Protonmail Evaluation

Nach dem Matrix Beitrag schon wieder ein Blogpost zum Thema Messenger / Email Encryption .
Diesmal geht es hier um den Crypto-Mailer Proton Mail.
Der hat den Anspruch, Email Verschlüsselung auch für EDV Laien einfach zugänglich zu machen.
Genau die Problematik, die also bisher eine weitere Verbreitung der seit Langem (technisch) bewährten Email-Verschlüsselungsmethoden verhindert hat.
Diese sind zwar universell verwendbar und funktionieren praktisch auf allen Geräteklassen und Betriebssystemen, und das auch mit fast allen Mail-Providern, aber wie gesagt: die Einrichtung stellt die meisten Anwender vor zu grosse Probleme.
Genau hier setzt nun Protonmail an - dieses arbeitet mit den ganzen bewährten, offen zugänglichen Technologien der Verschlüsselung, erspart aber dem Anwender die komplette Generierung, Auswahl, Zuordnung und Verwaltung der diversen Schlüssel, indem es dies alles automatisch erledigt.
Für den Einsteiger gestaltet sich die Einrichtung eines Protonmail-Accounts zunächst sehr einfach: auf Signup muss zuerst ein Plan ausgewählt werden, für den Anfang genügt vorerst der kostenlose Free Plan (der kann später jederzeit aufgestockt werden).
Alles was hier benötigt wird, ist die Auswahl einer (noch nicht belegten) Mailadresse, ein Passwort und eine Recovery (Wiederherstellungs-) Methode, das ist schnell gemacht und funktioniert direkt.
Am besten dann gleich noch die Sprache einstellen:
screenshot
und dann kann man auch schon direkt loslegen: die Web-Oberfläche ist m.E. gut gelungen und bietet alle wichtigen Funktionen recht übersichtlich an.
Anders als bei gewohnten Webmailern gibt es hier aber beim Verfassen und Lesen von Mails Anzeigen bzw. Einstellungen zur Verschlüsselung - diese sind direkt eingebaut. Beim Senden / Empfangen von Mails anderer Protonmail-User ist automatisch schon alles richtig eingestellt, nämlich End-To-End-Encryption, die ohne weitere Einstellungen direkt out-of-the box funktioniert.
Das war zu erwarten, ist aber nur die halbe Miete, denn die meisten Kontaktpersonen nutzen eben (noch) nicht Protonmail, sondern meist einen der gängigen Massen-Provider. Und genau hier wird es nun interessant, denn Protonmail bietet hier schon mal eine einfache, aber dennoch sinnvolle Methode der Absicherung an, die auch dann funktioniert, wenn der Kommunikationspartner keinerlei Vorkehrungen bzgl. Kryptographie getroffen hat:
Beim Senden von Mails an externe Adressaten kann ein Passwort vergeben werden, der Empfänger erhält dann eine Email, in der er dieses Passwort eingeben muss, um den Inhalt lesbar zu machen.
Das Passwort kann dabei z.B. parallel per SMS, Telefon, Messenger oder einfach vorab z.B. auf einem Zettel bekanntgegeben werden - praktisch ist, hierbei ein personenspezifisches Passwort zu verwenden.
Andersherum geht es natürlich auch, allerdings erstmal unverschlüsselt.
Das lässt sich jedoch leicht ändern: Protonmail bietet sehr einfach die Möglichkeit, den bei der Einrichtung automatisch erzeugten public Key in der Signatur zu exportieren:
screenshot
Sobald also eine so signierte Mail an einen externen Adressaten gesendet wurde, kann dieser den public Key importieren und dann sofort eine PGP verschlüsselte Mail an den Absender schicken !

Soweit funktioniert das alles schon mit dem kostenlosen Free Plan.
Wer mehr will, also auch End-To-End encrypted Mails an externe Adressaten senden, muss zu einem der kostenpflichtigen Angebote upgraden und dann die notwendigen Programme installieren und konfigurieren - dies wird ggf. Gegenstand eines Nachtrags zu diesem Artikel sein, oder auch einen neuen erfordern (mal sehen..).

Update (12.11.21): End-To-End Encryption an externe Adressaten funktioniert auch im kostenlosen Free-Plan:
Hierzu muss der externe Partner seinen public Key als Mail Anhang an die Proton Mail Adresse senden.
Wenn man dann auf den Absender drauf klickt, erkennt Protonmail den Anhang als public Key und fragt nach ob man diesem Vertrauen will, sodass er in Zukunft für die Verschlüsselung der Mails an diesen Adressaten verwendet wird - die Doku dazu findet sich hier.
Damit ist dieser Weg dann auch eingerichtet und damit End-To-End Encryption in beide Richtungen möglich !

Zur Verschlüsselung selbst ist noch anzumerken, dass man hier 2 wesentliche Varianten unterscheiden muss:

Von den besseren Mail-Providern bieten die meisten Zero Access Encryption, z.B. mailbox.org oder posteo.de, die End-To-End Encryption beherrschen out-of-the box aber nur wenige, z.B. protonmail.com.
Die werbefinanzierten Massenprovider (web.de, gmx, yahoo...) verzichten ganz darauf (wen wunderts ?).

Mein erstes Fazit sieht damit so aus:

  • Wer mit wenig Speicherplatz (500 Mb) auskommt und praktisch ohne Konfiguration End-To-End Email Verschlüsselung nutzen will, ist mit der freien Protonmail Variante gut bedient.
  • Der Webclient von Protonmail ist gut aufgebaut, leicht und komfortabel zu bedienen, bietet auch schon in der Free Version einige schöne Features wie Adressbuch Import, Gruppen usw.
  • dasselbe gilt für die mobilen Apps.
  • die erweiterten Angebote von Protonmail sind m.E. etwas teuer, sie beginnen bei 4€/Monat.
  • Die Integration der Erweiterungen in Standardprogramme wie z.B. Thunderbird ist möglich, aber nicht ganz trivial, d.h. mit Arbeit verbunden. Und sie funktionieren nur bei den kostenpflichtigen Varianten.
  • Mail-Provider wie mailbox.org oder posteo.de bieten für 1€/Monat immerhin Zero Access Encryption, deutlich mehr Speicherplatz und das ganze Spektrum an Standard-Schnittstellen (IMAP, SMTP, Card/CalDav...), nur eben keine End-To-End Encryption.

Wer also mit geringstmöglichem Aufwand voll abgesicherte Kommunikation per Email betreiben will, ist mit Protonmail gut bedient, sofern er es schafft, die anvisierten Kommunikationspartner davon zu überzeugen, sich auch bei Protonmail zu registrieren und dieses dafür zu nutzen.
Nicht anders also als bei den gängigen Messengern, auch dort funktioniert das nur wenn alle Beteiligten denselben verwenden.
Wobei hier der grosse Unterschied der ist, dass es zumindest für EDV technisch versierte Anwender möglich ist, die Verschlüsselung auch jenseits der Grenzen des Providers zu nutzen, man muss sich halt die Arbeit machen und auch wissen wie es geht .
Wobei das dann nicht wirklich schwierig ist, wenn die externen Kommunikationspartner in der Lage sind, für sich eine PGP Verschlüsselung einzurichten, siehe oben (Update 12.11.).

Ähnliche Beiträge: