Abbildung 1: Freenigma erweitert durch eine Firefox-Extension Webmail-Dienste wie Google Mail um einfache Buttons für E-Mail-Verschlüsselung.

E-Mail-Verschlüsselung im Stil von PGP und Gnu PG überfordert die meisten Anwender. Zudem ist sie mit den verbreiteten Webmail-Services wie Google Mail nicht benutzbar. Das Freenigma-Projekt integriert One-Click-Verschlüsselung in öffentliche Webmail-Dienste.

Krypto-Experte Peter Gutman hat in der Linux-Magazin-Reihe zur Usability von Security-Software gezeigt, dass die beste Verschlüsselung nichts hilft, wenn ihre Komplexität den Benutzer überfordert [1]. In die gleiche Kerbe schlägt der Artikel “Why Johnny Can’t Encrypt: Social Aspects and Barriers to Adoption of Privacy Technology” von Alma Whitten und J. D. Tygar, der sich vor allem mit der Usability-Problematik der E-Mail-Verschlüsselung mit Gnu PG beschäftigt [2]. Für Webmail-Nutzer bietet die Firma Freenigma nun eine einfach zu benutzende kostenlose Lösung an [3].

Schlüssel auf dem Server

Im gegenwärtigen Betastadium fordert Freenigma noch eine Einladung, die man aber schon kurz nach der Registrierung erhält. Um mit anderen Webmail-Benutzern verschlüsselte E-Mails auszutauschen, müssen sie ebenfalls bei Freenigma registriert sein. Jeder neue User erhält daher in der Betaphase ein Kontingent von zunächst zehn Einladungen. Gnu-PG-Benutzer ohne Freenigma-Account sind bisher nicht mit verschlüsselten E-Mails zu erreichen. Der Support dafür soll aber in Kürze folgen.

Nach der Registrierung erzeugt Freenigma ein Gnu-PG-Schlüsselpaar, das es auf dem zentralen Server speichert. Zusätzlich ist es nötig, eine Firefox-Extension zu installieren, bislang funktioniert Freenigma nur mit diesem Browser. Steuert der Benutzer dann den Webmail-Service seiner Wahl an, injiziert Freenigma zusätzlichen Javascript-Code in die Seite, der die Verschlüsselungsfunktionalität realisiert. So haben die Freenigma-Entwickler beispielsweise Teile von Gnu PG wie den Advanced Encryption Standard (AES) in ihrer Extension mit Javascript umgesetzt.

Das Dynamic-HTML-GUI verzichtet auf die übliche Gnu-PG-Terminologie von öffentlichen und privaten Schlüsseln, Keyrings und Fingerprints. Dafür bietet es dem Anwender einfach Buttons zum Verschlüsseln und Entschlüsseln von Mails. Auf Server-Seite arbeitet eine angepasste Gnu-PG-Version mit Patches des Hauptentwicklers Werner Koch, dessen Firma am Freenigma-Projekt beteiligt ist.

Die Javascript-Funktionen hängen natürlich stark vom Aufbau der Webmail-Seiten ab. Derzeit unterstützt Freenigma Google Mail, Yahoo Mail und Hotmail. Die Entwickler sind aber gerne bereit Support für andere Webmail-Services zu integrieren, genügend Benutzer vorausgesetzt. Verändern die Webmail-Anbieter Seiten, läuft Freenigma Gefahr, nicht mehr zu funktionieren. Wenn sie etwa HTML-Elemente anders benennen, laufen darauf abgestimmte Javascript-Hooks nicht mehr richtig.

Die Freenigma-Entwickler speichern daher auf ihrem Server auch den logischen Aufbau der Webmail-Seiten. Die Firefox-Extension wiederum lädt diese Daten beim Start und konfiguriert den Javascript-Code passend. Klappt selbst das nicht, bietet Freenigma einen “selbstheilenden” Modus, in dem es den Benutzer bittet, auf GUI-Elemente wie »Compose Mail« zu klicken.

Abbildung 1: Freenigma erweitert durch eine Firefox-Extension Webmail-Dienste wie Google Mail um einfache Buttons für E-Mail-Verschlüsselung.

Künftig mehr Funktionen

Kritiker wiesen bei der Vorstellung der Freenigma-Lösung auf der Konferenz Wizards of OS 4 (siehe Artikel in diesem Heft) darauf hin, dass ein Schwachpunkt in der zentralen Speicherung der Schlüssel liege. Außerdem verhindere der Wegfall des Fingerprint-Konzepts die zweifelsfreie Zuordnung eines Schlüssels zur realen Person. Die Fingerprint-Funktion wie auch der Import und Export von Keyrings sollen aber künftig in einem Modus für fortgeschrittene User zur Verfügung stehen.

Copyright © 2002 Linux New Media AG