Kontakt an mail@herh.de

Über dieses Kontaktformular sendet man PGP-verschlüsselte Nachrichten an mich. Das ist zwar besser, als eine einfache Email oder sonstige unverschlüsselte Nachrichten, aber trotzdem nicht so toll, als wenn du selber PGP/GPG nutzen würdest.

Dein Browser verbindet sich über HTTPS (transportverschlüsselt) mit diesem Server, lädt das Script OpenPGP.js herunter und verschlüsselt damit (Ende zu Ende) deine Nachricht anhand meines Public-Keys und sendet es (transportverschlüsselt) an den Server, der es wiederum (transportverschlüsselt) an mich weiterleitet. Bei mir angekommen entschlüssel ich deine (Ende zu Ende) verschlüsselte Nachricht mithilfe meines Private-Keys.

Das Problem dabei ist, dass es umständlicher für dich ist, als wenn du mit deinem Emailclient verschlüsseln würdest. Du signierst deine Nachricht hiermit nicht, wodurch ich nicht nachvollziehen kann, ob sie wirklich von der Person stammt, deren Adresse angegeben ist. Ich kann dir (wahrscheinlich) nicht verschlüsselt antworten. Außerdem ist JavaScript anfällig dafür, von anderen Browser-Tabs/Fenstern ausgelesen zu werden, somit ist es leicht möglich, deine Nachricht vor dem verschlüsseln von anderen Webseiten auszulesen. Zu guter Letzt ist es eine potentielle Schwachstelle, dass du die Software (OpenPGP.js) und meinen Public-Key über die gleiche Verbindung holst und den Fingerprint meines Keys nicht überprüfst (was das web of trust ausmacht).

Trotzdem vielen Dank, dass du mir eine verschlüsselte Nachricht schickst, die ich priorisiert behandle. Und viel Spaß beim einrichten von GPG (und bspw. Enigmail)!