Seit den 90er-Jahren bereits gibt es die Verschlüsselungssoftware Pretty Good Privacy, kurz PGP. Nur ein paar Jahre jünger ist der Open-Source-Ableger GnuPG - kurz GPG. Beiden gemein ist - wie auch einigen anderen Verschlüsselungstechniken: Sie werden heute noch immer nur vergleichsweise selten eingesetzt.
"Sogar wirklich technisch versierte Bekannte haben uns erzählt, sie hätten es schwer mit PGP. Das gibt es zwar schon lange, aber es hat den Ruf, eine schwierige Software zu sein. Kaum jemand hat die Geduld, alle Einstellungen vorzunehmen und sich dann mit dem komplizierten Workflow rumzuschlagen. Deswegen nutzen das so wenige Menschen bei uns im Land. Das System ist einfach zu kompliziert, zu benutzen."
So beschreibt der US-amerikanische Entwickler Max Krohn seine Erfahrungen mit PGP und GPG. Er räumt ein, dass es bereits einige Ansätze gebe, die den Umgang einfacher machen. Zum Beispiel die GPGTools für Apple-Computer. PGP und GPG funktionieren stark vereinfacht so: Nutzer Bob hat zwei Schlüssel. Einen geheimen und einen öffentlichen. Mit dem öffentlichen Schlüssel von Bob verpackt ein anderer Nutzer, nennen wir sie Alice, ein paar Daten. Zum Beispiel einen Text. Lesen kann den verschlüsselten Text jetzt nur noch Bob mit seinem geheimen Schlüssel. Dabei gibt es im Kern ein Problem: Wie kommt Alice an Bobs öffentlichen Schlüssel und kann obendrein sicher sein, den richtigen Schlüssel zu bekommen und nicht etwa einen, von dem nur behauptet wird, es sei Bobs Schlüssel?
"Es ist schwer, die Schlüssel der anderen zu bekommen. Damals in den 90ern traf man sich zu GPG-Schlüssel-Partys und tauschte die Schlüssel persönlich aus und prüfte so auch gleich die Identität des Besitzers. Aber heute? Man trifft sich doch nicht mehr persönlich. Man arbeitet an Projekten über das Internet, über soziale Netzwerke. Da mutet die Idee des persönlichen Schlüsselaustauschs antiquiert an."
Profile von verschiedenen Netzwerken verknüpfen
Eine Lösung dieser und weiterer Schwierigkeiten soll das Projekt Keybase.io sein. Max Krohn hat Keybase.io zusammen mit dem Entwickler Chris Coyne ins Leben gerufen. Ihr Ziel: Den Umgang mit GPG vereinfachen und den Schlüsselaustausch sicher gestalten. Dazu verknüpft Keybase.io den öffentlichen Schlüssel eines Nutzers mit dessen online zugänglichen Profilen. Max Krohn erklärt:
"Als Sicherheitsexperte veröffentliche ich beispielsweise meinen Schlüssel über Twitter. Jeder weiß dann, das ist mein neuer GPG-Key. Das haben wir oft gesehen und uns gedacht, wenn Leute das schon so machen, warum kann man das nicht automatisieren und systematisch nutzen? Wir wollen Programmen eine Möglichkeit geben, diese Keys zu lesen und Verbindungen zwischen den Keys und den Profilen zu erkennen."
Aktuell verknüpft Keybase.io den öffentlichen GPG-Key mit den Profilen beim Kurznachrichtendienst Twitter und der Entwicklerplattform Github sowie der Website eines Nutzers. Später sollen auch Netzwerke wie Facebook oder Google+ und weitere mit einbezogen werden.
"Je mehr Onlineidentitäten ich mit einem Schlüssel verknüpfe, umso besser. Wenn jemand nun jemand nach einem Schlüssel sucht, findet er ihn auf vielen Plattformen. Eine oder zwei davon könnten zwar gehackt sein, aber die Wahrscheinlichkeit, dass alle Online-Profile manipuliert wurden, ist wesentlich kleiner. Deswegen sagen wir: Je öfter der Schlüssel mit verschiedenen sozialen Profilen verknüpft ist, um so eher ist es der richtige Schlüssel."
Direkte Integration in Anwendungen möglich machen
Keybase.io soll also so etwas wie ein maschinenlesbares Verzeichnis für GPG-Schlüssel werden, das die Echtheit der Schlüssel an den öffentlich im Internet verfügbaren Profilen eines Nutzers festmacht. Bisherige Schlüsselverzeichnisse bieten eine solche Verknüpfung nicht. Mithilfe von Keybase.io soll es später auch möglich sein, Anwendungen zu entwickeln, die GPG-Verschlüsselung direkt integrieren. Zum Beispiel Chat-Apps, deren Verschlüsselung dann auf dem anerkannten Standard PGP/GPG basiert. An einer entsprechenden Schnittstelle arbeite man bereits, so Max Krohn.
"In hoffentlich drei oder vier Monaten soll die Entwicklerschnittstelle fertig sein. Sie soll es möglich machen, auf einen öffentlichen Schlüssel zu zugreifen, wenn man ihn braucht."
Das Projekt ist aktuell noch in einer sehr frühen Phase. Ausprobieren können es nur ausgewählte Tester. Doch es gibt schon erste Kritik. Es wird bemängelt, dass Keybase.io auch den geheimen Schlüssel vorhalten kann. Dem begegnet Max Krohn mit den Argumenten, dass erstens der geheime Schlüssel noch einmal verschlüsselt wird und so weiterhin nur für den Besitzer nutzbar sei. Zweitens würde man so die Nutzbarkeit von GPG verbessern und damit für mehr Akzeptanz beim Nutzer sorgen. Außerdem, so Krohn, müsse niemand seinen geheimen Schlüssel herausgeben. Schließlich sei die Anwendung auch ohne nutzbar. Nur eben nicht ganz so komfortabel.