PC-WELT hat sich mit dem Mann unterhalten, der das Projekt GnuPG seit Jahren betreut und zeitweise ganz alleine am Leben gehalten hat. Mehr zu GnuPG und zu Werner Koch finden Sie in dem ausführlichen Beitrag „ Die NSA-sichere Verschlüsselung made in Germany “.
PC-WELT: Im Dezember 2014 wurde auf dem 31. ChaosCommunication Congress bekannt, dass die NSA höchstwahrscheinlich Ihre Mailverschlüsselung nicht knacken kann. Was war das für ein Gefühl als Sie so schlagartig ins Rampenlicht gestellt wurden?
Koch: Nun ja, in der Hacker-Szene und bei vielen Unix-Admins bin ich ja schon seit langer Zeit bekannt. Es war aber schön zu sehen, dass die staatlichen Schnüffelorganisationen wohl doch größere Probleme mit GnuPG oder OTR ( Off-the-Record-Messaging ) haben. Das Misstrauen, das viele der Verschlüsselung S/MIME und der damit verbundenen Infrastruktur entgegengebracht haben, hat also wohl doch einen wahren Kern.
Die vielen tausend Dankesmeldungen, die zusammen mit den Spenden kamen, waren eine erfreuliche Lektüre und zeigen, dass unsere Arbeit sinnvoll ist.
PC-WELT: Viele Firmen haben Ihnen nach dem 31. CCC finanzielle Unterstützung für Ihr Projekt GnuPG versprochen. Ist das Geld auch angekommen?
Koch: Neben den 200 000 Euro, die alleine direkt via https://gnupg.org/donate/ kamen, erhalte ich dieses Jahr jeden Monat 5000 Dollar von der Core Infrastructure Initiative . Aus steuerlichen Gründen sind auf mein Bitten hin die jeweils 50 000 Dollar von Stripe und von Facebook noch nicht ausgezahlt worden.
PC-WELT: GnuPG ist ein Verschlüsselungscode, der von vielen Tools (Front-Ends) verwendet wird. Welches Mailprogramm empfehlen Sie einem Windows-Nutzer?
Koch: Thunderbird mit dem Enigmail-Plug-in ist wohl die gängige Lösung für die meisten Benutzer – nicht nur unter Windows. Ich halte zudem Claws-Mail für eine gute Alternative unter Windows. Es ist nur nicht so weit verbreitet und bietet weniger Hilfe im Internet.
PC-WELT: Planen Sie die Entwicklung einer koordinierten serverseitigen Schlüsselverwaltung für die öffentlichen Keys?
Koch: Eine serverseitige Schlüsselverwaltung wäre unbedingt notwendig; technisch haben wir das seit vielen Jahren bereits in GnuPG implementiert. Um es in der Praxis umzusetzen, wird aber die Bereitschaft der jeweiligen Mailanbieter benötigt.
©W. Koch
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.