Facebook und die Keys

Facebook und die KeysFacebook macht ernst und stellt auf PGP/GPG signierte Mailkommunikation um.

Ein Teil der Nutzer lacht und kontert mit dem Hinweis „Warum verschlüsseln, wenn die NSA doch direkt auf die Server zugreift?“.
Ein nicht ganz unberechtigter Einwand. An dieser Tatsache wird sich vermutlich nichts ändern. Genauso wenig wie an der Tatsache, das Facebook selbst eingegebene und doch wieder gelöschte Texte auswertet.

Aber nehmen wir uns die Meldung doch einmal in Ruhe vor. Momentan wird verschlüsselte Kommunikation auch nur im Englisch sprachigen Raum angeboten. Wer sich das Stand heute ansehen will, sollte einmal die Oberfläche auf Englisch (US) umschalten und dann im eigenen Profil auf „About“ gehen.

Dort findet sich unter der Rubrik „Contact und Basic Info“ dann die entscheidende Zeile: „PGP Public Key“.

Was steckt hinter diesem Begriff?

Das PGP/GPG-Verfahren ist ein sogenanntes „asymmetrisches Verschlüsselungsverfahren„. Im Gegensatz zum symmetrischen Verfahren, bei dem beide Kommunikationspartner sich vorab auf einen gemeinsamen Schlüssel einigen müssen, basiert dieses Verfahren auf zwei Schlüsseln. Einem geheimen Schlüssel (Private Key), der stets in meiner Hand verbleibt und einem öffentlichen (Public Key), den ich frei verteilen kann. Wenn mir jemand eine Nachricht senden möchte, verschlüsselt er diese mit meinem Public Key und nur ich kann diese mit meinem Private Key wieder lesbar machen.

Und hier kommt genau das momentane Problem: Wie komme ich an den Public Key meines Empfängers? Für viele Anwender ist dieser Schritt schon zu viel Arbeit. Dass viele Mailprogramme über ein einfaches Plugin nachgerüstet werden können, wissen die meisten gar nicht.

Außerdem: Was soll das Ganze, wenn doch Amts wegen mitgelesen wird?

Mir geht es im ersten Ansatz nicht einmal um die Abwicklung von verschlüsselter Kommunikation. Ein Nebenaspekt bei diesem Verfahren ist, dass ich den Absender anhand seines mitgesendeten Keys verifizieren kann. Neben der Verschlüsselung sieht das Verfahren nämlich auch die Signierung von Kommunikation vor. Eine mitgesendete Signatur ist ein durchaus brauchbarer Beweis, dass die Kommunikation wirklich von dem stammt, den ich erwarte.

Das wird nun schnell zum Vorteil, da jetzt Phishing Mails, die angeblich von Facebook stammen, sofort auffallen, weil deren Signatur nicht stimmt. Es fällt so schon in der Verifizierung des Absenders auf, dass die Signatur fehlt oder falsch ist. Das ist ein ziemlich guter Schritt, um etwas gegen Phishing-Attacken zu tun.

Ich finde das sogar fast noch wichtiger als die Tatsache, dass jetzt verschlüsselt kommuniziert wird. Denn da gilt wirklich der einleitende Einwand.

Ein wichtiger Nebenaspekt: Es kriegen mehr Leute mit, dass es PGP/GPG gibt!

Das größte Problem ist, Menschen zu sensibilisieren, warum das Signieren oder Verschlüsseln einer E-Mail Sinn macht. Und auch, dass es eigentlich ganz einfach ist. Facebook springt mit dieser Initiative sogar in eine Lücke, die immer wieder diskutiert wird. Die Verteilung der Public Keys so nebenbei. Wo momentan noch überlegt wird, ob man den Public Key wirklich an einen Schlüsselserver schickt, ist jetzt auf einmal Facebook da. Ein Netzwerk, dem viele relativ stark vertrauen. Vielleicht werden jetzt mehr Menschen neugierig, wenn Sie bei jemand anderem lesen, dass ein Public Key hinterlegt ist.

Auf jeden Fall ist die potentiell erreichbare Basis der Nutzer schon riesig. Da lässt sich etwas daraus machen.

Oder ist das Ganze nur eine Strategie um Vertrauen zurück zu gewinnen?

Es wäre durchaus der richtige strategische Ansatz, um mehr Menschen auf einen Messenger zu holen. Warum nicht den Messenger oder sogar WhatsApp dahingehend modifizieren, dass eine asymmetrische Verschlüsselungsstruktur dahinter liegt? Hat Facebook erkannt, dass man so der Abwanderungsbewegung der jungen Generation entgegen wirken kann?

Ein Ansatz wäre es zu zeigen, dass man aktiv etwas gegen die Ausspähungen der NSA machen will. (Wobei jedem über den Tellerrand denken Menschen klar sein muss, dass … siehe oben)

Auf jeden Fall sich aus Marketing Sicht verloren gehendes Vertrauen mit einem simplen Zusatzfeld in einer Datenbank zurück gewinnen. Ich denke, da ist Facebook bestimmt schnell dabei. Denn ein kleines Zusatzskript in die Mailabwicklung, das die Signatur macht und man steht fast als Held da. Voilá, wir signieren/verschlüsseln.


Mein Autorenprofil bei Google
IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen