Hallo liebe Community,
ich habe kürzlich meine erste PGP-verschlüsselte Mail versandt und bin dabei auf eine Besonderheit bei meinem Mailanbieter Protonmail gestossen, die ich hier zur Diskussion stellen möchte.
Ich habe die Mail in einem Texteditor verfasst und mit meinem Schlüssel und dem Schlüssel des Empfängers kodiert. Damit mein Gegenüber verschlüsselt antworten kann habe ich meinen öffentlichen Key in TEXTFORM unten an die Mail angehängt. Soweit so gut.
Ich nutze kein Mailprogramm auf dem Rechner sondern gehe direkt über die Weboberfläche rein.
Die Retourmail kam. Entgegen meiner Erwartung, Buchstabensalat in die Zwischenablage kopieren zu müssen und mit meinem Schlüssel zu entschlüsseln, beantwortete ich die Frage ob ich dem Schlüssel des Absenders traue mit "Ja" (in der Weboberfläche) und bekam den Text sofort zu lesen.
Kurze Recherche bei Protonmail ergab die Antwort auf meine Fragezeichen. Protonmail erzeugt für jeden Konto- inhaber ein Schlüsselpaar, die Ver- und Entschlüsselung erfolgt automatisch, der öffentliche Schlüssel wird automatisch mit einer Mail mitgesendet. Mein Mailpartner hat wohl zum Emailverkehr den Schlüssel verwendet der von Protonmail kam und mir so geantwortet.
Nun, ist das Sicherheitstechnisch nicht völliger Blödsinn wenn der private Schlüssel vom Mailanbieter erzeugt und gespeichert wird? Mal davon abgesehen dass Protonmail die Daten auch "sicher" zusammenhalten kann, jedoch erweckt das nicht gerade Vertrauen wenn der private Key nicht in der eigenen Hand liegt, oder? Wenn der Mailanbieter einem die "Arbeit" abnimmt und die Mails für einen dechiffriert dann sind die ja auch wieder im Klartext durchs Netz bis zu meinem Browser unterwegs (ok, https ist ja gegeben...).
Wie seht ihr die Sachlage?
Gruss Lumpi