermittlung via GNUnet umgestellt werden, um so einen Schutz der Metadaten zu ermöglichen – und das, ohne daß Benutzer oder Anwendung etwas ändern müssen.
Die ganze Bibliothek wird über eine API (mit verschiedenen Language-Bindings) den Entwicklern angeboten, welche dann pEp in ihre Anwendung integrieren oder eine separate Anwendung damit bauen können. In Entwicklung ist ein Plugin für Outlook sowie Apps für Android und iOS.
pEp verwendet vorhandene Schlüssel, ansonsten werden PGP-Schlüssel automatisch generiert. pEp verwendet für das Schlüsselmanagement jedoch nicht die Standard-Mechanismen von PGP. Auf Keyserver wird soweit als möglich verzichtet, und die Information über validierte Schlüssel bleibt lokal – so werden weniger Metainformationen öffentlich sichtbar. Das Überprüfen eines Schlüssels geschieht mit Hilfe von „Safe Words“, wie man es von zfone schon kannte.
Schlüssel und Konfiguration zwischen den eigenen Geräten wird über einen E-Mail-basierenden Mechanismus synchronisiert. Als Nebeneffekt soll pEp bei dieser Gelegenheit auch die eigene Kontaktliste und den privaten Kalender mitsynchronisieren können.
pEp holt die Benutzer bei ihren aktuellen Kommunikationsmedien ab. Partner, die noch kein pEp nutzen, werden unverschlüsselt angeschrieben. Schritt für Schritt kann pEp im Bekanntenkreis etabliert werden, und durch die Möglichkeit, das Transportmedium transparent umstellen zu können, können die Gesprächspartner später sanft auf einen Kommunikationsweg umgestellt werden, der nicht nur verschlüsselte Kommunikation erlaubt, sondern auch einen Schutz der Metadaten bietet.
Alles in allem klingt das Projekt nach einer großartigen Idee, das die Welt eher gestern als heute dringend benötigt. Daher kann ich mich dem Aufruf zum finanzielle Unterstützung uneingeschränkt anschließen. Ich hoffe, daß viele Leser dieses Artikels dem ebenfalls folgen.