Allgemeine Informationen

Dieses Kapitel erklärt wichtige Konzepte um die generelle Funktionsweise von p≡p zu verstehen. Alle folgenden Kapitel basieren auf der Annahme, dass der Leser mit diesen Konzepten vertraut ist.

Das p≡p Konzept

p≡p möchte Verschlüsselung einfach und auf Anwendungsebene unsichtbar machen. Bei p≡p hat Privatsphäre immer Vorrang über Sicherheit. Beispiel: Ein Public Key Server ist zwar sicher, bietet aber keine Privatsphäre: Daher unterstützt p≡p das Konzept nicht und verteilt Public Keys direkt.

Um dies zu erreichen führt p≡p neue Prozesse und Datenformate ein, die bei p≡p zu p≡p Kommunikationen zum Einsatz kommen. p≡p verschlüsselt und signiert immer alle seine Nachrichten. p≡p ist kein OpenPGP, nutzt aber Schlüssel im OpenPGP Format.

p≡p hat einen OpenPGP Modus eingebaut mit dem die Software (so gut es geht) OpenPGP Standards unterstützt und automatisiert. Wenn also das Gegenüber ein OpenPGP-Nutzer ist, wird dieser Anwendungsfall ebenfalls unterstützt.

p≡p macht ein Rating der Sicherheit der Kommunikation, indem es Krypto-algorithmen, Schlüssellänge, Schlüsselvalidität, Signaturen, usw. analysiert und darauf basierend ein Datenschutzrating erstellt und dies in leicht erkennbaren grün/gelb/roten Symbolen darstellt.

p≡p funktioniert komplett automatisch und ist einfach zu bedienen. p≡p analysiert die eintreffenden und ausgehenden E-Mails lokal auf Ihrem Gerät (keine Information wird iirgendwo anders abgelegt). Sobald p≡p erkennt, dass die Kommunikation mit ihrem Korrespondenten geschützt werden kann, wird es dies automatisch ohne ihr Zutun machen. Die Nutzer müssen sich nie um Schlüssel kümmern. Der Workflow hier unterhalb zeigt wie p≡p konzeptuell funktioniert. Es zeigt das p≡p Design und Funktionsweise zwischen p≡p Nutzern auf.

_images/pEp4email_conceptual.png

Wenn zwei Personen mit p≡p sich gegenseitig E-Mails schicken, wird die allererste E-Mail nicht verschlüsselt. Ab der zweiten E-Mail (der Antwort auf die erste E-Mail) ist die Kommunikation verschlüsselt.

Datenschutzstatus

Um den Datenschutzstatus / die Privatsphäre einer bestimmten Kommunikation anzugeben, nutzt p≡p eine Analogie zu den Farben von Verkehrsampeln um den jeweiligen Datenschutzstatus der beteiligten Personen klar erkennbar darzustellen. Die folgenden Datenschutzstatus sind möglich:

  • Keine Farbe (Unbekannt/Unsicher/Unzuverlässig)

    „Unbekannt“ wird meistens benutzt für ausgehende E-Mails bevor ein Kontakt oder E-Mailadresse in die To, CC oder BCC Felder der E-Mail eingefügt worden sind. „Unsicher“ heisst, dass die E-Mail unverschlüsselt geschickt wird oder unverschlüsselt empfangen wurde. Dies entspricht heute der Mehrzahl der E-Mails. „Unzuverlässig“ heisst, dass eine E-Mail empfangen wurde mit unzureichend guter Verschlüsselung oder einer unzureichend guter Signatur, um Sicherheit zu garantieren.

_images/privacy-status-icon-secure.png
  • Gelb (Sicher)

    Die Verbindung ist verschlüsselt und signiert mit heutzutage unknackbarer Kryptographie. Aber man muss dem Korrespondenten (Sender oder Empfänger) noch vertrauen: Das kann man durch eine Handshake machen, welcher die Identität des Korrespondenten verifiziert (sicherstellt). Bis dieser Handshake erfolgreich gemacht wurde, ist die Verbindung gelb.

_images/privacy-status-icon-secure&trusted.png
  • Grün (Sicher & Vertrauenswürdig)

    Die Verbindung ist verschlüsselt und signiert mit heutzutage unknackbarer Kryptographie und der Kommunikationspartner (Sender oder Empfänger) ist „sicher & vertrauenswürdig“. Man hat mit ihm einen Handshake auf einem Seitenkanal (persönlich oder per Telefon) erfolgreich durchgeführt. Hierbei verifizieren die Kommunikationspartner, wer sie sind und ab dann kann der Kommunikation unter normalen Umständen als vollkommen sicher und vertrauenswürdig gelten.

_images/privacy-status-icon-mistrusted.png
  • Rot (Nicht vertrauenswürdig / Manipuliert)

    „Unzuverlässig“ heisst, dass ein Handshake fehlgeschlagen hat und kein Vertrauen mehr besteht, dass der Kommunikationspartner der ist, für den er sich ausgibt. In diesem Fall muss eine Mann-in-der-Mitte Attacke (MITM) angenommen oder von einer sonstigen kryptographischen Ungereimtheit ausgegangen werden. Der Kommunikationskanal muss als unsicher gelten und sollte nicht zur Kommunikation von privaten, zu schützenden Informationen genutzt werden.

_images/pEp4email_concept-compromised.png

Trustwords

Trustwords werden benutzt, um eine einfache verifizierung der Kommunikationspartner vorzunehmen. Bei p≡p ergänzen die Trustwords die in PGP genutzten Fingerprints. Um sicherzustellen, dass man keiner Mann-in-der-Mitte (MITM) Attacke auf dem Kommunikationskanal unterliegt, müssen Trustwords in einem Handshake zwischen Sender und Empfänger verglichen werden. Trustwords sind normale Worte in einer natürlichen Sprache (z.B. in Deutsch: AUTO PFERD BATTERIE FENSTER APFEL). Nach dem erfolgreichen Vergleich (d.h. sie sind auf beiden Seiten die gleichen) ist die Kommunikation zwischen Sender und Empfänger nicht nur sicher (verschlüsselt), sondern auch noch vertrauenswürdig (keine MITM Attacke).

Standardmässig zeigt p≡p fünf Trustwords an. Damit sind mindestens 64 Bit Entropie vorhanden. Exponierten Personen empfehlen wir für zusätzliche Sicherheit auf zehn Trustwords zu erweitern, was zu mindestens 128 Bit Entropie führt. Mehr zum Thema finden Sie hier: https://tools.ietf.org/html/draft-marques-pep-handshake-04#section-3.1.1

Handshake

Um die Kommunikation mit einem Gegenüber „Sicher & Vertrauenswürdig“ (statt nur „Sicher“) zu machen, ist ein Handshake erforderlich. Dieser stellt sicher, dass die Kommunikation zwischen Ihnen und Ihrem Kommunikationspartner ausschließlich zwischen Ihnen beiden stattfindet und somit vertrauenswürdig also verifiziert ist, d.h. dass es keinen Mann-in-der-Mitte-Angriff mehr geben kann.

Ein Handshake erfolgt durch den Vergleich der Trustwords zweier Benutzer über einen separaten Kommunikationskanal (z.B. persönlich oder per Telefon). Beide Benutzer öffnen den Handshake-Dialog, indem sie in einer Nachricht zwischen Ihnen jeweils auf den Datenschutzstatus klicken. So sieht der Handshake-Dialog bspw. in p≡p für Outlook aus:

_images/pEpForOutlook-v1.1-ComposeHandshakeYellowFront.png

Die Trustwords werden den beiden Kommunikationspartnern in der gleichen Reihenfolge und in Ihrer in der App gewählten Sprache angezeigt. Beide Seiten müssen einstellen, dass beiden die Trustwords in der gleichen Sprache angezeigt werden, denn Trustwords in einer anderen Sprache sind völlig unterschiedlich und werden nicht übersetzt. Wenn der Kommunikationspartner PGP verwendet, wird auch der PGP-Fingerprint angezeigt. Der Handshake-Dialog bietet dann zwei Möglichkeiten:

  • Schaltfläche „Bestätigen“: Wenn beide Seiten die gleichen Trustwords haben, drücken Sie die Taste „Bestätigen“, um diese zu bestätigen. Von da an sind alle mit diesem Kommunikationspartner ausgetauschten E-Mails grün (Sicher & Vertrauenswürdig) und es gibt keinen bekannten Angriff auf diese Kommunikation mehr.

  • Schaltfläche „Ablehnen“: Nutzen Sie diese Option, wenn die vom Gegenüber angegebenen Trustwords nicht mit den auf dem Bildschirm angezeigten übereinstimmen. Als Folge davon wird die Bewertung des Gegenübers von Gelb (Sicher) auf Rot (Misstraut/Unsicher) herabgestuft. Falls Sie versehentlich „Ablehnen“ gewählt haben, müssen Sie für diesen Kommunikationspartner einen „Reset“ durchführen. Bevor Sie einen weiteren Handshake durchführen können, muss Ihr Kommunikationspartner Ihnen eine „neue erste“ Nachricht senden.

Nach erfolgreichem Handshake wechselt der Privacy Status der Nachricht auf Grün (Sicher & Vertrauenswürdig). So sieht die Nachricht jetzt in p≡p für Outlook aus:

_images/pEpForOutlook-v1.1-ComposeSecureTrustedGreen.png

Ein Handshake zwischen zwei bestimmten Kommunikationspartnern muss nur einmal vollzogen werden. Alle Nachrichten, die Sie von demselben Kommunikationspartner erhalten und an ihn senden, zeigen ab dann den neuen Privacy Status Grün (Sicher & Vertrauenswürdig) an.

Innerhalb von Enterprise-Umgebungen kann das Vertrauen (Trust), welcher durch den Handshake entsteht, automatisch an alle Mitarbeiter ausgerollt und verteilt werden. Damit wird der Handshake zwischen Mitarbeitern überflüssig.

p≡p Sync

Warnung

Vergewissern Sie sich vor der Verwendung von p≡p Sync, dass Ihre Geräte die aktuelle Zeit und das aktuelle Datum verwenden. Falls Zeit und Datum erheblich voneinander abweichen, kann es zu Problemen bei der Synchronisierung führen.

Wenn p≡p auf zwei oder mehreren Geräten gleichzeitig verwendet wird und die Geräte mindestens ein E-Mail-Konto gemeinsam haben, startet p≡p automatisch einen Synchronisierungsprozess zwischen den Geräten. Dadurch wird sichergestellt, dass Sie verschlüsselte E-Mails auf allen Ihren Geräten lesen können. Wenn mehrere Geräte dasselbe E-Mail-Konto verwenden, wird der p≡p Sync-Assistent auf allen Geräten erscheinen. Er sieht wie folgt aus:

_images/pEpForOutlook-ExplorerWindow-pEpSync-1.png

Nach der Bestätigung mit „weiter“ zeigt der Assistent die Trustwords.

_images/pEpForOutlook-ExplorerWindow-pEpSync-2.png

Stimmen die Trustwords auf beiden Geräten überein, können Sie diese auf beiden Geräten bestätigen. Dadurch wird eine p≡p Gerätegruppe erstellt. Das folgende Dialogfeld verschwindet automatisch, nachdem die p≡p Gerätegruppe erstellt worden ist.

_images/pEpForOutlook-ExplorerWindow-pEpSync-3.png

Alle Geräte innerhalb der Gerätegruppe synchronisieren Daten automatisch im Hintergrund. Im Moment synchronisiert p≡p Sync nur die privaten Schlüssel. In zukünftigen Versionen werden auch Trust (um sicherzustellen, dass Sie auf allen Ihren Geräten den gleichen Privacy Status sehen) sowie Konfiguration synchronisiert.

p≡p Sync arbeitet vollständig Peer-to-Peer und die Daten werden nirgendwohin außer über Ihr eigenes E-Mail-Konto gesendet. Die Kommunikation zwischen den Geräten ist verschlüsselt.

p≡p Sync-Nachrichten kommen als Anhänge in p≡p E-Mails. Alle solchen p≡p Nachrichten haben den gleichen Absender und den gleichen Empfänger – nämlich den Besitzer des E-Mail-Kontos.

Sobald Ihre Gerätegruppe (zwischen zwei Geräten) erstellt ist, können Sie jederzeit weitere Geräte hinzufügen. Stellen Sie einfach sicher, dass p≡p auf einem der vorhandenen Geräte und auf dem neuen Gerät läuft, das dasselbe Konto konfiguriert hat. Der p≡p Sync-Assistent wird nach einigen Sekunden automatisch angezeigt und die oben erklärten Schritte können erneut durchgeführt werden.

Bemerkung

Bitte beachten Sie, dass sobald Ihr Gerät zur Gerätegruppe hinzugefügt wird und danach p≡p Sync deaktiviert wird, das Gerät nicht mehr Teil der Gerätegruppe ist und Sie Geräte erneut gruppieren müssen, wenn Sie p≡p Sync aktivieren. Andere Geräte werden informiert und erzeugen einen neuen Schlüssel, so dass das Gerät mit deaktiviertem p≡p Sync keine neuen Mails mehr lesen kann. Auch das Gerät, bei dem p≡p Sync deaktiviert wurde, erzeugt neue Schlüssel.

Zurücksetzen von Schlüsseln

Es stehen zwei Arten des Zurücksetzens (Reset) zur Verfügung. Sie können einen Reset einerseits für einen Kommunikationspartner durchführen: p≡p löscht dann alle Verschlüsselungsinformationen, die es über einen Kommunikationspartner hatte (Schlüssel und Privacy Status). Sie können andererseits Reset auch für Ihre eigenen Konten durchführen. In diesem Fall widerruft p≡p Ihre bestehenden Schlüssel und erzeugt neue Schlüssel.

In der Regel ist ein Reset in einer der folgenden Situationen erforderlich:

Ihr Kommunikationspartner kann Ihre Nachrichten nicht lesen

Sollte die Situation entstehen, dass Ihr Gegenüber Ihre Nachrichten nicht (mehr) lesen kann (Privacy Status „Kann nicht entschlüsseln“), müssen Sie p≡p für Ihren Kommunikationspartner zurücksetzen. Dies kann passieren, wenn Ihr Kommunikationspartner neue Schlüssel verwendet, z.B. weil ein neues Gerät verwendet wird und es nicht mit dem alten synchronisiert wurde.

Eine Möglichkeit, dies zu tun, besteht darin, eine neue Nachricht für Ihren Kommunikationspartner zu erstellen: Geben Sie die E-Mail-Adresse in das Feld „An“ ein und klicken Sie auf das Symbol für den Datenschutzstatus. Klicken Sie dann auf die Schaltfläche „Reset“.

_images/pEpForOutlook-ComposeWindow-StatusSecure-PrivacyStatus.png

Wenn die Kommunikation zwischen Ihnen und Ihrem Kommunikationspartner Sicher & Vertrauenswürdig (Grün) war, müssen Sie nach dem Zurücksetzen einen erneuten Handshake durchführen.

Sie können keine Nachrichten von Ihrem Kommunikationspartner lesen

Sollten Sie in die Situation geraten, dass Sie Nachrichten von Ihrem Gegenüber nicht lesen können (Privacy Status „Kann nicht entschlüsseln“), bitten Sie Ihren Kommunikationspartner, einen Reset für Ihren Kontakt durchzuführen.

Wenn die Kommunikation zwischen Ihnen und Ihrem Kommunikationspartner Sicher & Vertrauenswürdig (Grün) war, müssen Sie nach dem Zurücksetzen einen erneuten Handshake durchführen.

Jemand hat (möglicherweise) Zugang zu Ihren Schlüsseln erhalten

Wenn Sie eines Ihrer Geräte verloren haben, könnte ein potentieller Angreifer Zugriff auf Ihre Schlüssel erhalten (z.B. weil die Festplatte nicht verschlüsselt war oder ein schwaches Passwort verwendet wurde). Jemand, der Zugriff auf Ihre Schlüssel hat, könnte in Ihrem Namen Nachrichten senden und Ihre verschlüsselten Nachrichten lesen. Deshalb sollten Sie Ihren Schlüssel ändern. Dies kann durch einen Reset für Ihre eigene Identität geschehen.

Dies tun sie am einfachsten, indem Sie Ihre eigene Identität auf einem anderen Gerät innerhalb Ihrer Gerätegruppe zurückzusetzen: z.B. haben Sie einen Laptop und ein Telefon, aber Ihr Telefon wurde gestohlen – nun können Sie das Telefon auf Ihrem Laptop zurücksetzen). Wenn Sie einen Reset Ihrer eigenen Identität durchführen, erhalten Ihre 20 letzten Kommunikationspartner automatisch Ihre neuen Schlüssel.

_images/pEpforOutlook-Settings-Accounts.png

Nachdem Sie einen Reset durchgeführt und eine Nachricht an Ihren Kommunikationspartner gesendet haben, erhält dieser verschlüsselte Nachrichten als Sicher (Gelb) und nicht als Sicher und Vertrauenswürdig (Grün). Sie müssen Ihre Identität durch einen Handshake erneut verifizieren. Dies liegt daran, dass es auch der Angreifer hätte sein können, der Ihre eigene Identität zurückgesetzt hat, falls der Angreifer auf eins Ihrer Geräte zugreifen kann.

Passiver Modus

Standardmäßig hängt p≡p Ihren öffentlichen Schlüssel an alle ausgehenden Nachrichten. Daher sehen Kommunikationspartner ohne p≡p einen Anhang namens „pEpKey.asc“ in allen von Ihnen erhaltenen Nachrichten. Dies ist der „aktive Modus“, d.h. der passive Modus ist deaktiviert.

Der passive Modus ist standardmässig deaktiviert, was eine verschlüsselte Kommunikation ab der zweiten E-Mail (der Antwort des Kommunikationspartners) ermöglicht.

Wenn der passive Modus aktiv ist, wird der öffentliche Schlüssel standardmässig nicht mehr an ausgehende Nachrichten angehängt. Nur wenn p≡p feststellt, dass Ihr Kommunikationspartner ebenfalls p≡p installiert hat, wird der öffentliche Schlüssel angehängt. Infolgedessen werden die ersten beiden Nachrichten zwischen zwei Kommunikationspartnern unverschlüsselt sein (statt nur die erste Nachricht, wenn der passive Modus deaktiviert ist).

Schutz abschalten

Wenn Sie eine E-Mail verfassen, zeigt Ihnen p≡p den Datenschutzstatus der E-Mail an. Wenn der Datenschutzstatus Gelb oder Grün ist, haben Sie die Möglichkeit, den Schutz für diese spezielle E-Mail zu deaktivieren. Das bedeutet, dass p≡p diese E-Mail unverschlüsselt sendet.

Dies kann nützlich sein, wenn der Kommunikationspartner ohne seine Geräte unterwegs ist und seine E-Mails ausnahmsweise nur an einem öffentlichen Computer z.B. im Internetcafe oder Bücherei einsehen kann.

Der Benutzer kann dies tun, indem er auf das Symbol für den Datenschutzstatus klickt und „Schutz deaktivieren“ auswählt.

Nachrichten sicher speichern

p≡p bietet die Möglichkeit, verschlüsselte Nachrichten entweder verschlüsselt oder unverschlüsselt auf dem Mailserver zu speichern. Wenn der Benutzer dem Mail-Server nicht vertraut (z.B. weil es sich um einen Cloud-Mail-Anbieter handelt), dann kann p≡p die Nachrichten sicher (verschlüsselt) auf dem Server speichern. Dies gilt nur für Nachrichten, die verschlüsselt gesendet oder empfangen wurden. Wurde eine Nachricht unverschlüsselt gesendet oder empfangen, wird sie niemals auf dem Server verschlüsselt.

Im anderen Fall, wenn der Benutzer dem Server vertraut (z.B. wenn der Mailserver vor Ort gehostet wird), kann der Benutzer sich dafür entscheiden, die entschlüsselten Nachrichten auf dem Server zu speichern. In diesem Fall wird p≡p alle verschlüsselten Nachrichten entschlüsseln und sie unverschlüsselt auf dem Server speichern.

Wenn in p≡p für Outlook die Option „Nachrichten für alle Konten sicher speichern“ ausgewählt ist, entschlüsselt p≡p Nachrichten nicht, für keines der Konten.

Wenn diese Option deaktiviert ist, hat der Benutzer die Möglichkeit, die Einstellung pro Konto zu ändern (deaktivieren Sie „Nachrichten sicher speichern“ für jedes der aufgeführten Konten).

_images/pEpforOutlook-Settings-Accounts.png

Standardmäßig werden verschlüsselte Nachrichten nicht entschlüsselt, außer bei Mailservern mit einer lokalen IP-Adresse (siehe nächste Abschnitte).

Nachrichten verschlüsselt speichern (nicht vertrauenswürdiger Server)

Wenn ein Benutzer einem Mail-Server nicht vertraut, werden verschlüsselte Nachrichten nur verschlüsselt auf dem Server gespeichert. Auch Entwürfe werden verschlüsselt im Entwurfsordner der Mailbox gespeichert und zwischen Geräten synchronisiert.

Standardmäßig werden alle Server mit IP-Adressen, die im nächsten Abschnitt erwähnt werden, als vertrauenswürdig angesehen.

Nachrichten unverschlüsselt speichern (Vertrauenswürdiger Server)

Wenn ein Benutzer einem Server vertraut, können die Daten im Allgemeinen unverschlüsselt auf diesem Server gespeichert werden. Auch Entwürfe werden unverschlüsselt im Entwurfsordner des Postfachs gespeichert. Standardmäßig werden Server mit einer in RFC1918 aufgeführten IP und eindeutigen lokalen Adressen als „Vertrauenswürdig“ konfiguriert. Wenn ein Server unter Verwendung eines DNS-Namens (DNS A, AAAA und CNAME RRs) konfiguriert wird, der NUR nach RFC1918 und/oder Unique Local Addresses auflöst, wird er als „Vertrauenswürdig“ konfiguriert. Alle anderen sind standardmäßig als nicht vertrauenswürdig konfiguriert.

Die Implementierung folgt den Definitionen aus RFC 1918 (https://tools.ietf.org/html/rfc1918) für IPv4 und RFC 4193 für IPv6 (https://tools.ietf.org/html/rfc4193).

Private IPv6-Adressen sind so definiert, dass sie ein FC00::/7-Präfix haben. Dieser Block ist in die beiden Blöcke fc00::/8 und fd00::/8 unterteilt.

Private IPv4-Adressen sind die folgenden:

Die Internet Assigned Numbers Authority (IANA) hat die folgenden drei Blöcke des IP-Adressraums für private Internets reserviert:

10.0.0.0

10.255.255.255 (10/8 Präfix)

172.16.0.0

172.31.255.255 (172.16/12 Präfix)

192.168.0.0

192.168.255.255 (192.168/16 Präfix)

Alle Server mit IP-Adressen, die in RFC 1918 für IPv4 und RFC 4193 für IPv6 definiert sind, gelten als vertrauenswürdig.

Vertrauenswürdige Server werden für Postfächer unterstützt, die über Exchange und IMAP verbunden sind. Sie werden nicht für EAS unterstützt.

Für vertrauenswürdige Server beachten Sie bitte Folgendes :

  • Die ursprüngliche Mail wird vollständig mit dem entschlüsselten Inhalt überschrieben.

  • Farbbewertung und Entschlüsselungsschlüssel werden in der Mail selbst gespeichert.

  • Dies bedeutet, dass alle oben genannten Informationen dann, wenn möglich, mit dem Server zurücksynchronisiert werden.

Das Server-Vertrauen ändern

Eine Änderung des Server-Vertrauens ist jederzeit möglich. Die Änderung des Vertrauens gilt generell nur für neue Nachrichten. Wenn Sie von einem vertrauenswürdigen zu einem nicht vertrauenswürdigen Server wechseln, ändert sich auch der Datenschutzstatus bestehender Nachrichten.

Wechsel von einem vertrauenswürdigen zu einem nicht vertrauenswürdigen Server

  • Beim Wechsel von einem vertrauenswürdigen Server zu einem nicht vertrauenswürdigen Server werden auf dem Server vorhandene Nachrichten, die bereits entschlüsselt wurden, NICHT erneut verschlüsselt.

  • Der Privacy Status bestehender Nachrichten wird nicht geändert.

Wechsel von einem nicht vertrauenswürdigen zu einem vertrauenswürdigen Server

  • Beim Wechsel von einem nicht vertrauenswürdigen Server zu einem vertrauenswürdigen Server bleiben die auf dem Server vorhandenen Nachrichten verschlüsselt. Nur wenn eine Nachricht im lokalen p≡p Client geöffnet wurde, wird sie auch auf dem Server entschlüsselt gespeichert.

  • Danach wird der Nachrichteninhalt nicht mehr verändert, da er ja bereits entschlüsselt wurde.

Senden einer E-Mail an mehrere Personen mit unterschiedlichen Datenschutzstatus

Wenn Sie eine E-Mail an mehr als eine Person senden, fügen Sie einfach die Empfänger der E-Mail hinzu. Das Symbol für den Privacy Status oben zeigt Ihnen an, ob die Nachricht verschlüsselt gesendet wird (gelbes oder grünes Symbol) oder nicht (kein Symbol).

Falls es keine vorherige Kommunikation mit einem der Empfänger über die p≡p App gab oder für einen der Empfänger kein Schlüssel gespeichert ist, wird die Nachricht an einen der Empfänger in CC/BCC NICHT verschlüsselt.

Zusätzliche Schlüssel

Mit Extraschlüsseln kann eine Organisation sicherstellen, dass alle Nachrichten mit einem firmeneigenen Schlüssel (z.B. CISO o.ä.) gelesen werden können, auch wenn der Schlüssel eines Benutzers nicht verfügbar ist. Alle ausgehenden Nachrichten werden zusätzlich mit den definierten Extraschlüsseln verschlüsselt. Wenn p≡p so konfiguriert ist, dass es Nachrichten verschlüsselt auf dem Server speichert, werden alle verschlüsselten eingehenden Nachrichten, die vom Benutzer gelesen werden, mit den definierten Extraschlüsseln neu verschlüsselt. Ein Extraschlüssel ist ein normaler OpenPGP-Schlüssel, der durch seinen 40-stelligen Fingerabdruck identifiziert wird. Es ist möglich, einen oder mehrere Extraschlüssel zu definieren. Der öffentliche Schlüsselteil der Extraschlüssel muss auf allen Systemen, die diesen Extraschlüssel verwenden, vorhanden sein.

Der p≡p Proxy verwendet Extraschlüssel zum Entschlüsseln von Nachrichten überall im Mail-Fluss einer Organisation. Dies erlaubt es, E-Mails zu scannen, z.B. auf Virenschutz (AV) oder Data Loss Prevention (DLP).

Schlüssel Management

p≡p kümmert sich automatisch um alle Aspekte des Schlüssel- und Identitätsmanagements. Dieser Abschnitt umreißt einige Aspekte davon.

Generierung von Schlüsseln

p≡p erkennt Ihre Konten automatisch und generiert Schlüssel für Sie. Die Schlüsselerstellung erfolgt vollständig im Hintergrund, Sie müssen nichts tun. Es ist möglich, Ihre bestehenden Schlüssel zu importieren. Bitte beachten Sie, dass p≡p die Schlüsselverwaltung automatisiert und sich daher Schlüssel jederzeit ändern können (z.B. wenn Sie Ihr Konto zurücksetzen oder wenn Sie mehrere Geräte synchronisieren).

Verfall eines Schlüssels

Wenn p≡p feststellt, dass ein generierter Schlüssel bald verfällt, generiert es einen neuen Schlüssel oder verlängert die Gültigkeit des bestehenden Schlüssels. Der neue oder geänderte Schlüssel wird an die Kommunikationspartner verteilt, indem er an ausgehende Nachrichten angehängt wird. Dadurch bleiben Nachrichten zwischen den Kommunikationspartnern automatisch verschlüsselt, ohne dass Sie eingreifen müssen.

Import von Schlüsseln

Jeder öffentliche Schlüssel, der an eingehende Nachrichten angehängt ist, wird automatisch importiert und verwendet (Vertrauen bei der ersten Verwendung, „Trust on first use“ = TOFU). Wenn ein privater Schlüssel an eine eingehende E-Mail angehängt ist, wird p≡p diesen ebenfalls importieren und zum Entschlüsseln von Nachrichten verwenden. Der Schlüssel wird jedoch nicht zum Verschlüsseln ausgehender Nachrichten verwendet.

Vorhandenen privaten Schlüssel verwenden

Sie können Ihren eigenen privaten Schlüssel anstelle eines von p≡p automatisch generierten verwenden. Wie Sie vorhandene private Schlüssel importieren können, entnehmen Sie bitte dem Abschnitt zu der jeweiligen Software (p≡p App).

Schlüssel mit Passphrase

Standardmässig erstellt p≡p Schlüssel ohne Passphrase. p≡p empfiehlt aus den folgenden Gründen, keine Passphrase zu verwenden:

  • Eine Passphrase hat negative Auswirkungen auf die Benutzung, da Sie die Passphrase regelmäßig eingeben müssten (z.B. bei jedem Öffnen der Anwendung).

  • Eine Passphrase schützt nur den Schlüssel. Stattdessen schlägt p≡p vor, den gesamten Datenträger zu verschlüsseln, wodurch nicht nur der Schlüssel, sondern auch die Daten geschützt werden.

  • Eine Passphrase erhöht die Sicherheit für Schlüssel auf dem lokalen Gerät nicht wesentlich. Wenn ein Angreifer in der Lage ist, auf Ihr Gerät zuzugreifen, um an den privaten Schlüssel zu gelangen, muss angenommen werden, dass der Angreifer auch einen sog. Key-Logger installieren und somit Zugriff auf die Passphrase erhalten könnte, wenn Sie diese Passphrase eingeben.

Trotzdem unterstützt p≡p eine Passphrase. Es ist möglich, ein Schlüsselpaar mit einer Passphrase zu importieren. Alternativ können Sie „Eine Passphrase für neue Schlüssel verwenden“ aktivieren. Einmal aktiviert, wird p≡p nach einer Passphrase fragen, wenn neue Schlüssel generiert werden. Wenn Sie sofort neue Schlüssel erzeugen möchten, gehen Sie zu den p≡p Kontoeinstellungen und wählen Sie „Alle Identitäten zurücksetzen“.

Sicherung der privaten Schlüssel

p≡p unterstützt die Sicherung von Schlüsseln auf mehreren Geräten über die p≡p Sync-Funktion. Einfach indem Sie ein neues Gerät zu Ihrer Gerätegruppe hinzufügen, werden alle vorhandenen privaten Schlüssel auf jedem Ihrer Geräte gesichert, so dass Sie alte verschlüsselte E-Mails auf jedem von ihnen lesen können.

E-Mail Betreff schützen

p≡p Apps haben die Möglichkeit, den Betreff der E-Mail zu schützen. Dies findet folgendermassen statt:

Wenn aktiviert:

  • Der Betreff wird beim Transport und beim Speichern von Nachrichten auf dem Server für alle verschlüsselten Nachrichten immer verschlüsselt.

Falls deaktiviert:

  • Bei der Kommunikation zwischen zwei p≡p Apps wird der Betreff der E-Mail beim Transport immer verschlüsselt, aber wenn Nachrichten verschlüsselt auf dem Server gespeichert werden (nicht vertrauenswürdiger Server), wird der Betreff entschlüsselt und ungeschützt auf dem Server gespeichert, wenn p≡p für Outlook verwendet wird.

  • Bei der Kommunikation zwischen p≡p und PGP-Apps wird der Betreff der E-Mail nicht verschlüsselt.

Der Betreff-Schutz ist standardmäßig für alle p≡p Apps aktiviert.

Geschützt speichern

Wie in Nachrichten sicher speichern beschrieben, könnten sich einige Benutzer entscheiden, dem Server zu vertrauen, was bedeutet, dass eine E-Mail entschlüsselt und unverschlüsselt auf einem vertrauenswürdigen Server gespeichert wird. Als Absender haben Sie die dennoch Möglichkeit, einzelne E-Mails als „geschützt speichern“ zu kennzeichnen. E-Mails mit dieser Kennzeichnung werden verschlüsselt auf dem Server des Empfängers gespeichert, auch wenn der Empfänger sich entschieden hat, seinem eigenen Server zu vertrauen. Beachten Sie, dass dies nur funktioniert, wenn der Empfänger einen Client verwendet, der mit dieser Funktion kompatibel ist.

p≡p-Privatsphäreschutz aktivieren

Standardmäßig ist der p≡p-Privatsphäreschutz aktiviert und alle ausgehenden Nachrichten werden nach Möglichkeit verschlüsselt. Wenn der p≡p-Privatsphäreschutz deaktiviert ist, werden ausgehende Nachrichten nicht verschlüsselt. Standardmäßig werden eingehende Nachrichten weiterhin entschlüsselt. Der Benutzer hat jedoch die Möglichkeit, auch „Nachrichten weiter entschlüsseln“ zu deaktivieren. In diesem Fall werden eingehende Nachrichten, die verschlüsselt sind, nicht entschlüsselt und sind daher nicht mehr lesbar. Die p≡p-Datenschutzeinstellungen können pro Konto geändert werden.

Spam

p≡p erschwert Spam. Spam-Versender können Ihnen zwar immer noch unverschlüsselt Spam schicken, aber es macht es jenen viel schwerer, Ihnen Spam verschlüsselt zu schicken. Erstens, weil ein Spammer neben der E-Mail-Adresse auch Ihren öffentlichen Schlüssel finden muss. Da p≡p Ihren öffentlichen Schlüssel nicht auf einen Schlüssel-Server hochlädt, ist es für einen Spammer schwierig, eine grosse Anzahl öffentlicher Schlüssel zu sammeln. Aber selbst wenn ein Spammer über eine grosse Anzahl öffentlicher Schlüssel verfügt, wird er zweitens viel mehr Ressourcen brauchen, um Spam-E-Mails verschlüsselt zu versenden, weil sie für jeden einzelnen Empfänger verschlüsselt werden müssen. Wenn ein Spammer also Millionen von E-Mails versenden will, dauert dies im Vergleich zu unverschlüsselten E-Mails viel länger.

Virenschutz

Das Ziel der Nutzung von p≡p ist es, Ihre Kommunikation privat zu halten, indem Sie idealerweise alle Nachrichten verschlüsselt versenden. Solange eine Nachricht verschlüsselt ist, kann eine Antiviren-Lösung keine Viren zu erkennen. Viren werden erst erkannt, nachdem die Nachricht entschlüsselt wurde. Wenn Sie verschlüsselte Nachrichten scannen, wird Ihre Antiviren-Lösung keinen Virus finden. Die meisten Antivirenlösungen, die auf dem lokalen Computer installiert sind (z.B. Windows Defender), erkennen Viren unmittelbar nach der Entschlüsselung einer E-Mail. Bevor Sie also eine infizierte Nachricht öffnen können, erhalten Sie eine Warnung durch Ihre Antiviren-Lösung. Genau wie es war, bevor Sie p≡p nutzten. Selbst wenn Sie verschlüsselte Nachrichten senden und empfangen, müssen Sie sich also keine Sorgen über Viren machen, solange Sie eine aktuelle Antiviren-Software verwenden. Falls Ihr E-Mail-Anbieter die Nachrichten scannt, wird er auch keine Viren erkennen können, da Ihre Nachrichten verschlüsselt sind. Daher funktionieren Antiviren-Gateways bei verschlüsselten Nachrichten nicht.

Für Organisationen kann der p≡p Proxy verwendet werden, um Nachrichten überall im Mail-Fluss auf der Basis von Extraschlüsseln zu entschlüsseln. Dies erlaubt es, E-Mails zu scannen, z.B. für Virenschutz (AV) oder Data Loss Prevention (DLP).