Den Webmail-Dienst Tutanota hatte ich ja schon vorgestellt. Und wie immer bei Diensten, die Versprechen in Sachen Verschlüsselung und Sicherheit machen, fragt man sich, ob man dem Unternehmen und den Aussagen auch vertrauen kann. Tutanota verspricht nun, dass Vertrauen überflüssig sei, denn der gesamte Code der Web-Applikation wird am Dienstag veröffentlicht.
Die Tutao GmbH, Betreiberin des Webmail-Dienstes Tutanota, nimmt das Thema Sicherheit ziemlich ernst: So wurde ein Sicherheits- und Penetrationstest der Plattform durch einen externen Sicherheitsdienstleister durchgeführt, der für die Angreifer erfolglos verlief. Nun ist so ein Zertifikat natürlich eine Sache, aber so ganz ohne die genauen Testszenarien und die Beteiligten zu kennen, will man dem vielleicht auch nicht glauben.
Ab Dienstag kann sich nun jeder selbst davon überzeugen, wie sicher der Code der Web-App ist und dass dort keine Hintertüren versteckt wurden. Damit wäre es überflüssig, dem Unternehmen vertrauen zu müssen. Oder man kann jemanden beauftragen, dem man vertraut, so einen Test durchzuführen. Aber dann muss man ja wieder jemandem vertrauen.
Die Presseankündigung verrät auch, dass derzeit an mobilen Apps für Tutanota gearbeitet wird, die natürlich die gleichen Vorteile bietet, ganz vorne weg die Tatsache, dass sich der Nutzer nicht um Schlüsselmanagement kümmern muss und dass die kompletten Nachrichten inklusive Betreff und Anhängen verschlüsselt werden, was ja nicht bei allen Verschlüsselungslösungen für Mails der Fall ist. Diese App sollen noch im Herbst für Android und iOS kommen.
Was die Pressemitteilung leider nicht verrät ist die genaue Lizenz der Veröffentlichung. Es ist nur von Open Source die Rede, aber nicht ob damit nun die Definition der Open Source Initiative (OSI) gemeint ist oder einfach nur quelloffene Software. Und wenn man schon den Sourcecode frei gibt, wird dann jeder damit seine eigene Tutanota-Instanz betreiben können und können diese untereinander kommunizieren? Oder handelt es sich einfach um eine Veröffentlichung, die ausschließlich für Entwickler und Sicherheitsexperten Sinn ergibt, die den Code prüfen wollen?
Auf Rückfrage wird uns erklärt, dass die Veröffentlichung unter der GPL v3 erfolgt, es handelt sich also um eine echte Open Source Software – aber der Betrieb einer eigenen Instanz ist damit noch nicht möglich:
Zurzeit ist es nicht möglich, Tutanota auf einem eigenen Server zu betreiben, weil der Servercluster auf einem verteilten Datenbanksystem basiert und dieser in der Regel nicht von Privatpersonen betrieben werden kann. Die komplette Ver- und Entschlüsselungslogik findet jedoch im Client statt und dieser wird vollständig veröffentlicht.
Das heißt also, die Serverkomponente für den eigenen Betrieb fehlt. Möglicherweise wird es in Zukunft eine Servervariante „für den Privatgebrauch“ geben, aber diese Entwicklung steht bislang nicht so hoch auf der Prioritätenliste. Nun, vielleicht baut die Open Source Community ja auch schon früher etwas passendes…
