Jeder Mensch hat Anrecht auf Privatsphäre und private Kommunikation. Seit den Aufdeckungen von Edward Snowden über die Ausspähungen durch einige westliche Geheimdienste gelangt dies immer wieder in den Fokus von Berichten. Getan hat sich jedoch gerade für Einzelpersonen wenig. Whiteout Mail tritt an, auf einfache Art und Weise die Privatsphäre in der Kommunikation zu sichern.
Wer dachte, die Geheimdienste und deren Staaten würden angesichts des Einbruchs in persönliche, unternehmerische und staatliche Kommunikation zurückstecken und verantwortungsvoll mit Menschenrechten, nationalen und internationalen Werten umgehen, der war wohl blauäugig. Eher scheint es so, dass diese Rechtsbrüche Staaten und deren Organe sogar anstachelten. Das führte zu Argumenten wie “die anderen können das auch, wir müssen aufholen” oder “es gibt ein Grundrecht auf Sicherheit” oder “die Behörden müssen alles lesen können, damit sie alles möglicherweise irgendwann Böse verhindern können”. Ob die geforderten Maßnahmen rechtlich zulässig sind oder ob diese überhaupt jemals wirksam waren, spielt bei den Argumenten selten eine Rolle (siehe zu beidem beispielsweise die aktuelle Kampagne zur Vorratsdatenspeicherung in der BRD). Ersteres sollen dann wieder einmal die Gerichte oder hilflose Aussschüsse entscheiden (wenn sie denn überhaupt von der gelebten Praxis erfahren), und Zweiteres wird weggewischt mit fadenscheinigen Argumentationen wie “wir brauchen das, weil wir es brauchen” oder “ein paar Mal hat es geholfen” (auf Nachfrage: “Das kann ich Ihnen nicht sagen”).
Dem Otto Normalbürger scheint es oft, dass ihn das nicht betrifft. Und selbst wenn irgendwann ein bisschen Zweifel einkehrt, dann lässt den Otto Normalbürger das vermeintlich komplizierte Monster Verschlüsselung in Agonie verfallen. Denn das mit der Verschlüsselung sei doch viel zu kompliziert, das könnten doch nur Freaks und Nerds. Ich persönlich halte dies für einen Mythos – aber solange der Schmerz nicht nicht richtig drückt, ist vielen auch noch die kleinste Prophylaxe zu aufwändig.
Jetzt tritt das Team mit Whiteout Mail an, diesen Mythos zu entzaubern.
Whiteout Mail is the first email solution with strong encryption that is really easy to use and runs on all of your devices. Keeping your emails safe has never been so easy.
Vor ein paar Monaten erfuhr ich durch Oliver Gajek von Whiteout Mail, und ich hatte die Gelegenheit, Whiteout Mail zu testen. Nach einer längeren Pause habe ich meinen Account reaktiviert und mir Whiteout Mail noch einmal angeschaut. Der Hintergrund: Das Whiteout Mail Team fährt auf Indiegogo eine Kampagne und sammelt Geld zur Unterstützung der Weiterentwicklung.
Whiteout: Email Privacy. Open Source. End-to-End.
CF Video Lang no fade out from Whiteout Networks on Vimeo.
Dabei fährt das Whiteout Team zweigleisig:
- Einerseits bietet Whiteout einen Mail-Client, um über eine gesicherte Verbindung auf einen vorhandenen Maildienst wie Gmail zuzugreifen.
- Andererseits bietet Whiteout zusammen mit dem Client ein eigenes Mail-Konto mit der Domain @wmail.io an (“Whiteout mailbox”).
Die Registrierung und der erste Login erfolgen mit der Chrome-App, auf mail.whiteout.io (Chrome-App jedoch bevorzugt), der iOS-App oder der Android-App (Downloadseite). Derzeit gibt es jedoch die Registrierung nur über die Crowdfunding-Kampagne.
Zwar sind die Website und die Kampagne komplett in englischer Sprache, doch das Team sitzt in München („Impressum„). Weitere Vertrauensfaktoren sind, dass das Team auf Security Audits und auf Open Source („Technology„) setzt:
All source code for Whiteout Mail is published. This ensures that the worldwide community of security experts can inspect the code and identify errors. Because the code is delivered as Javascript to the device, users can verify that the code that is executed on their device is identical to the published version and that no backdoors have been introduced.
Und das bei kompletter Ende-zu-Ende-Verschlüsselung und OpenPGP-Standard („Security and Privacy„).
Nach der Registrierung generiert Whiteout sowohl einen Backup Code (zum Synchronisieren des PGP-Schlüssels über verschiedene Geräte) als auch einen privaten PGP-Schlüssel (ersatzweise kann ein vorhandener eigener Schlüssel hochgeladen werden). Der generierte PGP-Schlüssel kann und sollte sowohl mit einer Passphrase versehen als auch heruntergeladen und sicher gesichert werden.
Die Oberfläche und die Funktionen von Whiteout sind einfach und klar. Die Kontoeinstellungen zeigen die Email-Adresse, die PGP Key ID (mit der Möglichkeit den Schlüssel zurückzuziehen), den PGP Fingerprint (mit einem Link zum öffentlichen Schlüssel) und der Schlüsselgröße (2048 Bit, RSA). Außerdem lässt sich dort die Passphrase festlegen und der private PGP-Schlüssel herunterladen. Bei der Oberfläche gibt es zwischen Web/Chrome und Android keine Unterschiede (iOS habe ich nicht geprüft).
Die Zuordnung zu vorhandenen Labels wird unterstützt. Ansonsten gibt es keine besonderen Möglichkeiten (außer den gewöhnlichen wie beispielsweise Antworten, Löschen, als Gelesen/Ungelesen markieren). Also beispielsweise auch keine Filter.
Whiteout konzentriert sich gegenwärtig auf das Verschlüsseln und Entschlüsseln, und das funktioniert “on the fly”. Öffne ich in Whiteout eine an mich verschlüsselte und gesendete Nachricht, dann kommt vielleicht noch ein kurzer Hinweis. Doch kurz darauf sehe ich die entschlüsselte Nachricht. Und genau das gefällt mir. Whiteout entzaubert PGP um dieses Nerdige und Freakige. Es funktioniert einfach.
Die Client-Only-Version ist kostenlos (nur senden/empfangen sowie verschlüsseln/entschlüsseln). Die Whiteout Mailbox gibt es in drei Versionen:
- Personal: In Deutschland gehostete Mailbox mit 2 GB Speicher für 1 Euro/Monat/Benutzer
- Pro: Wie Personal aber mit 20 GB Speicher und einer Custom Domain Option für 8 Euro/Monat/Benutzer
- Business: Wie Personal aber mit Group Admin und Billing sowie Onsite Backup (“coming soon”)
Für Einzelpersonen, Selbstständige oder kleine Unternehmen ist Whiteout eine sehr gute Möglichkeit zur Verschlüsselung von Emails. Mit den Funktionen von Gmail oder Office 365 kann Whiteout derzeit nicht mithalten. Ich persönlich sehe Whiteout Mailbox daher als eine zusätzliche, günstige und einfache Möglichkeit zur sicheren Kommunikation.
Zum Abschluss noch ein paar frei übersetzte Auszüge aus der Willkommensnachricht des Whiteout Networks Teams:
- Email-Adressen von Empfängern, die einen bekannten PGP-Schlüssel haben, werden mit einem blauen Label gekennzeichnet.
- Email-Adressen von unbekannten Absendern haben ein rotes Label.
- Den privaten PGP-Schlüssel schützen (verschlüsseln) Sie mit einer Passphrase (in den Kontoeinstellungen).
- Die Passphrase muss jedes Mal beim Starten von Whiteout Mail eingegeben werden. Ohne die Passphrase kommt niemand an Ihre verschlüsselten Daten, selbst wenn er/sie Ihr Gerät (Smartphone, Notebook) gestohlen hat – auch Sie nicht!
- Zum Verifizieren des PGP-Schlüssel eines Kontaktes dient der jeweilige “PGP Fingerprint”, den Sie über der jeweiligen ID angezeigt erhalten.
- Ihren eigenen PGP Fingerprint finden Sie in den Kontoeinstellungen.
- Wenn Sie mit anderen Ihre Fingerprints austauschen und vergleichen, können Sie die PGP-Schlüssel verifizieren.
- Ihr öffentlicher PGP-Schlüssel wird auf den Whiteout-Schlüssel-Server und auf die Standard-Schlüssel-Server übertragen. Damit kann jeder Benutzer Ihnen PGP-Mails schicken.
Und jetzt der “Call to action”. Wenn Sie Email einfach, stark und sicher sowie sicher einfach haben wollen und Verschlüsselung für alle unterstützen wollen, dann gehen Sie auf Indiegogo und entscheiden Sie sich für
- Open Source Supporter (5 €)
- Subscriber Personal Edition für 12 Monate (10 €)
- Subscriber Pro Edition für 12 Monate (40 €)
- 5-pack Personal Edition mit limited edition T-Shirt für 12 Monate für 5 Benutzer (50 €)
- 5-pack Pro Edition mit limited edition T-Shirt für 12 Monate für 5 Benutzer (100 €)
- Lifetime Subscriber Pro mit limited edition T-Shirt (200 €)
- 5-pack Lifetime Subscriber Pro mit limited edition T-Shirt für 5 Benutzer (300 €)
- Meet and greet the team mit Lifetime Subscriber Pro (500 €)
Ich bin mir unschlüssig, was ich davon halten soll.
Wenn ich mich umschauen, weiß ich nicht, ob mein Umfeld auf das gewohnte E-Mail Programm verzichten oder gar eine neue Adresse haben möchte.
Da wird Web.de benutzt aber auch zum Teil noch eine Yahoo Adresse. Für die meisten ist Outlook das einzige Mailprogramm bzw nutzen andere „Windows“ für E-Mails.
Von daher bezweifle ich, ob mit dem Projekt auch wirklich die angesprochen werden, die angesprochen werden sollten.
PGP mit Thunderbird und dem Enigmail Plugin ist perfekt. Leicht einzurichten und fein. Bei vielen anderen Programmen lässt sich PGP nicht so leicht einbinden. Hierfür bedarf es einer Lösung.
Gerade Mobil ist es ganz schlimm! Da verliere sogar ich direkt die Lust.
Wenn ich mir mein Umfeld so anschaue, dann ist für viele ein Mailclient außer Outlook (aus Gewohnheit und „alten“ Zeiten) auf dem Rechner inzwischen passé ist. Und so etwas wie mit dem Enigmail-Plugin und zuvor noch dem Installieren von Software und dann auch noch das komplizierte Verstehen, Erstellen und Handling von Keys… Schwierig. Wobei ich es nicht für kompliziert oder schwierig betrachte, aber den „Normalottos“ geht es nach meinem Eindruck so.
Für viele ist der Browser das Mailprogramma auf dem Notebook, und ansonsten ist es unterwegs (wie auch am Frühstückstisch oder auf der Terrasse) eine App. Soweit meine Wahrnehmung, die aber sehr einseitig sein kann.
Gerade deswegen halte ich die Idee, PGP einfach auf iOS und Android und in den Browser zu bringen grundsätzlich für gut. Ob sich Whiteout durchsetzt, weiß ich natürlich auch nicht, aber es ist seit langem ein Ansatz, der sowohl auf die Rechnerumgebung und auch auf die Smartphone/Tabletumgebung zielt, und das mit der Intention, die Komplexität vor dem Benutzer zu verbergen.
Was mir aber gerade dabei auffällt, ist, dass die komplette Website und Kampagne nur auf Englisch sind. Klar, das Publikum wird potentiell größer. Aber insbesondere die Website sollte es auch auf Deutsch geben, damit Normalotto nicht abgeschreckt wird.
Zur zusätzlichen Mailadresse: Das ist ja das Schöne, dass ich mit der App auf meinen bisherigen Mailaccount zugreifen kann (also bei mir den Gmail-Account) und Whiteout die Komplexität verbirgt. Ich rufe einfach die Whiteout-App auf, fertig. Allerdings vermisse ich da in der App noch eine Möglichkeit, zwischen verschiedenen Accounts schnell wechseln/switchen zu können. Aus einer Nachricht von Oliver (Whiteout) im Februar:
> Whiteout Mail ist heute verfügbar als Frontend für eine bereits vorhandene Email Adresse. Gmail, Yahoo, Outlook, T-Online funktionieren alle, sowie die meisten anderen IMAP-fähigen Mail Server.