Wenn ich ein VPN nutze, heißt das noch lange nicht, dass mein gesamter Internetverkehr verschlüsselt ist. Um im Beispiel zu bleiben: Ich überbrücke so nur die gefährliche WLAN-Zone und die Strecke von Teheran nach Stockholm. Ab Stockholm ist dann aber alles wie immer. Das bedeutet, ich muss auch hier sicherstellen, dass meine Daten verschlüsselt im Netz unterwegs sind. 

Beim Aufrufen von Websites stellt das der Standard HTTPS sicher. Nicht einmal Netzanbieter können dann noch meine Eingaben oder die Inhalte der Seiten sehen, die ich besuche. Meine Bank nutzt zum Beispiel HTTPS für ihren sensiblen Dienst. Manche Seiten unterstützen HTTPS zwar, aber nicht standardmäßig. Um in solchen Fällen eine HTTPS-Verbindung zu erzwingen, installiere ich das Add-on HTTPS Everywhere, das es für Firefox, Firefox für Android, Opera und Chrome gibt. Für eine Ende-zu-Ende-Verschlüsselung von Nachrichten und eventuellen Anhänge brauche ich aber noch mehr.

TextSecure und Threema sind einfach zu bedienen

Am einfachsten ist es, eine Messenger-App zu nutzen. WhatsApp ist die bekannteste, aber nicht gerade die konsequenteste, wenn es um Verschlüsselung geht: Eine WhatsApp-Nachricht von einem Android-Nutzer zum anderen ist Ende-zu-Ende-verschlüsselt, eine vom Android- zum iOS-Nutzer nicht. Immerhin nutzt WhatsApp grundsätzlich auch eine Transportverschlüsselung. Die basiert zwar auf einem als unsicher anzusehenden Standard, aber das ist immer noch sicherer als klassische SMS, die im Klartext übertragen werden. Und günstiger sowieso.

Besser machen es die Messenger Threema und TextSecure beziehungsweise Signal für iOS. TextSecure und Signal sind Open-Source-Software. Außerdem ist die App variabel. Mit TextSecure kann ich auch Kontakte anschreiben, die die App nicht installiert haben. Das läuft dann zwar unverschlüsselt über die normale SMS-App, schließt aber zumindest niemanden aus. Anhänge kann ich ebenfalls mit beiden Apps verschlüsseln, Gruppenchats sind auch kein Problem.

Wer verschlüsselte E-Mails über das Smartphone verschicken will, kann dafür ebenfalls Apps nutzen. Zum Beispiel die von Tutanota. Die hat aber zwei Nachteile: Ich habe erstens keine Kontrolle über meinen privaten Schlüssel zum Entziffern von Mails, weil der auf Tutanotas Server liegt. Und zweitens setzt der Anbieter voraus, dass ich den Empfängern meiner E-Mails auf einem anderen, sicheren Kanal ein Passwort zum Entschlüsseln zukommen lassen kann. Das System mag in der Bedienung einfacher sein als klassische PGP- oder GnuPG-Lösungen, aber urlaubstauglich ist es nicht wirklich.

Den Yubikey als SmartCard nutzen

Ich will stattdessen mit einem auf dem OpenPGP-Standard basierenden Programm verschlüsseln und dabei die Kontrolle über meinen Schlüssel behalten. Die Krux dabei ist, dass ich den auf dem Smartphone speichern müsste – also ausgerechnet auf jenem Gerät, das ich im Urlaub am ehesten verliere und dessen Betriebssystem ich nicht recht traue. Wer mutiger oder optimistischer ist als ich, kann auch sein PGP-Schlüsselpaar auf dem Smartphone speichern. Das geht mit der E-Mail-App K-9 im Verbund mit APG. Wie das geht, wird hier beschrieben.

Ich entscheide mich für eine ganz andere Lösung – allerdings eine nicht ganz banale. Meine Idee sieht so aus: Ich speichere meinen geheimen Schlüssel auf einer SmartCard, zum Beispiel dem Yubikey. Bekomme ich eine verschlüsselte Mail aufs Smartphone, will ich nur den Yubikey ans Smartphone halten müssen, damit sich die E-Mail entschlüsselt. Der Yubikey ist zwar klein und kann damit schnell verloren gehen, aber auf seinem Speicher sollen am Ende nur sogenannte Unterschlüssel liegen. Sollten die verloren gehen, kann ich sie jederzeit mit meinem Hauptschlüssel widerrufen. Und den Hauptschlüssel lasse ich natürlich nicht auf dem Yubikey.