Der Nächste, bitte…

Angebot und Nachfrage. Es besteht Nachfrage nach massentauglicher Email-Verschlüsselung; das vermute nicht nur ich, sondern immer mehr aktuelle und künftige Mail-Anbieter. HushMail, (im kommerziellen Betrieb), StartMail (in private beta) und ProtonMail (in öffentlicher Beta) habe ich schon kurz vorgestellt, da fällt mir in den Weiten des Web ein weiterer Anbieter auf: Lavaboom.

Lavaboom spielt eindeutig auf Lavabit an, den Mail-Dienst, den einst auch Edward Snowden benutzt haben soll, und der schlagartig dicht machte, als die US-amerikanischen Behörden Druck machten. Deshalb heißt es hier:

Felix, Lavaboom’s CEO, named Lavaboom in tribute to Lavabit and Ladar’s stand against the US government’s attack on the world’s privacy.

Lavaboom dagegen ist ein deutsches Unternehmen, zuhause in Köln, ist auf einer Mission incl. zugehörigem Statement und führt…

…eine Warteliste für die Teilnahme an der Betaphase. Auf dieser Warteliste stehe ich seit zehn Minuten, Vermutlich ziemlich weit hinten.

Aus den Antworten auf die technischen FAQ lässt sich immerhin schon herauslesen, wie Lavaboom funktionieren soll:

  • Lavaboom verwendet, wie ProtonMail, clientseitiges OpenPGP.js. Das bedeutet: alle Ver- und Entschlüsselungsvorgänge finden im Browser des Benutzers statt. Das Vertrauen darauf, dass der Browser nicht petzt, muss der Benutzer schon selber mitbringen.
  • Anders als ProtonMail (? – In dieser Hinsicht schweigt sich ProtonMail aus, und auf eine entsprechende Anfrage habe ich noch keine Antwort bekommen) Update: Wie ProtonMail erzeugt der Lavaboom-Client im Browser das klassische asymmetrische PGP-Schlüsselpaar, und bietet es aber – anders als ProtonMail – zum Download (aus dem Browser, nicht vom Server, wo ja ein privater Schlüssel eigentlich nichts zu suchen hat) an. Der Re-Import in den Browser-Cache ist jedoch noch nicht fertig, weshalb Lavaboom derzeit nur von einem Gerät aus, mit einem Browser verwendet werden kann.
  • Der Download des Schlüsselpaares bedeutet auf der anderen Seite, dass man seinen öffentlichen Schlüssel beliebig mit anderen austauschen kann, dass also Lavaboom (anders als Protonmail? Auch hier warte ich auf eine Antwort) verschlüsselte Mails mit PGP-Nutzern bei anderen Diensten austauschen kann. Update: ProtonMail denkt darüber nach, dies später umzusetzen.

Tscha. Und jetzt warte ich auf eine Einladung zum Lavaboom-Test.

2 Gedanken zu „Der Nächste, bitte…“

  1. Hallo Herr Klein,
    da ich wie viele andere auch auf der Suche nach einem sicheren E-Mail Anbieter bin, derzeit bei Mailbox.org und Posteo.de, fand ich den noch in den Geburtswehen liegenden Anbieter Kullo https://kullo.net/.
    Im Gegensatz zu den Webmail verschlüsselern, wird dort auf dem Endgerät veschlüsselt. In einer Anwendung des Anbieters. Dies ist sicherlich besser, aber es klingt nach einem geschlossenem System.
    Was meinen sie dazu?
    Viele Grüße

    • Stimmt. Der Satz

      Within the Kullo environment, commu­nication is always secure. Messages are only decrypted locally on the user’s device.

      deutet sehr darauf hin. So gesehen, wäre Kullo ähnlich sicher wie (in der derzeitigen Version) ProtonMail: Innerhalb des Anbieter-Systems sind die Nachrichten verschlüsselt (und auch sonst sicherer als beim Transport über öffentliche Leitungen). Von einer Verbindung nach außen über das gute alte Mail-Protokoll ist auf der Seite nicht die Rede.

      Aber vielleicht müssen wir uns, wenn es nicht doch noch Schritte gibt, PGP massentauglich zu machen, von der Idee der einen weltweit brauchbaren Plattform verabschieden. Bei den gesicherten Messenger-Apps ist das heute schon der Fall (ich habe zwei auf dem Telefon, und Telegram ist schon nicht mehr darunter); vielleicht ist das auch bei den „Mail“-Verbindungen in Zukunft so: „Welchen sicheren Mail-Anbieter nutzt Du?“ – „YX-Post.“ – „Mist. Naja, mache ich da eben auch noch einen Account auf.“ oder so.

Kommentare sind geschlossen.