Mit K9 Mail auf dem Android Gerät Mails verschlüsseln

K9 Mail ist eine Mailapp mit PGP Verschlüsselung auf Android Geräten. In dieser Anleitung wird erklärt, wie ihr die App einrichten müsst, damit ihr dort auch eure Mails veerschlüsseln könnt. Am besten natürlich mit dem gleichen Schlüssel, mit dem ihr auch eure Mail am PC verschlüsselt.

2 Gedanken zu „Mit K9 Mail auf dem Android Gerät Mails verschlüsseln“

  1. Verschlüsselung auf Android-Smartphones ist keine gute Idee!

    Verschlüsselung ist grundsätzlich eine gute Sache. Eine Verschlüsselung auf Android-Smartphones ist nach meinem Verständnis aber keine gute Idee. Warum? Jede Verschlüsselung benötigt einen sicheren Anker. Dieser ist in der Regel der heimische PC oder der Laptop.
    Google hat bei dem Betriebssystem Android die Möglichkeit, sofern die Google Apps installiert sind, Software ohne vorherige Nachfrage beim Nutzer zu löschen und neu zu installieren. Das geschieht über den sogenannten „Kill-Switch“. Wichtig zu wissen: Auch alternative Betriebssysteme auf Basis von Android wie „Lineageos“ enthalten den Kill Switch, da er nicht im Open-Source-Teil von Android implementiert ist. Daraus kann man den Schluss ziehen, dass über den Google-Play-Store bezogene Apps (wie z. B. K9-Mail und APG sowie jede andere App) als kompromittierbar anzusehen sind, da genau zu diesem Zeitpunkt die benötigten Apps gelöscht sein können, wenn man gerade dringend verschlüsselt kommunizieren möchte.

    Um eine gute Verschlüsselung zu erzeugen, benötigt man Zufallszahlen. Das Erzeugen von guten Zufallszahlen ist bei einem PC bzw. Laptop schon nicht einfach. Holzschnittartig ausgedrückt werden die Zufallszahlen am PC bzw. Laptop durch das Rauschen erzeugt, welches z. B. eine Mausbewegung verursacht. Da es sich bei diesem Verfahren eigentlich nicht um die Erzeugung von guten, sondern um taugliche Zufallszahlen handelt, sprechen Mathematiker gerne von „Pseudo-Zufallszahlen“.

    Im Android-Smartphone werden die „Zufallszahlen“ mit der Java VM erzeugt. Dieses Verfahren ist freundlich ausgedrückt suboptimal. So konnten Hacker im Sommer 2013 die Android Implementierung zur Erzeugung von Zufallszahlen nutzen, um Geldbörsen von Bitcoin-Nutzern leer zu räumen (https://heise.de/-1933714).
    Der Sicherheitsexperte Collin Mulliner hat das „Dynamic Dalvik Instrumentation Framework for Android“ entwickelt, mit dem man jegliche Verschlüsselung komplett aushebeln kann (http://www.mulliner.org/android/feed/mulliner_ddi_30c3.pdf).

    Android verfügt zudem über das Feature „Remote Code Execution“, welches es Apps ermöglicht Code aus dem Internet nachzuladen, der weder von Sicherheitsscannern auf dem Smartphone noch von den Sicherheitsprüfungen in den App-Stores geprüft werden kann.

    Ich schätze Verschlüsselung sehr. Ich vertraue auch auf die Mathematik, die die Verschlüsselung erst ermöglicht. Aber mein Vertrauen in das Betriebssystem Android ist nachhaltig gestört.

    1. Da bin ich ganz bei dir. Das Problem ist das mobile Betriebssystem, das ist aus meiner Sicht bei iOS nur graduell besser. Danke für den ausführlichen Hinweis!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.