Auf den Dresdener Datenspuren hat Volker Birk vom CCC Schweiz das Projekt Pretty Easy Privacy (PEP) vorgestellt. Ziel ist es, dass viele Menschen ohne jegliche Kryptokenntnisse Kryptografie nutzen sollen, wenn sie E-Mail oder SMS verschicken, wenn sie mit WhatsApp, Facebook oder Jabber benutzen.

Die Entwicklung von PEP soll durch Crowdfunding auf Indiegogo mit 50.000 US-Dollar finanziert werden; außerdem soll es bereits drei große Unternehmen geben, die PEP-Lizenzen erwerben wollen. Einen ersten Eindruck kann man sich mit PEP für Outlook machen.

Ein Handshake bei PEP, um auch ohne Schlüsseltausch abgesicherte Kommunukation zu ermöglichen

PEP ist ein Projekt, das sich ausdrücklich auf das Cypherpunk Manifesto beruft, das 1993 ankündigte, die Privatsphäre in den Netzen zu schützen. PEP will diesen Schutz auch bei Techniknutzern erreichen, die nichts mit Schlüssellängen und Schlüsselringen oder Fingerprints am Hut haben. Verschlüsselungsvorgänge sollen weitgehend automatisiert "unter der Haube" ablaufen, auf dass der Anwender die Kryptografie nicht anfassen muss.

Ist PEP installiert, so sucht das Programm nach vorhandener Kryptografie und erstellt sonst automatisch mit GnuPGP oder NetPGP (auf iOS) die nötigen Schlüssel und sucht nach Schlüsseln des Empfängers einer Mail, wenn eine Nachricht per Outlook verschickt wird. Findet es andere Kryptostandards wie S/MIME oder CMS, so werden diese unterstützt. Nur dann, wenn alle diese Schritte erfolglos sind, wird die Nachricht komplett unverschlüsselt gesendet.

Je nach Anwendungsumgebung werden obendrein sichere Kanäle wie GnuNet, Tor, Tox oder Load Balancer für den anonymen Versand gesucht. "So verschlüsselt wie möglich und wenn es irgend geht, so anonym wie möglich", erklärte Volker Birk das Ziel des PEP-Projektes auf den Dresdener Datenspuren. "Wir sind ein Kostenoptimierungsprojekt für NSA und Konsorten."

Im Unterschied zu anderen Versuchen, die Verschlüsselung zu vereinfachen, setzt PEP nicht auf das Web of Trust, auch wenn es Keyserver nach Schlüsseln durchsuchen kann. Zur Verifizierung bekannter Schlüssel werden "sprechende Fingerprints" verwendet, die auf Englisch oder Deutsch Wörterfolgen generieren, die man am Telefon diktieren kann, aber trotzdem die 64-Bit-Entropie von Fingerprints erhalten.

Im Idealfall soll sich das unter der GPL zu veröffentlichende PEP über die Anwender und über den Einsatz in großen Unternehmen verbreiten. Aus diesem Grunde will man eine Stiftung in der Schweiz gründen, der die PEP-Engine und die Adapter für die unterschiedlichsten Kommunikationssysteme gehören. Dazu kommen zwei Firmen in der Schweiz und in Luxemburg. Die Schweizer AG ist für Android und iOS-Systeme zuständig, die Luxemburger SA für Outlook/Windows und die Firmenlizenzen.

Nach Angaben von Volker Birk wird PEP derzeit in drei Großunternehmen getestet, die zusätzliche Features wie ein Key-Escrow-Management benötigen. Diese seien daran interessiert, Lizenzen "im Red-Hat-Stil" zu kaufen. Als erste Software-Firma kündigte die Schweizer Kolab an, das PEP-Konzept zu unterstützen.

In der Diskussion zur Vorstellung von PEP ging es um die Frage, wie ein effizienter Schutz vor Backdoors erreicht werden kann. Gerade weil die Anwender von der Kryptografie isoliert sind, könnten Angriffe besonders gefährlich sein. Regelmäßige Code-Reviews und die Veröffentlichung der Toolchains sollen hier helfen. Ursprünglich sollte der Ansatz von PEP noch weitergehen und die Verschlüsselung lokal gespeicherter Daten mit einbeziehen. "Die Truecrypt-Geschichte hat uns hart getroffen", bekannte Volker Birk. (jk)